Sdílet prostřednictvím

Aspekty zabezpečení pro úlohy Azure VMware Solution

  • Článek

Tento článek popisuje oblast návrhu zabezpečení úlohy Azure VMware Solution. Tato diskuze popisuje různá opatření, která pomáhají zabezpečit a chránit úlohy Azure VMware Solution. Tato opatření pomáhají chránit infrastrukturu, data a aplikace. Tento přístup k zabezpečení je holistický a je v souladu se základními prioritami organizace.

Zabezpečení řešení Azure VMware vyžaduje model sdílené odpovědnosti, kde microsoft Azure a VMware zodpovídají za určité aspekty zabezpečení. Pokud chcete implementovat vhodná bezpečnostní opatření, ujistěte se, že rozumíte modelu sdílené odpovědnosti a spolupráci mezi IT týmy, VMware a Microsoftem.

Správa dodržování předpisů a zásad správného řízení

Dopad: Zabezpečení, efektivita provozu

Abyste se vyhnuli omylu odstranění privátního cloudu, použijte zámky prostředků k ochraně prostředků před nežádoucím odstraněním nebo změnou. Dají se nastavit na úrovni předplatného, skupiny prostředků nebo na úrovni prostředků a odstranění bloku, úpravy nebo obojí.

Je také důležité detekovat nekompatibilní servery. K tomuto účelu můžete použít Azure Arc. Azure Arc rozšiřuje možnosti a služby správy Azure na místní nebo multicloudová prostředí. Azure Arc poskytuje jedno podokno zobrazení pro použití aktualizací a oprav hotfix tím, že poskytuje centralizovanou správu serveru a zásady správného řízení. Výsledkem je konzistentní prostředí pro správu komponent z Azure, místních systémů a Řešení Azure VMware.

Doporučení
  • Umístěte zámek prostředku do skupiny prostředků, která je hostitelem privátního cloudu, aby se zabránilo náhodnému odstranění.
  • Nakonfigurujte hostované virtuální počítače Azure VMware Solution jako servery s podporou Azure Arc. Metody, které můžete použít k připojení počítačů, najdete v tématu Možnosti nasazení agenta připojeného počítače Azure.
  • Nasazení certifikovaného řešení třetí strany nebo Azure Arc pro řešení Azure VMware (Preview)
  • Pomocí azure Policy pro servery s podporou Azure Arc můžete auditovat a vynucovat kontrolní mechanismy zabezpečení na hostovaných virtuálních počítačích Azure VMware Solution.

Ochrana hostovaného operačního systému

Dopad: Zabezpečení

Pokud svůj operační systém neopravíte a pravidelně aktualizujete, budete na něj náchylní k ohrožením zabezpečení a riskujete celou platformu. Když pravidelně používáte opravy, udržujete systém v aktualizovaném stavu. Když používáte řešení ochrany koncových bodů, pomůžete zabránit běžným vektorům útoku v cílení na váš operační systém. Je také důležité pravidelně provádět kontroly a posouzení ohrožení zabezpečení. Tyto nástroje vám pomůžou identifikovat a napravit slabá místa zabezpečení a ohrožení zabezpečení.

Microsoft Defender pro cloud nabízí jedinečné nástroje, které poskytují pokročilou ochranu před hrozbami napříč řešeními Azure VMware a místními virtuálními počítači, včetně následujících:

  • Monitorování integrity souborů:
  • Detekce útoků bez souborů
  • Hodnocení oprav operačního systému.
  • Posouzení chybné konfigurace zabezpečení
  • Posouzení ochrany koncových bodů
Doporučení
  • Nainstalujte agenta zabezpečení Azure na hostované virtuální počítače Azure VMware Solution prostřednictvím služby Azure Arc pro servery, abyste je mohli monitorovat kvůli konfiguracím zabezpečení a ohrožením zabezpečení.
  • Nakonfigurujte počítače Azure Arc tak, aby automaticky vytvořily přidružení k výchozímu pravidlu shromažďování dat pro Defender for Cloud.
  • V předplatném, které používáte k nasazení a spuštění privátního cloudu Azure VMware Solution, použijte plán Defenderu pro cloud, který zahrnuje ochranu serveru.
  • Pokud máte hostující virtuální počítače s rozšířenými výhodami zabezpečení v privátním cloudu Azure VMware Solution, pravidelně nasaďte aktualizace zabezpečení. K nasazení těchto aktualizací použijte Nástroj pro správu aktivace multilicence (VAMT).

