Seguridad, gobernanza y cumplimiento de Azure VMware Solution

En este artículo se describe cómo implementar de forma segura y regular holísticamente Azure VMware Solution a lo largo de su ciclo de vida. En el artículo se exploran elementos de diseño específicos y se proporcionan recomendaciones dirigidas de seguridad, gobernanza y cumplimiento de Azure VMware Solution.

Seguridad

Tenga en cuenta los siguientes factores a la hora de decidir qué sistemas, usuarios o dispositivos pueden realizar funciones en Azure VMware Solution y cómo proteger la plataforma general.

Seguridad de identidades

• Límites de acceso permanente: Azure VMware Solution usa el rol Colaborador en el grupo de recursos de Azure que hospeda la nube privada de Azure VMware Solution. Limite el acceso permanente para evitar el abuso intencionado o involuntario de los derechos de colaborador. Use una solución de administración de cuentas con privilegios para auditar y limitar el uso de tiempo de las cuentas con privilegios elevados.

  Cree un grupo de acceso de Microsoft Entra ID con privilegios en Azure Privileged Identity Management (PIM) para administrar las cuentas de usuario y entidad de servicio de Microsoft Entra. Use este grupo para crear y administrar el clúster de Azure VMware Solution con acceso de tiempo limitado basado en la justificación. Para más información, consulte Asignación de propietarios y miembros elegibles para grupos de acceso con privilegios.

  Use los informes del historial de auditoría de Microsoft Entra PIM para actividades administrativas, operaciones y asignaciones de Azure VMware Solution. Puede archivar los informes en Azure Storage para las necesidades de retención de auditoría a largo plazo. Para más información, consulte Visualización del informe de auditoría para las asignaciones de grupos de acceso con privilegios en Privileged Identity Management (PIM).

• Administración de identidades centralizada: Azure VMware Solution proporciona credenciales de administrador de la nube y de administrador de red para configurar el entorno de nube privada de VMware. Estas cuentas administrativas son visibles para todos los colaboradores que tienen permiso de control de acceso basado en rol (RBAC) a Azure VMware Solution.

  Para evitar el uso excesivo o el abuso de los usuarios administradores de red y cloudadmin integrados para acceder al plano de control de nube privada de VMware, use las funcionalidades de RBAC del plano de control de nube privada de VMware para administrar correctamente el acceso a roles y cuentas. Cree varios objetos de identidad de destino, como usuarios y grupos mediante principios de privilegios mínimos. Limite el acceso a las cuentas de administrador proporcionadas por Azure VMware Solution y configure las cuentas en una configuración de emergencia. Use las cuentas integradas solo cuando todas las demás cuentas administrativas no se puedan usar.

  Use la cuenta cloudadmin proporcionada para integrar Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services con las identidades administrativas de servicios de dominio y aplicaciones de control de VMware vCenter Server y NSX-T Data Center. Utilice los usuarios y grupos que generan los servicios de dominio para la administración y las operaciones de Azure VMware Solution, y no permita el uso compartido de cuentas. Cree roles personalizados de vCenter Server y asócielos a grupos de AD DS para el control de acceso con privilegios específico a las superficies de control de nube privada de VMware.

  Puede usar las opciones de Azure VMware Solution para rotar y restablecer las contraseñas de cuenta administrativa de vCenter Server y NSX-T Data Center. Configure una rotación periódica de estas cuentas y rote las cuentas cada vez que use la configuración de emergencia. Para más información, consulte Rotación de las credenciales de administrador de la nube en Azure VMware Solution.

• Administración de identidades de máquinas virtuales (VM) invitadas: proporcione autenticación y autorización centralizadas para invitados de Azure VMware Solution invitados a fin de proporcionar una administración eficaz de las aplicaciones y evitar el acceso no autorizado a datos y procesos empresariales. Administre los invitados y las aplicaciones de Azure VMware Solution como parte de su ciclo de vida. Configure las VM invitadas para que usen una solución de administración de identidades centralizada para autenticar y autorizar el uso de la aplicación y la administración.

