Sécurité, gouvernance et conformité pour Azure VMware Solution

Cet article décrit comment implémenter de manière sécurisée et gérer de façon holistique Azure VMware Solution tout au long de son cycle de vie. Cet article explore des éléments de conception spécifiques et fournit des recommandations ciblées pour la sécurité, la gouvernance et la conformité d’Azure VMware Solution.

Sécurité

Tenez compte des facteurs suivants pour choisir les systèmes, les utilisateurs ou les appareils qui peuvent exécuter des fonctions dans Azure VMware Solution, et pour sécuriser la plateforme en général.

Identité et sécurité

• Limites de l’accès permanent : Azure VMware Solution utilise le rôle Contributeur du groupe de ressources Azure qui héberge le cloud privé d’Azure VMware Solution. Limitez l’accès permanent pour empêcher les abus intentionnels ou involontaires de droits de contributeur. Utilisez une solution de gestion des comptes privilégiés pour auditer et limiter le temps d’utilisation des comptes avec des privilèges élevés.

  Créez un groupe d’accès privilégié Microsoft Entra ID dans Azure Privileged Identity Management (PIM) pour gérer les comptes d’utilisateur et du principal de service Microsoft Entra. Utilisez ce groupe pour créer et gérer le cluster Azure VMware Solution avec un accès basé sur la justification et limité dans le temps. Pour plus d’informations, consultez Attribuer des propriétaires et des membres éligibles pour des groupes d’accès privilégié.

  Utilisez les rapports d’historique d’audit Microsoft Entra PIM pour les activités administratives, les opérations et les attributions dans Azure VMware Solution. Vous pouvez archiver les rapports dans le Stockage Azure pour une conservation de l’audit à long terme. Pour plus d’informations, consultez Voir le rapport d’audit des attributions de groupe d’accès privilégié dans Privileged Identity Management (PIM).

• Gestion centralisée des identités : Azure VMware Solution fournit des informations d’identification d’administrateur cloud et d’administrateur réseau pour configurer l’environnement cloud privé VMware. Ces comptes d’administration sont visibles par tous les contributeurs ayant un droit de contrôle d’accès en fonction du rôle (RBAC) sur Azure VMware Solution.

  Pour éviter que les utilisateurs intégrés cloudadmin et administrateur réseau surutilisent l’accès au plan de contrôle de cloud privé VMware ou en abusent, utilisez les fonctionnalités RBAC du plan de contrôle de cloud privé VMware pour gérer l’accès aux rôles et aux comptes de manière appropriée. Créez plusieurs objets d’identité ciblés comme des utilisateurs et des groupes en utilisant le principe du moindre privilège. Limitez l’accès aux comptes d’administrateur fournis par Azure VMware Solution et configurez-les dans une configuration d’urgence. Utilisez les comptes intégrés uniquement quand tous les autres comptes d’administration sont inutilisables.

  Utilisez le compte cloudadmin fourni pour intégrer Active Directory Domain Services (AD DS) ou Microsoft Entra Domain Services aux identités administratives des services de domaine et des applications de contrôle VMware vCenter Server et NSX-T Data Center. Utilisez les utilisateurs et groupes fournis par les services de domaine pour la gestion et les opérations d’Azure VMware Solution, et n’autorisez pas le partage de compte. Créez des rôles personnalisés vCenter Server et associez-les à des groupes AD DS pour un contrôle granulaire des accès privilégiés aux surfaces de contrôle de cloud privé VMware.

  Vous pouvez utiliser les options Azure VMware Solution qui permettent de permuter et réinitialiser les mots de passe des comptes d’administration vCenter Server et NSX-T Data Center. Configurez une permutation régulière de ces comptes et permutez les comptes chaque fois que vous utilisez la configuration d’urgence. Pour plus d’informations, consultez Permuter les informations d’identification cloudadmin pour Azure VMware Solution.

• Gestion des identités de machine virtuelle invitée : fournissez une authentification et une autorisation centralisées pour les invités Azure VMware Solution afin de gérer efficacement les applications, et d’empêcher les accès non autorisés aux données et processus métier. Gérez les invités et applications Azure VMware Solution dans le cadre de leur cycle de vie. Configurez les machines virtuelles invitées pour qu’elles utilisent une solution centralisée de gestion des identités afin d’authentifier et autoriser la gestion et l’utilisation d’application.

