Azure VMware Solution에 대한 보안, 거버넌스 및 규정 준수

아티클
04/27/2023

이 문서에서는 수명 주기 동안 Azure VMware Solution을 안전하게 구현하고 전체적으로 관리하는 방법을 설명합니다. 이 문서에서는 특정 디자인 요소를 살펴보고 Azure VMware Solution 보안, 거버넌스 및 규정 준수에 대한 대상 권장 사항을 제공합니다.

보안

Azure VMware Solution 내에서 기능을 수행할 수 있는 시스템, 사용자 또는 디바이스를 결정하고 전체 플랫폼을 보호하는 방법을 결정할 때는 다음 요소를 고려합니다.

ID 보안

영구 액세스 제한: Azure VMware Solution은 Azure VMware Solution 프라이빗 클라우드를 호스트하는 Azure 리소스 그룹의 기여자 역할을 사용합니다. 의도하거나 의도하지 않은 기여자 권한 남용을 방지하기 위해 영구 액세스를 제한합니다. 권한 있는 계정 관리 솔루션을 사용하여 권한이 높은 계정의 사용 시간을 감사하고 제한합니다.

Azure PIM(Privileged Identity Management) 내에 Microsoft Entra ID 권한 있는 액세스 그룹을 만들어 Microsoft Entra 사용자 및 서비스 주체 계정을 관리합니다. 이 그룹을 사용하여 시간 바인딩된 근거 기반 액세스를 통해 Azure VMware Solution 클러스터를 만들고 관리합니다. 자세한 내용은 권한 있는 액세스 그룹에 적격 소유자 및 구성원 할당을 참조하세요.

Azure VMware Solution 관리 작업, 작업 및 할당에 대해 Microsoft Entra PIM 감사 기록 보고서를 사용합니다. 장기 감사 보존 요구 사항에 따라 Azure Storage에 보고서를 보관할 수 있습니다. 자세한 내용은 PIM(Privileged Identity Management)에서 권한 있는 액세스 그룹 할당에 대한 감사 보고서 보기를 참조하세요.
중앙 집중형 ID 관리: Azure VMware Solution은 VMware 프라이빗 클라우드 환경을 구성하기 위한 클라우드 관리자 및 네트워크 관리자 자격 증명을 제공합니다. 이러한 관리 계정은 Azure VMware Solution에 대한 RBAC(역할 기반 액세스 제어) 액세스 권한이 있는 모든 기여자에게 표시됩니다.

기본 제공 cloudadmin 및 네트워크 관리자 사용자가 VMware 프라이빗 클라우드 컨트롤 플레인에 과도하게 액세스하거나 액세스 권한을 남용하지 않도록 하려면 VMware 프라이빗 클라우드 컨트롤 플레인 RBAC 기능을 사용하여 역할 및 계정 액세스를 적절히 관리합니다. 최소 권한 원칙을 사용하여 사용자 및 그룹과 같은 여러 대상 ID 개체를 만듭니다. Azure VMware Solution에서 제공하는 관리자 계정에 대한 액세스를 제한하고 비상 구성으로 계정을 구성합니다. 다른 모든 관리 계정을 사용할 수 없는 경우에만 기본 제공 계정을 사용합니다.

제공된 cloudadmin 계정을 사용하여 AD DS(Active Directory 도메인 Services) 또는 Microsoft Entra Do기본 Services를 VMware vCenter Server 및 NSX-T Data Center 제어 애플리케이션과 통합하고 서비스 관리 ID를 기본. Azure VMware Solution 관리 및 작업에 도메인 서비스 기반 사용자 및 그룹을 사용하고 계정 공유를 허용하지 않습니다. VMware 프라이빗 클라우드 제어 표면에 대한 세분화된 권한 있는 액세스 제어를 위해 vCenter Server 사용자 지정 역할을 만들고 AD DS 그룹과 연결합니다.

