Azure VMware 解決方案的安全性、治理和合規性
本文說明如何在整個生命週期中安全地實作及全面控管Azure VMware 解決方案。 本文會探索特定設計項目,並提供Azure VMware 解決方案安全性、治理和合規性的目標建議。
安全性
決定哪些系統、使用者或裝置可以在Azure VMware 解決方案內執行功能,以及如何保護整體平臺時,請考慮下列因素。
身分識別安全性
永久存取的限制: Azure VMware 解決方案會在裝載Azure VMware 解決方案私人雲端的 Azure 資源群組中使用參與者角色。 限制永久存取以防止故意或無意的參與者許可權濫用。 使用特殊許可權帳戶管理解決方案來稽核及限制高特殊許可權帳戶的使用時間。
在 Azure Privileged Identity Management (PIM) 內建立 Microsoft Entra ID 特殊許可權存取群組,以管理 Microsoft Entra 使用者和服務主體帳戶。 使用此群組來建立和管理具有時間限制、理由型存取的Azure VMware 解決方案叢集。 如需詳細資訊,請參閱 為特殊許可權存取群組 指派合格的擁有者和成員。
使用 Microsoft Entra PIM 稽核歷程記錄報告來Azure VMware 解決方案系統管理活動、作業和指派。 您可以封存Azure 儲存體中的報告,以符合長期稽核保留需求。 如需詳細資訊,請參閱 在 Privileged Identity Management (PIM) 中檢視特殊許可權存取群組指派的稽核報告。
集中式身分識別管理: Azure VMware 解決方案提供雲端系統管理員和網路系統管理員認證,以設定 VMware 私人雲端環境。 所有具有角色型存取控制 (RBAC) 存取權的參與者都可以看到這些系統管理帳戶Azure VMware 解決方案。
若要防止過度使用或濫用內
cloudadmin建和網路系統管理員使用者存取 VMware 私人雲端控制平面,請使用 VMware 私人雲端控制平面 RBAC 功能來正確管理角色和帳戶存取。 使用最低許可權原則建立多個目標身分識別物件,例如使用者和群組。 限制存取Azure VMware 解決方案所提供的系統管理員帳戶,並在中斷設定中設定帳戶。 只有在所有其他系統管理帳戶都無法使用時,才使用內建帳戶。使用提供的
cloudadmin帳戶,將 Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services 與 VMware vCenter Server 和 NSX-T 資料中心控制應用程式和網域服務系統管理身分識別整合。 使用網域服務來源的使用者和群組進行Azure VMware 解決方案管理和作業,而且不允許帳戶共用。 建立 vCenter Server 自訂角色,並將其與 AD DS 群組產生關聯,以對 VMware 私人雲端控制介面進行更細緻的特殊許可權存取控制。您可以使用Azure VMware 解決方案選項來輪替和重設 vCenter Server 和 NSX-T 資料中心系統管理帳戶密碼。 設定這些帳戶的一般輪替,並在您使用分鏡設定時輪替帳戶。 如需詳細資訊,請參閱 輪替 Azure VMware 解決方案 的 cloudadmin 認證。
客體虛擬機器 (VM) 身分識別管理: 為Azure VMware 解決方案來賓提供集中式驗證和授權,以提供有效率的應用程式管理,並防止未經授權的商務資料和程式存取。 在其生命週期中管理Azure VMware 解決方案來賓和應用程式。 將客體 VM 設定為使用集中式身分識別管理解決方案,以驗證及授權管理和應用程式使用。
使用集中式 AD DS 或輕量型目錄存取通訊協定 (LDAP) 服務,Azure VMware 解決方案客體 VM 和應用程式身分識別管理。 請確定網域服務架構會考慮任何中斷情況,以確保在中斷期間持續運作。 連線 AD DS 實作搭配 Microsoft Entra ID 進行進階管理,以及順暢的來賓驗證和授權體驗。
環境和網路安全性
原生網路安全性功能: 實作網路安全性控制,例如流量篩選、Open Web Application Security Project (OWASP) 規則合規性、統一防火牆管理,以及分散式阻斷服務 (DDoS) 保護。
流量篩選 會控制區段之間的流量。 使用 NSX-T 資料中心 或網路虛擬裝置 (NVA) 功能來實作客體網路流量篩選裝置,以限制客體網路區段之間的存取。
