Sicurezza, governance e conformità per la soluzione Azure VMware

Articolo
04/27/2023

Questo articolo descrive come implementare in modo sicuro e gestire in modo olistico la soluzione Azure VMware nell'intero ciclo di vita. L'articolo esamina elementi di progettazione specifici e fornisce raccomandazioni mirate relative a sicurezza, governance e conformità per la soluzione Azure VMware.

Sicurezza

Considerare i fattori seguenti quando è necessario decidere quali sistemi, utenti o dispositivi possono eseguire determinate funzioni all'interno della soluzione Azure VMware e come proteggere la piattaforma nel suo complesso.

Sicurezza delle identità

Limiti per l'accesso permanente: la soluzione Azure VMware usa il ruolo collaboratore nel gruppo di risorse di Azure che ospita il cloud privato della soluzione. Limitare l'accesso permanente per impedire l'uso improprio intenzionale o accidentale dei diritti di collaboratore. Usare una soluzione di gestione degli account con privilegi per controllare e limitare l'utilizzo del tempo degli account con privilegi elevati.

Creare un gruppo di accesso con privilegi microsoft Entra ID all'interno di Azure Privileged Identity Management (PIM) per gestire gli account utente e entità servizio Di Microsoft Entra. Usare questo gruppo per creare e gestire il cluster della soluzione Azure VMware con accesso temporizzato e basato su giustificazione. Per altre informazioni, vedere l'articolo su come assegnare proprietari e membri idonei per i gruppi di accesso con privilegi.

Usare i report della cronologia di controllo di Microsoft Entra PIM per soluzione Azure VMware attività amministrative, operazioni e assegnazioni. È possibile archiviare i report in Archiviazione di Azure per le esigenze di conservazione dei controlli a lungo termine. Per altre informazioni, vedere Visualizzare il report di controllo per le assegnazioni di gruppi di accesso con privilegi in Privileged Identity Management (PIM).
Gestione centralizzata delle identità: soluzione Azure VMware fornisce le credenziali di amministratore cloud e amministratore di rete per la configurazione dell'ambiente cloud privato VMware. Questi account amministrativi sono visibili a tutti i collaboratori che hanno accesso al controllo degli accessi in base al ruolo alla soluzione Azure VMware.

Per evitare uso eccessivo o improprio degli utenti predefiniti e amministratori di cloudadmin rete per accedere al piano di controllo del cloud privato VMware, usare le funzionalità di controllo degli accessi in base al ruolo del piano di controllo del cloud privato VMware per gestire correttamente l'accesso ai ruoli e agli account. Creare più oggetti identità di destinazione, ad esempio utenti e gruppi, usando i principi di accesso con privilegi minimi. Limitare l'accesso agli account amministratore forniti dalla soluzione Azure VMware e configurare gli account in una configurazione per l'accesso di emergenza. Usare gli account predefiniti solo quando tutti gli altri account amministrativi sono inutilizzabili.

Usare l'account fornito cloudadmin per integrare Dominio di Active Directory Services (AD DS) o Microsoft Entra Domain Services con il server VMware vCenter e le applicazioni di controllo NSX-T Data Center e le identità amministrative dei servizi di dominio. Usare gli utenti e i gruppi di origine dei servizi di dominio per la gestione e le operazioni della soluzione Azure VMware e non consentire la condivisione degli account. Creare ruoli personalizzati del server vCenter e associarli ai gruppi di Active Directory Domain Services per il controllo di accesso con privilegi granulari alle superfici di controllo del cloud privato VMware.

È possibile usare soluzione Azure VMware opzioni per ruotare e reimpostare le password dell'account amministrativo del server vCenter e del data center NSX-T. Configurare una rotazione regolare di questi account e ruotare gli account ogni volta che si usa la configurazione per l'accesso di emergenza. Per altre informazioni, vedere Ruotare le credenziali di cloudadmin per la soluzione Azure VMware.
Gestione delle identità delle macchine virtuali guest: fornire autenticazione e autorizzazione centralizzate per guest della soluzione Azure VMware per garantire una gestione efficiente delle applicazioni e impedire l'accesso non autorizzato a dati e processi aziendali. Gestire guest e applicazioni della soluzione Azure VMware come parte del ciclo di vita. Configurare le macchine virtuali guest per l'uso di una soluzione centralizzata di gestione delle identità per autenticare e autorizzare la gestione e l'uso delle applicazioni.