  Use un servicio de AD DS o de protocolo ligero de acceso a directorios (LDAP) centralizado para las VM invitadas de Azure VMware Solution y la administración de identidades de aplicaciones. Asegúrese de que la arquitectura de servicios de dominio tiene en cuenta los escenarios de interrupción para garantizar la funcionalidad continuada durante las interrupciones. Conecte la implementación de AD DS con Microsoft Entra ID para lograr la administración avanzada y una experiencia de autenticación y autorización de invitado sin problemas.

Entorno y seguridad de red

• Funcionalidades de seguridad de red nativas: implemente controles de seguridad de red, como el filtrado de tráfico, el cumplimiento de reglas de Open Web Application Security Project (OWASP), la administración unificada del firewall y la protección frente a la denegación de servicio distribuida (DDoS).

  • El filtrado de tráfico controla el tráfico entre los segmentos. Implemente dispositivos de filtrado de tráfico de red invitado mediante las funcionalidades de NSX-T Data Center o de aplicación virtual de red (NVA) para limitar el acceso entre segmentos de red invitados.

  • El cumplimiento del conjunto de reglas principal de OWASP protege las cargas de trabajo de aplicaciones web invitadas de Azure VMware Solution frente a ataques web genéricos. Use las funcionalidades de OWASP de Azure Application Gateway Web Application Firewall (WAF) para proteger las aplicaciones web hospedadas en invitados de Azure VMware Solution. Habilite el modo de prevención mediante la directiva más reciente y asegúrese de integrar los registros de WAF en la estrategia de registro. Para más información, consulte Introducción a Azure Web Application Firewall.

  • La administración unificada de reglas de firewall impide que las reglas de firewall duplicadas o ausentes aumenten el riesgo de acceso no autorizado. La arquitectura de firewall contribuye a la administración general de la red y la posición de seguridad del entorno para Azure VMware Solution. Use una arquitectura de firewall administrada con estado que permita el flujo de tráfico, la inspección, la administración centralizada de reglas y la recopilación de eventos.

  • La protección contra DDoS protege las cargas de trabajo de Azure VMware Solution frente a ataques que provocan pérdidas financieras o una mala experiencia del usuario. Aplique la protección contra DDoS en la instancia de Azure Virtual Network que hospeda la puerta de enlace de terminación de ExpressRoute para la conexión de Azure VMware Solution. Considere la posibilidad de usar Azure Policy para el cumplimiento automático de la protección contra DDoS.

• El cifrado de VSAN con claves administradas por el cliente (CMK) permite cifrar almacenes de datos VSAN en la solución Azure VMware con una clave de cifrado proporcionada por el cliente almacenada en Azure Key Vault. Puede utilizar esta característica para cumplir con los requisitos de cumplimiento, como cumplir con las políticas de rotación de claves o administrar eventos del ciclo de vida de las claves. Para obtener instrucciones y límites de implementación detallados, consulte Configuración del cifrado de claves administradas por el cliente en reposo en la solución Azure VMware

• Acceso controlado a vCenter Server: el acceso no controlado a vCenter Server de Azure VMware Solution puede aumentar el área expuesta a ataques. Use una estación de trabajo de acceso con privilegios (PAW) dedicada para acceder de forma segura a NSX-T Manager y vCenter Server de Azure VMware Solution. Cree un grupo de usuarios y agregue una cuenta de usuario individual a este grupo de usuarios.

• Registro de solicitudes entrantes de Internet para cargas de trabajo de invitado: use Azure Firewall o una aplicación virtual de red aprobada que mantenga los registros de auditoría para las solicitudes entrantes a las VM invitadas. Importe esos registros en la solución de administración de eventos e incidentes de seguridad (SIEM) para la supervisión y las alertas adecuadas. Use Microsoft Sentinel para procesar la información y el registro de eventos de Azure antes de la integración en las soluciones SIEM existentes. Para obtener más información, consulte Integración de Microsoft Defender for Cloud con Azure VMware Solution.