OWASP 核心規則集合規性 可保護Azure VMware 解決方案客體 Web 應用程式工作負載免受一般 Web 攻擊。 使用 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 的 OWASP 功能來保護裝載于Azure VMware 解決方案來賓上的 Web 應用程式。 使用最新的原則啟用預防模式,並確定將 WAF 記錄整合到您的記錄策略中。 如需詳細資訊,請參閱 Azure Web 應用程式防火牆 簡介。
整合防火牆規則管理 可防止重複或遺失防火牆規則增加未經授權的存取風險。 防火牆架構有助於Azure VMware 解決方案較大的網路管理和環境安全性狀態。 使用可設定狀態的受控防火牆架構,允許流量、檢查、集中式規則管理和事件收集。
DDoS 保護 可保護Azure VMware 解決方案工作負載不受造成財務損失或使用者體驗不佳的攻擊。 在裝載 ExpressRoute 終止閘道的 Azure 虛擬網路上套用 DDoS 保護,以進行Azure VMware 解決方案連線。 請考慮使用 Azure 原則 來自動強制執行 DDoS 保護。
使用客戶自控金鑰的 VSAN 加密(CMK) 可讓Azure VMware 解決方案 VSAN 資料存放區使用儲存在 Azure 金鑰保存庫 的客戶提供的加密金鑰進行加密。 您可以使用這項功能來符合合規性需求,例如遵守金鑰輪替原則或管理金鑰生命週期事件。 如需詳細的實作指引和限制,請參閱 在 Azure VMware 解決方案 中設定客戶管理的待用金鑰加密
受控制的 vCenter Server 存取: 對 Azure VMware 解決方案 vCenter Server 的不受控制存取可能會增加受攻擊面區域。 使用專用的特殊許可權存取工作站 (PAW) 安全地存取 vCenter Server 和 NSX-T 管理員Azure VMware 解決方案。 建立使用者群組,並將個別使用者帳戶新增至此使用者群組。
客體工作負載的輸入網際網路要求記錄: 使用Azure 防火牆或核准的 NVA 來維護客體 VM 傳入要求的稽核記錄。 將這些記錄匯入您的安全性事件和事件管理 (SIEM) 解決方案,以進行適當的監視和警示。 在整合至現有的 SIEM 解決方案之前,使用 Microsoft Sentinel 處理 Azure 事件資訊和記錄。 如需詳細資訊,請參閱 整合適用於雲端的 Microsoft Defender與Azure VMware 解決方案 。
輸出網際網路連線安全性的會話監視: 使用規則控制或會話稽核從Azure VMware 解決方案輸出網際網路連線,以識別非預期或可疑的輸出網際網路活動。 決定輸出網路檢查的時機和位置,以確保安全性上限。 如需詳細資訊,請參閱 Azure VMware 解決方案 的企業規模網路拓撲和連線能力。
使用特製化的防火牆、NVA 和虛擬廣域網路 (Virtual WAN) 服務進行輸出網際網路連線,而不是依賴Azure VMware 解決方案的預設網際網路連線。 如需詳細資訊和設計建議,請參閱 在 Azure 虛擬網絡 中使用網路虛擬裝置檢查Azure VMware 解決方案流量。
篩選具有Azure 防火牆的輸出流量時,請使用和完整功能變數名稱 (FQDN) 標籤等
Virtual Network服務標籤進行識別。 針對其他 NVA 使用類似的功能。集中管理的安全備份: 使用 RBAC 和延遲刪除功能,協助防止故意或意外刪除復原環境所需的備份資料。 使用 Azure 金鑰保存庫來管理加密金鑰,並限制對備份資料儲存位置的存取,以將刪除的風險降到最低。
使用Azure 備份或其他針對提供傳輸和待用加密的Azure VMware 解決方案驗證的備份技術。 使用 Azure 復原服務保存庫時,請使用資源鎖定和虛刪除功能,以防止意外或刻意刪除備份。 如需詳細資訊,請參閱 適用于Azure VMware 解決方案 的企業規模商務持續性和災害復原。
客體應用程式和 VM 安全性
進階威脅偵測: 若要防止各種安全性風險和資料外泄,請使用端點安全性防護、安全性警示設定、變更控制程式和弱點評估。 您可以使用適用於雲端的 Microsoft Defender進行威脅管理、端點保護、安全性警示、OS 修補,以及集中檢視法規合規性強制執行。 如需詳細資訊,請參閱 整合適用於雲端的 Microsoft Defender與Azure VMware 解決方案 。
使用適用于伺服器的 Azure Arc 將客體 VM 上線。 上線之後,請使用 Azure Log Analytics、Azure 監視器和適用於雲端的 Microsoft Defender來收集記錄和計量,並建立儀表板和警示。 使用Microsoft Defender 資訊安全中心來保護和警示與 VM 來賓相關聯的威脅。 如需詳細資訊,請參閱 在 Azure VMware 解決方案 中整合及部署 Azure 原生服務。