Usare un servizio Active Directory Domain Services o LDAP (Lightweight Directory Access Protocol) centralizzato per le macchine virtuali guest e la gestione delle identità delle applicazioni della soluzione Azure VMware. Assicurarsi che l'architettura dei servizi di dominio tenga in considerazione eventuali scenari di interruzione, al fine di garantire la continuità in caso di interruzioni. Connessione l'implementazione di Servizi di dominio Active Directory con Microsoft Entra ID per la gestione avanzata e un'esperienza di autenticazione e autorizzazione guest senza problemi.

Sicurezza dell'ambiente e della rete

Funzionalità di sicurezza di rete native: implementare controlli di sicurezza di rete come il filtro del traffico, la conformità alle regole Open Web Application Security Project (OWASP), la gestione unificata del firewall e la protezione DDoS (Distributed Denial of Service).
- Il filtro del traffico controlla il traffico tra segmenti. Implementare i dispositivi di filtro del traffico di rete guest usando le funzionalità NSX-T Data Center o appliance virtuale di rete (NVA) per limitare l'accesso tra segmenti di rete guest.
- La conformità al set di regole di base di OWASP protegge i carichi di lavoro delle applicazioni Web guest della soluzione Azure VMware da attacchi Web generici. Usare le funzionalità OWASP del Web application firewall (WAF) del gateway applicazione di Azure per proteggere le applicazioni Web ospitate nei guest della soluzione Azure VMware. Abilitare la modalità di prevenzione usando i criteri più recenti e assicurarsi di integrare i log di WAF nella strategia di registrazione. Per altre informazioni, vedere l'introduzione a Web application firewall di Azure.
- La gestione unificata delle regole del firewall impedisce che regole del firewall duplicate o mancanti aumentino il rischio di accessi non autorizzati. L'architettura del firewall contribuisce a una postura di sicurezza più estesa dell'ambiente e della gestione di rete per la soluzione Azure VMware. Usare un'architettura basata su firewall gestito con stato che consenta il flusso del traffico, l'ispezione, la gestione centralizzata delle regole e la raccolta di eventi.
- La protezione DDoS protegge i carichi di lavoro della soluzione Azure VMware da attacchi che causano perdite finanziarie o un'esperienza utente insoddisfacente. Applicare la protezione DDoS nella rete virtuale di Azure che ospita il gateway di terminazione ExpressRoute per la connessione alla soluzione Azure VMware. Valutare la possibilità di usare Criteri di Azure per l'applicazione automatica della protezione DDoS.
La crittografia VSAN con chiavi gestite dal cliente consente di crittografare soluzione Azure VMware archivi dati VSAN con una chiave di crittografia fornita dal cliente archiviata in Azure Key Vault. È possibile usare questa funzionalità per soddisfare i requisiti di conformità, ad esempio rispettare i criteri di rotazione delle chiavi o gestire gli eventi del ciclo di vita chiave. Per indicazioni dettagliate sull'implementazione e limiti, vedere Configurare la crittografia delle chiavi gestite dal cliente inattivi in soluzione Azure VMware
Accesso controllato al server vCenter: l'accesso non controllato al server soluzione Azure VMware vCenter può aumentare la superficie di attacco. Usare una workstation paw (Privileged Access Workstation) dedicata per accedere in modo sicuro soluzione Azure VMware server vCenter e NSX-T Manager. Creare un gruppo di utenti e aggiungervi un singolo account utente.
Registrazione delle richieste Internet in ingresso per i carichi di lavoro guest: usare Firewall di Azure o un'istanza dell'appliance virtuale di rete approvata che gestisca i log di controllo per le richieste in ingresso alle macchine virtuali guest. Importare questi log nella soluzione SIEM (Security Information and Event Management) per il monitoraggio e gli avvisi appropriati. Usare Microsoft Sentinel per elaborare informazioni sugli eventi di Azure e la registrazione prima dell'integrazione in soluzioni SIEM esistenti. Per altre informazioni, vedere Integrare Microsoft Defender for Cloud con la soluzione Azure VMware.
Monitoraggio della sessione per la sicurezza delle connessioni Internet in uscita: usare il controllo delle regole o il controllo di sessione della connettività Internet in uscita dalla soluzione Azure VMware per identificare attività Internet in uscita impreviste o sospette. Decidere quando e dove posizionare l'ispezione di rete in uscita per garantire la massima sicurezza. Per altre informazioni, vedere Topologia e connettività di rete su scala aziendale per la soluzione Azure VMware.