• Supervisión de la sesión para la seguridad de la conexión saliente de Internet: use el control de reglas o la auditoría de sesión de la conectividad saliente de Internet de Azure VMware Solution para identificar cualquier actividad de Internet saliente inesperada o sospechosa. Decida cuándo y dónde colocar la inspección de red saliente para garantizar la máxima seguridad. Para obtener más información, consulte Topología de red y conectividad a escala empresarial para Azure VMware Solution.

  Use un firewall especializado, una aplicación virtual de red y servicios de red de área extensa virtual (Virtual WAN) para la conectividad saliente de Internet en lugar de depender de la conectividad de Internet predeterminada de Azure VMware Solution. Para más información y recomendaciones de diseño, consulte Inspección del tráfico de Azure VMware Solution con una aplicación virtual de red en Azure Virtual Network.

  Use etiquetas de servicio como Virtual Network y etiquetas de nombre de dominio completo (FQDN) para la identificación al filtrar el tráfico de salida con Azure Firewall. Use una funcionalidad similar para otras aplicaciones virtuales de red.

• Copias de seguridad seguras administradas de forma centralizada: use las funcionalidades de RBAC y eliminación retrasada para ayudar a evitar la eliminación intencionada o accidental de los datos de copia de seguridad necesarios para recuperar el entorno. Use Azure Key Vault para administrar claves de cifrado y restrinja el acceso a la ubicación de almacenamiento de datos de copia de seguridad para minimizar el riesgo de eliminación.

  Use Azure Backup u otra tecnología de copia de seguridad validada para Azure VMware Solution que proporcione cifrado en tránsito y en reposo. Al usar almacenes de Azure Recovery Services, use bloqueos de recursos y las características de eliminación temporal para protegerse contra la eliminación accidental o intencionada de copias de seguridad. Para obtener más información, consulte Continuidad empresarial y recuperación ante desastres a escala empresarial de Azure VMware Solution.

Seguridad de VM y aplicaciones invitadas

• Detección de amenazas avanzada: para evitar diversos riesgos de seguridad e infracciones de datos, use la protección de seguridad de puntos de conexión, la configuración de alertas de seguridad, los procesos de control de cambios y las evaluaciones de vulnerabilidades. Puede usar Microsoft Defender for Cloud para la administración de amenazas, la protección de puntos de conexión, las alertas de seguridad, la aplicación de revisiones del sistema operativo y una vista centralizada de la aplicación del cumplimiento normativo. Para obtener más información, consulte Integración de Microsoft Defender for Cloud con Azure VMware Solution.

  Use Azure Arc para servidores para incorporar las VM invitadas. Una vez incorporadas, use Azure Log Analytics, Azure Monitor y Microsoft Defender for Cloud para recopilar registros y métricas, y para crear paneles y alertas. Use el Centro de seguridad de Microsoft Defender para proteger y alertar sobre amenazas asociadas a invitados de VM. Para más información, consulte Integración e implementación de servicios nativos de Azure en Azure VMware Solution.

  Implemente el agente de Log Analytics en las VM de VMware vSphere antes de iniciar una migración o al implementar nuevas VM invitadas. Configure el agente MMA para enviar métricas y registros a un área de trabajo de Azure Log Analytics. Después de la migración, compruebe que la máquina virtual de Azure VMware Solution notifica alertas en Azure Monitor y Microsoft Defender for Cloud.

  Como alternativa, use una solución de un asociado certificado de Azure VMware Solution para evaluar las posturas de seguridad de las VM y proporcionar cumplimiento normativo frente a los requisitos de Center for Internet Security (CIS).

• Análisis de seguridad: use la recopilación, la correlación y el análisis de eventos de seguridad de las VM de Azure VMware Solution y otros orígenes para detectar ciberataques. Use Microsoft Defender for Cloud como origen de datos para Microsoft Sentinel. Configure Microsoft Defender para Storage, Azure Resource Manager, Sistema de nombres de dominio (DNS) y otros servicios de Azure relacionados con la implementación de Azure VMware Solution. Considere la posibilidad de usar un conector de datos de Azure VMware Solution de un asociado certificado.

