Aracılığıyla paylaş

Azure VMware Çözümü iş yükleri için güvenlik konuları

  • Makale

Bu makalede, bir Azure VMware Çözümü iş yükünün güvenlik tasarım alanı ele alınmaktadır. Tartışma, Azure VMware Çözümü iş yüklerinin güvenliğinin ve korunmasına yardımcı olmaya yönelik çeşitli önlemleri kapsar. Bu ölçüler altyapının, verilerin ve uygulamaların korunmasına yardımcı olur. Bu güvenlik yaklaşımı bütünseldir ve kuruluşun temel öncelikleriyle uyumludur.

Azure VMware Çözümü güvenliğini sağlamak için, Microsoft Azure ve VMware'in belirli güvenlik yönlerinden sorumlu olduğu paylaşılan bir sorumluluk modeli gerekir. Uygun güvenlik önlemlerini uygulamak için BT ekipleri, VMware ve Microsoft arasındaki paylaşılan sorumluluk modelini ve işbirliğini net bir şekilde anlayın.

Uyumluluk ve idareyi yönetme

Etki: Güvenlik, Operasyonel Mükemmellik

Özel bulutu yanlışlıkla silmekten kaçınmak için kaynakları istenmeyen silme veya değişikliklerden korumak için kaynak kilitlerini kullanın. Bunlar abonelik, kaynak grubu veya kaynak düzeyinde ayarlanabilir ve silmeleri, değişiklikleri veya her ikisini de engelleyebilir.

Uyumsuz sunucuları algılamak da önemlidir. Bu amaçla Azure Arc kullanabilirsiniz. Azure Arc, Azure yönetim özelliklerini ve hizmetlerini şirket içi veya çoklu bulut ortamlarına genişletir. Azure Arc, merkezi sunucu yönetimi ve idaresi sağlayarak güncelleştirmeleri ve düzeltmeleri uygulamak için tek bölmeli bir görünüm sağlar. Sonuç olarak Azure, şirket içi sistemler ve Azure VMware Çözümü bileşenleri yönetmek için tutarlı bir deneyim elde edilir.

Öneriler
  • Yanlışlıkla silinmesini önlemek için özel bulutu barındıran kaynak grubuna bir kaynak kilidi yerleştirin.
  • Azure VMware Çözümü konuk sanal makineleri (VM) Azure Arc özellikli sunucular olarak yapılandırın. Makineleri bağlamak için kullanabileceğiniz yöntemler için bkz . Azure bağlı makine aracısı dağıtım seçenekleri.
  • Sertifikalı bir üçüncü taraf çözümü veya Azure VMware Çözümü için Azure Arc'ı (önizleme) dağıtın.
  • Azure VMware Çözümü konuk VM'lerde güvenlik denetimlerini denetlemek ve zorunlu kılmak için Azure Arc özellikli sunucular için Azure İlkesi kullanın.

Konuk işletim sistemini koruma

Etki: Güvenlik

İşletim sisteminize düzeltme eki uygulamaz ve düzenli olarak güncelleştirmezseniz, güvenlik açıklarına karşı savunmasız hale getirir ve tüm platformunuzu riske atmış olursunuz. Düzenli olarak düzeltme eki uyguladığınızda sisteminizi güncel tutarsınız. Bir uç nokta koruma çözümü kullandığınızda, yaygın saldırı vektörlerinin işletim sisteminizi hedeflemesini önlemeye yardımcı olursunuz. Güvenlik açığı taramalarını ve değerlendirmelerini düzenli olarak gerçekleştirmek de önemlidir. Bu araçlar, güvenlik açıklarını ve güvenlik açıklarını belirlemenize ve düzeltmenize yardımcı olur.

Bulut için Microsoft Defender, Azure VMware Çözümü ve şirket içi VM'ler arasında gelişmiş tehdit koruması sağlayan benzersiz araçlar sunar:

  • Dosya bütünlüğünü izleme.
  • Dosyasız saldırı algılama.
  • İşletim sistemi düzeltme eki değerlendirmesi.
  • Güvenlik yanlış yapılandırma değerlendirmesi.
  • Uç nokta koruma değerlendirmesi.
Öneriler
  • Sunucuların güvenlik yapılandırmalarını ve güvenlik açıklarını izlemesi için Azure Arc aracılığıyla Azure VMware Çözümü konuk VM'lere bir Azure güvenlik aracısı yükleyin.
  • Azure Arc makinelerini, Bulut için Defender için varsayılan veri toplama kuralıyla otomatik olarak bir ilişkilendirme oluşturacak şekilde yapılandırın.
  • Azure VMware Çözümü özel bulutu dağıtmak ve çalıştırmak için kullandığınız abonelikte, sunucu koruması içeren bir Bulut için Defender planı kullanın.
  • Azure VMware Çözümü özel bulutta genişletilmiş güvenlik avantajlarına sahip konuk VM'leriniz varsa, güvenlik güncelleştirmelerini düzenli olarak dağıtın. Bu güncelleştirmeleri dağıtmak için Toplu Etkinleştirme Yönetim Aracı kullanın.