Azure VMware Solution 옵션을 사용하여 vCenter Server 및 NSX-T Data Center 관리 계정 암호를 회전하고 재설정할 수 있습니다. 이러한 계정의 정기적인 회전을 구성한 다음, 비상 구성을 사용할 때마다 계정을 회전합니다. 자세한 내용은 Azure VMware Solution용 cloudadmin 자격 증명 회전을 참조하세요.
게스트 VM(가상 머신) ID 관리: Azure VMware Solution 게스트에 대한 중앙 집중형 인증 및 권한 부여를 제공하여 효율적인 애플리케이션 관리를 제공하고 비즈니스 데이터 및 프로세스에 대한 무단 액세스를 방지합니다. 수명 주기의 일부로 Azure VMware Solution 게스트 및 애플리케이션을 관리합니다. 중앙 집중형 ID 관리 솔루션을 사용하여 관리 및 애플리케이션 사용을 인증하고 권한을 부여하도록 게스트 VM을 구성합니다.

Azure VMware Solution 게스트 VM 및 애플리케이션 ID 관리에 중앙 집중형 AD DS 또는 LDAP(Lightweight Directory Access Protocol) 서비스를 사용합니다. 가동 중단 시 지속적인 기능을 보장하려면 도메인 서비스 아키텍처에서 중단 시나리오를 고려해야 합니다. 고급 관리 및 원활한 게스트 인증 및 권한 부여 환경을 위해 Microsoft Entra ID를 사용하여 AD DS 구현을 커넥트.

환경 및 네트워크 보안

네이티브 네트워크 보안 기능: 트래픽 필터링, OWASP(Open Web Application Security Project) 규칙 준수, 통합 방화벽 관리 및 DDoS(분산 서비스 거부) 보호와 같은 네트워크 보안 제어를 구현합니다.
- 트래픽 필터링은 세그먼트 간의 트래픽을 제어합니다. 게스트 네트워크 세그먼트 간의 액세스를 제한하려면 NSX-T Data Center 또는 NVA(네트워크 가상 어플라이언스) 기능을 사용하여 게스트 네트워크 트래픽 필터링 디바이스를 구현합니다.
- OWASP 핵심 규칙 집합 준수는 일반적인 웹 공격으로부터 Azure VMware Solution 게스트 웹 애플리케이션 워크로드를 보호합니다. Azure Application Gateway WAF(Web Application Firewall)의 OWASP 기능을 사용하여 Azure VMware Solution 게스트에 호스트된 웹 애플리케이션을 보호합니다. 최신 정책을 사용하여 방지 모드를 사용하도록 설정하고 WAF 로그를 로깅 전략에 통합해야 합니다. 자세한 내용은 Azure Web Application Firewall 소개를 참조하세요.
- 통합 방화벽 규칙 관리는 중복되거나 누락된 방화벽 규칙으로 인해 무단 액세스의 위험이 증가하는 것을 방지합니다. 방화벽 아키텍처는 Azure VMware Solution에 대한 더 큰 네트워크 관리 및 환경 보안 태세에 기여합니다. 트래픽 흐름, 검사, 중앙 집중식 규칙 관리 및 이벤트 수집을 허용하는 상태 저장 관리형 방화벽 아키텍처를 사용합니다.
- DDoS 보호는 재정적 손실 또는 사용자 환경 저하를 야기하는 공격으로부터 Azure VMware Solution 워크로드를 보호합니다. Azure VMware Solution 연결에 대한 ExpressRoute 종료 게이트웨이를 호스트하는 Azure 가상 네트워크에 DDoS 보호를 적용합니다. DDoS 보호의 자동 적용을 위해 Azure Policy를 사용하는 것이 좋습니다.
CMK(고객 관리형 키) 를 사용한 VSAN 암호화를 사용하면 Azure Key Vault에 저장된 고객이 제공한 암호화 키로 Azure VMware Solution VSAN 데이터 저장소를 암호화할 수 있습니다. 이 기능을 사용하여 키 회전 정책 준수 또는 키 수명 주기 이벤트 관리와 같은 규정 준수 요구 사항을 충족할 수 있습니다. 자세한 구현 지침 및 제한은 Azure VMware Solution의 미사용 고객 관리형 키 암호화 구성을 참조 하세요.
제어된 vCenter Server 액세스: Azure VMware Solution vCenter Server에 대한 제어되지 않은 액세스로 인해 공격 노출 영역이 증가할 수 있습니다. 전용 PAW(권한 있는 액세스 워크스테이션)를 사용하여 Azure VMware Solution vCenter Server 및 NSX-T Manager에 안전하게 액세스합니다. 사용자 그룹을 만들고 이 사용자 그룹에 개별 사용자 계정을 추가합니다.
게스트 워크로드에 대한 인바운드 인터넷 요청 로깅: 게스트 VM에 들어오는 요청에 대한 감사 로그를 유지하는 Azure Firewall 또는 승인된 NVA를 사용합니다. 적절한 모니터링 및 경고를 위해 이러한 로그를 SIEM(보안 인시던트 및 이벤트 관리) 솔루션으로 가져옵니다. 기존 SIEM 솔루션에 통합하기 전에 Microsoft Sentinel을 사용하여 Azure 이벤트 정보 및 로깅을 처리합니다. 자세한 내용은 Azure VMware Solution과 클라우드용 Microsoft Defender 통합을 참조하세요.
아웃바운드 인터넷 연결 보안을 위한 세션 모니터링: Azure VMware Solution의 아웃바운드 인터넷 연결에 대한 규칙 제어 또는 세션 감사를 사용하여 예기치 않거나 의심스러운 아웃바운드 인터넷 활동을 식별합니다. 최대 보안을 위해 아웃바운드 네트워크 검사를 배치할 시기와 위치를 결정합니다. 자세한 내용은 Azure VMware Solution에 대한 엔터프라이즈급 네트워크 토폴로지 및 연결을 참조하세요.

