Share via

Säkerhetsöverväganden för Azure VMware Solution arbetsbelastningar

  • Artikel

Den här artikeln beskriver säkerhetsdesignområdet för en Azure VMware Solution arbetsbelastning. I diskussionen beskrivs olika åtgärder för att skydda och skydda Azure VMware Solution arbetsbelastningar. Dessa åtgärder hjälper till att skydda infrastruktur, data och program. Den här säkerhetsmetoden är holistisk och överensstämmer med organisationens huvudprioriteringar.

För att skydda Azure VMware Solution krävs en modell med delat ansvar, där Både Microsoft Azure och VMware ansvarar för vissa säkerhetsaspekter. För att implementera lämpliga säkerhetsåtgärder kan du säkerställa en tydlig förståelse för modellen med delat ansvar och samarbete mellan IT-team, VMware och Microsoft.

Hantera efterlevnad och styrning

Effekt: Säkerhet, driftseffektivitet

Det är viktigt att identifiera inkompatibla servrar. Du kan använda Azure Arc för det här ändamålet. Azure Arc utökar Azure-hanteringsfunktioner och Azure-tjänster till lokala miljöer eller miljöer med flera moln. Genom att tillhandahålla centraliserad hantering och styrning för servrar ger Azure Arc dig en vy med en enda ruta för att tillämpa uppdateringar och snabbkorrigeringar. Resultatet är en konsekvent upplevelse för att hantera komponenter från Azure, lokala system och Azure VMware Solution.

Rekommendationer
  • Konfigurera Azure VMware Solution virtuella gästdatorer (VM) som Azure Arc-aktiverade servrar. Metoder som du kan använda för att ansluta datorer finns i Distributionsalternativ för Azure-anslutna datoragenter.
  • Distribuera en certifierad tredjepartslösning eller Azure Arc för Azure VMware Solution (förhandsversion).
  • Använd Azure Policy för Azure Arc-aktiverade servrar för att granska och tillämpa säkerhetskontroller på Azure VMware Solution virtuella gästdatorer.

Skydda gästoperativsystemet

Effekt: Säkerhet

Om du inte korrigerar och regelbundet uppdaterar operativsystemet gör du det sårbart för sårbarheter och utsätter hela plattformen för risker. När du tillämpar korrigeringar regelbundet håller du systemet uppdaterat. När du också använder en slutpunktsskyddslösning hjälper du till att förhindra att vanliga attackvektorer riktas mot ditt operativsystem. Det är också viktigt att regelbundet utföra sårbarhetsgenomsökningar och utvärderingar. De här verktygen hjälper dig att identifiera och åtgärda säkerhetsbrister och säkerhetsrisker.

Microsoft Defender för molnet erbjuder unika verktyg som ger avancerat skydd mot hot över Azure VMware Solution och lokala virtuella datorer, inklusive:

  • Övervakning av filintegriteten.
  • Fillös attackidentifiering.
  • Uppdateringsutvärdering av operativsystem.
  • Utvärdering av felkonfiguration av säkerhet.
  • Utvärdering av slutpunktsskydd.
Rekommendationer
  • Installera en Azure-säkerhetsagent på Azure VMware Solution virtuella gästdatorer via Azure Arc för servrar för att övervaka dem för säkerhetskonfigurationer och säkerhetsrisker.
  • Konfigurera Azure Arc-datorer för att automatiskt skapa en association med standardregeln för datainsamling för Defender för molnet.
  • I den prenumeration som du använder för att distribuera och köra det Azure VMware Solution privata molnet använder du en Defender for Cloud-plan som innehåller skydd för servrar.
  • Om du har virtuella gästdatorer med utökade säkerhetsfördelar i det Azure VMware Solution privata molnet distribuerar du säkerhetsuppdateringar regelbundet. Använd Volume Activation Management Tool för att distribuera dessa uppdateringar.

Kryptera data

Effekt: Säkerhet, driftseffektivitet

Datakryptering är en viktig aspekt av att skydda din Azure VMware Solution arbetsbelastning från obehörig åtkomst och bevara integriteten för känsliga data. Kryptering innehåller vilande data på systemen och data som överförs.