Usare servizi specializzati per firewall, appliance virtuale di rete e rete WAN virtuale per la connettività Internet in uscita invece di basarsi sulla connettività Internet predefinita della soluzione Azure VMware. Per altre informazioni e per le raccomandazioni sulla progettazione, vedere l'articolo su come ispezionare il traffico della soluzione Azure VMware con un'appliance virtuale di rete in Rete virtuale di Azure.

Usare tag di servizi come Virtual Network e tag di nome di dominio completo (FQDN) per l'identificazione quando si filtra il traffico in uscita con Firewall di Azure. Usare una funzionalità simile per altre appliance virtuali di rete.
Backup protetti gestiti centralmente: usare il controllo degli accessi in base al ruolo e le funzionalità di eliminazione ritardata per impedire l'eliminazione intenzionale o accidentale dei dati di backup necessari per ripristinare l'ambiente. Usare Azure Key Vault per gestire le chiavi di crittografia e limitare l'accesso al percorso di archiviazione dei dati di backup in modo da ridurre al minimo il rischio di eliminazione.

Usare Backup di Azure o un'altra tecnologia di backup convalidata per la soluzione Azure VMware che preveda la crittografia dei dati in transito e inattivi. Quando si usano insiemi di credenziali di Servizi di ripristino di Azure, usare i blocchi delle risorse e le funzionalità di eliminazione temporanea per evitare l'eliminazione accidentale o intenzionale dei backup. Per altre informazioni, vedere Continuità aziendale e ripristino di emergenza su scala aziendale per la soluzione Azure VMware.

Sicurezza delle macchine virtuali e delle applicazioni guest

Rilevamento avanzato delle minacce: per evitare diversi rischi per la sicurezza e violazioni dei dati, usare la protezione della sicurezza degli endpoint, la configurazione degli avvisi di sicurezza, i processi di controllo modifiche e le valutazioni delle vulnerabilità. È possibile usare Microsoft Defender for Cloud per la gestione delle minacce, la protezione degli endpoint, gli avvisi di sicurezza, l'applicazione di patch al sistema operativo e una visualizzazione centralizzata dell'applicazione della conformità alle normative. Per altre informazioni, vedere Integrare Microsoft Defender for Cloud con la soluzione Azure VMware.

Usare Azure Arc per server per eseguire l'onboarding delle macchine virtuali guest. Dopo l'onboarding, usare Azure Log Analytics, Monitoraggio di Azure e Microsoft Defender for Cloud per raccogliere log e metriche e creare dashboard e avvisi. Usare Microsoft Defender Security Center per la protezione e l'invio di avvisi relativi alle minacce associate ai guest delle macchine virtuali. Per altre informazioni, vedere Integrare e distribuire servizi nativi di Azure nella soluzione Azure VMware.

Distribuire l'agente di Log Analytics nelle macchine virtuali VMware vSphere prima di avviare una migrazione o quando si distribuiscono nuove macchine virtuali guest. Configurare l'agente Microsoft Monitoring Agent (MMA) per inviare metriche e log a un'area di lavoro Azure Log Analytics. Dopo la migrazione verificare che la macchina virtuale della soluzione Azure VMware invii gli avvisi in Monitoraggio di Azure e Microsoft Defender for Cloud.