Azure VMware Solution의 기본 인터넷 연결을 사용하는 대신 아웃바운드 인터넷 연결에 특수 방화벽, NVA 및 Virtual WAN(가상 광역 네트워크) 서비스를 사용합니다. 자세한 내용 및 디자인 권장 사항은 Azure Virtual Network에서 네트워크 가상 어플라이언스를 사용하여 Azure VMware Solution 트래픽 검사를 참조하세요.

Azure Firewall을 사용하여 송신 트래픽을 필터링할 때 식별을 위해 Virtual Network 및 FQDN(정규화된 도메인 이름) 태그와 같은 서비스 태그를 사용합니다. 다른 NVA에 유사한 기능을 사용합니다.
중앙에서 관리되는 보안 백업: RBAC 및 지연된 삭제 기능을 사용하여 환경을 복구하는 데 필요한 백업 데이터가 의도적으로 또는 실수로 삭제되는 것을 방지할 수 있습니다. Azure Key Vault를 사용하여 암호화 키를 관리하고 백업 데이터 스토리지 위치에 대한 액세스를 제한하여 삭제 위험을 최소화합니다.

전송 중 및 미사용 시 암호화를 제공하는 Azure VMware Solution에 대해 유효성이 검사된 Azure Backup 또는 다른 백업 기술을 사용합니다. Azure Recovery Services 자격 증명 모음을 사용하는 경우 리소스 잠금 및 일시 삭제 기능을 사용하여 실수에 의한 백업 삭제 또는 의도적인 백업 삭제로부터 보호합니다. 자세한 내용은 Azure VMware Solution에 대한 엔터프라이즈급 비즈니스 연속성 및 재해 복구를 참조하세요.