• Cifrado de VM invitada: Azure VMware Solution proporciona cifrado de datos en reposo para la plataforma de almacenamiento vSAN subyacente. Algunas cargas de trabajo y algunos entornos con acceso al sistema de archivos pueden requerir más cifrado para proteger los datos. En estas situaciones, considere la posibilidad de habilitar el cifrado del sistema operativo (SO) y los datos de la VM invitada. Use las herramientas de cifrado del sistema operativo invitado nativo para cifrar las VM invitadas. Use Azure Key Vault para almacenar y proteger las claves de cifrado.

• Supervisión de la actividad y el cifrado de bases de datos: cifre SQL y otras bases de datos de Azure VMware Solution para evitar el acceso sencillo a los datos en caso de una infracción de datos. Para las cargas de trabajo de base de datos, use métodos de cifrado en reposo, como el cifrado de datos transparente (TDE) o una característica de base de datos nativa equivalente. Asegúrese de que las cargas de trabajo usan discos cifrados y de que los secretos confidenciales se almacenan en un almacén de claves dedicado para el grupo de recursos.

  Use Azure Key Vault para las claves administradas por el cliente en escenarios de Bring Your Own Key (BYOK), como BYOK para el cifrado de datos transparente (TDE) de Azure SQL Database. Separe las tareas de administración de claves y de administración de datos siempre que sea posible. Para obtener un ejemplo de cómo SQL Server 2019 usa Key Vault, consulte Uso de Azure Key Vault con Always Encrypted con enclaves seguros.

  Supervise las actividades inusuales de la base de datos para reducir el riesgo de un ataque interno. Use la supervisión nativa de bases de datos, como Monitor de actividad o una solución de asociado certificado de Azure VMware Solution. Considere la posibilidad de usar los servicios de base de datos de Azure para mejorar los controles de auditoría.

• Claves de actualización de seguridad extendida (ESU): proporcione y configure claves ESU para insertar e instalar actualizaciones de seguridad en las VM de Azure VMware Solution. Use la Herramienta de administración de activación por volumen para configurar claves ESU para el clúster de Azure VMware Solution. Para obtener más información, consulte Obtención de actualizaciones de seguridad extendidas para dispositivos Windows válidos.

• Seguridad del código: implemente medidas de seguridad en los flujos de trabajo de DevOps para evitar vulnerabilidades de seguridad en las cargas de trabajo de Azure VMware Solution. Use flujos de trabajo de autenticación y autorización modernos, como Open Authorization (OAuth) y OpenID Connect.

  Use GitHub Enterprise Server en Azure VMware Solution para un repositorio con versiones que garantice la integridad del código base. Implemente agentes de compilación y ejecución en Azure VMware Solution o en un entorno seguro de Azure.

Gobernanza

Considere la posibilidad de implementar las siguientes recomendaciones al planear la gobernanza del entorno y de las VM invitadas.

Gobernanza del entorno

• Espacio de almacenamiento de vSAN: un espacio de almacenamiento de vSAN insuficiente puede afectar a las garantías del Acuerdo de Nivel de Servicio. Revise y comprenda las responsabilidades de los clientes y asociados en el Acuerdo de Nivel de Servicio Azure VMware Solution. Asigne las prioridades y propietarios adecuados para las alertas en la métrica Porcentaje de disco de almacén de datos usado. Para obtener más información e instrucciones, consulte Configuración de alertas y uso de métricas en Azure VMware Solution.

• Directiva de almacenamiento de plantillas de VM: una directiva de almacenamiento predeterminada con aprovisionamiento grueso puede dar lugar a la reserva de demasiado almacenamiento de vSAN. Cree plantillas de VM que usen una directiva de almacenamiento con aprovisionamiento fino en la que no se requieran reservas de espacio. Las VM que no reservan la cantidad completa de almacenamiento por adelantado permiten recursos de almacenamiento más eficientes.

