Säkerhet, styrning och efterlevnad för Azure VMware Solution

Den här artikeln beskriver hur du på ett säkert sätt implementerar och holistiskt styr Azure VMware Solution under hela livscykeln. Artikeln utforskar specifika designelement och innehåller riktade rekommendationer för säkerhet, styrning och efterlevnad i Azure VMware Solution.

Säkerhet

Tänk på följande faktorer när du bestämmer vilka system, användare eller enheter som kan utföra funktioner i Azure VMware Solution och hur du skyddar den övergripande plattformen.

Identitetssäkerhet

• Begränsningar för permanent åtkomst: Azure VMware Solution använder rollen Deltagare i den Azure-resursgrupp som är värd för det privata azure VMware Solution-molnet. Begränsa permanent åtkomst för att förhindra avsiktligt eller oavsiktligt missbruk av bidragsgivarnas rättigheter. Använd en lösning för hantering av privilegierade konton för att granska och begränsa tidsanvändningen för konton med hög behörighet.

  Skapa en privilegierad åtkomstgrupp för Microsoft Entra ID i Azure Privileged Identity Management (PIM) för att hantera Microsoft Entra-konton för användare och tjänstens huvudnamn. Använd den här gruppen för att skapa och hantera Azure VMware Solution-klustret med tidsbunden, motiveringsbaserad åtkomst. Mer information finns i Tilldela berättigade ägare och medlemmar för privilegierade åtkomstgrupper.

  Använd Microsoft Entra PIM-granskningshistorikrapporter för administrativa aktiviteter, åtgärder och tilldelningar i Azure VMware Solution. Du kan arkivera rapporterna i Azure Storage för långsiktig kvarhållning av granskningsbehov. Mer information finns i Visa granskningsrapport för privilegierade åtkomstgrupptilldelningar i Privileged Identity Management (PIM).

• Centraliserad identitetshantering: Azure VMware Solution tillhandahåller autentiseringsuppgifter för molnadministratör och nätverksadministratör för att konfigurera den privata VMware-molnmiljön. Dessa administrativa konton är synliga för alla deltagare som har rollbaserad åtkomstkontroll (RBAC) åtkomst till Azure VMware Solution.

  Om du vill förhindra överanvändning eller missbruk av de inbyggda cloudadmin och nätverksadministratörsanvändarna för att få åtkomst till VMwares privata molnkontrollplan använder du RBAC-funktionerna för det privata molnkontrollplanet VMware för att hantera roll- och kontoåtkomst korrekt. Skapa flera riktade identitetsobjekt som användare och grupper med hjälp av principer med lägsta behörighet. Begränsa åtkomsten till administratörskonton som tillhandahålls av Azure VMware Solution och konfigurera kontona i en brytglaskonfiguration. Använd endast de inbyggda kontona när alla andra administrativa konton är oanvändbara.

  Använd det angivna cloudadmin kontot för att integrera Active Directory-domän Services (AD DS) eller Microsoft Entra Domain Services med VMware vCenter Server- och NSX-T Data Center-kontrollprogram och administrativa identiteter för domäntjänster. Använd domäntjänstbaserade användare och grupper för hantering och åtgärder för Azure VMware Solution och tillåt inte kontodelning. Skapa anpassade vCenter Server-roller och associera dem med AD DS-grupper för detaljerad privilegierad åtkomstkontroll till VMwares privata molnkontrollytor.

  Du kan använda Azure VMware Solution-alternativ för att rotera och återställa lösenord för vCenter Server och NSX-T Data Center-administratörskonto. Konfigurera en regelbunden rotation av dessa konton och rotera kontona när som helst när du använder brytglaskonfigurationen. Mer information finns i Rotera cloudadmin-autentiseringsuppgifterna för Azure VMware Solution.

• Identitetshantering för virtuella gästdatorer: Tillhandahålla centraliserad autentisering och auktorisering för Azure VMware Solution-gäster för att tillhandahålla effektiv programhantering och förhindra obehörig åtkomst till affärsdata och processer. Hantera Azure VMware Solution-gäster och program som en del av livscykeln. Konfigurera virtuella gästdatorer att använda en centraliserad identitetshanteringslösning för att autentisera och auktorisera för hantering och programanvändning.