在開始移轉之前或在部署新的客體 VM 時,先在 VMware vSphere VM 上部署 Log Analytics 代理程式。 設定 MMA 代理程式,將計量和記錄傳送至 Azure Log Analytics 工作區。 移轉之後,請確認Azure VMware 解決方案 VM 報告 Azure 監視器和適用於雲端的 Microsoft Defender中的警示。
或者,使用來自Azure VMware 解決方案認證合作夥伴的解決方案來評估 VM 安全性狀態,並為網際網路安全性中心 (CIS) 需求提供法規合規性。
安全性分析: 使用來自Azure VMware 解決方案 VM 和其他來源的一致安全性事件集合、相互關聯和分析來偵測網路攻擊。 使用 適用於雲端的 Microsoft Defender 作為 Microsoft Sentinel 的資料來源。 設定適用于 儲存體 的 Microsoft Defender、Azure Resource Manager、網域名稱系統(DNS)和其他與Azure VMware 解決方案部署相關的 Azure 服務。 請考慮從認證合作夥伴使用Azure VMware 解決方案資料連線器。
客體 VM 加密: Azure VMware 解決方案為基礎 vSAN 儲存體平臺提供待用資料加密。 某些具有檔案系統存取權的工作負載和環境可能需要更多加密來保護資料。 在這些情況下,請考慮啟用客體 VM 作業系統 (OS) 和資料加密。 使用原生客體 OS 加密 工具來加密客體 VM。 使用 Azure 金鑰保存庫來儲存和保護加密金鑰。
資料庫加密和活動監視: 加密Azure VMware 解決方案中的 SQL 和其他資料庫,以防止資料外泄時輕鬆存取資料。 針對資料庫工作負載,請使用待用加密方法,例如透明資料加密 (TDE) 或對等的原生資料庫功能。 確定工作負載使用加密的磁片,且敏感性秘密會儲存在專用於資源群組的金鑰保存庫中。
在自備金鑰 (BYOK) 案例中,針對客戶管理的金鑰使用 Azure 金鑰保存庫,例如 適用于 Azure SQL 資料庫透明資料加密 (TDE) 的 BYOK。 盡可能區分金鑰管理和資料管理職責。 如需 SQL Server 2019 如何使用金鑰保存庫的範例,請參閱 搭配使用具有安全記憶體保護區 的 Always Encrypted 使用 Azure 金鑰保存庫。
監視不尋常的資料庫活動,以降低內部攻擊的風險。 使用活動監視器或Azure VMware 解決方案認證合作夥伴解決方案等原生資料庫監視。 請考慮使用 Azure 資料庫服務進行增強的稽核控制。
延伸安全性更新 (ESU) 金鑰: 提供和設定 ESU 金鑰,以在Azure VMware 解決方案 VM 上推送及安裝安全性更新。 使用大量啟用管理工具來設定Azure VMware 解決方案叢集的 ESU 金鑰。 如需詳細資訊,請參閱 取得合格 Windows 裝置 的擴充安全性更新。
程式碼安全性: 在 DevOps 工作流程中實作安全性措施,以防止Azure VMware 解決方案工作負載中的安全性弱點。 使用新式驗證和授權工作流程,例如 Open Authorization (OAuth) 和 OpenID 連線。
在 Azure VMware 解決方案 上使用 GitHub Enterprise Server,以取得版本設定的存放庫,以確保程式碼基底的完整性。 在Azure VMware 解決方案或安全的 Azure 環境中部署組建和執行代理程式。
控管
規劃環境和客體 VM 治理時,請考慮實作下列建議。
環境治理
vSAN 儲存空間: vSAN 儲存空間不足可能會影響 SLA 保證。 檢閱並瞭解 SLA 中 Azure VMware 解決方案 的客戶和合作夥伴責任。 針對 [資料存放區磁片使用百分比] 計量上的警示指派適當的優先順序和擁有者。 如需詳細資訊和指引,請參閱 在 Azure VMware 解決方案 中設定警示和使用計量。
VM 範本儲存體原則: 預設的粗布建儲存體原則可能會導致保留太多 vSAN 儲存體。 建立使用精簡布建儲存體原則的 VM 範本,其中不需要保留空間。 未預先保留完整儲存體數量的 VM 可讓儲存體資源更有效率。
主機配額治理: 主機配額不足可能會導致 5-7 天延遲,以取得更多主機容量以進行成長或災害復原 (DR) 需求。 要求主機配額時,將成長和 DR 需求納入解決方案設計,並定期檢閱環境成長和最大值,以確保擴充要求的適當前置時間。 例如,如果三節點Azure VMware 解決方案叢集需要另外三個 DR 節點,請要求六個節點的主機配額。 主機配額要求不會產生額外費用。