• Gobernanza de la cuota de host: las cuotas de host insuficientes pueden provocar retrasos de 5 a 7 días en la obtención de más capacidad de host para las necesidades de crecimiento o recuperación ante desastres (DR). Factorice el crecimiento y los requisitos de recuperación ante desastres en el diseño de la solución al solicitar la cuota de host y revise periódicamente el crecimiento del entorno y los valores máximos para garantizar el plazo adecuado para las solicitudes de expansión. Por ejemplo, si un clúster de Azure VMware Solution de tres nodos necesita otros tres nodos para la recuperación ante desastres, solicite una cuota de host de seis nodos. Las solicitudes de cuota de host no implican costos adicionales.

• Gobernanza de errores tolerables (FTT): establezca la configuración de FTT en conformidad con el tamaño del clúster para mantener el Acuerdo de Nivel de Servicio para Azure VMware Solution. Ajuste la directiva de almacenamiento de vSAN a la configuración de FTT adecuada al cambiar el tamaño del clúster para garantizar el cumplimiento del Acuerdo de Nivel de Servicio.

• Acceso ESXi: el acceso a los hosts ESXi de Azure VMware Solution es limitado. Es posible que el software de terceros que requiere acceso al host ESXi no funcione. Identifique cualquier software de terceros admitido por Azure VMware Solution en el entorno de origen que necesite acceso al host ESXi. Familiarícese con el proceso de solicitud de soporte técnico de Azure VMware Solution en Azure Portal para las situaciones en que se necesite acceso al host ESXi.

• Eficiencia y densidad del host ESXi: para obtener una buena rentabilidad de la inversión (ROI), comprenda el uso del host ESXi. Defina una densidad correcta de las VM invitadas para maximizar las inversiones de Azure VMware Solution y supervise el uso general de los nodos con respecto a ese umbral. Cambie el tamaño del entorno de Azure VMware Solution cuando lo indique la supervisión y permita un plazo suficiente para las adiciones de nodos.

• Supervisión de red: supervise el tráfico de red interno en busca de tráfico malintencionado o desconocido o redes en peligro. Implemente vRealize Network Insight (vRNI) y VRealize Operations (vROps) para obtener información detallada sobre las operaciones de redes de Azure VMware Solution.

• Alertas de seguridad, mantenimiento planeado y Service Health: comprenda y vea el estado del servicio para planear y responder a interrupciones y problemas de forma adecuada. Configure alertas de Service Health para problemas de servicio de Azure VMware Solution, mantenimiento planeado, avisos de estado y avisos de seguridad. Programe y planee actividades de carga de trabajo de Azure VMware Solution fuera de las ventanas de mantenimiento sugeridas por Microsoft.

• Gobernanza de costos: supervise los costos para una lograr una responsabilidad financiera y asignación de presupuesto óptimas. Use una solución de administración de costos para el seguimiento de costos, la asignación de costos, la creación de presupuestos, las alertas de costos y una buena gobernanza financiera. Para los cargos facturados de Azure, use las herramientas Azure Cost Management + Billing para crear presupuestos, generar alertas, asignar costos y generar informes para las partes interesadas financieras.

• Integración de servicios de Azure: evite usar el punto de conexión público de la plataforma como servicio (PaaS) de Azure, lo que puede provocar que el tráfico abandone los límites de red deseados. Para asegurarse de que el tráfico permanece dentro de un límite de red virtual definido, use un punto de conexión privado para acceder a servicios de Azure como Azure SQL Database y Azure Blob Storage.

Gobernanza de máquinas virtuales y aplicaciones de cargas de trabajo

El reconocimiento de la posición de seguridad de las VM de la carga de trabajo de Azure VMware Solution le ayuda a comprender la preparación y respuesta para la ciberseguridad, así como a proporcionar una cobertura de seguridad completa para las VM y las aplicaciones invitadas.

• Habilite Microsoft Defender for Cloud para ejecutar servicios de Azure y cargas de trabajo de máquinas virtuales de la aplicación de Azure VMware Solution.

• Use servidores habilitados para Azure Arc para administrar VM invitadas de Azure VMware Solution con herramientas que repliquen las herramientas de recursos nativos de Azure, entre las que se incluyen:

  • Azure Policy para regular, notificar y auditar configuraciones y configuraciones de invitado.
  • Azure Automation State Configuration y las extensiones admitidas para simplificar las implementaciones.
  • Update Management para administrar las actualizaciones para el entorno de VM de la aplicación de Azure VMware Solution.
  • Etiquetas para administrar y organizar el inventario de VM de la aplicación de Azure VMware Solution.

