Considerazioni sulla sicurezza per i carichi di lavoro soluzione Azure VMware

Questo articolo illustra l'area di progettazione della sicurezza di un carico di lavoro soluzione Azure VMware. La discussione illustra varie misure per aiutare a proteggere e proteggere i carichi di lavoro soluzione Azure VMware. Queste misure consentono di proteggere l'infrastruttura, i dati e le applicazioni. Questo approccio alla sicurezza è uno olistico che si allinea alle priorità principali di un'organizzazione.

La protezione soluzione Azure VMware richiede un modello di responsabilità condiviso, in cui Microsoft Azure e VMware sono entrambi responsabili di determinati aspetti della sicurezza. Per implementare misure di sicurezza appropriate, garantire una chiara comprensione del modello di responsabilità condivisa e della collaborazione tra team IT, VMware e Microsoft.

gestire la conformità e la governance

Impatto: Sicurezza, Eccellenza operativa

È importante rilevare i server non conformi. È possibile usare Azure Arc per questo scopo. Azure Arc estende le funzionalità di gestione di Azure e i servizi di Azure agli ambienti locali o multicloud. Fornendo gestione centralizzata e governance per i server, Azure Arc offre una visualizzazione a riquadro singolo per l'applicazione di aggiornamenti e correzioni ad accesso frequente. Il risultato è un'esperienza coerente per la gestione dei componenti da Azure, sistemi locali e soluzione Azure VMware.

Consigli

• Configurare soluzione Azure VMware macchine virtuali guest come server abilitati per Azure Arc. Per i metodi che è possibile usare per connettere i computer, vedere Opzioni di distribuzione dell'agente di macchine connesse di Azure.
• Distribuire una soluzione di terze parti certificata o Azure Arc per soluzione Azure VMware (anteprima).
• Usare Criteri di Azure per i server abilitati per Azure Arc per controllare e applicare i controlli di sicurezza nelle macchine virtuali guest soluzione Azure VMware.

Proteggere il sistema operativo guest

Impatto: Sicurezza

Se non si esegue la patch e si aggiorna regolarmente il sistema operativo, è possibile renderlo soggetto a vulnerabilità e mettere a rischio l'intera piattaforma. Quando si applicano regolarmente patch, si mantiene aggiornato il sistema. Quando si usa anche una soluzione di protezione degli endpoint, è possibile impedire ai vettori di attacco comuni di puntare al sistema operativo. È anche importante eseguire regolarmente analisi e valutazioni delle vulnerabilità. Questi strumenti consentono di identificare e correggere i punti deboli e le vulnerabilità della sicurezza.

Microsoft Defender for Cloud offre strumenti univoci che forniscono una protezione avanzata delle minacce tra macchine virtuali soluzione Azure VMware e locali, tra cui:

• Monitoraggio dell'integrità dei file.
• Rilevamento degli attacchi senza file.
• Valutazione delle patch del sistema operativo.
• Valutazione della mancata configurazione della sicurezza.
• Valutazione di Endpoint Protection.

Consigli

• Installare un agente di sicurezza di Azure in soluzione Azure VMware macchine virtuali guest tramite Azure Arc per monitorare le configurazioni e le vulnerabilità della sicurezza.
• Configurare i computer Azure Arc per creare automaticamente un'associazione con la regola di raccolta dati predefinita per Defender for Cloud.
• Nella sottoscrizione usata per distribuire ed eseguire il cloud privato soluzione Azure VMware usare un piano Defender for Cloud che include la protezione per i server.
• Se si dispone di macchine virtuali guest con vantaggi di sicurezza estesi nel cloud privato soluzione Azure VMware, distribuire regolarmente gli aggiornamenti della sicurezza. Usare il Strumento di gestione dell'attivazione dei contratti multilicenza per distribuire questi aggiornamenti.

Crittografare i dati

Impatto: Sicurezza, Eccellenza operativa

La crittografia dei dati è un aspetto importante della protezione del carico di lavoro soluzione Azure VMware dall'accesso non autorizzato e dalla conservazione dell'integrità dei dati sensibili. La crittografia include i dati inattivi nei sistemi e nei dati in transito.

Consigli

• Crittografare gli archivi dati VMware vSAN con chiavi gestite dal cliente per crittografare i dati inattivi.
• Usare strumenti di crittografia nativi, ad esempio BitLocker, per crittografare le macchine virtuali guest.
• Usare le opzioni di crittografia del database native per i database eseguiti in soluzione Azure VMware macchine virtuali guest del cloud privato. Ad esempio, è possibile usare la crittografia dati trasparente (TDE) per SQL Server.
• Monitorare le attività del database per attività sospette. È possibile usare strumenti di monitoraggio del database nativi come SQL Server Monitoraggio attività per questo scopo.

Implementare la sicurezza di rete

Impatto: Eccellenza operativa

L'obiettivo della sicurezza di rete è impedire l'accesso non autorizzato ai componenti soluzione Azure VMware. Un metodo per raggiungere questo obiettivo consiste nell'implementare i limiti tramite la segmentazione di rete. Questa procedura consente di isolare le applicazioni. Come parte della segmentazione, una LAN virtuale opera a livello di collegamento dati. Tale LAN virtuale fornisce la separazione fisica delle macchine virtuali partizionando la rete fisica in quelle logiche per separare il traffico.

I segmenti vengono quindi creati per fornire funzionalità di sicurezza avanzate e routing. Ad esempio, l'applicazione, il Web e il livello di database possono avere segmenti separati in un'architettura a tre livelli. L'applicazione può aggiungere un livello di micro-segmentazione usando regole di sicurezza per limitare la comunicazione di rete tra le macchine virtuali in ogni segmento.

I router di livello 1 sono posizionati davanti ai segmenti. Questi router forniscono funzionalità di routing all'interno del data center definito dal software (SDDC). È possibile distribuire più router di livello 1 per separare diversi set di segmenti o per ottenere un routing specifico. Si supponga, ad esempio, di voler limitare East-West traffico verso e dall'ambiente di produzione, sviluppo e test dei carichi di lavoro. È possibile usare livelli di livello 1 distribuiti per segmentare e filtrare il traffico in base a regole e criteri specifici.

Consigli

• Usare i segmenti di rete per separare e monitorare logicamente i componenti.
• Usare le funzionalità di micro-segmentazione native di VMware NSX-T Data Center per limitare la comunicazione di rete tra i componenti dell'applicazione.
• Usare un'appliance di routing centralizzata per proteggere e ottimizzare il routing tra segmenti.
• Usare router di livello 1 non aggiornati quando la segmentazione di rete è guidata dalla sicurezza dell'organizzazione o dai criteri di rete, dai requisiti di conformità, dalle business unit, dai reparti o dagli ambienti.

Usare un sistema di rilevamento e prevenzione delle intrusioni (IDPS)

Impatto: Sicurezza

Un IDPS consente di rilevare e prevenire attacchi basati sulla rete e attività dannose nell'ambiente di soluzione Azure VMware.

Consigli

• Usare il firewall distribuito VMware NSX-T data center per consentire di rilevare modelli dannosi e malware in East-West traffico tra i componenti soluzione Azure VMware.
• Usare un servizio di Azure, ad esempio Firewall di Azure o un'appliance virtuale di rete di terze parti certificata eseguita in Azure o in soluzione Azure VMware.

Usare il controllo degli accessi in base al ruolo e l'autenticazione a più fattori

Impatto: Sicurezza, Eccellenza operativa

La sicurezza delle identità consente di controllare l'accesso ai carichi di lavoro cloud privati soluzione Azure VMware e alle applicazioni eseguite su di essi. È possibile usare il controllo degli accessi in base al ruolo per assegnare ruoli e autorizzazioni appropriati per utenti e gruppi specifici. Questi ruoli e autorizzazioni vengono concessi in base al principio dei privilegi minimi.

È possibile applicare l'autenticazione a più fattori per l'autenticazione utente per fornire un livello aggiuntivo di sicurezza rispetto all'accesso non autorizzato. Vari metodi di autenticazione a più fattori, ad esempio notifiche push per dispositivi mobili, offrono un'esperienza utente conveniente e consentono anche di garantire l'autenticazione avanzata. È possibile integrare soluzione Azure VMware con Microsoft Entra ID per centralizzare la gestione degli utenti e sfruttare Microsoft Entra funzionalità di sicurezza avanzate. Esempi di funzionalità includono gestione delle identità con privilegi, autenticazione a più fattori e accesso condizionale.

Consigli

• Usare Microsoft Entra Privileged Identity Management per consentire l'accesso associato a tempo alle operazioni portale di Azure e riquadro di controllo. Usare la cronologia di controllo di gestione delle identità con privilegi per tenere traccia delle operazioni eseguite da account con privilegi elevati.
• Ridurre il numero di account Microsoft Entra che possono:
  • Accedere alle API e alle portale di Azure.
  • Passare al cloud privato soluzione Azure VMware.
  • Leggere gli account di amministrazione di VMware vCenter Server e VMware NSX-T Data Center.
• Ruotare le credenziali dell'account locale cloudadmin per VMware vCenter Server e VMware NSX-T Data Center per impedire l'uso improprio e l'abuso di questi account amministrativi. Usare questi account solo in scenari di vetro di interruzione . Creare gruppi di server e utenti per VMware vCenter Server e assegnarle identità da origini di identità esterne. Usare questi gruppi e utenti per operazioni specifiche di VMware vCenter Server e VMware NSX-T Data Center.
• Usare un'origine di identità centralizzata per configurare i servizi di autenticazione e autorizzazione per le macchine virtuali e le applicazioni guest.

Monitorare la sicurezza e rilevare le minacce

Impatto: Sicurezza, Eccellenza operativa

Il monitoraggio della sicurezza e il rilevamento delle minacce comportano il rilevamento e la risposta alle modifiche apportate al comportamento di sicurezza dei carichi di lavoro del cloud privato soluzione Azure VMware. È importante seguire le procedure consigliate del settore e rispettare i requisiti normativi, tra cui:

• L'assicurazione sanitaria portability e accountability Act (HIPAA).
• Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS).

È possibile usare uno strumento siem (Security Information And Event Management) o Microsoft Sentinel per aggregare, monitorare e analizzare i log e gli eventi di sicurezza. Queste informazioni consentono di rilevare e rispondere alle potenziali minacce. L'esecuzione regolare delle verifiche di controllo consente anche di annullare le minacce. Quando si monitora regolarmente l'ambiente di soluzione Azure VMware, si è in una posizione migliore per garantire l'allineamento con gli standard e i criteri di sicurezza.

Consigli

• Automatizzare le risposte alle raccomandazioni da Defender for Cloud usando i criteri di Azure seguenti:
  • Automazione dei flussi di lavoro per gli avvisi di sicurezza
  • Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza
  • Automazione del flusso di lavoro per le modifiche alla conformità alle normative
• Distribuire Microsoft Sentinel e impostare la destinazione in un'area di lavoro Log Analytics per raccogliere i log dalle macchine virtuali guest del cloud privato soluzione Azure VMware.
• Usare un connettore dati per connettere Microsoft Sentinel e Defender for Cloud.
• Automatizzare le risposte alle minacce usando i playbook di Microsoft Sentinel e le regole di Automazione di Azure.

Stabilire una baseline di sicurezza

Impatto: Sicurezza

Il benchmark di sicurezza cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Questa baseline di sicurezza applica i controlli definiti dal benchmark di sicurezza cloud Microsoft versione 1.0 a Criteri di Azure.

Consigli

• Per proteggere il carico di lavoro, applicare le raccomandazioni fornite nella baseline di sicurezza di Azure per soluzione Azure VMware.

Passaggi successivi

Dopo aver esaminato le procedure consigliate per proteggere soluzione Azure VMware, analizzare le procedure di gestione operative per ottenere un'eccellenza aziendale.

Operazioni

Usare lo strumento di valutazione per valutare le scelte di progettazione.

Valutazione