Keamanan, tata kelola, dan kepatuhan untuk Azure VMware Solution

Artikel ini menjelaskan cara menerapkan dan mengatur Azure VMware Solution secara menyeluruh dan holistik sepanjang siklus hidupnya. Artikel ini mengeksplorasi elemen desain tertentu dan memberikan rekomendasi yang ditargetkan untuk keamanan, tata kelola, dan kepatuhan Azure VMware Solution.

Keamanan

Pertimbangkan faktor-faktor berikut ketika memutuskan sistem, pengguna, atau perangkat mana yang dapat melakukan fungsi dalam Azure VMware Solution, dan cara mengamankan keseluruhan platform.

Identitas keamanan

• Batas akses permanen: Azure VMware Solution menggunakan peran Kontributor dalam grup sumber daya Azure yang menghosting cloud privat Azure VMware Solution. Batasi akses permanen untuk mencegah penyalahgunaan hak kontributor yang disengaja atau tidak disengaja. Gunakan solusi manajemen akun dengan hak istimewa untuk mengaudit dan membatasi penggunaan waktu akun yang memiliki hak sangat istimewa.

  Buat grup akses istimewa ID Microsoft Entra dalam Azure Privileged Identity Management (PIM) untuk mengelola akun pengguna dan perwakilan layanan Microsoft Entra. Gunakan grup ini untuk membuat dan mengelola kluster Azure VMware Solution dengan akses berbasis justifikasi yang terikat waktu. Untuk informasi selengkapnya, lihat Menetapkan pemilik dan anggota yang memenuhi syarat untuk grup akses istimewa.

  Gunakan laporan riwayat audit Microsoft Entra PIM untuk aktivitas, operasi, dan penugasan administratif Azure VMware Solution. Anda dapat mengarsipkan laporan dalam Azure Storage untuk kebutuhan retensi audit jangka panjang. Untuk informasi selengkapnya, lihat Melihat laporan audit untuk penugasan grup akses istimewa di Privileged Identity Management (PIM).

• Manajemen identitas terpusat: Azure VMware Solution menyediakan info masuk administrator cloud dan administrator jaringan untuk mengonfigurasi lingkungan cloud privat VMware. Akun administratif ini dapat dilihat oleh semua kontributor yang memiliki akses kontrol akses berbasis peran (RBAC) ke Azure VMware Solution.

  Untuk mencegah penggunaan atau penyalahgunaan berlebihan pengguna administrator jaringan dan bawaan cloudadmin untuk mengakses sarana kontrol cloud privat VMware, gunakan kemampuan RBAC sarana kontrol cloud privat VMware untuk mengelola peran dan akses akun dengan benar. Buat beberapa objek identitas bertarget seperti pengguna dan grup menggunakan prinsip hak istimewa paling sedikit. Batasi akses ke akun administrator yang disediakan oleh Azure VMware Solution, dan konfigurasikan akun dalam konfigurasi darurat. Gunakan akun bawaan hanya jika semua akun administratif lainnya tidak dapat digunakan.

  Gunakan akun yang disediakan cloudadmin untuk mengintegrasikan Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services dengan VMware vCenter Server dan aplikasi kontrol NSX-T Data Center dan identitas administratif layanan domain. Gunakan pengguna dan grup yang bersumber dari layanan domain untuk manajemen dan operasi Azure VMware Solution, dan jangan izinkan berbagi akun. Buat peran kustom vCenter Server dan kaitkan dengan grup AD DS untuk kontrol akses istimewa terperinci ke permukaan kontrol cloud privat VMware.

  Anda dapat menggunakan opsi Azure VMware Solution untuk memutar dan mereset kata sandi akun administratif vCenter Server dan NSX-T Data Center. Konfigurasikan rotasi reguler akun ini, dan putar akun kapan saja Anda menggunakan konfigurasi darurat. Untuk informasi selengkapnya, lihat Memutar info masuk cloudadmin untuk Azure VMware Solution.