In alternativa, usare una soluzione di un partner certificato della soluzione Azure VMware per valutare le posture di sicurezza delle macchine virtuali e garantire la conformità alle normative in base ai requisiti di Center for Internet Security (CIS).
Analisi della sicurezza: usare i dati globali di raccolta, correlazione e analisi degli eventi di sicurezza delle macchine virtuali della soluzione Azure VMware e di altre origini per rilevare cyberattacchi. Usare Microsoft Defender for Cloud come origine dati per Microsoft Sentinel. Configurare Microsoft Defender per archiviazione, Azure Resource Manager, Domain Name System (DNS) e altri servizi di Azure correlati alla distribuzione della soluzione Azure VMware. Valutare l'opportunità di usare un connettore dati della soluzione Azure VMware dati di un partner certificato.
Crittografia della macchina virtuale guest: la soluzione Azure VMware fornisce la crittografia dei dati inattivi la piattaforma di archiviazione vSAN sottostante. Alcuni carichi di lavoro e ambienti con accesso al file system potrebbe richiedere una crittografia più avanzata per proteggere i dati. In queste situazioni è consigliabile abilitare la crittografia del sistema operativo e dei dati della macchina virtuale guest. Usare gli strumenti di crittografia del sistema operativo guest nativi per crittografare le macchine virtuali guest. Usare Azure Key Vault per archiviare e proteggere le chiavi di crittografia.
Crittografia del database e monitoraggio delle attività: crittografare SQL e gli altri database nella soluzione Azure VMware per impedire un facile accesso ai dati in caso di violazione. Per i carichi di lavoro del database usare metodi di crittografia dei dati inattivi, ad esempio TDE (Transparent Data Encryption), o una funzionalità nativa equivalente del database. Assicurarsi che i carichi di lavoro usino dischi crittografati e che i segreti sensibili siano archiviati in un insieme di credenziali delle chiavi dedicato al gruppo di risorse.

Usare Azure Key Vault per le chiavi gestite dal cliente in scenari BYOK (Bring Your Own Key), ad esempio BYOK per la crittografia TDE (Transparent Data Encryption) del database SQL di Azure. Se possibile, separare i compiti di gestione delle chiavi da quelli di gestione dei dati. Per un esempio relativo all'uso di Key Vault in SQL Server 2019, vedere Usare Azure Key Vault con Always Encrypted con enclave sicuri.

Monitorare le attività insolite del database per ridurre il rischio di un attacco dall'interno. Usare il monitoraggio nativo del database, ad esempio Monitoraggio attività o una soluzione dei partner certificati per la soluzione Azure VMware. Valutare la possibilità di usare i servizi di database di Azure per controlli avanzati.
Chiavi dell'aggiornamento di sicurezza esteso (ESU, Extended Security Update): fornire e configurare chiavi ESU per eseguire il push e l'installazione degli aggiornamenti della sicurezza nelle macchine virtuali della soluzione Azure VMware. Usare lo Strumento di gestione dell'attivazione dei contratti multilicenza per configurare le chiavi ESU per il cluster della soluzione Azure VMware. Per altre informazioni, vedere Ottenere aggiornamenti della sicurezza estesi per dispositivi Windows idonei.
Sicurezza del codice: implementare nei flussi di lavoro DevOps misure per evitare vulnerabilità di sicurezza nei carichi di lavoro della soluzione Azure VMware. Usare flussi di lavoro moderni di autenticazione e autorizzazione, ad esempio Open Authorization (OAuth) e OpenID Connect.

Usare GitHub Enterprise Server nella soluzione Azure VMware per un repository con controllo delle versioni che garantisca l'integrità della codebase. Distribuire gli agenti di compilazione ed esecuzione nella soluzione Azure VMware o in un ambiente Azure sicuro.

Governance

Quando si pianifica la governance dell'ambiente e delle macchine virtuali guest, è consigliabile implementare le raccomandazioni seguenti.