Veri şifreleme

Etki: Güvenlik, Operasyonel Mükemmellik

Veri şifreleme, Azure VMware Çözümü iş yükünüzü yetkisiz erişime karşı korumanın ve hassas verilerin bütünlüğünü korumanın önemli bir yönüdür. Şifreleme, sistemlerde bekleyen verileri ve aktarımdaki verileri içerir.

Öneriler
  • Bekleyen verileri şifrelemek için VMware vSAN veri depolarını müşteri tarafından yönetilen anahtarlarla şifreleyin.
  • Konuk VM'leri şifrelemek için BitLocker gibi yerel şifreleme araçlarını kullanın.
  • Azure VMware Çözümü özel bulut konuk VM'lerinde çalışan veritabanları için yerel veritabanı şifreleme seçeneklerini kullanın. Örneğin, SQL Server için saydam veri şifrelemesi (TDE) kullanabilirsiniz.
  • Şüpheli etkinlik için veritabanı etkinliklerini izleyin. SQL Server Etkinlik İzleyicisi gibi yerel veritabanı izleme araçlarını kullanabilirsiniz.

Ağ güvenliğini sağlama

Etki: Operasyonel mükemmellik

Ağ güvenliğinin bir amacı, Azure VMware Çözümü bileşenlerine yetkisiz erişimi engellemektir. Bu hedefe ulaşmanın bir yöntemi, ağ segmentasyonu aracılığıyla sınırları uygulamaktır. Bu uygulama, uygulamalarınızı yalıtmaya yardımcı olur. Segmentasyon kapsamında sanal LAN, veri bağlantısı katmanınızda çalışır. Bu sanal LAN, trafiği ayırmak için fiziksel ağı mantıksal ağlara bölerek VM'lerinizin fiziksel ayrımını sağlar.

Segmentler daha sonra gelişmiş güvenlik özellikleri ve yönlendirme sağlamak için oluşturulur. Örneğin, uygulama, web ve veritabanı katmanı üç katmanlı mimaride ayrı segmentlere sahip olabilir. Uygulama, her segmentteki VM'ler arasındaki ağ iletişimini kısıtlamak için güvenlik kurallarını kullanarak bir mikro segmentasyon düzeyi ekleyebilir.

Azure VMware Çözümü ortamının çeşitli katmanlarını ve kesimlerini gösteren mimari diyagramı.

Katman 1 yönlendiricileri segmentlerin önüne yerleştirilir. Bu yönlendiriciler, yazılım tanımlı veri merkezinde (SDDC) yönlendirme özellikleri sağlar. Farklı segment kümelerini ayırmak veya belirli bir yönlendirme elde etmek için birden çok katman 1 yönlendiricisi dağıtabilirsiniz. Örneğin üretim, geliştirme ve test iş yüklerinize gelen ve giden Doğu-Batı trafiğini kısıtlamak istediğinizi varsayalım. Belirli kurallar ve ilkeler temelinde trafiği segmentlere ayırmak ve filtrelemek için dağıtılmış düzey 1 katmanlarını kullanabilirsiniz.

bir Azure VMware Çözümü ortamında birden çok dağıtılmış düzey bir katmanı gösteren mimari diyagramı.

Öneriler
  • Bileşenleri mantıksal olarak ayırmak ve izlemek için ağ kesimlerini kullanın.
  • Uygulama bileşenleri arasındaki ağ iletişimini kısıtlamak için VMware NSX-T Veri Merkezi'ne özgü mikro segmentasyon özelliklerini kullanın.
  • Segmentler arasındaki yönlendirmeyi güvenli hale getirmek ve iyileştirmek için merkezi bir yönlendirme aleti kullanın.
  • Ağ segmentasyonu kurumsal güvenlik veya ağ ilkeleri, uyumluluk gereksinimleri, iş birimleri, departmanlar veya ortamlar tarafından yönetildiğinde aşamalı katman 1 yönlendiricileri kullanın.

İzinsiz giriş algılama ve önleme sistemi (IDPS) kullanma

Etki: Güvenlik

IDPS, Azure VMware Çözümü ortamınızdaki ağ tabanlı saldırıları ve kötü amaçlı etkinlikleri algılamanıza ve önlemenize yardımcı olabilir.

Öneriler
  • Azure VMware Çözümü bileşenleriniz arasındaki Doğu-Batı trafiğinde kötü amaçlı desenleri ve kötü amaçlı yazılımları algılama konusunda yardım için VMware NSX-T Veri Merkezi dağıtılmış güvenlik duvarını kullanın.
  • Azure Güvenlik Duvarı gibi bir Azure hizmetini veya Azure'da veya Azure VMware Çözümü'de çalışan sertifikalı bir üçüncü taraf NVA kullanın.

Rol tabanlı erişim denetimini (RBAC) ve çok faktörlü kimlik doğrulamasını kullanma

Etki: Güvenlik, operasyonel mükemmellik

Kimlik güvenliği, Azure VMware Çözümü özel bulut iş yüklerine ve bu iş yüklerinde çalışan uygulamalara erişimi denetlemeye yardımcı olur. RBAC kullanarak belirli kullanıcılara ve gruplara uygun roller ve izinler atayabilirsiniz. Bu roller ve izinler en az ayrıcalık ilkesine göre verilir.