• Manajemen identitas mesin virtual (VM) tamu: Menyediakan autentikasi terpusat dan otorisasi bagi tamu Azure VMware Solution untuk menyediakan manajemen aplikasi yang efisien dan mencegah akses tidak sah ke data dan proses bisnis. Kelola tamu dan aplikasi Azure VMware Solution sebagai bagian dari siklus hidup mereka. Konfigurasikan mesin virtual tamu untuk menggunakan solusi manajemen identitas terpusat untuk mengautentikasi dan memberikan otorisasi penggunaan manajemen dan aplikasi.

  Gunakan layanan AD DS atau Lightweight Directory Access Protocol (LDAP) terpusat untuk mesin virtual tamu Azure VMware Solution dan manajemen identitas aplikasi. Pastikan arsitektur layanan domain bertanggung jawab atas skenario pemadaman, untuk memastikan fungsionalitas berkelanjutan selama penonaktifan. Koneksi implementasi AD DS dengan MICROSOFT Entra ID untuk manajemen tingkat lanjut dan pengalaman autentikasi dan otorisasi tamu yang mulus.

Keamanan lingkungan dan jaringan

• Kemampuan keamanan jaringan asli: Menerapkan kontrol keamanan jaringan seperti pemfilteran lalu lintas, kepatuhan aturan Open Web Application Security Project (OWASP), manajemen firewall terpadu, dan perlindungan penolakan layanan terdistribusi (DDoS).

  • Pemfilteran lalu lintas mengontrol lalu lintas antar segmen. Terapkan perangkat pemfilteran lalu lintas jaringan tamu dengan menggunakan kemampuan NSX-T Data Center atau network virtual appliance (NVA) untuk membatasi akses antar segmen jaringan tamu.

  • Kepatuhan Seperangkat Aturan Inti OWASP melindungi beban kerja aplikasi web tamu Azure VMware Solution dari serangan web generik. Gunakan kemampuan OWASP dari Azure Application Gateway Web Application Firewall (WAF) untuk melindungi aplikasi web yang dihosting di tamu Azure VMware Solution. Aktifkan mode pencegahan menggunakan kebijakan terbaru, dan pastikan untuk mengintegrasikan log WAF ke dalam strategi pengelogan Anda. Untuk informasi selengkapnya, lihat Pengenalan Azure Web Application Firewall.

  • Manajemen aturan firewall terpadu mencegah aturan firewall duplikat atau hilang agar tidak meningkatkan risiko akses yang tidak sah. Arsitektur firewall berkontribusi pada postur manajemen jaringan dan keamanan lingkungan yang lebih besar untuk Azure VMware Solution. Gunakan arsitektur firewall terkelola yang berstatus yang memungkinkan arus lalu lintas, inspeksi, manajemen aturan terpusat, dan pengumpulan peristiwa.

  • Perlindungan DDoS melindungi beban kerja Azure VMware Solution dari serangan yang menyebabkan kerugian finansial atau pengalaman pengguna yang buruk. Terapkan perlindungan DDoS pada jaringan virtual Azure yang menghosting gateway pengakhiran ExpressRoute untuk koneksi Azure VMware Solution. Pertimbangkan untuk menggunakan Azure Policy untuk penerapan otomatis perlindungan DDoS.

• Enkripsi VSAN dengan Customer Managed Keys (CMK) memungkinkan datastore VSAN Azure VMware Solution dienkripsi dengan kunci enkripsi yang disediakan pelanggan yang disimpan di Azure Key Vault. Anda dapat menggunakan fitur ini untuk memenuhi persyaratan kepatuhan, seperti mematuhi kebijakan rotasi utama atau mengelola peristiwa siklus hidup utama. Untuk panduan dan batas implementasi terperinci, lihat Mengonfigurasi enkripsi kunci yang dikelola pelanggan saat tidak aktif di Azure VMware Solution

• Akses vCenter Server terkontrol: Akses tidak terkontrol ke Azure VMware Solution vCenter Server dapat meningkatkan area permukaan serangan. Gunakan stasiun kerja akses istimewa khusus (PAW) untuk mengakses Azure VMware Solution vCenter Server dan NSX-T Manager dengan aman. Buat grup pengguna dan tambahkan akun pengguna individual ke grup pengguna ini.