Governance dell'ambiente

Spazio di archiviazione vSAN: uno spazio di archiviazione vSAN insufficiente può influire sulle garanzie del contratto di servizio. Esaminare e comprendere le responsabilità di clienti e partner nel contratto di servizio per la soluzione Azure VMware. Assegnare priorità e proprietari appropriati per gli avvisi nella metrica relativa alla percentuale di utilizzo dei dischi dell'archivio dati. Per altre informazioni e indicazioni, vedere Configurare gli avvisi e usare le metriche nella soluzione Azure VMware.
Criteri di archiviazione del modello di macchina virtuale: un criterio di archiviazione con thick provisioning predefinito può comportare la prenotazione di una quantità eccessiva di spazio di archiviazione vSAN. Creare modelli di macchina virtuale che usano criteri di archiviazione con thin provisioning in cui le prenotazioni dello spazio non sono necessarie. Se le macchine virtuali non riservano in anticipo tutto lo spazio di archiviazione, le risorse di archiviazione risultano più efficienti.
Governance delle quote host: quote host insufficienti possono causare ritardi di 5-7 giorni quando si richiede maggiore capacità host per sopperire a esigenze di crescita o nel caso di un ripristino di emergenza. Tenere in considerazione i requisiti correlati alla crescita e al ripristino di emergenza nella progettazione della soluzione quando si richiede la quota host e rivedere periodicamente la crescita dell'ambiente e i valori massimi per garantire un lead time adeguato per le richieste di espansione. Se, ad esempio, un cluster della soluzione Azure VMware a tre nodi necessita di altri tre nodi per il ripristino di emergenza, richiedere una quota host di sei nodi. Le richieste di quota host non comportano costi aggiuntivi.
Governance della tolleranza errori (FTT): stabilire impostazioni FTT commisurate alle dimensioni del cluster per garantire il contratto di servizio per la soluzione Azure VMware. Modificare i criteri di archiviazione vSAN specificando l'impostazione FTT appropriata quando si modificano le dimensioni del cluster per garantire la conformità al contratto di servizio.
Accesso a ESXi: l'accesso agli host ESXi della soluzione Azure VMware è limitato. Il software di terze parti che richiede l'accesso all'host ESXi potrebbe non funzionare. Identificare eventuale software di terze parti supportato dalla soluzione Azure VMware nell'ambiente di origine che deve accedere all'host ESXi. Acquisire familiarità con il processo delle richieste di supporto della soluzione Azure VMware nel portale di Azure e usarlo per le situazioni che richiedono l'accesso all'host ESXi.
Densità ed efficienza dell'host ESXi: per ottenere un valido ritorno sugli investimenti (ROI), comprendere l'utilizzo dell'host ESXi. Definire una densità per l'integrità delle macchine virtuali guest per ottimizzare gli investimenti della soluzione Azure VMware e monitorare l'utilizzo complessivo dei nodi rispetto a tale soglia. Ridimensionare l'ambiente della soluzione Azure VMware quando indicato dal monitoraggio e consentire un lead time sufficiente per le aggiunte di nodi.
Monitoraggio di rete: monitorare il traffico di rete interno per identificare traffico dannoso o sconosciuto o reti compromesse. Implementare vRealize Network Insight (vRNI) e vRealize Operations (vROps) per informazioni dettagliate sulle operazioni di rete soluzione Azure VMware.
Avvisi di sicurezza, manutenzione pianificata e integrità dei servizi: conoscere e visualizzare le informazioni sull'integrità del servizio per pianificare e rispondere in modo appropriato alle interruzioni e ai problemi. Configurare gli avvisi di integrità dei servizi per problemi del servizio, manutenzione pianificata, avvisi di integrità e avvisi di sicurezza della soluzione Azure VMware. Pianificare le attività dei carichi di lavoro della soluzione Azure VMware al di fuori delle finestre di manutenzione consigliate da Microsoft.
Governance dei costi: monitorare i costi per una corretta rendicontazione finanziaria e un'adeguata allocazione del budget. Usare una soluzione per la gestione dei costi per la verifica e l'allocazione dei costi, la creazione di budget, gli avvisi sui costi e un'adeguata governance finanziaria. Per gli addebiti fatturati di Azure, usare gli strumenti Gestione dei costi e fatturazione di Azure per creare budget, generare avvisi, allocare costi e generare report per gli stakeholder finanziari.
Integrazione dei servizi di Azure: evitare di usare l'endpoint pubblico del servizio PaaS (piattaforma distribuita come servizio) di Azure, che può causare l'uscita del traffico dai limiti di rete desiderati. Per assicurarsi che il traffico rimanga compreso entro un limite di rete virtuale definito, usare un endpoint privato per accedere a servizi di Azure come database SQL di Azure e Archiviazione BLOB di Azure.

Governance delle applicazioni e delle macchine virtuali del carico di lavoro

La consapevolezza del comportamento di sicurezza per le macchine virtuali del carico di lavoro soluzione Azure VMware consente di comprendere la conformità e la risposta alla sicurezza informatica e fornire una copertura completa della sicurezza per le macchine virtuali e le applicazioni guest.