Rekommendationer
  • Kryptera VMware vSAN-datalager med kundhanterade nycklar för att kryptera vilande data.
  • Använd inbyggda krypteringsverktyg som BitLocker för att kryptera virtuella gästdatorer.
  • Använd interna databaskrypteringsalternativ för databaser som körs på Azure VMware Solution virtuella gästdatorer i privata moln. Du kan till exempel använda transparent datakryptering (TDE) för SQL Server.
  • Övervaka databasaktiviteter för misstänkt aktivitet. Du kan använda inbyggda databasövervakningsverktyg som SQL Server Activity Monitor för det här ändamålet.

Implementera nätverkssäkerhet

Effekt: Utmärkt drift

Målet med nätverkssäkerhet är att förhindra obehörig åtkomst till Azure VMware Solution komponenter. En metod för att uppnå det här målet är att implementera gränser via nätverkssegmentering. Den här metoden hjälper till att isolera dina program. Som en del av segmenteringen fungerar ett virtuellt LAN på ditt datalänklager. Det virtuella LAN:et ger fysisk separation av dina virtuella datorer genom att partitionera det fysiska nätverket i logiska nätverk för att separera trafik.

Segment skapas sedan för att tillhandahålla avancerade säkerhetsfunktioner och routning. Till exempel kan program-, webb- och databasnivån ha separata segment i en arkitektur på tre nivåer. Programmet kan lägga till en nivå av mikrosegmentering genom att använda säkerhetsregler för att begränsa nätverkskommunikationen mellan de virtuella datorerna i varje segment.

Arkitekturdiagram som visar de olika nivåerna och segmenten i en Azure VMware Solution miljö.

Routrarna på nivå 1 är placerade framför segmenten. Dessa routrar tillhandahåller routningsfunktioner i det programvarudefinierade datacentret (SDDC). Du kan distribuera flera nivå 1-routrar för att separera olika segmentuppsättningar eller för att uppnå en specifik routning. Anta till exempel att du vill begränsa East-West trafik som flödar till och från dina arbetsbelastningar för produktion, utveckling och testning. Du kan använda distribuerade nivå-1-nivåer för att segmentera och filtrera trafiken baserat på specifika regler och principer.

Arkitekturdiagram som visar flera distribuerade nivå-ett-nivåer i en Azure VMware Solution miljö.

Rekommendationer
  • Använd nätverkssegment för att logiskt separera och övervaka komponenter.
  • Använd mikrosegmenteringsfunktioner som är inbyggda i VMware NSX-T Data Center för att begränsa nätverkskommunikationen mellan programkomponenter.
  • Använd en centraliserad routningsinstallation för att skydda och optimera routning mellan segment.
  • Använd förskjutna nivå 1-routrar när nätverkssegmentering styrs av organisationens säkerhets- eller nätverksprinciper, efterlevnadskrav, affärsenheter, avdelningar eller miljöer.

Använda ett system för intrångsidentifiering och skydd (IDPS)

Effekt: Säkerhet

En IDPS kan hjälpa dig att identifiera och förhindra nätverksbaserade attacker och skadlig aktivitet i din Azure VMware Solution miljö.

Rekommendationer
  • Använd den distribuerade brandväggen VMware NSX-T Data Center för att få hjälp med att identifiera skadliga mönster och skadlig kod i East-West trafik mellan dina Azure VMware Solution komponenter.
  • Använd en Azure-tjänst som Azure Firewall eller en certifierad NVA från tredje part som körs i Azure eller i Azure VMware Solution.

Använda rollbaserad åtkomstkontroll (RBAC) och multifaktorautentisering

Effekt: Säkerhet, driftseffektivitet

Identitetssäkerhet hjälper till att kontrollera åtkomsten till Azure VMware Solution privata molnarbetsbelastningar och de program som körs på dem. Du kan använda RBAC för att tilldela roller och behörigheter som är lämpliga för specifika användare och grupper. Dessa roller och behörigheter beviljas baserat på principen om lägsta behörighet.