• Pengelogan permintaan internet masuk untuk beban kerja tamu: Gunakan Azure Firewall atau NVA yang disetujui yang memelihara log audit untuk permintaan masuk ke mesin virtual tamu. Impor log tersebut ke dalam solusi insiden keamanan dan manajemen peristiwa (SIEM) Anda untuk pemantauan dan peringatan yang tepat. Gunakan Microsoft Sentinel untuk memproses informasi peristiwa Azure dan pengelogan sebelum integrasi ke dalam solusi SIEM yang ada. Untuk informasi selengkapnya, lihat Mengintegrasikan Pertahanan Microsoft untuk Cloud dengan Azure VMware Solution.

• Pemantauan sesi untuk keamanan koneksi internet keluar: Gunakan kontrol aturan atau audit sesi konektivitas internet keluar dari Azure VMware Solution untuk mengidentifikasi aktivitas internet keluar yang tidak terduga atau mencurigakan. Tentukan kapan dan di mana posisi inspeksi jaringan keluar untuk memastikan keamanan maksimum. Untuk informasi selengkapnya, lihat Topologi dan konektivitas jaringan skala perusahaan untuk Azure VMware Solution.

  Gunakan firewall khusus, NVA, dan layanan jaringan area luas virtual (Virtual WAN) untuk konektivitas internet keluar dan bukan mengandalkan konektivitas internet default Azure VMware Solution. Untuk informasi selengkapnya dan rekomendasi desain, lihat Memeriksa lalu lintas Azure VMware Solution dengan appliance virtual jaringan di Azure Virtual Network.

  Gunakan tag layanan seperti Virtual Network dan tag nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk identifikasi saat memfilter lalu lintas keluar dengan Azure Firewall. Gunakan kemampuan serupa untuk NVA lainnya.

• Pencadangan aman yang dikelola secara terpusat: Gunakan RBAC dan kemampuan penghapusan tertunda untuk membantu mencegah penghapusan data cadangan yang disengaja atau tidak disengaja yang diperlukan untuk memulihkan lingkungan. Gunakan Azure Key Vault untuk mengelola kunci enkripsi, dan batasi akses ke lokasi penyimpanan data cadangan untuk meminimalkan risiko penghapusan.

  Gunakan Azure Backup atau teknologi pencadangan lain yang divalidasi untuk Azure VMware Solution yang menyediakan enkripsi saat transit dan saat tidak aktif. Saat menggunakan vault Layanan Pemulihan Azure, gunakan kunci sumber daya dan fitur penghapusan sementara untuk melindungi agar cadangan tidak terhapus secara disengaja atau tidak disengaja. Untuk informasi selengkapnya, lihat Kelangsungan bisnis skala perusahaan dan pemulihan bencana untuk Azure VMware Solution.

Aplikasi tamu dan keamanan mesin virtual

• Deteksi ancaman tingkat lanjut: Untuk mencegah berbagai risiko keamanan dan pelanggaran data, gunakan perlindungan keamanan titik akhir, konfigurasi peringatan keamanan, proses kontrol perubahan, dan penilaian kerentanan. Anda dapat menggunakan Microsoft Defender untuk Cloud untuk manajemen ancaman, perlindungan titik akhir, peringatan keamanan, patch OS, dan tampilan terpusat mengenai penegakan kepatuhan terhadap peraturan. Untuk informasi selengkapnya, lihat Mengintegrasikan Pertahanan Microsoft untuk Cloud dengan Azure VMware Solution.