  Använd en centraliserad AD DS- eller Lightweight Directory Access Protocol-tjänst (LDAP) för virtuella Azure VMware Solution-gästdatorer och programidentitetshantering. Se till att domäntjänstarkitekturen står för eventuella avbrottsscenarier för att säkerställa fortsatt funktionalitet under avbrott. Anslut AD DS-implementeringen med Microsoft Entra ID för avancerad hantering och en sömlös gästautentisering och auktoriseringsupplevelse.

Miljö- och nätverkssäkerhet

• Inbyggda nätverkssäkerhetsfunktioner: Implementera nätverkssäkerhetskontroller som trafikfiltrering, OWASP-regelefterlevnad (Open Web Application Security Project), enhetlig brandväggshantering och DDoS-skydd (Distribuerad överbelastning).

  • Trafikfiltrering styr trafik mellan segment. Implementera enheter för filtrering av gästnätverkstrafik med hjälp av NSX-T Data Center - eller NVA-funktioner (Network Virtual Appliance) för att begränsa åtkomsten mellan gästnätverkssegment.

  • OWASP Core Rule Set-efterlevnad skyddar arbetsbelastningar för gästwebbprogram i Azure VMware Solution från allmänna webbattacker. Använd OWASP-funktionerna i Azure Application Gateway Web Application Firewall (WAF) för att skydda webbprogram som finns på Azure VMware Solution-gäster. Aktivera förebyggande läge med den senaste principen och se till att integrera WAF-loggar i din loggningsstrategi. Mer information finns i Introduktion till Azure Web Application Firewall.

  • Enhetlig brandväggsregelhantering förhindrar att dubbletter eller saknade brandväggsregler ökar risken för obehörig åtkomst. Brandväggsarkitekturen bidrar till den större nätverkshanterings- och miljösäkerhetsstatusen för Azure VMware Solution. Använd en tillståndskänslig hanterad brandväggsarkitektur som möjliggör trafikflöde, inspektion, centraliserad regelhantering och händelseinsamling.

  • DDoS-skydd skyddar Azure VMware Solution-arbetsbelastningar mot attacker som orsakar ekonomisk förlust eller dålig användarupplevelse. Tillämpa DDoS-skydd på det virtuella Azure-nätverk som är värd för ExpressRoute-avslutningsgatewayen för Azure VMware Solution-anslutningen. Överväg att använda Azure Policy för automatisk tillämpning av DDoS-skydd.

• VSAN-kryptering med kundhanterade nycklar (CMK) gör att Azure VMware Solution VSAN-datalager kan krypteras med en kunds tillhandahållna krypteringsnyckel som lagras i Azure Key Vault. Du kan använda den här funktionen för att uppfylla efterlevnadskrav, till exempel att följa nyckelrotationsprinciper eller hantera viktiga livscykelhändelser. Detaljerad implementeringsvägledning och begränsningar finns i Konfigurera kundhanterad nyckelkryptering i vila i Azure VMware Solution

• Kontrollerad vCenter Server-åtkomst: Okontrollerad åtkomst till Azure VMware Solution vCenter Server kan öka attackytan. Använd en dedikerad arbetsstation för privilegierad åtkomst (PAW) för säker åtkomst till Azure VMware Solution vCenter Server och NSX-T Manager. Skapa en användargrupp och lägg till ett enskilt användarkonto i den här användargruppen.

• Loggning av inkommande internetbegäranden för gästarbetsbelastningar: Använd Azure Firewall eller en godkänd NVA som underhåller granskningsloggar för inkommande begäranden till virtuella gästdatorer. Importera loggarna till din SIEM-lösning (security incident and event management) för lämplig övervakning och avisering. Använd Microsoft Sentinel för att bearbeta händelseinformation och loggning i Azure innan du integrerar i befintliga SIEM-lösningar. Mer information finns i Integrera Microsoft Defender för molnet med Azure VMware Solution.