Šifrování dat

Dopad: Zabezpečení, efektivita provozu

Šifrování dat je důležitým aspektem ochrany úloh řešení Azure VMware Před neoprávněným přístupem a zachováním integrity citlivých dat. Šifrování zahrnuje neaktivní uložená data v systémech a přenášených datech.

Doporučení
  • Šifrování úložišť dat VMware vSAN pomocí klíčů spravovaných zákazníkem za účelem šifrování neaktivních uložených dat
  • K šifrování virtuálních počítačů hosta použijte nativní šifrovací nástroje, jako je BitLocker.
  • Pro databáze, které běží na virtuálních počítačích hosta privátního cloudu Azure VMware Solution, použijte nativní možnosti šifrování databáze. Můžete například použít transparentní šifrování dat (TDE) pro SQL Server.
  • Monitorování databázových aktivit pro podezřelou aktivitu Můžete použít nativní nástroje pro monitorování databáze, jako je monitorování aktivit SQL Serveru.

Implementace zabezpečení sítě

Dopad: Efektivita provozu

Cílem zabezpečení sítě je zabránit neoprávněnému přístupu k komponentám Azure VMware Solution. Jednou z metod pro dosažení tohoto cíle je implementace hranic prostřednictvím segmentace sítě. Tento postup pomáhá izolovat aplikace. V rámci segmentace funguje virtuální síť LAN ve vrstvě datového propojení. Tato virtuální síť LAN poskytuje fyzické oddělení virtuálních počítačů rozdělením fyzické sítě do logických sítí pro oddělení provozu.

Pak se vytvoří segmenty, které poskytují pokročilé možnosti zabezpečení a směrování. Například aplikace, web a databázová vrstva můžou mít samostatné segmenty v třívrstvé architektuře. Aplikace může přidat úroveň mikrose segmentace pomocí pravidel zabezpečení k omezení síťové komunikace mezi virtuálními počítači v jednotlivých segmentech.

Diagram architektury znázorňující různé úrovně a segmenty prostředí Azure VMware Solution

Směrovače vrstvy 1 jsou umístěny před segmenty. Tyto směrovače poskytují možnosti směrování v softwarově definovaném datacentru (SDDC). Můžete nasadit několik směrovačů vrstvy 1 pro oddělení různých sad segmentů nebo dosažení konkrétního směrování. Řekněme například, že chcete omezit provoz east-west, který proudí do produkčního prostředí, vývoje a testování úloh. Distribuované úrovně úrovně 1 můžete použít k segmentace a filtrování provozu na základě konkrétních pravidel a zásad.

Diagram architektury znázorňující několik distribuovaných úrovní 1 v prostředí Azure VMware Solution

Doporučení
  • K logickému oddělení a monitorování komponent použijte síťové segmenty.
  • Pomocí funkcí mikro segmentace, které jsou nativní pro datové centrum VMware NSX-T, omezte síťovou komunikaci mezi komponentami aplikace.
  • Pomocí centralizovaného směrovacího zařízení můžete zabezpečit a optimalizovat směrování mezi segmenty.
  • Používejte rozložené směrovače vrstvy 1, když segmentace sítě řídí organizační zásady zabezpečení nebo sítě, požadavky na dodržování předpisů, organizační jednotky, oddělení nebo prostředí.

Použití systému pro detekci a prevenci neoprávněných vniknutí (IDPS)

Dopad: Zabezpečení

IdPS vám může pomoct odhalit a zabránit síťovým útokům a škodlivým aktivitám ve vašem prostředí Azure VMware Solution.

Doporučení
  • Využijte distribuovanou bránu firewall datového centra VMware NSX-T, která vám pomůže s detekcí škodlivých vzorů a malwaru v přenosech mezi komponentami řešení Azure VMware Solution.
  • Použijte službu Azure, jako je Azure Firewall nebo certifikované síťové virtuální zařízení třetí strany, které běží v Azure nebo ve službě Azure VMware Solution.

Použití řízení přístupu na základě role (RBAC) a vícefaktorového ověřování

Dopad: Zabezpečení, efektivita provozu

Zabezpečení identit pomáhá řídit přístup k úlohám privátního cloudu Azure VMware Solution a aplikacím, které na nich běží. RBAC můžete použít k přiřazení rolí a oprávnění, která jsou vhodná pro konkrétní uživatele a skupiny. Tyto role a oprávnění jsou uděleny na základě principu nejnižšího oprávnění.