Du kan framtvinga multifaktorautentisering för användarautentisering för att ge ett extra säkerhetslager mot obehörig åtkomst. Olika metoder för multifaktorautentisering, till exempel mobila push-meddelanden, ger en praktisk användarupplevelse och hjälper även till att säkerställa stark autentisering. Du kan integrera Azure VMware Solution med Microsoft Entra-ID för att centralisera användarhanteringen och dra nytta av Microsoft Entra avancerade säkerhetsfunktioner. Exempel på funktioner är privilegierad identitetshantering, multifaktorautentisering och villkorlig åtkomst.

Rekommendationer
  • Använd Microsoft Entra Privileged Identity Management för att tillåta tidsbunden åtkomst till åtgärderna Azure Portal och kontrollfönstret. Använd granskningshistorik för privilegierad identitetshantering för att spåra åtgärder som högprivilegierade konton utför.
  • Minska antalet Microsoft Entra konton som kan:
    • Få åtkomst till Azure Portal och API:er.
    • Gå till Azure VMware Solution privata molnet.
    • Läs administratörskonton för VMware vCenter Server och VMware NSX-T Data Center.
  • Rotera autentiseringsuppgifter för lokala cloudadmin konton för VMware vCenter Server och VMware NSX-T Data Center för att förhindra missbruk och missbruk av dessa administrativa konton. Använd endast dessa konton i scenarier med glasbrytningar . Skapa servergrupper och användare för VMware vCenter Server och tilldela dem identiteter från externa identitetskällor. Använd dessa grupper och användare för specifika VMware vCenter Server- och VMware NSX-T Data Center-åtgärder.
  • Använd en central identitetskälla för att konfigurera autentiserings- och auktoriseringstjänster för virtuella gästdatorer och program.

Övervaka säkerhet och identifiera hot

Effekt: Säkerhet, driftseffektivitet

Säkerhetsövervakning och hotidentifiering omfattar identifiering och svar på ändringar i säkerhetsstatusen för Azure VMware Solution privata molnarbetsbelastningar. Det är viktigt att följa branschens bästa praxis och uppfylla regelkrav, inklusive:

  • HIPAA (Health Insurance Portability and Accountability Act).
  • PcI DSS (Payment Card Industry Data Security Standards).

Du kan använda ett VERKTYG för säkerhetsinformation och händelsehantering (SIEM) eller Microsoft Sentinel för att aggregera, övervaka och analysera säkerhetsloggar och händelser. Den här informationen hjälper dig att identifiera och reagera på potentiella hot. Genom att regelbundet genomföra granskningar kan du också undvika hot. När du regelbundet övervakar din Azure VMware Solution miljö är du i en bättre position för att säkerställa att den överensstämmer med säkerhetsstandarder och principer.

Rekommendationer
  • Automatisera svar på rekommendationer från Defender för molnet med hjälp av följande Azure-principer:
    • Arbetsflödesautomation för säkerhetsaviseringar
    • Arbetsflödesautomation för säkerhetsrekommendationer
    • Arbetsflödesautomation för regelefterlevnadsändringar
  • Distribuera Microsoft Sentinel och ange målet till en Log Analytics-arbetsyta för att samla in loggar från Azure VMware Solution privata virtuella gästdatorer i molnet.
  • Använd en dataanslutning för att ansluta Microsoft Sentinel och Defender för molnet.
  • Automatisera hotsvar med hjälp av Microsoft Sentinel-spelböcker och Azure Automation regler.

Upprätta en säkerhetsbaslinje

Effekt: Säkerhet

Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Den här säkerhetsbaslinjen tillämpar kontroller som definieras av Microsoft Cloud Security Benchmark version 1.0 för att Azure Policy.

Rekommendationer

Nästa steg

Nu när du har tittat på metodtips för att skydda Azure VMware Solution kan du undersöka operativa hanteringsprocedurer för att uppnå utmärkt verksamhet.

Åtgärder

Använd utvärderingsverktyget för att utvärdera dina designval.

Utvärdering