Abilitare Microsoft Defender per il cloud per l'esecuzione di servizi di Azure e carichi di lavoro di macchine virtuali dell'applicazione soluzione Azure VMware.
Usare server abilitati per Azure Arc per gestire macchine virtuali guest della soluzione Azure VMware con strumenti che replicano gli strumenti delle risorse native di Azure, tra cui:
- Criteri di Azure per gestire, creare report e controllare le configurazioni e le impostazioni guest
- State Configuration di Automazione di Azure ed estensioni supportate per semplificare le distribuzioni
- Gestione aggiornamenti per gestire gli aggiornamenti per il panorama delle macchine virtuali dell'applicazione soluzione Azure VMware
- Tag per gestire e organizzare soluzione Azure VMware inventario delle macchine virtuali dell'applicazione
Per altre informazioni, vedere Panoramica dei server abilitati per Azure Arc.
Governance del dominio della macchina virtuale del carico di lavoro: per evitare processi manuali soggetti a errori, usare estensioni come le JsonADDomainExtension opzioni di automazione o equivalenti per consentire alle macchine virtuali guest di soluzione Azure VMware di aggiungere automaticamente un dominio di Active Directory.
Registrazione e monitoraggio delle macchine virtuali del carico di lavoro: abilitare le metriche di diagnostica e la registrazione nelle macchine virtuali del carico di lavoro per eseguire più facilmente il debug dei problemi del sistema operativo e dell'applicazione. Implementare funzionalità di raccolta di log e query che offrono tempi di risposta rapidi per il debug e la risoluzione dei problemi. Abilitare informazioni dettagliate sulle macchine virtuali near real time nelle macchine virtuali del carico di lavoro per rilevare i colli di bottiglia delle prestazioni e i problemi operativi. Configurare gli avvisi del log per acquisire le condizioni limite per le macchine virtuali del carico di lavoro.

Distribuire l'agente di Log Analytics (MMA) nelle macchine virtuali del carico di lavoro VMware vSphere prima della migrazione o quando si distribuiscono nuove macchine virtuali del carico di lavoro nell'ambiente soluzione Azure VMware. Configurare MMA con un'area di lavoro Azure Log Analytics e collegare l'area di lavoro Azure Log Analytics ad Automazione di Azure. Convalidare lo stato di qualsiasi agente MMA della macchina virtuale del carico di lavoro distribuito prima della migrazione con Monitoraggio di Azure dopo la migrazione.
Governance degli aggiornamenti delle macchine virtuali del carico di lavoro: gli aggiornamenti ritardati o incompleti o l'applicazione di patch sono vettori di attacco principali che possono causare l'esposizione o la compromissione soluzione Azure VMware macchine virtuali e applicazioni del carico di lavoro. Assicurarsi che le installazioni degli aggiornamenti siano aggiornate in tempo reale nelle macchine virtuali guest.
Governance dei backup delle macchine virtuali del carico di lavoro: pianificare backup regolari per evitare backup mancanti o dipendere dai backup precedenti che possono causare la perdita di dati. Usare una soluzione di backup in grado di eseguire backup pianificati e monitorare la riuscita dei backup. Monitorare gli eventi di backup e inviare avvisi per assicurarsi che i backup pianificati vengano eseguiti correttamente.
Governance del ripristino di emergenza della macchina virtuale del carico di lavoro: gli obiettivi del punto di ripristino non documentati (RPO) e i requisiti dell'obiettivo del tempo di ripristino di ripristino (RTO) possono causare esperienze dei clienti scarse e obiettivi operativi non soddisfatti durante gli eventi di continuità aziendale e ripristino di emergenza (BCDR). Implementare l'orchestrazione del ripristino di emergenza per evitare ritardi nella continuità aziendale.

Usare una soluzione di ripristino di emergenza per la soluzione Azure VMware che fornisce l'orchestrazione del ripristino di emergenza e rileva e segnala eventuali errori o problemi relativi alla corretta replica continua in un sito di ripristino di emergenza. Documentare i requisiti RPO e RTO per le applicazioni in esecuzione in Azure e nella soluzione Azure VMware. Scegliere una progettazione della soluzione per ripristino di emergenza e continuità aziendale che soddisfi requisiti RPO e RTO verificabili tramite orchestrazione.

Conformità

Prendere in considerazione e implementare le raccomandazioni seguenti durante la pianificazione per la conformità dell'ambiente soluzione Azure VMware e della macchina virtuale del carico di lavoro.