게스트 애플리케이션 및 VM 보안

고급 위협 탐지: 다양한 보안 위험 및 데이터 침해를 방지하려면 엔드포인트 보안 보호, 보안 경고 구성, 변경 제어 프로세스 및 취약성 평가를 사용합니다. 위협 관리, 엔드포인트 보호, 보안 경고, OS 패치 및 규정 준수 적용에 대한 중앙 집중식 보기를 위해 클라우드용 Microsoft Defender를 사용할 수 있습니다. 자세한 내용은 Azure VMware Solution과 클라우드용 Microsoft Defender 통합을 참조하세요.

서버용 Azure Arc를 사용하여 게스트 VM을 온보딩합니다. 온보딩되면 Azure Log Analytics, Azure Monitor 및 클라우드용 Microsoft Defender를 사용하여 로그 및 메트릭을 수집하고 대시보드 및 경고를 만듭니다. Microsoft Defender 보안 센터를 사용하여 VM 게스트와 관련된 위협을 방지하고 경고합니다. 자세한 내용은 Azure VMware Solution에서 Azure 네이티브 서비스 통합 및 배포를 참조하세요.

마이그레이션을 시작하기 전에 또는 새 게스트 VM을 배포할 때 VMware vSphere VM에 Log Analytics 에이전트를 배포합니다. 메트릭 및 로그를 Azure Log Analytics 작업 영역으로 보내도록 MMA 에이전트를 구성합니다. 마이그레이션 후 Azure VMware Solution VM이 Azure Monitor 및 클라우드용 Microsoft Defender에서 경고를 보고했는지 확인합니다.

또는 Azure VMware Solution 인증 파트너의 솔루션을 사용하여 VM 보안 상태를 평가하고 CIS(인터넷 보안 센터) 요구 사항에 대한 규정 준수를 제공합니다.
보안 분석: Azure VMware Solution VM 및 기타 소스의 통합된 보안 이벤트 수집, 상관 관계 및 분석을 사용하여 사이버 공격을 탐지합니다. Microsoft Sentinel에 대한 데이터 원본으로 클라우드용 Microsoft Defender를 사용합니다. Storage, Azure Resource Manager, DNS(Domain Name System) 및 Azure VMware Solution 배포와 관련된 기타 Azure 서비스를 위한 Microsoft Defender를 구성합니다. 인증된 파트너의 Azure VMware Solution 데이터 커넥터를 사용하는 것이 좋습니다.
게스트 VM 암호화: Azure VMware Solution은 기본 vSAN 스토리지 플랫폼에 대한 미사용 데이터 암호화를 제공합니다. 파일 시스템 액세스 권한이 있는 일부 워크로드 및 환경에서는 데이터를 보호하기 위해 더 많은 암호화가 필요할 수 있습니다. 이러한 상황에서는 게스트 VM OS(운영 체제) 및 데이터의 암호화를 사용하도록 설정하는 것이 좋습니다. 게스트 VM을 암호화하려면 네이티브 게스트 OS 암호화 도구를 사용합니다. 암호화 키를 저장하고 보호하려면 Azure Key Vault를 사용합니다.
데이터베이스 암호화 및 활동 모니터링: Azure VMware Solution에서 SQL 및 기타 데이터베이스를 암호화하여 데이터 침해 시 쉬운 데이터 액세스를 방지합니다. 데이터베이스 워크로드의 경우 TDE(투명한 데이터 암호화) 또는 이와 동등한 네이티브 데이터베이스 기능 등의 미사용 암호화 방법을 사용합니다. 워크로드가 암호화된 디스크를 사용하고 중요한 비밀은 리소스 그룹 전용 키 자격 증명 모음에 저장되어야 합니다.

Azure SQL Database TDE(투명한 데이터 암호화)를 위한 BYOK와 같은 BYOK(Bring Your Own Key) 시나리오에서 고객 관리형 키에 Azure Key Vault를 사용합니다. 가능한 경우 키 관리 및 데이터 관리 업무를 분리합니다. SQL Server 2019에서 Key Vault를 사용하는 방법에 대한 예제는 보안 enclave를 사용한 Always Encrypted와 함께 Azure Key Vault 사용을 참조하세요.

비정상적인 데이터베이스 활동을 모니터링하여 내부자 공격의 위험을 줄입니다. 활동 모니터 또는 Azure VMware Solution 인증 파트너 솔루션과 같은 네이티브 데이터베이스 모니터링을 사용합니다. 향상된 감사 컨트롤을 위해 Azure 데이터베이스 서비스를 사용하는 것이 좋습니다.
ESU(확장 보안 업데이트) 키: Azure VMware Solution VM에 보안 업데이트를 푸시 및 설치하도록 ESU 키를 제공하고 구성합니다. Azure VMware Solution 클러스터에 대해 ESU 키를 구성하는 데 볼륨 정품 인증 관리 도구 사용합니다. 자세한 내용은 적격 Windows 디바이스에 대한 확장 보안 업데이트 가져오기를 참조하세요.
코드 보안: DevOps 워크플로에서 보안 조치를 구현하여 Azure VMware Solution 워크로드의 보안 취약성을 방지합니다. OAuth(Open Authorization) 및 OpenID Connect 같은 최신 인증 및 권한 부여 워크플로를 사용합니다.

코드 베이스의 무결성을 보장하는 버전이 있는 리포지토리의 경우 Azure VMware Solution의 GitHub Enterprise Server를 사용합니다. Azure VMware Solution 또는 보안 Azure 환경에서 빌드 및 실행 에이전트를 배포합니다.

거버넌스

환경 및 게스트 VM 거버넌스를 계획할 때는 다음 권장 사항을 구현하는 것이 좋습니다.