Yetkisiz erişime karşı ek bir güvenlik katmanı sağlamak üzere kullanıcı kimlik doğrulaması için çok faktörlü kimlik doğrulaması uygulayabilirsiniz. Mobil anında iletme bildirimleri gibi çeşitli çok faktörlü kimlik doğrulama yöntemleri, kullanışlı bir kullanıcı deneyimi sunar ve güçlü kimlik doğrulaması sağlamaya yardımcı olur. Kullanıcı yönetimini merkezileştirmek ve Microsoft Entra gelişmiş güvenlik özelliklerinden yararlanmak için Azure VMware Çözümü Microsoft Entra Id ile tümleştirebilirsiniz. Özelliklere örnek olarak ayrıcalıklı kimlik yönetimi, çok faktörlü kimlik doğrulaması ve koşullu erişim verilebilir.

Öneriler
  • Azure portalına ve denetim bölmesi işlemlerine zamana bağlı erişime izin vermek için Microsoft Entra Privileged Identity Management'ı kullanın. Ayrıcalıklı hesapların gerçekleştirdiği işlemleri izlemek için ayrıcalıklı kimlik yönetimi denetim geçmişini kullanın.
  • Aşağıdakileri yapabilecek Microsoft Entra hesaplarının sayısını azaltın:
    • Azure portalına ve API'lerine erişin.
    • Azure VMware Çözümü özel buluta gidin.
    • VMware vCenter Server ve VMware NSX-T Veri Merkezi yönetici hesaplarını okuyun.
  • Bu yönetim hesaplarının kötüye kullanılmasını ve kötüye kullanılmasını önlemek için VMware vCenter Server ve VMware NSX-T Veri Merkezi için yerel cloudadmin hesap kimlik bilgilerini döndürün. Bu hesapları yalnızca kesme camı senaryolarında kullanın. VMware vCenter Server için sunucu grupları ve kullanıcıları oluşturun ve onlara dış kimlik kaynaklarından kimlik atayın. Belirli VMware vCenter Server ve VMware NSX-T Veri Merkezi işlemleri için bu grupları ve kullanıcıları kullanın.
  • Konuk VM'ler ve uygulamalar için kimlik doğrulama ve yetkilendirme hizmetlerini yapılandırmak için merkezi bir kimlik kaynağı kullanın.

Güvenliği izleme ve tehditleri algılama

Etki: Güvenlik, operasyonel mükemmellik

Güvenlik izleme ve tehdit algılama, Azure VMware Çözümü özel bulut iş yüklerinin güvenlik duruşundaki değişiklikleri algılamayı ve yanıtlamayı içerir. Endüstrinin en iyi uygulamalarını izlemek ve aşağıdakiler dahil olmak üzere mevzuat gereksinimlerine uymak önemlidir:

  • Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA).
  • Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS).

Güvenlik günlüklerini ve olaylarını toplamak, izlemek ve analiz etmek için bir güvenlik bilgileri ve olay yönetimi (SIEM) aracı veya Microsoft Sentinel kullanabilirsiniz. Bu bilgiler olası tehditleri algılamanıza ve yanıtlamanıza yardımcı olur. Düzenli olarak denetim gözden geçirmeleri yapmak da tehditleri gidermenize yardımcı olur. Azure VMware Çözümü ortamınızı düzenli olarak izlediğinizde, güvenlik standartları ve ilkeleriyle uyumlu olduğundan emin olmak için daha iyi bir konumda olursunuz.

Öneriler
  • Aşağıdaki Azure ilkelerini kullanarak Bulut için Defender önerilerine verilen yanıtları otomatikleştirin:
    • Güvenlik uyarıları için iş akışı otomasyonu
    • Güvenlik önerileri için iş akışı otomasyonu
    • Mevzuat uyumluluğu değişiklikleri için iş akışı otomasyonu
  • Özel bulut konuk VM'Azure VMware Çözümü lerinden günlükleri toplamak için Microsoft Sentinel'i dağıtın ve hedefi bir Log Analytics çalışma alanına ayarlayın.
  • Microsoft Sentinel ve Bulut için Defender bağlamak için bir veri bağlayıcısı kullanın.
  • Microsoft Sentinel playbook'larını ve Azure Otomasyonu kurallarını kullanarak tehdit yanıtlarını otomatikleştirin.

Güvenlik temeli oluşturma

Etki: Güvenlik

Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0 tarafından tanımlanan denetimleri Azure İlkesi uygular.

Öneriler
  • İş yükünüzün korunmasına yardımcı olmak için Azure VMware Çözümü için Azure güvenlik temelinde verilen önerileri uygulayın.

Sonraki adımlar

artık Azure VMware Çözümü güvenliğini sağlamaya yönelik en iyi yöntemleri incelediğinize göre, iş mükemmelliği elde etmek için operasyonel yönetim yordamlarını araştırın.

Operations

Tasarım seçimlerinizi değerlendirmek için değerlendirme aracını kullanın.

Değerlendirme