  Gunakan Azure Arc untuk server saat melakukan onboarding mesin virtual tamu Anda. Setelah dilakukan onboarding, gunakan Azure Log Analytics, Azure Monitor, dan Microsoft Defender untuk Cloud untuk mengumpulkan log dan metrik serta membuat dasbor dan peringatan. Gunakan Pusat Keamanan Pertahanan Microsoft untuk melindungi dan memberi peringatan tentang ancaman yang terkait dengan tamu mesin virtual. Untuk informasi selengkapnya, lihat Mengintegrasikan dan menyebarkan layanan asli Azure di Azure VMware Solution.

  Sebarkan agen Analitik Log di VM VMware vSphere sebelum memulai migrasi, atau saat menyebarkan VM tamu baru. Konfigurasikan agen MMA untuk mengirim metrik dan log ke ruang kerja Azure Log Analytics. Setelah migrasi, verifikasi bahwa mesin virtual Azure VMware Solution melaporkan peringatan di Azure Monitor dan Microsoft Defender untuk Cloud.

  Atau, gunakan solusi dari mitra bersertifikat Azure VMware Solution untuk menilai postur keamanan mesin virtual dan memberikan kepatuhan peraturan terhadap persyaratan Center for Internet Security (CIS).

• Analisis keamanan: Gunakan pengumpulan, korelasi, dan analitik peristiwa keamanan yang kohesif dari mesin virtual Azure VMware Solution dan sumber lain untuk mendeteksi serangan siber. Gunakan Microsoft Defender untuk Cloud sebagai sumber data untuk Microsoft Sentinel. Konfigurasikan Microsoft Defender untuk Storage, Azure Resource Manager, Sistem Nama Domain (DNS), dan layanan Azure lainnya yang terkait dengan penyebaran Azure VMware Solution. Pertimbangkan untuk menggunakan konektor data Azure VMware Solution dari mitra bersertifikat.

• Enkripsi mesin virtual tamu: Azure VMware Solution menyediakan enkripsi data tidak aktif untuk platform penyimpanan vSAN yang mendasarinya. Beberapa beban kerja dan lingkungan dengan akses sistem file mungkin memerlukan lebih banyak enkripsi untuk melindungi data. Dalam situasi ini, pertimbangkan untuk mengaktifkan enkripsi sistem operasi (OS) dan data mesin virtual tamu. Gunakan alat enkripsi OS tamu asli untuk mengenkripsi mesin virtual tamu. Gunakan Azure Key Vault untuk menyimpan dan melindungi kunci enkripsi.

• Enkripsi database dan pemantauan aktivitas: Enkripsi SQL dan database lainnya di Azure VMware Solution untuk mencegah akses data yang mudah jika terjadi pelanggaran data. Untuk beban kerja database, gunakan metode enkripsi saat tidak aktif seperti enkripsi data transparan (TDE) atau fitur database asli yang setara. Pastikan beban kerja menggunakan disk terenkripsi, dan rahasia sensitif disimpan di brankas kunci yang didedikasikan untuk grup sumber daya.

  Gunakan Azure Key Vault untuk kunci yang dikelola pelanggan dalam skenario bawa kunci Anda sendiri (BYOK), seperti BYOK untuk enkripsi data transparan (TDE) Azure SQL Database. Pisahkan tugas manajemen kunci dan manajemen data jika memungkinkan. Contohnya, cara SQL Server 2019 menggunakan Key Vault, lihat Menggunakan Azure Key Vault dengan Always Encrypted dengan enklave aman.

  Pantau aktivitas database yang tidak biasa untuk mengurangi risiko serangan orang dalam. Gunakan pemantauan database asli seperti Pemantauan Aktivitas atau solusi partner bersertifikat Azure VMware Solution. Pertimbangkan untuk menggunakan layanan database Azure untuk kontrol audit yang disempurnakan.