  Para obtener más información, consulte Información general de servidores habilitados para Azure Arc.

• Gobernanza del dominio de máquina virtual de la carga de trabajo: para evitar procesos manuales propensos a errores, use extensiones como JsonADDomainExtension o las opciones de automatización equivalentes para permitir que las máquinas virtuales invitadas de Azure VMware Solution se unan automáticamente a un dominio de Active Directory.

• Registro y supervisión de máquina virtual de la carga de trabajo: habilite las métricas de diagnóstico y el registro en las máquinas virtuales de la carga de trabajo para depurar más fácilmente los problemas de sistema operativo y aplicación. Implemente funcionalidades de recopilación y consulta de registros que proporcionen tiempos de respuesta rápidos para la depuración y la solución de problemas. Habilite la información de VM casi en tiempo real en las VM de la carga de trabajo para la detección rápida de cuellos de botella de rendimiento y problemas operativos. Configure alertas de registro para capturar las condiciones de límite de las VM de la carga de trabajo.

  Implemente el agente de Log Analytics (MMA) en VM de la carga de trabajo de VMware vSphere antes de la migración o al implementar nuevas VM de la carga de trabajo en el entorno de Azure VMware Solution. Configure MMA con un área de trabajo de Azure Log Analytics y vincule el área de trabajo de Azure Log Analytics con Azure Automation. Valide el estado de cualquier agente MMA de VM de la carga de trabajo implementado antes de la migración con Azure Monitor después de la migración.

• Gobernanza de actualizaciones de VM de la carga de trabajo: las actualizaciones o revisiones retrasadas o incompletas son vectores de ataque principales que pueden provocar la exposición o el riesgo de las VM y aplicaciones de la carga de trabajo de Azure VMware Solution. Asegúrese de actualizar las instalaciones a tiempo en las VM invitadas.

• Gobernanza de copia de seguridad de VM de la carga de trabajo: programe copias de seguridad periódicas para evitar copias de seguridad perdidas o depender de copias de seguridad antiguas que puedan provocar la pérdida de datos. Use una solución de copia de seguridad que pueda realizar copias de seguridad programadas y supervisar el éxito de la copia de seguridad. Supervise y alerte sobre eventos de copia de seguridad para asegurarse de que las copias de seguridad programadas se ejecutan correctamente.

• Gobernanza de la recuperación ante desastres de VM de la carga de trabajo: los requisitos de objetivo de punto de recuperación no documentado (RPO) y objetivo de tiempo de recuperación (RTO) pueden provocar experiencias de cliente deficientes y objetivos operativos no satisfechos durante eventos de continuidad empresarial y recuperación ante desastres (BCDR). Implemente la orquestación de recuperación ante desastres para evitar retrasos en la continuidad empresarial.

  Use una solución de recuperación ante desastres para Azure VMware Solution que proporcione orquestación de recuperación ante desastres, y que detecte y notifique cualquier error o problema con la replicación continua correcta en un sitio de recuperación ante desastres. Documente los requisitos de RPO y RTO para las aplicaciones que se ejecutan en Azure y Azure VMware Solution. Elija un diseño de soluciones de recuperación ante desastres y continuidad empresarial que cumpla los requisitos de RPO y RTO verificables a través de la orquestación.

Cumplimiento normativo

Tenga en cuenta e implemente las siguientes recomendaciones al planear el entorno de Azure VMware Solution y el cumplimiento de las VM de la carga de trabajo.

• Supervisión de Microsoft Defender for Cloud: use la vista de cumplimiento normativo de Defender for Cloud para supervisar el cumplimiento de las pruebas comparativas de seguridad y cumplimiento normativo. Configure la automatización del flujo de trabajo de Defender for Cloud para realizar un seguimiento de cualquier desviación de la posición de cumplimiento esperada. Para más información, consulte la Introducción sobre Microsoft Defender for Cloud.