無法容忍 (FTT) 治理: 建立與叢集大小相適應的 FTT 設定,以維護Azure VMware 解決方案的 SLA。 變更叢集大小以確保 SLA 合規性時,將 vSAN 儲存體原則 調整為適當的 FTT 設定。
ESXi 存取: 存取Azure VMware 解決方案 ESXi 主機受到限制。 需要 ESXi 主機存取權的協力廠商軟體可能無法運作。 識別來源環境中需要存取 ESXi 主機的任何Azure VMware 解決方案支援的協力廠商軟體。 熟悉並使用Azure 入口網站中Azure VMware 解決方案 支援要求程式 ,以取得需要 ESXi 主機存取的情況。
ESXi 主機密度和效率: 為了獲得良好的投資報酬率(ROI),請瞭解 ESXi 主機使用率。 定義狀況良好的客體 VM 密度,以最大化Azure VMware 解決方案投資,並針對該閾值監視整體節點使用率。 監視指出時調整Azure VMware 解決方案環境的大小,並允許有足夠的前置時間新增節點。
網路監視: 監視內部網路流量是否有惡意或未知流量或遭入侵的網路。 實作 vRealize Network Insight (vRNI) 和 vRealize Operations (vROps),以深入瞭解Azure VMware 解決方案網路作業。
安全性、計劃性維護和服務健康狀態警示: 瞭解及檢視服務健康情況,以適當地規劃和回應中斷和問題。 針對 Azure VMware 解決方案服務問題、計劃性維護、健康情況諮詢和安全性諮詢設定服務健康 情況警示。 在 Microsoft 建議的維護期間之外排程和規劃Azure VMware 解決方案工作負載活動。
成本治理: 監視成本,以取得良好的財務責任和預算配置。 使用成本管理解決方案進行成本追蹤、成本配置、預算建立、成本警示,以及良好的財務治理。 針對 Azure 計費費用,請使用 Azure 成本管理 + 計費 工具來建立預算、產生警示、配置成本,以及產生財務專案關係人的報告。
Azure 服務整合: 避免使用 Azure 平臺即服務公用端點 (PaaS),這可能會導致流量離開所需的網路界限。 為了確保流量會保留在定義的虛擬網路界限內,請使用私人端點來存取 Azure 服務,例如 Azure SQL 資料庫和Azure Blob 儲存體。
工作負載應用程式和 VM 治理
Azure VMware 解決方案工作負載 VM 的安全性狀態感知可協助您瞭解網路安全整備和回應,並為客體 VM 和應用程式提供完整的安全性涵蓋範圍。
啟用 執行 Azure 服務和Azure VMware 解決方案應用程式 VM 工作負載的適用於雲端的 Microsoft Defender 。
使用 已啟用 Azure Arc 的伺服器 ,透過複寫 Azure 原生資源工具的工具來管理Azure VMware 解決方案客體 VM,包括:
- Azure 原則以控管、報告和稽核來賓組態和設定
- Azure 自動化 狀態設定和支援的擴充功能,以簡化部署
- 更新管理來管理Azure VMware 解決方案應用程式 VM 環境更新
- 用來管理和組織Azure VMware 解決方案應用程式 VM 清查的標籤
如需詳細資訊,請參閱 已啟用 Azure Arc 的伺服器概觀 。
工作負載 VM 網域治理: 若要避免容易發生錯誤的手動程式,請使用擴充功能,例如
JsonADDomainExtension或對等的自動化選項,讓Azure VMware 解決方案客體 VM 自動加入 Active Directory 網域。工作負載 VM 記錄和監視: 在工作負載 VM 上啟用診斷計量和記錄,以更輕鬆地偵錯 OS 和應用程式問題。 實作記錄收集與查詢功能,以提供快速的回應時間以進行偵錯和疑難排解。 針對工作負載 VM 啟用近乎即時 的 VM 深入解析 ,以提示偵測效能瓶頸和作業問題。 設定 記錄警示 以擷取工作負載 VM 的界限條件。
在移轉之前或在Azure VMware 解決方案環境中部署新的工作負載 VM 時,在 VMware vSphere 工作負載 VM 上部署 Log Analytics 代理程式 (MMA)。 使用 Azure Log Analytics 工作區設定 MMA,並使用 Azure 自動化 連結 Azure Log Analytics 工作區。 在移轉後使用 Azure 監視器進行移轉之前,驗證部署的任何工作負載 VM MMA 代理程式的狀態。