• Kunci Penambal Keamanan Diperpanjang (ESU): Menyediakan dan mengonfigurasi tombol ESU untuk mendorong dan memasang pembaruan keamanan pada mesin virtual Azure VMware Solution. Gunakan Alat Manajemen Aktivasi Volume untuk mengonfigurasi tombol ESU untuk kluster Azure VMware Solution. Untuk informasi selengkapnya, lihat Mendapatkan Penambal Keamanan Diperpanjang untuk perangkat Windows yang memenuhi syarat.

• Keamanan kode: Menerapkan ukuran keamanan dalam alur kerja DevOps untuk mencegah kerentanan keamanan di beban kerja Azure VMware Solution. Gunakan alur kerja autentikasi dan otorisasi modern seperti Open Authorization (OAuth) dan OpenID Connect.

  Gunakan Server Enterprise GitHub di Azure VMware Solution untuk repositori versi yang memastikan integritas basis kode. Sebarkan build dan jalankan agen baik di Azure VMware Solution atau di lingkungan Azure yang aman.

Pemerintahan

Pertimbangkan untuk menerapkan rekomendasi berikut saat merencanakan tata kelola mesin virtual lingkungan dan tamu.

Tata kelola lingkungan

• Ruang penyimpanan vSAN: Ruang penyimpanan vSAN yang tidak mencukupi dapat memengaruhi jaminan SLA. Meninjau dan memahami tanggung jawab pelanggan dan mitra di SLA untuk Azure VMware Solution. Tetapkan prioritas dan pemilik yang sesuai untuk peringatan pada metrik Persentase Disk Penyimpanan Data yang Digunakan. Untuk informasi dan panduan selengkapnya, lihat Mengonfigurasi peringatan dan bekerja menggunakan metrik di Azure VMware Solution.

• Kebijakan penyimpanan templat mesin virtual: Kebijakan penyimpanan default tebal yang tersedia dapat mengakibatkan pemesanan penyimpanan vSAN terlalu banyak. Buat templat mesin virtual yang menggunakan kebijakan penyimpanan tipis yang tersedia, yang tidak memerlukan reservasi ruang. Mesin virtual yang tidak memesan penyimpanan jumlah penuh di awal memungkinkan sumber daya penyimpanan yang lebih efisien.

• Tata kelola kuota host: Kuota host yang tidak mencukupi dapat menyebabkan penundaan hingga 5-7 hari guna mendapatkan kapasitas tuan rumah yang lebih banyak untuk kebutuhan pertumbuhan atau pemulihan bencana (DR). Pertumbuhan faktor dan persyaratan DR ke dalam desain solusi saat meminta kuota host, dan secara berkala meninjau pertumbuhan lingkungan dan nilai maksimum untuk memastikan waktu tunggu yang tepat untuk permintaan ekspansi. Misalnya, jika kluster Azure VMware Solution tiga node memerlukan tiga node lain untuk DR, mintalah kuota host enam node. Permintaan kuota host tidak dikenakan biaya tambahan.

• Kegagalan untuk mentolerir (FTT) tata kelola: Buat pengaturan FTT yang sepadan dengan ukuran kluster untuk mempertahankan SLA untuk Azure VMware Solution. Sesuaikan kebijakan penyimpanan vSAN ke pengaturan FTT yang sesuai saat mengubah ukuran kluster untuk memastikan kepatuhan SLA.

• Akses ESXi: Akses ke host EsXi Azure VMware Solution terbatas. Perangkat lunak pihak ketiga yang memerlukan akses host ESXi mungkin tidak berfungsi. Identifikasi perangkat lunak pihak ketiga yang didukung Azure VMware Solution di lingkungan sumber yang memerlukan akses ke host ESXi. Kenali dan gunakan proses permintaan dukungan Azure VMware Solution di portal Microsoft Azure untuk situasi yang memerlukan akses host ESXi.