  Utilisez un service centralisé AD DS ou LDAP (Lightweight Directory Access Protocol) pour les machines virtuelles invitées Azure VMware Solution et pour gérer les identités d’application. Vérifiez que l’architecture des services de domaine tient compte de tous les scénarios de panne pour assurer un fonctionnement continu pendant les pannes. Connectez l’implémentation AD DS à Microsoft Entra ID pour accéder à une gestion avancée, et à une expérience fluide d’authentification et d’autorisation d’invité.

Sécurité de l’environnement et du réseau

• Fonctionnalités natives de sécurité réseau : Implémentez des contrôles de sécurité réseau comme le filtrage du trafic, la conformité aux règles OWASP (Open Web Application Security Project), la gestion de pare-feu unifiée et la protection contre les attaques par déni de service distribué (DDoS).

  • Le filtrage du trafic contrôle le trafic entre les segments. Implémentez des appareils de filtrage du trafic réseau invité en utilisant des fonctionnalités NSX-T Data Center ou d’appliance virtuelle réseau (NVA) pour limiter l’accès entre segments du réseau invité.

  • La conformité à l’ensemble de règles OWASP de base protège les charges de travail d’application web invitée Azure VMware Solution contre les attaques web génériques. Utilisez les fonctionnalités OWASP de Web Application Firewall (WAF) pour Azure Application Gateway afin de protéger les applications web hébergées sur les invités Azure VMware Solution. Activez le mode de prévention en utilisant la stratégie la plus récente et veillez à intégrer les journaux WAF dans votre stratégie de journalisation. Pour plus d’informations, consultez Présentation d’Azure Web Application Firewall.

  • La gestion unifiée des règles de pare-feu empêche les règles de pare-feu en double ou manquantes d’augmenter le risque d’accès non autorisé. L’architecture de pare-feu contribue à une gestion de réseau et une posture de sécurité de l’environnement plus vastes pour Azure VMware Solution. Utilisez une architecture de pare-feu managée avec état qui autorise le flux de trafic, l’inspection, la gestion centralisée des règles et la collecte des événements.

  • La protection DDoS protège les charges de travail Azure VMware Solution contre les attaques qui entraînent une perte financière ou une expérience utilisateur médiocre. Appliquez la protection DDoS sur le réseau virtuel Azure qui héberge la passerelle de terminaison ExpressRoute pour la connexion Azure VMware Solution. Utilisez Azure Policy pour appliquer automatiquement la protection DDoS.

• Le chiffrement VSAN avec des clés gérées par le client (CMK) permet le chiffrement des magasins de données VSAN d’Azure VMware Solution avec une clé de chiffrement fournie par le client et stockée dans Azure Key Vault. Vous pouvez utiliser cette fonctionnalité pour répondre aux exigences de conformité, notamment en ce qui concerne l’adhésion aux stratégies de rotation des clés ou la gestion des événements de cycle de vie des clés. Pour obtenir des conseils d’implémentation détaillés et connaître les limites, consultez Configurer le chiffrement avec des clés gérées par le client au repos dans Azure VMware Solution

• Accès contrôlé à vCenter Server : l’accès non contrôlé à Azure VMware Solution vCenter Server peut augmenter la surface d’exposition aux attaques. Utilisez une station de travail avec accès privilégié dédié pour accéder de manière sécurisée à Azure VMware Solution vCenter Server et à NSX-T Manager. Créez un groupe d’utilisateurs et ajoutez-lui un compte d’utilisateur individuel.

• Journalisation des demandes Internet entrantes pour les charges de travail invitées : utilisez le Pare-feu Azure ou une appliance virtuelle réseau approuvée qui gère les journaux d’audit pour les demandes entrantes des machines virtuelles invitées. Importez ces journaux dans votre solution SIEM (Security Incident and Event Management) pour des alertes et un monitoring appropriés. Utilisez Microsoft Sentinel pour traiter les informations et la journalisation des événements Azure avant de les intégrer aux solutions SIEM existantes. Pour plus d’informations, consultez Intégrer Microsoft Defender pour le cloud à Azure VMware Solution.

• Monitoring de session pour la sécurité des connexions Internet sortantes : utilisez le contrôle des règles ou l’audit de session de la connectivité Internet sortante d’Azure VMware Solution pour identifier les activités Internet sortantes inattendues ou suspectes. Choisissez quand et où positionner l’inspection du réseau sortant pour garantir une sécurité maximale. Pour plus d’informations, consultez Topologie réseau et connectivité à l’échelle de l’entreprise pour Azure VMware Solution.

  Utilisez un pare-feu spécialisé, une appliance virtuelle réseau et des services de réseau étendu virtuel (Virtual WAN) pour la connectivité Internet sortante au lieu de la connectivité Internet par défaut d’Azure VMware Solution. Pour plus d’informations et pour obtenir des recommandations de conception, consultez Inspection du trafic Azure VMware Solution avec une appliance virtuelle réseau dans le réseau virtuel Azure.

  Utilisez des étiquettes de service comme Virtual Network et des étiquettes de nom de domaine complet (FQDN) pour l’identification pendant le filtrage du trafic de sortie avec le Pare-feu Azure. Utilisez une fonctionnalité similaire pour d’autres appliances virtuelles réseau.

• Sauvegardes sécurisées gérées de manière centralisée : utilisez RBAC et les fonctionnalités de suppression différées pour empêcher la suppression intentionnelle ou accidentelle des données de sauvegarde nécessaires à la récupération de l’environnement. Utilisez Azure Key Vault pour gérer les clés de chiffrement et limitez l’accès à l’emplacement de stockage des données de sauvegarde pour réduire les risques de suppression.

  Utilisez la Sauvegarde Azure ou une autre technologie de sauvegarde validée pour Azure VMware Solution qui permet de chiffrer les données en transit et au repos. Quand vous utilisez des coffres Azure Recovery Services, utilisez des verrous de ressource et des fonctionnalités de suppression réversible en guise de protection contre la suppression accidentelle ou intentionnelle de la sauvegarde. Pour plus d’informations, consultez Continuité d’activité et reprise d’activité à l’échelle de l’entreprise pour Azure VMware Solution.

Sécurité d’application et de machine virtuelle invitées

• Détection avancée des menaces : pour éviter divers risques de sécurité et violations de données, utilisez la protection de sécurité des points de terminaison, la configuration d’alertes de sécurité, les processus de contrôle des modifications et les évaluations de vulnérabilités. Vous pouvez utiliser Microsoft Defender pour le cloud pour la gestion des menaces, la protection des points de terminaison, les alertes de sécurité, les mises à jour correctives de système d’exploitation et une vue centralisée de la mise en application de la conformité réglementaire. Pour plus d’informations, consultez Intégrer Microsoft Defender pour le cloud à Azure VMware Solution.

  Utilisez Azure Arc pour serveurs afin d’intégrer vos machines virtuelles invitées. Une fois intégrées, utilisez Azure Log Analytics, Azure Monitor et Microsoft Defender pour le cloud afin de collecter journaux et métriques, et de créer des tableaux de bord et des alertes. Utilisez le Centre de sécurité Microsoft Defender pour protéger contre les menaces associées aux invités VM et envoyer des alertes. Pour plus d’informations, consultez Intégrer et déployer des services Azure natifs dans Azure VMware Solution.

  Déployez l’agent Log Analytics sur les machines virtuelles vSphere VMware avant de démarrer une migration ou quand vous déployez de nouvelles machines virtuelles invitées. Configurez l’agent MMA pour envoyer des métriques et des journaux à un espace de travail Azure Log Analytics. Après la migration, vérifiez que la machine virtuelle Azure VMware Solution signale les alertes dans Azure Monitor et Microsoft Defender pour le cloud.

  Vous pouvez également utiliser une solution de partenaire Azure VMware Solution certifié pour évaluer les postures de sécurité VM et fournir une conformité réglementaire aux exigences CIS (Center for Internet Security).

• Analytique de la sécurité : utilisez la collecte d’événements de sécurité, la corrélation et l’analytique des machines virtuelles Azure VMware Solution ainsi que d’autres sources pour détecter les cyberattaques. Utilisez Microsoft Defender pour le cloud comme source de données pour Microsoft Sentinel. Configurez Microsoft Defender pour Stockage, Azure Resource Manager, Domain Name System (DNS) et d’autres services Azure liés au déploiement d’Azure VMware Solution. Utilisez un connecteur de données Azure VMware Solution d’un partenaire certifié.

• Chiffrement de machine virtuelle invitée : Azure VMware Solution fournit le chiffrement des données au repos pour la plateforme de stockage vSAN sous-jacente. Certains environnements et charges de travail avec un accès au système de fichiers peuvent nécessiter un chiffrement supplémentaire pour protéger les données. Dans ce cas, activez le chiffrement du système d’exploitation et des données de la machine virtuelle invitée. Utilisez les outils de chiffrement du système d’exploitation invité natif pour chiffrer les machines virtuelles invitées. Utilisez Azure Key Vault pour stocker et protéger les clés de chiffrement.

• Chiffrement de base de données et monitoring de l’activité : chiffrez la base de données SQL et les autres bases de données dans Azure VMware Solution pour empêcher l’accès facile aux données en cas de violation de données. Pour les charges de travail de base de données, utilisez des méthodes de chiffrement au repos, comme Transparent Data Encryption (TDE) ou une fonctionnalité de base de données native équivalente. Vérifiez que les charges de travail utilisent des disques chiffrés et que les secrets sensibles sont stockés dans un coffre de clés dédié au groupe de ressources.

  Utilisez Azure Key Vault pour les clés gérées par le client dans les scénarios BYOK (Bring Your Own Key), par exemple, BYOK pour Azure SQL Database Transparent Data Encryption (TDE). Séparez les tâches de gestion des clés et de gestion des données dans la mesure du possible. Pour obtenir un exemple de la façon dont SQL Server 2019 utilise Key Vault, consultez Utiliser Azure Key Vault avec Always Encrypted avec enclaves sécurisées.

  Supervisez les activités de base de données inhabituelles afin de réduire le risque d’attaque interne. Utilisez le monitoring de base de données natif comme le Moniteur d’activité ou une solution de partenaire certifié Azure VMware Solution. Utilisez les services de base de données Azure pour bénéficier de contrôles d’audit améliorés.

• Clés de mise à jour de sécurité étendue (ESU) : fournissez et configurez des clés ESU pour pousser et installer les mises à jour de sécurité sur les machines virtuelles Azure VMware Solution. Utilisez l’outil Gestion de l’activation en volume afin de configurer des clés ESU pour le cluster Azure VMware Solution. Pour plus d’informations, consultez Obtention de mises à jour de sécurité étendues pour les appareils Windows éligibles.

• Sécurité du code : implémentez des mesures de sécurité dans les workflows DevOps pour éviter les failles de sécurité dans les charges de travail Azure VMware Solution. Utilisez des workflows d’authentification et d’autorisation modernes, comme Open Authorization (OAuth) et OpenID Connect.

  Utilisez GitHub Enterprise Server sur Azure VMware Solution pour avoir un dépôt avec version garantissant l’intégrité de la base de code. Déployez des agents de build et d’exécution dans Azure VMware Solution ou dans un environnement Azure sécurisé.

Gouvernance

Implémentez les recommandations suivantes quand vous planifiez la gouvernance des machines virtuelles invitées et de l’environnement.

Gouvernance de l’environnement

• Espace de stockage vSAN : un espace de stockage vSAN insuffisant peut impacter les garanties SLA. Passez en revue et comprenez les responsabilités des clients et des partenaires dans le Contrat SLA pour Azure VMware Solution. Attribuez les priorités et les propriétaires appropriés pour les alertes sur la métrique Pourcentage du disque de magasin de données utilisé. Pour plus d’informations et pour obtenir des conseils, consultez Configurer des alertes et utiliser des métriques dans Azure VMware Solution.

• Stratégie de stockage des modèles VM : une stratégie de stockage alloué de manière fixe par défaut peut entraîner la réservation d’un espace de stockage vSAN trop grand. Créez des modèles VM qui utilisent une stratégie de stockage alloué dynamiquement où la réservation d’espace n’est pas nécessaire. Les machines virtuelles qui ne réservent pas la quantité totale de stockage en amont permettent aux ressources de stockage d’être plus efficaces.

• Gouvernance des quotas d’hôte : des quotas d’hôte insuffisants peuvent entraîner des retards de 5-7 jours dans l’augmentation de la capacité d’hôte en réponse aux besoins de croissance ou de reprise d’activité. Tenez compte de la croissance et des exigences de reprise d’activité dans la conception de la solution quand vous demandez un quota d’hôte, et vérifiez régulièrement la croissance et les valeurs maximales de l’environnement pour garantir un délai approprié aux demandes d’expansion. Par exemple, si un cluster Azure VMware Solution avec trois nœuds a besoin de trois nœuds supplémentaires pour la reprise d’activité, demandez un quota d’hôte de six nœuds. Les demandes de quota d’hôte n’entraînent pas de frais supplémentaires.

• Gouvernance FTT (tolérance d’échec) : établissez des paramètres FTT proportionnels à la taille du cluster pour maintenir le contrat SLA d’Azure VMware Solution. Réglez la stratégie de stockage du vSAN sur le paramètre FTT approprié quand vous changez la taille du cluster afin de garantir la conformité du contrat SLA.

• Accès ESXi : l’accès aux hôtes ESXi d’Azure VMware Solution est limité. Les logiciels tiers qui nécessitent un accès à l’hôte ESXi peuvent ne pas fonctionner. Identifiez les logiciels tiers pris en charge par Azure VMware Solution dans l’environnement source qui doivent accéder à l’hôte ESXi. Familiarisez-vous avec le processus de demande de support d’Azure VMware Solution et utilisez-le dans le portail Azure pour les situations nécessitant un accès à l’hôte ESXi.

• Densité et efficacité de l’hôte ESXi : pour obtenir un bon retour sur investissement (ROI), déterminez l’utilisation de l’hôte ESXi. Définissez une densité saine des machines virtuelles invitées pour optimiser les investissements Azure VMware Solution et monitorer l’utilisation globale des nœuds par rapport à ce seuil. Redimensionnez l’environnement Azure VMware Solution quand le monitoring l’indique et accordez un délai suffisant pour les ajouts de nœuds.

• Monitoring du réseau : monitorez le trafic réseau interne pour détecter le trafic malveillant ou inconnu, ou les réseaux compromis. Implémentez vRealize Network Insight (vRNI) et vRealize Operations (vROps) pour obtenir des insights détaillés sur les opérations réseau d’Azure VMware Solution.

• Sécurité, maintenance planifiée et alertes Service Health : déterminez et consultez l’intégrité du service pour planifier et résoudre les pannes et les problèmes de manière appropriée. Configurez des alertes Service Health pour les problèmes de service, la maintenance planifiée, les avis d’intégrité et les avis de sécurité dans Azure VMware Solution. Planifiez des activités de charge de travail Azure VMware Solution en dehors des fenêtres de maintenance suggérées par Microsoft.

• Gouvernance des coûts : surveillez les coûts pour avoir une bonne responsabilité financière et bien répartir le budget. Utilisez une solution de gestion des coûts pour le suivi des coûts, leur répartition, la création de budget, les alertes de coût et bénéficier d’une bonne gouvernance financière. Pour les frais facturés par Azure, utilisez les outils Azure Cost Management + Billing afin de créer des budgets, générer des alertes, allouer des coûts et produire des rapports pour les parties prenantes financières.

• Intégration des services Azure : évitez d’utiliser le point de terminaison public d’Azure PaaS (platform as a service), pouvant diriger le trafic en dehors des limites réseau souhaitées. Pour être sûr que le trafic reste dans une limite de réseau virtuel définie, utilisez un point de terminaison privé pour accéder aux services Azure comme Azure SQL Database et le Stockage Blob Azure.

Gouvernance des applications charge de travail et des machines virtuelles

Pour mieux comprendre l’état de préparation en matière de cybersécurité et pouvoir fournir une couverture de sécurité complète aux applications et aux machines virtuelles de charge de travail, vous devez connaître la posture de sécurité des machines virtuelles invitées Azure VMware Solution.

• Activez Microsoft Defender pour le cloud afin d’exécuter les services Azure et les charges de travail de machine virtuelle de charge de travail Azure VMware Solution.

• Utilisez des serveurs avec Azure Arc pour gérer les machines virtuelles invitées Azure VMware Solution avec des outils répliquant les outils de ressource Azure natifs, notamment :

  • Azure Policy, pour gérer, signaler et auditer les configurations et les paramètres d’invité
  • Azure Automation State Configuration et les extensions prises en charge pour simplifier les déploiements
  • Update Management pour gérer les mises à jour du paysage des machines virtuelles d’application Azure VMware Solution
  • Des étiquettes pour gérer et organiser l’inventaire des machines virtuelles d’application Azure VMware Solution

  Pour plus d’informations, consultez Vue d’ensemble des serveurs avec Azure Arc.

• Gouvernance du domaine des machines virtuelles de charge de travail : pour éviter les processus manuels susceptibles d’engendrer des erreurs, utilisez des extensions comme JsonADDomainExtension ou des options d’automatisation équivalentes afin de permettre aux machines virtuelles invitées Azure VMware Solution d’être automatiquement jointes à un domaine Active Directory.

• Journalisation et monitoring des machines virtuelles charge de travail : activez les métriques de diagnostics et la journalisation sur les machines virtuelles charge de travail pour déboguer plus facilement les problèmes de système d’exploitation et d’application. Implémentez la collecte de journaux et les fonctionnalités d’interrogation qui fournissent des temps de réponse rapides pour le débogage et la résolution des problèmes. Activez les insights VM en quasi-temps réel sur les machines virtuelles de charge de travail pour détecter rapidement les goulots d’étranglement de performances et les problèmes opérationnels. Configurez des alertes de journal pour capturer des conditions limites pour les machines virtuelles charge de travail.

  Déployez l’agent Log Analytics (MMA) sur les machines virtuelles charge de travail vSphere VMware avant la migration ou pendant le déploiement de nouvelles machines virtuelles charge de travail dans l’environnement Azure VMware Solution. Configurez l’agent MMA avec un espace de travail Azure Log Analytics et liez l’espace de travail Azure Log Analytics à Azure Automation. Validez l’état des agents MMA de machine virtuelle de charge de travail déployés avant la migration avec Azure Monitor après la migration.

• Gouvernance des mises à jour de machine virtuelle de charge de travail : les mises à jour ou les mises à jour correctives différées ou incomplètes sont les principaux vecteurs d’attaque pouvant entraîner l’exposition ou la compromission des applications et machines virtuelles de charge de travail Azure VMware Solution. Veillez à installer les mises à jour en temps voulu sur les machines virtuelles invitées.

• Gouvernance de la sauvegarde des machines virtuelles de charge de travail : planifiez des sauvegardes régulières pour éviter de manquer des sauvegardes ou de dépendre d’anciennes sauvegardes et risquer une perte de données. Utilisez une solution de sauvegarde qui peut effectuer des sauvegardes planifiées et en surveiller la réussite. Monitorez les événements de sauvegarde et créez des alertes pour garantir la bonne exécution des sauvegardes planifiées.

• Gouvernance de la reprise d’activité des machines virtuelles de charge de travail : les exigences non documentées en matière d’objectif de point de récupération (RPO) et d’objectif de temps de récupération (RTO) peuvent dégrader l’expérience client et ne pas répondre aux objectifs opérationnels en cas d’événements de continuité d’activité et de reprise d’activité. Implémentez l’orchestration de la reprise d’activité pour éviter les retards dans la continuité d’activité.

  Utilisez une solution de reprise d’activité pour Azure VMware Solution qui fournit l’orchestration de la reprise d’activité, et détecte et signale les défaillances ou les problèmes liés à la réplication continue sur un site de reprise d’activité. Documentez les exigences de RPO et de RTO pour les applications qui s’exécutent dans Azure et Azure VMware Solution. Choisissez une solution de continuité d’activité et de reprise d’activité qui répond aux exigences de RPO et RTO vérifiables en utilisant l’orchestration.

Conformité

Implémentez les recommandations suivantes pendant la planification de la conformité des machines virtuelles de charge de travail et de l’environnement Azure VMware Solution.

• Surveillance de Microsoft Defender pour le cloud : Utilisez la vue de la conformité réglementaire dans Defender pour le cloud pour surveiller la conformité aux points de référence de la sécurité et du réglement. Configurez l’automatisation des workflows Defender pour le cloud afin de suivre les écarts par rapport à la posture de conformité attendue. Pour plus d’informations, consultez Vue d’ensemble de Microsoft Defender pour le cloud.

• Conformité de reprise d’activité des machines virtuelles de charge de travail : suivez la conformité de la configuration de reprise d’activité pour les machines virtuelles charge de travail Azure VMware Solution afin de garantir la disponibilité de leurs applications stratégiques pendant un sinistre. Utilisez Azure Site Recovery ou une solution de continuité d’activité et de reprise d’activité certifiée Azure VMware Solution, qui fournit le provisionnement de la réplication à grande échelle, le monitoring de l’état de non-conformité et la correction automatique.

• Conformité de la sauvegarde de machine virtuelle de charge de travail : suivez et surveillez la conformité de sauvegarde des machines virtuelles de charge de travail d’Azure VMware Solution pour garantir la sauvegarde des machines virtuelles. Utilisez une solution de partenaire certifié Azure VMware Solution qui fournit une perspective à grande échelle, une analyse approfondie et une interface actionnable pour le suivi et le monitoring de la sauvegarde de machine virtuelle de charge de travail.

• Conformité spécifique au pays/à la région ou au secteur d’activité : Pour éviter les poursuites et les amendes coûteuses, assurez-vous que les charges de travail Azure VMware Solution sont conformes aux réglementations spécifiques au pays/à la région et au secteur d’activité. Étudiez le modèle de responsabilité partagée du cloud pour la conformité réglementaire en fonction de la région ou du secteur. Utilisez le portail d’approbation de service pour voir ou télécharger Azure VMware Solution et les rapports d’audit Azure qui prennent en charge l’intégralité du scénario de conformité.

  Implémentez les rapport d’audit du pare-feu sur des points de terminaison HTTP/S et non-HTTP/S pour respecter les exigences réglementaires.

• Conformité aux stratégies d’entreprise : Surveillez la conformité des machines virtuelles de charge de travail Azure VMware Solution aux stratégies d’entreprise afin d’éviter les violations des règles et réglementations de l’entreprise. Utilisez des serveurs avec Azure Arc et Azure Policy ou une solution tierce équivalente. Évaluez et gérez régulièrement les machines virtuelles et les applications de charge de travail Azure VMware Solution pour vérifier leur conformité aux réglementations internes et externes applicables.

• Conservation des données et exigences de résidence : Azure VMware Solution ne prend pas en charge la conservation ou l’extraction des données stockées dans les clusters. La suppression d’un cluster met fin à tous les composants et charges de travail en cours d’exécution, et détruit toutes les données et tous les paramètres de configuration du cluster, y compris les adresses IP publiques. Ces données ne peuvent pas être récupérées.

  Azure VMware Solution ne garantit pas que toutes les métadonnées et les données de configuration pour l’exécution du service existent uniquement dans la région géographique déployée. Si vos besoins en matière de résidence des données nécessitent que toutes les données existent dans la région déployée, contactez le support Azure VMware Solution pour obtenir de l’aide.

• Traitement des données : lisez et comprenez les conditions juridiques au moment de votre inscription. Faites attention à l’accord de traitement de données VMware pour les clients Microsoft Azure VMware Solution transférés vers le support L3. Si un problème nécessite le support VMware, Microsoft partage les données de service professionnelles et les données personnelles associées avec VMware. À partir de ce moment, Microsoft et VMware jouent le rôle de deux sous-traitants de données indépendants.

Étapes suivantes

Cet article est basé sur les principes et les directives de conception architecturale de zone d’atterrissage à l’échelle de l’entreprise du Cloud Adoption Framework. Pour plus d'informations, consultez les pages suivantes :

• Principes de conception des zones d’atterrissage Azure
• Instructions de conception des zones d’atterrissage Azure

L’article fait partie d’une série qui applique les recommandations et les principes de zone d’atterrissage à l’échelle de l’entreprise aux déploiements Azure VMware Solution. Voici d’autres articles de cette série :

• Gestion des identités et des accès à l’échelle de l’entreprise pour Azure VMware Solution
• Topologie réseau et connectivité à l’échelle de l’entreprise pour Azure VMware Solution
• Automatisation des plateformes et DevOps à l’échelle de l’entreprise pour Azure VMware Solution
• Continuité d’activité et reprise d’activité à l’échelle de l’entreprise pour Azure VMware Solution

Lisez l’article suivant de la série :

Gestion et monitoring d’Azure VMware Solution à l’échelle de l’entreprise