• Sessionsövervakning för utgående internetanslutningssäkerhet: Använd regelkontroll eller sessionsgranskning av utgående Internetanslutning från Azure VMware Solution för att identifiera oväntad eller misstänkt utgående Internetaktivitet. Bestäm när och var utgående nätverksinspektion ska placeras för att säkerställa maximal säkerhet. Mer information finns i Nätverkstopologi i företagsskala och anslutning för Azure VMware Solution.

  Använd specialiserade brandväggs-, NVA- och virtual wide-area network-tjänster (Virtual WAN) för utgående internetanslutning i stället för att förlita sig på Azure VMware Solutions standardanslutning till Internet. Mer information och designrekommendationer finns i Inspektera Azure VMware Solution-trafik med en virtuell nätverksinstallation i Azure Virtual Network.

  Använd tjänsttaggar som Virtual Network och fullständigt kvalificerade domännamnstaggar (FQDN) för identifiering vid filtrering av utgående trafik med Azure Firewall. Använd en liknande funktion för andra NVA:er.

• Centralt hanterade säkra säkerhetskopior: Använd RBAC- och fördröjda borttagningsfunktioner för att förhindra avsiktlig eller oavsiktlig borttagning av säkerhetskopieringsdata som behövs för att återställa miljön. Använd Azure Key Vault för att hantera krypteringsnycklar och begränsa åtkomsten till lagringsplatsen för säkerhetskopierade data för att minimera risken för borttagning.

  Använd Azure Backup eller annan säkerhetskopieringsteknik som verifierats för Azure VMware Solution som tillhandahåller kryptering under överföring och i vila. När du använder Azure Recovery Services-valv använder du resurslås och funktionerna för mjuk borttagning för att skydda mot oavsiktlig eller avsiktlig borttagning av säkerhetskopior. Mer information finns i Affärskontinuitet i företagsskala och haveriberedskap för Azure VMware Solution.

Säkerhet för gästprogram och virtuell dator

• Avancerad hotidentifiering: För att förhindra olika säkerhetsrisker och dataintrång använder du slutpunktsskydd, konfiguration av säkerhetsaviseringar, ändringskontrollprocesser och sårbarhetsbedömningar. Du kan använda Microsoft Defender för molnet för hothantering, slutpunktsskydd, säkerhetsaviseringar, os-korrigering och en centraliserad vy för efterlevnad av regelefterlevnad. Mer information finns i Integrera Microsoft Defender för molnet med Azure VMware Solution.

  Använd Azure Arc för servrar för att registrera dina virtuella gästdatorer. När du har registrerat dig använder du Azure Log Analytics, Azure Monitor och Microsoft Defender för molnet för att samla in loggar och mått och skapa instrumentpaneler och aviseringar. Använd Microsoft Defender Säkerhetscenter för att skydda och varna om hot som är associerade med VM-gäster. Mer information finns i Integrera och distribuera inbyggda Azure-tjänster i Azure VMware Solution.

  Distribuera Log Analytics-agenten på virtuella VMware vSphere-datorer innan du påbörjar en migrering eller när du distribuerar nya virtuella gästdatorer. Konfigurera MMA-agenten för att skicka mått och loggar till en Azure Log Analytics-arbetsyta. Efter migreringen kontrollerar du att den virtuella Azure VMware Solution-datorn rapporterar aviseringar i Azure Monitor och Microsoft Defender för molnet.

  Du kan också använda en lösning från en Azure VMware Solution-certifierad partner för att utvärdera säkerhetsstatus för virtuella datorer och tillhandahålla regelefterlevnad mot krav för Center for Internet Security (CIS).

• Säkerhetsanalys: Använd sammanhängande insamling, korrelation och analys av säkerhetshändelser från virtuella Azure VMware Solution-datorer och andra källor för att identifiera cyberattacker. Använd Microsoft Defender för molnet som datakälla för Microsoft Sentinel. Konfigurera Microsoft Defender för Storage, Azure Resource Manager, Domain Name System (DNS) och andra Azure-tjänster som rör distribution av Azure VMware Solution. Överväg att använda en Azure VMware Solution-dataanslutning från en certifierad partner.

• Kryptering av virtuell gästdator: Azure VMware Solution tillhandahåller data-at-rest-kryptering för den underliggande vSAN-lagringsplattformen. Vissa arbetsbelastningar och miljöer med filsystemåtkomst kan kräva mer kryptering för att skydda data. I dessa situationer bör du överväga att aktivera kryptering av operativsystemet för den virtuella gästdatorn (OS) och data. Använd de interna krypteringsverktygen för gästoperativsystem för att kryptera virtuella gästdatorer. Använd Azure Key Vault för att lagra och skydda krypteringsnycklarna.

• Databaskryptering och aktivitetsövervakning: Kryptera SQL och andra databaser i Azure VMware Solution för att förhindra enkel dataåtkomst i händelse av dataintrång. För databasarbetsbelastningar använder du kryptering i vila,till exempel transparent datakryptering (TDE) eller en motsvarande intern databasfunktion. Se till att arbetsbelastningar använder krypterade diskar och att känsliga hemligheter lagras i ett nyckelvalv som är dedikerat till resursgruppen.

  Använd Azure Key Vault för kundhanterade nycklar i BYOK-scenarier (bring-your-own-key), till exempel BYOK för Transparent datakryptering (TDE) i Azure SQL Database. Separera uppgifter för nyckelhantering och datahantering där det är möjligt. Ett exempel på hur SQL Server 2019 använder Key Vault finns i Använda Azure Key Vault med Always Encrypted med säkra enklaver.

  Övervaka ovanliga databasaktiviteter för att minska risken för insiderattacker. Använd intern databasövervakning som Aktivitetsövervakare eller en Azure VMware Solution-certifierad partnerlösning. Överväg att använda Azure-databastjänster för förbättrade granskningskontroller.

• Utökade ESU-nycklar (Security Update): Ange och konfigurera ESU-nycklar för att push-överföra och installera säkerhetsuppdateringar på virtuella Azure VMware Solution-datorer. Använd verktyget För volymaktiveringshantering för att konfigurera ESU-nycklar för Azure VMware Solution-klustret. Mer information finns i Hämta utökad säkerhet Uppdateringar för berättigade Windows-enheter.

• Kodsäkerhet: Implementera säkerhetsmått i DevOps-arbetsflöden för att förhindra säkerhetsrisker i Azure VMware Solution-arbetsbelastningar. Använd moderna arbetsflöden för autentisering och auktorisering, till exempel Open Authorization (OAuth) och OpenID Anslut.

  Använd GitHub Enterprise Server på Azure VMware Solution för en versionsbaserad lagringsplats som säkerställer kodbasens integritet. Distribuera bygg- och körningsagenter antingen i Azure VMware Solution eller i en säker Azure-miljö.

Kontroll

Överväg att implementera följande rekommendationer när du planerar för miljö- och gäst-VM-styrning.

Miljöstyrning

• vSAN-lagringsutrymme: Otillräckligt vSAN-lagringsutrymme kan påverka SLA-garantier. Granska och förstå kund- och partneransvar i serviceavtalet för Azure VMware Solution. Tilldela lämpliga prioriteringar och ägare för aviseringar för måttet Procentandel datalagerdisk som används. Mer information och vägledning finns i Konfigurera aviseringar och arbeta med mått i Azure VMware Solution.

• Lagringsprincip för vm-mall: En standardprincip för tjockt etablerad lagring kan resultera i att för mycket vSAN-lagring reserveras. Skapa VM-mallar som använder en tunnetablerad lagringsprincip där utrymmesreservationer inte krävs. Virtuella datorer som inte reserverar hela mängden lagringsutrymme i förväg tillåter mer effektiva lagringsresurser.

• Styrning av värdkvoter: Otillräckliga värdkvoter kan leda till 5–7 dagars fördröjningar när det gäller att få mer värdkapacitet för tillväxt- eller haveriberedskapsbehov. Faktortillväxt och DR-krav i lösningsdesign när du begär värdkvoten och granskar regelbundet miljötillväxten och maxvärdena för att säkerställa korrekt ledtid för expansionsbegäranden. Om till exempel ett Azure VMware Solution-kluster med tre noder behöver ytterligare tre noder för DR kan du begära en värdkvot på sex noder. Värdkvotbegäranden medför inte extra kostnader.

• Ftt-styrning (failure-to-tolerate): Upprätta FTT-inställningar som motsvarar klusterstorleken för att underhålla serviceavtalet för Azure VMware Solution. Justera vSAN-lagringsprincipen till lämplig FTT-inställning när du ändrar klusterstorleken för att säkerställa SLA-efterlevnad.

• ESXi-åtkomst: Åtkomsten till Azure VMware Solution ESXi-värdar är begränsad. Programvara från tredje part som kräver ESXi-värdåtkomst kanske inte fungerar. Identifiera alla Azure VMware Solution-programvara som stöds av tredje part i källmiljön som behöver åtkomst till ESXi-värden. Bekanta dig med och använd supportbegäran för Azure VMware Solution i Azure-portalen för situationer som behöver ESXi-värdåtkomst.

• ESXi-värddensitet och effektivitet: För en god avkastning på investeringen (ROI) förstår du ESXi-värdanvändningen. Definiera en felfri densitet för virtuella gästdatorer för att maximera Azure VMware Solution-investeringar och övervaka den totala nodanvändningen mot det tröskelvärdet. Ändra storlek på Azure VMware Solution-miljön när övervakningen indikerar och ge tillräckligt med ledtid för nodtillägg.

• Nätverksövervakning: Övervaka intern nätverkstrafik för skadlig eller okänd trafik eller komprometterade nätverk. Implementera vRealize Network Insight (vRNI) och vRealize Operations (vROps) för detaljerade insikter om azure VMware Solution-nätverksåtgärder.

• Aviseringar om säkerhet, planerat underhåll och Service Health: Förstå och visa tjänstens hälsa för att planera och svara på avbrott och problem på lämpligt sätt. Konfigurera Service Health-aviseringar för Azure VMware Solution-tjänstproblem, planerat underhåll, hälsorekommendationer och säkerhetsrekommendationer. Schemalägg och planera arbetsbelastningsaktiviteter för Azure VMware Solution utanför Microsoft-föreslagna underhållsperioder.

• Kostnadsstyrning: Övervaka kostnader för god ekonomisk ansvarsskyldighet och budgetallokering. Använd en kostnadshanteringslösning för kostnadsspårning, kostnadsallokering, budgetskapande, kostnadsaviseringar och god ekonomisk styrning. För Azure-fakturerade avgifter använder du Azure Cost Management + Faktureringsverktyg för att skapa budgetar, generera aviseringar, allokera kostnader och skapa rapporter för finansiella intressenter.

• Integrering av Azure-tjänster: Undvik att använda den offentliga slutpunkten för Azure-plattformen som en tjänst (PaaS), vilket kan leda till att trafik lämnar önskade nätverksgränser. För att säkerställa att trafiken ligger inom en definierad gräns för virtuellt nätverk använder du en privat slutpunkt för att få åtkomst till Azure-tjänster som Azure SQL Database och Azure Blob Storage.

Styrning av arbetsbelastningsprogram och virtuell dator

Säkerhetsstatusmedvetenhet för virtuella Azure VMware Solution-arbetsbelastningsdatorer hjälper dig att förstå beredskap och svar för cybersäkerhet och ger fullständig säkerhetstäckning för virtuella gästdatorer och program.

• Aktivera Microsoft Defender för molnet för att köra azure-tjänster och vm-arbetsbelastningar för Azure VMware Solution-program.

• Använd Azure Arc-aktiverade servrar för att hantera virtuella Azure VMware Solution-gästdatorer med verktyg som replikerar azure-inbyggda resursverktyg, inklusive:

  • Azure Policy för att styra, rapportera och granska gästkonfigurationer och inställningar
  • Azure Automation State Configuration och tillägg som stöds för att förenkla distributioner
  • Uppdateringshantering för att hantera uppdateringar för Azure VMware Solution-programmets VM-liggande
  • Taggar för att hantera och organisera inventering av virtuella Azure VMware Solution-programdatorer

  Mer information finns i Översikt över Azure Arc-aktiverade servrar.

• Domänstyrning för virtuella arbetsbelastningar: Om du vill undvika felbenägna manuella processer använder du tillägg som JsonADDomainExtension eller motsvarande automatiseringsalternativ för att aktivera virtuella Azure VMware Solution-gästdatorer för automatisk anslutning till en Active Directory-domän.

• Loggning och övervakning av virtuella arbetsbelastningar: Aktivera diagnostikmått och loggning på virtuella arbetsbelastningsdatorer för att enklare felsöka os- och programproblem. Implementera loggsamlings- och frågefunktioner som ger snabba svarstider för felsökning och felsökning. Aktivera vm-insikter nästan i realtid på virtuella arbetsbelastningsdatorer för snabb identifiering av flaskhalsar i prestanda och driftsproblem. Konfigurera loggaviseringar för att samla in gränsvillkor för virtuella arbetsbelastningsdatorer.

  Distribuera Log Analytics-agenten (MMA) på virtuella VMware vSphere-arbetsbelastningsdatorer före migreringen eller när du distribuerar nya virtuella arbetsbelastningsdatorer i Azure VMware Solution-miljön. Konfigurera MMA med en Azure Log Analytics-arbetsyta och länka Azure Log Analytics-arbetsytan med Azure Automation. Verifiera statusen för alla vm MMA-arbetsbelastningar som distribuerats före migreringen med Azure Monitor efter migreringen.

• Uppdateringsstyrning för virtuella arbetsbelastningar: Fördröjda eller ofullständiga uppdateringar eller korrigeringar är de främsta attackvektorerna som kan resultera i att exponera eller kompromettera virtuella datorer och program för Azure VMware Solution-arbetsbelastningar. Se till att installationerna uppdateras i tid på virtuella gästdatorer.

• Styrning av säkerhetskopiering av virtuella arbetsbelastningar: Schemalägg regelbundna säkerhetskopieringar för att förhindra missade säkerhetskopieringar eller beroende av gamla säkerhetskopior som kan leda till dataförlust. Använd en säkerhetskopieringslösning som kan utföra schemalagda säkerhetskopieringar och övervaka att säkerhetskopieringen lyckas. Övervaka och avisera om säkerhetskopieringshändelser för att säkerställa att schemalagda säkerhetskopieringar körs korrekt.

• Dr-styrning för virtuella arbetsbelastningar: Odokumenterade krav på mål för återställningspunkter (RPO) och mål för återställningstid (RTO) kan orsaka dåliga kundupplevelser och ouppfyllda driftmål under händelser med affärskontinuitet och haveriberedskap (BCDR). Implementera DR-orkestrering för att förhindra fördröjningar i affärskontinuiteten.

  Använd en DR-lösning för Azure VMware Solution som tillhandahåller DR-orkestrering och identifierar och rapporterar om eventuella fel eller problem med lyckad kontinuerlig replikering till en DR-plats. Dokumentera RPO- och RTO-krav för program som körs i Azure och Azure VMware Solution. Välj en lösningsdesign för haveriberedskap och affärskontinuitet som uppfyller verifierbara RPO- och RTO-krav genom orkestrering.

Regelefterlevnad

Överväg och implementera följande rekommendationer när du planerar för Azure VMware Solution-miljön och arbetsbelastningens VM-efterlevnad.

• Microsoft Defender för molnet övervakning: Använd vyn regelefterlevnad i Defender för molnet för att övervaka efterlevnaden av säkerhets- och regelriktmärken. Konfigurera Defender för molnet arbetsflödesautomatisering för att spåra eventuella avvikelser från den förväntade efterlevnadsstatusen. Mer information finns i Microsoft Defender för molnet översikt.

• Arbetsbelastnings-VM DR-efterlevnad: Spåra DR-konfigurationsefterlevnad för virtuella Azure VMware Solution-arbetsbelastningsdatorer för att säkerställa att deras verksamhetskritiska program förblir tillgängliga under en katastrof. Använd Azure Site Recovery eller en Azure VMware Solution-certifierad BCDR-lösning, som tillhandahåller replikeringsetablering i stor skala, övervakning av inkompatibilitetsstatus och automatisk reparation.

• Efterlevnad av säkerhetskopiering av virtuella datorer för arbetsbelastning: Spåra och övervaka efterlevnad av säkerhetskopiering av virtuella datorer i Azure VMware Solution för att säkerställa att de virtuella datorerna säkerhetskopieras. Använd en Azure VMware Solution-certifierad partnerlösning som ger ett perspektiv i stor skala, analys med ökad detaljnivå och ett åtgärdsbart gränssnitt för att spåra och övervaka säkerhetskopiering av virtuella datorer med arbetsbelastning.

• Efterlevnad som är specifik för land/region eller bransch: För att undvika kostsamma rättsliga åtgärder och böter ska du säkerställa efterlevnaden av Azure VMware Solution-arbetsbelastningar med regler som är specifika för landet/regionen och branschen. Förstå den molnbaserade modellen för delat ansvar för bransch- eller regionbaserad regelefterlevnad. Använd Service Trust-portalen för att visa eller ladda ned Azure VMware Solution- och Azure Audit-rapporter som stöder hela efterlevnadsberättelsen.

  Implementera brandväggsgranskningsrapportering på HTTP/S- och icke-HTTP/S-slutpunkter för att uppfylla regelkraven.

• Efterlevnad av företagsprinciper: Övervaka azure vmware-lösningens arbetsbelastning VM-efterlevnad med företagsprinciper för att förhindra överträdelser av företagets regler och förordningar. Använd Azure Arc-aktiverade servrar och Azure Policy eller en motsvarande lösning från tredje part. Utvärdera och hantera virtuella datorer och program för arbetsbelastning i Azure VMware Solution rutinmässigt för regelefterlevnad med tillämpliga interna och externa regler.

• Krav på datakvarhållning och hemvist: Azure VMware Solution stöder inte kvarhållning eller extrahering av data som lagras i kluster. Om du tar bort ett kluster avslutas alla arbetsbelastningar och komponenter som körs och alla klusterdata och konfigurationsinställningar förstörs, inklusive offentliga IP-adresser. Det går inte att återställa dessa data.

  Azure VMware Solution garanterar inte att alla metadata och konfigurationsdata för att köra tjänsten endast finns i den distribuerade geografiska regionen. Om dina krav på datahemvist kräver att alla data finns i den distribuerade regionen kontaktar du Azure VMware Solution-supporten för att få hjälp.

• Databehandling: Läs och förstå de juridiska villkoren när du registrerar dig. Var uppmärksam på VMware-databehandlingsavtalet för Microsoft Azure VMware Solution-kunder som överförs för L3-support. Om ett supportproblem behöver VMware-stöd delar Microsoft professionella tjänstdata och associerade personuppgifter med VMware. Från och med då fungerar Microsoft och VMware som två oberoende dataprocessorer.

Nästa steg

Den här artikeln baseras på arkitekturdesignprinciper och riktlinjer för arkitekturdesign i Cloud Adoption Framework i företagsskala. Mer information finns i:

• Designprinciper för Azure-landningszoner
• Designriktlinjer för Azure-landningszoner

Artikeln är en del av en serie som tillämpar principer för landningszoner i företagsskala och rekommendationer för distributioner av Azure VMware Solution. Andra artiklar i serien är:

• Identitets- och åtkomsthantering i företagsskala för Azure VMware Solution
• Nätverkstopologi och anslutning i företagsskala för Azure VMware Solution
• Plattformsautomatisering i företagsskala och DevOps för Azure VMware Solution
• Affärskontinuitet i företagsskala och haveriberedskap för Azure VMware Solution

Läs nästa artikel i serien:

Hantering och övervakning i företagsskala för Azure VMware Solution