Pro ověřování uživatelů můžete vynutit vícefaktorové ověřování, abyste zajistili další vrstvu zabezpečení proti neoprávněnému přístupu. Různé metody vícefaktorového ověřování, jako jsou mobilní nabízená oznámení, nabízejí pohodlné uživatelské prostředí a také pomáhají zajistit silné ověřování. Azure VMware Solution můžete integrovat s Microsoft Entra ID, abyste mohli centralizovat správu uživatelů a využívat pokročilé funkce zabezpečení Microsoft Entra. Mezi příklady funkcí patří správa privilegovaných identit, vícefaktorové ověřování a podmíněný přístup.

Doporučení
  • Pomocí služby Microsoft Entra Privileged Identity Management povolte časově podmíněný přístup k operacím s podoknem řízení a webu Azure Portal. Historie auditu služby Privileged Identity Management slouží ke sledování operací, které provádějí vysoce privilegované účty.
  • Snižte počet účtů Microsoft Entra, které můžou:
    • Přístup k webu Azure Portal a rozhraním API
    • Přejděte do privátního cloudu Azure VMware Solution.
    • Přečtěte si účty pro správu VMware vCenter Serveru a VMware NSX-T Data Center.
  • Obměňte přihlašovací údaje místního cloudadmin účtu pro VMware vCenter Server a datové centrum VMware NSX-T, abyste zabránili zneužití a zneužití těchto účtů pro správu. Tyto účty používejte pouze ve scénářích rozbitého skla . Vytvořte skupiny serverů a uživatele pro VMware vCenter Server a přiřaďte je identitám z externích zdrojů identit. Tyto skupiny a uživatele použijte pro konkrétní operace datacentra VMware vCenter a VMware NSX-T.
  • Ke konfiguraci ověřovacích a autorizačních služeb pro hostované virtuální počítače a aplikace použijte centralizovaný zdroj identit.

Monitorování zabezpečení a detekce hrozeb

Dopad: Zabezpečení, efektivita provozu

Monitorování zabezpečení a detekce hrozeb zahrnuje detekci a reakci na změny v stavu zabezpečení úloh privátního cloudu Azure VMware Solution. Je důležité dodržovat oborové osvědčené postupy a dodržovat zákonné požadavky, mezi které patří:

  • Zákon o přenositelnosti a odpovědnosti za zdravotní pojištění (HIPAA).
  • Standardy pci DSS (Payment Card Industry Data Security Standards).

K agregaci, monitorování a analýze protokolů zabezpečení a událostí můžete použít nástroj pro správu událostí (SIEM) nebo Microsoft Sentinel. Tyto informace vám pomůžou detekovat potenciální hrozby a reagovat na ně. Pravidelné provádění kontrol auditu vám také pomůže odvrátit hrozby. Když pravidelně monitorujete prostředí Azure VMware Solution, máte lepší pozici, abyste zajistili, že je v souladu se standardy zabezpečení a zásadami.

Doporučení
  • Pomocí následujících zásad Azure automatizujte odpovědi na doporučení z Defenderu pro cloud:
    • Automatizace pracovních postupů pro výstrahy zabezpečení
    • Automatizace pracovních postupů pro doporučení zabezpečení
    • Automatizace pracovních postupů pro změny dodržování právních předpisů
  • Nasaďte Microsoft Sentinel a nastavte cíl do pracovního prostoru služby Log Analytics, který shromažďuje protokoly z virtuálních počítačů hosta privátního cloudu Azure VMware Solution.
  • Použijte datový konektor pro připojení Microsoft Sentinelu a Defenderu pro cloud.
  • Automatizujte odpovědi na hrozby pomocí playbooků Microsoft Sentinelu a pravidel Azure Automation.

Vytvoření standardních hodnot zabezpečení

Dopad: Zabezpečení

Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Tento směrný plán zabezpečení používá kontroly definované srovnávacím testem zabezpečení cloudu Microsoftu verze 1.0 pro Azure Policy.

Doporučení

Další kroky

Teď, když jste se seznámili s osvědčenými postupy pro zabezpečení řešení Azure VMware, prozkoumejte postupy provozní správy, abyste dosáhli efektivity podnikání.

Operations

Pomocí nástroje pro posouzení vyhodnoťte volby návrhu.

Posouzení