환경 거버넌스

vSAN 스토리지 공간: vSAN 스토리지 공간이 부족하면 SLA 보장에 영향을 미칠 수 있습니다. Azure VMware Solution용 SLA에서 고객 및 파트너 책임을 검토하고 이해합니다. 사용된 데이터 저장소 디스크 백분율 메트릭에 대한 경고에 대해 적절한 우선 순위 및 소유자를 할당합니다. 자세한 내용 및 지침은 Azure VMware Solution에서 경고 구성 및 메트릭 작업을 참조하세요.
VM 템플릿 스토리지 정책: 기본 씩 프로비전 스토리지 정책으로 인해 vSAN 스토리지가 너무 많이 예약될 수 있습니다. 공간 예약이 필요하지 않은 씬 프로비전 스토리지 정책을 사용하는 VM 템플릿을 만듭니다. 전체 스토리지 용량을 미리 예약하지 않는 VM은 보다 효율적으로 스토리지 리소스를 사용할 수 있습니다.
호스트 할당량 거버넌스: 호스트 할당량이 부족하면 증가 또는 DR(재해 복구) 요구에 필요한 호스트 용량을 더 가져오는 데 5-7일이 지연됩니다. 호스트 할당량을 요청할 때 솔루션 디자인에 증가 및 DR 요구 사항을 고려하고, 주기적으로 환경 확장 및 최대값을 검토하여 확장 요청에 적절한 리드 타임을 보장합니다. 예를 들어 3개 노드 Azure VMware Solution 클러스터에 DR을 위한 3개 노드가 더 필요한 경우 6개 노드의 호스트 할당량을 요청합니다. 호스트 할당량 요청에는 추가 비용이 발생하지 않습니다.
FTT(허용 실패) 거버넌스: 클러스터 크기에 상응하는 FTT 설정을 통해 Azure VMware Solution에 대한 SLA를 유지 관리합니다. 클러스터 크기를 변경할 때 vSAN 스토리지 정책을 적절한 FTT 설정으로 조정하여 SLA 규정 준수를 보장합니다.
ESXi 액세스: Azure VMware Solution ESXi 호스트에 대한 액세스를 제한합니다. ESXi 호스트 액세스가 필요한 타사 소프트웨어가 작동하지 않을 수 있습니다. ESXi 호스트에 액세스해야 하는 소스 환경에서 Azure VMware Solution이 지원하는 타사 소프트웨어를 식별합니다. ESXi 호스트 액세스가 필요한 상황인 경우 Azure Portal에서 Azure VMware Solution 지원 요청 프로세스를 숙지하고 사용합니다.
ESXi 호스트 밀도 및 효율성: 양호한 ROI(투자 수익률)를 위해 ESXi 호스트 사용률을 파악합니다. 게스트 VM의 정상 밀도를 정의하여 Azure VMware Solution 투자를 최대화하고 해당 임계값에 대한 전체 노드 사용률을 모니터링합니다. 모니터링에서 권고되는 경우 Azure VMware Solution 환경의 크기를 조정하고 노드를 추가하기에 충분한 리드 타임을 허용합니다.
네트워크 모니터링: 악의적이거나 알 수 없는 트래픽 또는 손상된 네트워크에 대해 내부 네트워크 트래픽을 모니터링합니다. Azure VMware Solution 네트워킹 작업에 대한 자세한 인사이트를 얻으려면 vRNI(vRealize Network Insights) 및 vROps(vRealize Operations)를 구현합니다.
보안, 계획된 유지 관리 및 Service Health 경고: 서비스 상태를 파악하고 확인하여 가동 중단 및 문제를 적절하게 계획하고 대응합니다. Azure VMware Solution 서비스 문제, 계획된 유지 관리, 상태 권고 및 보안 권고에 대한 Service Health 경고를 구성합니다. Microsoft에서 제안한 유지 관리 기간 외에 Azure VMware Solution 워크로드 작업을 예약하고 계획합니다.
비용 거버넌스: 적절한 재무 책임 및 예산 할당에 대한 비용을 모니터링합니다. 비용 추적, 비용 할당, 예산 생성, 비용 경고 및 적절한 재무 거버넌스를 위해 비용 관리 솔루션을 사용합니다. Azure 청구 요금의 경우 Azure Cost Management + 청구 도구를 사용하여 예산을 만들고, 경고를 생성하고, 비용을 할당하고, 재무 관련자를 위한 보고서를 생성합니다.
Azure 서비스 통합: 트래픽이 원하는 네트워크 경계를 벗어날 수 있는 Azure PaaS(Platform as a Service)의 퍼블릭 엔드포인트를 사용하지 않도록 합니다. 정의된 가상 네트워크 경계 내에서 트래픽이 유지되도록 하려면 프라이빗 엔드포인트를 사용하여 Azure SQL Database 및 Azure Blob Storage 같은 Azure 서비스에 액세스합니다.

워크로드 애플리케이션 및 VM 거버넌스

Azure VMware Solution 워크로드 VM에 대한 보안 태세 인식은 사이버 보안 준비 및 대응을 이해하고 게스트 VM 및 애플리케이션에 대한 완전한 보안 범위를 제공하는 데 도움이 됩니다.

Azure 서비스 및 Azure VMware Solution 애플리케이션 VM 워크로드를 실행하기 위해 클라우드용 Microsoft Defender를 사용하도록 설정합니다.
다음을 포함한 Azure 네이티브 리소스 도구를 복제하는 도구를 사용하여 Azure VMware Solution 게스트 VM을 관리하려면 Azure Arc 지원 서버를 사용합니다.
- 게스트 구성 및 설정을 제어, 보고 및 감사하는 Azure Policy
- 배포를 간소화하기 위한 Azure Automation State Configuration 및 지원되는 확장
- Azure VMware Solution 애플리케이션 VM 환경에 대한 업데이트를 관리하기 위한 업데이트 관리
- Azure VMware Solution 애플리케이션 VM 인벤토리를 관리하고 구성하는 태그
자세한 내용은 Azure Arc 지원 서버 개요를 참조하세요.
워크로드 VM 도메인 거버넌스: 오류가 발생하기 쉬운 수동 프로세스를 방지하려면 JsonADDomainExtension과 같은 확장 또는 그와 동등한 자동화 옵션을 사용하여 Azure VMware Solution 게스트 VM이 Active Directory 도메인에 자동으로 조인되도록 합니다.
워크로드 VM 로깅 및 모니터링: 워크로드 VM에 대한 진단 메트릭 및 로깅을 사용하도록 설정하여 OS 및 애플리케이션 문제를 보다 쉽게 디버그할 수 있습니다. 디버깅 및 문제 해결을 위한 빠른 응답 시간을 제공하는 로그 수집 및 쿼리 기능을 구현합니다. 워크로드 VM에서 거의 실시간으로 VM 인사이트를 사용하도록 설정하여 성능 병목 상태 및 운영 문제를 즉시 감지할 수 있습니다. 워크로드 VM의 경계 조건을 캡처하도록 로그 경고를 구성합니다.