Monitoraggio di Microsoft Defender for Cloud: usare la vista relativa conformità alle normative in Defender for Cloud per monitorare la conformità con i benchmark normativi e di sicurezza. Configurare l'automazione del flusso di lavoro di Defender for Cloud per tenere traccia di eventuali deviazioni dalla postura di conformità prevista. Per altre informazioni, vedere Panoramica di Microsoft Defender for Cloud.
Conformità del ripristino di emergenza della macchina virtuale del carico di lavoro: tenere traccia della conformità della configurazione del ripristino di emergenza per soluzione Azure VMware macchine virtuali del carico di lavoro per assicurarsi che le applicazioni cruciali rimangano disponibili durante un'emergenza. Usare Azure Site Recovery o una soluzione certificata di continuità aziendale e ripristino di emergenza della soluzione Azure VMware, che offre il provisioning della replica su larga scala, il monitoraggio dello stato di non conformità e la correzione automatica.
Conformità dei backup delle macchine virtuali del carico di lavoro: tenere traccia e monitorare soluzione Azure VMware conformità dei backup delle macchine virtuali del carico di lavoro per assicurarsi che venga eseguito il backup delle macchine virtuali. Usare una soluzione partner certificata soluzione Azure VMware che offre una prospettiva su larga scala, un'analisi drill-down e un'interfaccia praticabile per il rilevamento e il monitoraggio del backup delle macchine virtuali del carico di lavoro.
Conformità specifica per paese/area geografica o settore: per evitare costose azioni legali e multe, garantire la conformità dei carichi di lavoro soluzione Azure VMware con normative specifiche per il paese o l'area geografica e il settore. Conoscere il modello di responsabilità condivisa del cloud per la conformità alle normative dell'area o del settore. Usare Service Trust Portal per visualizzare o scaricare i report della soluzione Azure VMware e di controllo di Azure a supporto dell'intera storia della conformità.

Implementare la creazione di report di controllo del firewall su endpoint HTTP/S e non HTTP/S per la conformità ai requisiti normativi.
Conformità dei criteri aziendali: monitorare soluzione Azure VMware conformità delle macchine virtuali del carico di lavoro con i criteri aziendali per evitare violazioni delle regole e delle normative aziendali. Usare i server abilitati per Azure Arc e Criteri di Azure oppure una soluzione di terze parti equivalente. Valutare e gestire regolarmente soluzione Azure VMware macchine virtuali e applicazioni del carico di lavoro per la conformità alle normative applicabili alle normative interne ed esterne.
Requisiti di residenza e conservazione dei dati: la soluzione Azure VMware non supporta la conservazione o l'estrazione dei dati archiviati nei cluster. L'eliminazione di un cluster determina la terminazione di tutti i carichi di lavoro e di tutti i componenti in esecuzione e l'eliminazione definitiva di tutti i dati e di tutte le impostazioni di configurazione del cluster, inclusi gli indirizzi IP pubblici. Questi dati non possono essere recuperati.

La soluzione Azure VMware non garantisce che tutti i metadati e i dati di configurazione per l'esecuzione del servizio siano presenti solo nell'area geografica distribuita. Se i requisiti di residenza dei dati richiedono la presenza di tutti i dati nell'area distribuita, contattare il supporto tecnico della soluzione Azure VMware per assistenza.
Elaborazione dei dati: leggere e comprendere le note legali all'atto della registrazione. Prestare attenzione al contratto di elaborazione dati VMware per i clienti della soluzione Microsoft Azure VMware trasferiti per il supporto di livello 3. Se per un problema è richiesto il supporto di VMware, Microsoft condivide i dati dei servizi professionali e i dati personali associati con VMware. Da quel momento in poi, Microsoft e VMware agiscono come responsabili del trattamento dei dati indipendenti.

Passaggi successivi

Questo articolo si basa sui principi e sulle linee guida di progettazione dell'architettura della zona di destinazione su scala aziendale di Cloud Adoption Framework. Per altre informazioni, vedere:

L'articolo fa parte di una serie di articoli in cui vengono applicati i principi e le raccomandazioni delle zone di destinazione su scala aziendale alle distribuzioni della soluzione Azure VMware. Altri articoli della serie includono:

Leggere l'articolo successivo della serie:

Gestione e monitoraggio su scala aziendale per la soluzione Azure VMware