• Kepadatan dan efisiensi host ESXi: Untuk laba atas investasi (ROI) yang baik, pahami pemanfaatan host ESXi. Tentukan kepadatan mesin virtual tamu yang sehat untuk memaksimalkan investasi Azure VMware Solution, dan pantau pemanfaatan node secara keseluruhan terhadap ambang tersebut. Ubah ukuran lingkungan Azure VMware Solution saat pemantauan menunjukkan, dan memungkinkan waktu tunggu yang cukup untuk penambahan node.

• Pemantauan jaringan: Pantau lalu lintas jaringan internal untuk lalu lintas berbahaya atau tidak dikenal atau jaringan yang disusupi. Terapkan vRealize Network Insight (vRNI) dan vRealize Operations (vROps) untuk wawasan terperinci tentang operasi jaringan Azure VMware Solution.

• Keamanan, pemeliharaan terencana, dan peringatan Service Health: Memahami dan melihat kesehatan layanan untuk merencanakan dan menanggapi penonaktifan dan masalah dengan tepat. Konfigurasikan peringatan Service Health untuk masalah layanan Azure VMware Solution, pemeliharaan terencana, saran kesehatan, dan saran keamanan. Jadwalkan dan rencanakan aktivitas beban kerja Azure VMware Solution di luar jendela pemeliharaan yang disarankan Microsoft.

• Tata kelola biaya: Memantau biaya untuk akuntabilitas keuangan yang baik dan alokasi anggaran. Gunakan solusi manajemen biaya untuk pelacakan biaya, alokasi biaya, pembuatan anggaran, peringatan biaya, dan tata kelola keuangan yang baik. Untuk biaya tagihan Azure, gunakan alat Azure Cost Management + Billing untuk membuat anggaran, membuat peringatan, mengalokasikan biaya, dan menghasilkan laporan untuk pemangku kepentingan keuangan.

• Integrasi layanan Azure: Hindari menggunakan titik akhir publik platform as a service (PaaS) Azure, yang dapat menyebabkan lalu lintas melanggar batas jaringan yang diinginkan. Untuk memastikan lalu lintas tetap dalam batas jaringan virtual yang ditentukan, gunakan titik akhir privat untuk mengakses layanan Azure seperti Azure SQL Database dan Azure Blob Storage.

Aplikasi beban kerja dan tata kelola VM

Kesadaran postur keamanan untuk VM beban kerja Azure VMware Solution membantu Anda memahami kesiapan dan respons keamanan cyber dan memberikan cakupan keamanan lengkap untuk VM dan aplikasi tamu.

• Aktifkan Microsoft Defender untuk Cloud untuk menjalankan layanan Azure dan beban kerja VM aplikasi Azure VMware Solution.

• Gunakan server dengan dukungan Azure Arc untuk mengelola mesin virtual tamu Azure VMware Solution dengan alat yang mereplikasi peralatan sumber daya asli Azure, termasuk:

  • Azure Policy untuk mengatur, melaporkan, dan mengaudit konfigurasi tamu dan pengaturan
  • Konfigurasi Status Azure Automation dan ekstensi yang didukung untuk menyederhanakan penyebaran
  • Manajemen Pembaruan untuk mengelola pembaruan untuk lanskap VM aplikasi Azure VMware Solution
  • Tag untuk mengelola dan mengatur inventarisasi VM aplikasi Azure VMware Solution

  Untuk informasi selengkapnya, lihat Gambaran umum server dengan dukungan Azure Arc.

• Tata kelola domain VM beban kerja: Untuk menghindari proses manual yang rawan kesalahan, gunakan ekstensi seperti JsonADDomainExtension opsi otomatisasi yang setara atau untuk mengaktifkan VM tamu Azure VMware Solution untuk bergabung secara otomatis dengan domain Direktori Aktif.

• Pengelogan dan pemantauan VM beban kerja: Aktifkan metrik diagnostik dan pengelogan pada VM beban kerja untuk men-debug OS dan masalah aplikasi dengan lebih mudah. Menerapkan pengumpulan log dan kemampuan kueri yang menyediakan waktu respons cepat untuk penelusuran kesalahan dan pemecahan masalah. Aktifkan wawasan VM hampir real time pada VM beban kerja untuk deteksi cepat penyempitan performa dan masalah operasional. Konfigurasikan pemberitahuan log untuk menangkap kondisi batas untuk VM beban kerja.

  Sebarkan agen Analitik Log (MMA) pada VM beban kerja VMware vSphere sebelum migrasi, atau saat menyebarkan VM beban kerja baru di lingkungan Azure VMware Solution. Konfigurasikan MMA dengan ruang kerja Azure Log Analytics, dan tautkan ruang kerja Azure Log Analytics dengan Azure Automation. Validasi status agen MMA VM beban kerja apa pun yang disebarkan sebelum migrasi dengan Azure Monitor setelah migrasi.

• Tata kelola pembaruan VM beban kerja: Pembaruan atau patching yang tertunda atau tidak lengkap adalah vektor serangan teratas yang dapat mengakibatkan mengekspos atau mengorbankan VM dan aplikasi beban kerja Azure VMware Solution. Pastikan penginstalan pembaruan tepat waktu pada mesin virtual tamu.

• Tata kelola pencadangan VM beban kerja: Jadwalkan pencadangan reguler untuk mencegah pencadangan yang terlewat atau mengandalkan cadangan lama yang dapat menyebabkan kehilangan data. Gunakan solusi cadangan yang dapat mengambil cadangan terjadwal dan memantau keberhasilan pencadangan. Pantau dan peringatkan pada peristiwa pencadangan untuk memastikan pencadangan terjadwal berjalan dengan sukses.

• Tata kelola DR VM beban kerja: Persyaratan tujuan titik pemulihan (RPO) dan tujuan waktu pemulihan (RTO) yang tidak terdokumentasi dapat menyebabkan pengalaman pelanggan yang buruk dan tujuan operasional yang tidak terpenuhi selama peristiwa kelangsungan bisnis dan pemulihan bencana (BCDR). Terapkan orkestrasi DR untuk mencegah penundaan dalam kelangsungan bisnis.

  Gunakan solusi DR untuk Azure VMware Solution yang menyediakan orkestrasi DR, serta mendeteksi dan melaporkan setiap kegagalan atau masalah dengan replikasi berkelanjutan yang berhasil ke situs DR. Dokumen persyaratan RPO dan RTO untuk aplikasi yang berjalan di Azure dan Azure VMware Solution. Pilih pemulihan bencana dan desain solusi kelangsungan bisnis yang memenuhi persyaratan RPO dan RTO yang dapat diverifikasi melalui orkestrasi.

Kepatuhan

Pertimbangkan dan terapkan rekomendasi berikut saat merencanakan lingkungan Azure VMware Solution dan kepatuhan VM beban kerja.

• Pemantauan Microsoft Defender untuk Cloud: Gunakan tampilan kepatuhan peraturan di Defender untuk Cloud untuk memantau kepatuhan terhadap tolok ukur keamanan dan peraturan. Konfigurasikan otomatisasi alur kerja Defender untuk Cloud untuk melacak penyimpangan dari postur kepatuhan yang diharapkan. Untuk informasi selengkapnya, lihat Ringkasan Microsoft Defender untuk Cloud.

• Kepatuhan VM DR beban kerja: Melacak kepatuhan konfigurasi DR untuk VM beban kerja Azure VMware Solution untuk memastikan bahwa aplikasi penting misi mereka tetap tersedia selama bencana. Gunakan Azure Site Recovery atau solusi BCDR bersertifikat Azure VMware Solution, yang menyediakan provisi replikasi skala, pemantauan status ketidakpatuhan, dan remediasi otomatis.

• Kepatuhan pencadangan VM beban kerja: Melacak dan memantau kepatuhan pencadangan VM beban kerja Azure VMware Solution untuk memastikan bahwa VM sedang dicadangkan. Gunakan solusi mitra bersertifikat Azure VMware Solution yang menyediakan perspektif skala besar, analisis penelusuran, dan antarmuka yang dapat ditindak lanjuti untuk melacak dan memantau pencadangan VM beban kerja.

• Kepatuhan khusus untuk negara/wilayah atau industri: Untuk menghindari tindakan hukum dan denda yang mahal, pastikan kepatuhan beban kerja Azure VMware Solution dengan peraturan yang khusus untuk negara/wilayah dan industri. Memahami model tanggung jawab bersama cloud untuk kepatuhan peraturan berbasis industri atau wilayah. Gunakan Portal Kepercayaan Layanan untuk melihat atau mengunduh laporan Azure VMware Solution dan Azure Audit yang mendukung seluruh cerita kepatuhan.

  Menerapkan pelaporan audit firewall pada titik akhir HTTP/S dan non-HTTP/S untuk mematuhi persyaratan peraturan.

• Kepatuhan kebijakan perusahaan: Pantau kepatuhan VM beban kerja Azure VMware Solution dengan kebijakan perusahaan untuk mencegah pelanggaran aturan dan peraturan perusahaan. Gunakan server dengan dukungan Azure Arc dan Azure Policy atau solusi pihak ketiga yang setara. Secara rutin menilai dan mengelola VM dan aplikasi beban kerja Azure VMware Solution untuk kepatuhan terhadap peraturan internal dan eksternal yang berlaku.

• Persyaratan residensi dan retensi data: Azure VMware Solution tidak mendukung retensi atau ekstraksi data yang disimpan dalam kluster. Menghapus kluster akan mengakhiri semua beban kerja dan komponen yang berjalan, dan menghancurkan semua data kluster dan pengaturan konfigurasi, termasuk alamat IP publik. Data ini tidak dapat dipulihkan.

  Azure VMware Solution tidak menjamin bahwa semua metadata dan data konfigurasi untuk menjalankan layanan hanya ada di wilayah geografis yang disebarkan. Jika persyaratan residensi data Anda mengharuskan semua data ada di wilayah yang disebarkan, hubungi dukungan Azure VMware Solution untuk mendapatkan bantuan.

• Pemrosesan data: Baca dan pahami persyaratan hukum saat Anda mendaftar. Perhatikan Perjanjian pemrosesan data VMware untuk pelanggan Microsoft Azure VMware Solution yang ditransfer untuk dukungan L3. Jika masalah dukungan memerlukan dukungan VMware, Microsoft membagikan data layanan profesional dan data pribadi terkait dengan VMware. Sejak saat itu, Microsoft dan VMware bertindak sebagai dua prosesor data independen.

Langkah berikutnya

Artikel ini didasarkan pada prinsip dan panduan desain arsitektur zona landasan skala perusahaan Cloud Adoption Framework. Untuk informasi selengkapnya, lihat:

• Prinsip desain zona pendaratan Azure
• Panduan desain zona pendaratan Azure

Artikel ini merupakan bagian dari seri yang menerapkan prinsip dan rekomendasi zona landasan skala perusahaan untuk penyebaran Azure VMware Solution. Artikel lain dalam seri ini meliputi:

• Manajemen identitas dan akses skala perusahaan untuk Azure VMware Solution
• Topologi dan konektivitas jaringan skala perusahaan untuk Azure VMware Solution
• Otomatisasi platform skala perusahaan dan DevOps untuk Azure VMware Solution
• Kelangsungan bisnis skala perusahaan dan pemulihan bencana untuk Azure VMware Solution

Baca artikel berikutnya dalam seri ini:

Manajemen dan pemantauan skala perusahaan untuk Azure VMware Solution