마이그레이션 전 또는 Azure VMware Solution 환경에서 새 워크로드 VM을 배포할 때 VMware vSphere 워크로드 VM에 MMA(Log Analytics 에이전트)를 배포합니다. Azure Log Analytics 작업 영역을 사용하여 MMA를 구성하고 Azure Log Analytics 작업 영역을 Azure Automation과 연결합니다. 마이그레이션 후 Azure Monitor를 사용하여 마이그레이션하기 전에 배포된 워크로드 VM MMA 에이전트의 상태에 대한 유효성을 검사합니다.
워크로드 VM 업데이트 거버넌스: 지연되거나 불완전한 업데이트 또는 패치는 Azure VMware Solution 워크로드 VM 및 애플리케이션을 노출시키거나 손상시킬 수 있는 주요 공격 벡터입니다. 게스트 VM에서 설치를 적시에 업데이트합니다.
워크로드 VM 백업 거버넌스: 누락된 백업을 방지하거나 데이터 손실을 초래할 수 있는 이전 백업에 의존하지 않도록 정기적인 백업을 예약합니다. 예약된 백업을 수행하고 백업 성공을 모니터링할 수 있는 백업 솔루션을 사용합니다. 백업 이벤트를 모니터링하고 경고하여 예약된 백업이 성공적으로 실행되도록 합니다.
워크로드 VM DR 거버넌스: 문서화되지 않은 RPO(복구 지점 목표) 및 RTO(복구 시간 목표) 요구 사항으로 인해 BCDR(비즈니스 연속성 및 재해 복구) 이벤트 중에 고객 환경이 저하되고 운영 목표가 충족되지 않을 수 있습니다. DR 오케스트레이션을 구현하여 비즈니스 연속성에서 지연을 방지합니다.

DR 오케스트레이션을 제공하고 DR 사이트에 대한 성공적인 연속 복제와 관련된 오류 또는 문제를 감지하여 보고하는 Azure VMware Solution용 DR 솔루션을 사용합니다. Azure 및 Azure VMware Solution에서 실행되는 애플리케이션에 대한 RPO 및 RTO 요구 사항을 문서화합니다. 오케스트레이션을 통해 확인 가능한 RPO 및 RTO 요구 사항을 충족하는 재해 복구 및 비즈니스 연속성 솔루션 디자인을 선택합니다.

규정 준수

Azure VMware Solution 환경 및 워크로드 VM 규정 준수를 계획할 때 다음 권장 사항을 고려하고 구현합니다.

클라우드용 Microsoft Defender 모니터링: 클라우드용 Defender의 규정 준수 보기를 사용하여 보안 및 규정 벤치마크 준수를 모니터링합니다. 클라우드용 Defender 워크플로 자동화를 구성하여 예상 규정 준수 상태의 편차를 추적합니다. 자세한 내용은 클라우드용 Microsoft Defender 개요를 참조하세요.
워크로드 VM DR 규정 준수: Azure VMware Solution 워크로드 VM에 대한 DR 구성 규정 준수 여부를 추적하여 재해 발생 시 중요 업무용 애플리케이션을 계속 사용할 수 있도록 합니다. 대규모 복제 프로비저닝, 비준수 상태 모니터링 및 자동 수정을 제공하는 Azure Site Recovery 또는 Azure VMware Solution 인증 BCDR 솔루션을 사용합니다.
워크로드 VM 백업 규정 준수: Azure VMware Solution 워크로드 VM 백업 규정 준수 여부를 추적하고 모니터링하여 VM이 백업되고 있는지 확인합니다. 대규모 큐브 뷰, 드릴다운 분석 및 워크로드 VM 백업 추적과 모니터링을 위한 실행 가능한 인터페이스를 제공하는 Azure VMware Solution 인증 파트너 솔루션을 사용합니다.
국가/지역 또는 산업과 관련된 규정 준수: 비용이 많이 드는 법적 조치 및 벌금을 방지하려면 국가/지역 및 산업과 관련된 규정으로 Azure VMware Solution 워크로드를 준수해야 합니다. 산업 또는 지역 기반 규정 준수에 대한 클라우드 공동 책임 모델을 이해합니다. Service Trust Portal을 사용하여 전체 규정 준수 스토리를 지원하는 Azure VMware Solution 및 Azure Audit 보고서를 보거나 다운로드할 수 있습니다.

규정 요구 사항을 준수하기 위해 HTTP/S 및 비 HTTP/S 엔드포인트에 대한 방화벽 감사 보고를 구현합니다.
회사 정책 준수: 회사 규칙 및 규정 위반을 방지하기 위해 회사 정책을 사용하여 Azure VMware Solution 워크로드 VM 규정 준수를 모니터링합니다. Azure Arc 지원 서버 및 Azure Policy 또는 동등한 타사 솔루션을 사용합니다. 적용 가능한 내부 및 외부 규정을 준수하기 위해 Azure VMware Solution 워크로드 VM 및 애플리케이션을 정기적으로 평가하고 관리합니다.
데이터 보존 및 상주 요구 사항: Azure VMware Solution은 클러스터에 저장된 데이터의 보존 또는 추출을 지원하지 않습니다. 클러스터를 삭제하면 실행 중인 모든 워크로드 및 구성 요소가 종료되고 공용 IP 주소를 포함한 모든 클러스터 데이터 및 구성 설정이 제거됩니다. 이 데이터는 복구할 수 없습니다.

Azure VMware Solution은 서비스를 실행하는 데 필요한 모든 메타데이터 및 구성 데이터가 배포된 지리적 지역에만 존재한다고 보장하지 않습니다. 데이터 상주 요구 사항에 따라 배포된 지역에 모든 데이터가 있어야 하는 경우 Azure VMware Solution 고객 지원팀에 도움을 요청하세요.
데이터 처리: 등록할 때 법적 계약조건을 잘 읽고 이해합니다. L3 지원을 위해 이전된 Microsoft Azure VMware Solution 고객을 위한 VMware 데이터 처리 규약에 주의하세요. 지원 문제를 해결하기 위해 VMware 고객 지원팀이 필요한 경우 Microsoft는 전문 서비스 데이터 및 관련 개인 데이터를 VMware와 공유합니다. 이 시점부터 Microsoft와 VMware는 독립적인 두 데이터 프로세서의 역할을 합니다.

다음 단계

이 문서는 클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존 아키텍처 디자인 원칙 및 지침을 따릅니다. 자세한 내용은 다음을 참조하세요.

이 문서는 Azure VMware Solution 배포에 엔터프라이즈 규모 랜딩 존 원칙 및 권장 사항을 적용하는 시리즈의 일부입니다. 시리즈의 다른 문서는 다음과 같습니다.

이 시리즈의 다음 문서를 읽어보세요.

Azure VMware Solution에 대한 엔터프라이즈급 관리 및 모니터링