• Cumplimiento de la recuperación ante desastres de VM de la carga de trabajo: realice un seguimiento del cumplimiento de la configuración de recuperación ante desastres de las VM de la carga de trabajo de Azure VMware Solution para asegurarse de que sus aplicaciones críticas siguen estando disponibles durante un desastre. Use Azure Site Recovery o una solución BCDR certificada de Azure VMware Solution que proporcione aprovisionamiento de replicación a escala, supervisión del estado de incumplimiento y corrección automática.

• Cumplimiento de copia de seguridad de VM de la carga de trabajo: realice un seguimiento y supervise el cumplimiento de copia de seguridad de las VM de la carga de trabajo de Azure VMware Solution para asegurarse de que se realiza la copia de seguridad de las VM. Use una solución de asociado certificado de Azure VMware Solution que proporcione una perspectiva a escala, un análisis detallado y una interfaz práctica para realizar el seguimiento y la supervisión de la copia de seguridad de las VM de la carga de trabajo.

• Cumplimiento específico de un país o región, o de un sector: para evitar costosas acciones legales y multas, asegúrese de que las cargas de trabajo de Azure VMware Solution cumplen las regulaciones específicas tanto del país o región como del sector. Comprenda el modelo de responsabilidad compartida en la nube para el cumplimiento normativo basado en el sector o en la región. Use el portal de confianza de servicios para ver o descargar informes de Azure VMware Solution y de auditoría de Azure que complementen toda la historia de cumplimiento.

  Implemente informes de auditoría de firewall en puntos de conexión HTTP/S y no HTTP/S para cumplir con los requisitos normativos.

• Cumplimiento de directivas corporativas: supervise el cumplimiento de las VM de la carga de trabajo de Azure VMware Solution con las directivas corporativas para evitar infracciones de las reglas y normativas de la empresa. Use servidores habilitados para Azure Arc y Azure Policy o una solución de terceros equivalente. Evalúe y administre de forma rutinaria las aplicaciones y VM de la carga de trabajo de Azure VMware Solution para el cumplimiento normativo de las normativas internas y externas aplicables.

• Requisitos de retención y residencia de datos: Azure VMware Solution no admite la retención ni la extracción de datos almacenados en clústeres. Al eliminar un clúster, finalizan todas las cargas de trabajo y los componentes en ejecución, y se destruyen todos los datos y los valores de configuración del clúster, incluidas las direcciones IP públicas. Estos datos no se pueden recuperar.

  Azure VMware Solution no garantiza que todos los metadatos y datos de configuración para ejecutar el servicio solo existen en la región geográfica implementada. Si los requisitos de residencia de datos requieren que todos los datos existan en la región implementada, póngase en contacto con el soporte técnico de Azure VMware Solution para obtener ayuda.

• Procesamiento de datos: lea y comprenda los términos legales al registrarse. Preste atención al contrato de procesamiento de datos de VMware para los clientes de Microsoft Azure VMware Solution transferidos para soporte técnico de nivel 3. Si un problema de soporte técnico necesita soporte técnico de VMware, Microsoft comparte datos de servicio profesionales y datos personales asociados con VMware. A partir de ese momento, Microsoft y VMware actúan como dos procesadores de datos independientes.

Pasos siguientes

Este artículo se basa en las directrices y los principios de diseño de arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption Framework. Para más información, consulte:

• Principios de diseño de las zonas de aterrizaje de Azure
• Directrices de diseño de las zonas de aterrizaje de Azure

El artículo forma parte de una serie que aplica recomendaciones y principios de zona de aterrizaje a escala empresarial a las implementaciones de Azure VMware Solution. Otros artículos de esta serie son:

• Administración de identidades y acceso a escala empresarial para Azure VMware Solution
• Topología de red y conectividad a escala empresarial para Azure VMware Solution
• Automatización de la plataforma a escala empresarial y DevOps para Azure VMware Solution
• Continuidad empresarial y recuperación ante desastres a escala empresarial para Azure VMware Solution

Consulte el siguiente artículo de la serie:

Administración y supervisión a escala empresarial para Azure VMware Solution