工作負載 VM 更新控管: 延遲或不完整的更新或修補是導致Azure VMware 解決方案工作負載 VM 和應用程式公開或破壞的最上層攻擊媒介。 請確定客體 VM 上及時更新安裝。
工作負載 VM 備份治理: 排程定期備份以防止備份遺失,或依賴可能導致資料遺失的舊備份。 使用可採取排程備份並監視備份成功的備份解決方案。 監視備份事件併發出警示,以確保排程的備份能夠順利執行。
工作負載 VM DR 治理: 未記載的復原點目標 (RPO) 和復原時間目標 (RTO) 需求可能會導致不良的客戶體驗,並在商務持續性和災害復原 (BCDR) 事件期間未達到作業目標。 實作 DR 協調流程,以防止商務持續性的延遲。
針對提供 DR 協調流程的 Azure VMware 解決方案使用 DR 解決方案,並偵測並報告成功持續複寫至 DR 網站的任何失敗或問題。 記載在 Azure 和 Azure VMware 解決方案 中執行之應用程式的 RPO 和 RTO 需求。 透過協調流程,選擇符合可驗證 RPO 和 RTO 需求的災害復原和商務持續性解決方案 設計。
合規性
規劃Azure VMware 解決方案環境和工作負載 VM 合規性時,請考慮並實作下列建議。
適用於雲端的 Microsoft Defender監視: 使用適用於雲端的 Defender中的法規合規性檢視來監視安全性與法規基準的合規性。 設定適用於雲端的 Defender工作流程自動化,以追蹤與預期合規性狀態的任何偏差。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender概觀 。
工作負載 VM DR 合規性: 追蹤Azure VMware 解決方案工作負載 VM 的 DR 設定合規性,以確保其任務關鍵性應用程式在災害期間保持可用。 使用 Azure Site Recovery 或Azure VMware 解決方案認證的 BCDR 解決方案,其可提供大規模複寫布建、不符合規範的狀態監視,以及自動補救。
工作負載 VM 備份合規性: 追蹤和監視Azure VMware 解決方案工作負載 VM 備份合規性,以確保 VM 已備份。 使用Azure VMware 解決方案認證的合作夥伴解決方案 ,提供大規模檢視方塊、向下切入分析和可採取動作的介面,以追蹤和監視工作負載 VM 備份。
國家/地區或產業特有的合規性: 若要避免成本高昂的法律動作和罰款,請確定Azure VMware 解決方案工作負載符合國家/地區和產業特有的法規。 瞭解產業或區域法規合規性的雲端 共同責任 模型。 使用服務信任入口網站 來檢視或下載支援整個合規性案例的Azure VMware 解決方案和 Azure 稽核報告。
在 HTTP/S 和非 HTTP/S 端點上實作防火牆稽核報告,以符合法規需求。
公司原則合規性: 使用公司原則監視Azure VMware 解決方案工作負載 VM 合規性,以防止違反公司規則和法規。 使用 已啟用 Azure Arc 的伺服器 和Azure 原則或對等的協力廠商解決方案。 定期評估及管理Azure VMware 解決方案工作負載 VM 和應用程式,以符合適用的內部和外部法規。
資料保留和落地需求: Azure VMware 解決方案不支援保留或擷取儲存在叢集中的資料。 刪除叢集會終止所有執行中的工作負載和元件,並終結所有叢集資料和組態設定,包括公用 IP 位址。 無法復原此資料。
Azure VMware 解決方案不保證執行服務的所有中繼資料和組態資料都只存在於已部署的地理區域中。 如果您的資料落地需求要求所有資料都存在於已部署區域中,請連絡Azure VMware 解決方案支援以尋求協助。
資料處理: 當您註冊時閱讀並瞭解法律條款。 請注意 Microsoft Azure VMware 解決方案針對 L3 支援 轉移的客戶所簽署的 VMware 資料處理合約。 如果支援問題需要 VMware 支援,Microsoft 會與 VMware 共用專業服務資料和相關聯的個人資料。 從這一點開始,Microsoft 和 VMware 會作為兩個獨立的資料處理者。
下一步
本文是以企業級登陸區域架構設計原則和指導方針雲端採用架構為基礎。 如需詳細資訊,請參閱
本文是一系列文章的一部分,可將企業級登陸區域原則和建議套用至Azure VMware 解決方案部署。 本系列中的其他文章包括:
- 適用于Azure VMware 解決方案的企業級身分識別和存取管理
- 適用于Azure VMware 解決方案的企業規模網路拓撲和連線能力
- 適用于Azure VMware 解決方案的企業級平臺自動化和 DevOps
- 適用于Azure VMware 解決方案的企業級商務持續性和災害復原
閱讀系列中的下一篇文章: