共用方式為

Azure VMware 解決方案 工作負載的安全性考慮

  • 發行項

本文討論 Azure VMware 解決方案 工作負載的安全性設計區域。 討論涵蓋各種措施,可協助保護 Azure VMware 解決方案 工作負載。 這些措施有助於保護基礎結構、數據和應用程式。 這項安全性方法是整體的,且符合組織的核心優先順序。

保護 Azure VMware 解決方案 需要共同的責任模型,其中 Microsoft Azure 和 VMware 負責某些安全性層面。 若要實作適當的安全性措施,請確定清楚瞭解 IT 小組、VMware 和 Microsoft 之間的共同責任模型和共同作業。

管理合規性和治理

影響:安全性、卓越營運

若要避免誤刪除私人雲端,請使用 資源鎖定 來保護資源免於不想要的刪除或變更。 它們可以在訂用帳戶、資源群組或資源層級設定,並封鎖刪除、修改或兩者。

偵測不符合規範的伺服器也很重要。 您可以針對此目的使用 Azure Arc。 Azure Arc 會將 Azure 管理功能和服務延伸至內部部署或多重雲端環境。 Azure Arc 提供單一窗格檢視,可讓您藉由提供集中式伺服器管理和控管來套用更新和 Hotfix。 結果是從 Azure、內部部署系統和 Azure VMware 解決方案 管理元件的一致體驗。

建議
  • 將資源鎖定放在裝載私人雲端的資源群組上,以防止意外刪除它。
  • 將 Azure VMware 解決方案客體虛擬機器 (VM) 設定為已啟用 Azure Arc 的伺服器。 如需可用來連接機器的方法,請參閱 Azure 連線的機器代理程式部署選項
  • 部署經認證的第三方解決方案或適用於 Azure VMware 解決方案 的 Azure Arc(預覽版)。
  • 針對已啟用 Azure Arc 的伺服器使用 Azure 原則,在 Azure VMware 解決方案 客體 VM 上稽核並強制執行安全性控制。

保護客體作業系統

影響:安全性

如果您未修補並定期更新操作系統,您會使其容易受到弱點的影響,並讓整個平臺面臨風險。 當您定期套用修補程式時,會將系統保持在最新狀態。 當您使用端點保護解決方案時,有助於防止常見的攻擊媒介以操作系統為目標。 請務必定期執行弱點掃描和評估。 這些工具可協助您識別並補救安全性弱點和弱點。

適用於雲端的 Microsoft Defender 提供獨特的工具,可在 Azure VMware 解決方案和內部部署 VM 之間提供進階威脅防護,包括:

  • 檔案完整性監視。
  • 無檔案攻擊偵測。
  • 操作系統修補程序評估。
  • 安全性設定錯誤評定。
  • 端點保護評估。
建議
  • 透過適用於伺服器的 Azure Arc 在 Azure VMware 解決方案 客體 VM 上安裝 Azure 安全性代理程式,以監視其安全性設定和弱點。
  • 設定 Azure Arc 機器,以自動建立與 適用於雲端的 Defender 的預設數據收集規則的關聯。
  • 在您用來部署及執行私人雲端 Azure VMware 解決方案 的訂用帳戶上,使用包含伺服器保護的 適用於雲端的 Defender 方案。
  • 如果您的客體 VM 具有 Azure VMware 解決方案 私人雲端中延伸的安全性優點,請定期部署安全性更新。 使用大量啟用管理工具來部署這些更新。

加密資料

影響:安全性、卓越營運

數據加密是保護 Azure VMware 解決方案 工作負載免於未經授權的存取及保留敏感數據完整性的重要層面。 加密包含系統中待用的數據,以及傳輸中的數據。

建議
  • 使用客戶自控金鑰加密 VMware vSAN 資料存放區,以加密待用資料。
  • 使用 BitLocker 等原生加密工具來加密客體 VM。
  • 針對在私人雲端客體 VM 上執行 Azure VMware 解決方案 的資料庫,使用原生資料庫加密選項。 例如,您可以針對 SQL Server 使用透明資料加密 (TDE)。
  • 監視資料庫活動中的可疑活動。 您可以使用原生資料庫監視工具,例如 SQL Server 活動監視器。

實作網路安全性

影響:卓越營運

網路安全性的目標是防止未經授權存取 Azure VMware 解決方案元件。 達成此目標的其中一種方法是透過網路分割來實作界限。 這種做法有助於隔離您的應用程式。 在分割期間,虛擬 LAN 會在您的資料連結層運作。 該虛擬 LAN 會將實體網路分割成邏輯網路來分隔流量,以提供 VM 的實體區隔。

接著會建立區段以提供進階的安全性功能和路由。 例如,應用程式、Web 和資料庫層可以有三層架構中的個別區段。 應用程式可以使用安全性規則來限制每個區段中 VM 之間的網路通訊,以新增一個層級的微分割。

顯示 Azure VMware 解決方案 環境各階層和區段的架構圖表。

第 1 層路由器位於區段前方。 這些路由器提供軟體定義資料中心 (SDDC) 內的路由功能。 您可以部署多個第 1 層路由器來隔離不同的區段集,或達成特定路由。 例如,假設您想要限制流入和流出生產、開發和測試工作負載的東西方流量。 您可以使用分散式層級 1 層,根據特定規則和原則來分割和篩選該流量。

顯示 Azure VMware 解決方案 環境中多個分散式層級一層的架構圖表。

建議
  • 使用網路區段以邏輯方式分隔和監視元件。
  • 使用 VMware NSX-T 資料中心原生的微分割功能來限制應用程式元件之間的網路通訊。
  • 使用集中式路由設備來保護和優化區段之間的路由。
  • 當網路分割是由組織安全性或網路原則、合規性需求、業務單位、部門或環境所驅動時,請使用交錯的第 1 層路由器。

使用入侵檢測與預防系統 (IDPS)

影響:安全性

IDPS 可協助您偵測並防止 Azure VMware 解決方案 環境中的網路型攻擊和惡意活動。

建議
  • 使用 VMware NSX-T 數據中心分散式防火牆,協助您偵測 Azure VMware 解決方案元件之間東西部流量中的惡意模式和惡意代碼。
  • 使用在 Azure 或 Azure VMware 解決方案中執行的 Azure 服務,例如 Azure 防火牆或經認證的第三方 NVA。

使用角色型訪問控制 (RBAC) 和多重要素驗證

影響:安全性、卓越營運

身分識別安全性可協助控制 Azure VMware 解決方案 私人雲端工作負載及其上執行之應用程式的存取權。 您可以使用 RBAC 來指派適用於特定使用者和群組的角色和許可權。 這些角色和許可權會根據最低許可權原則授與。

您可以針對使用者驗證強制執行多重要素驗證,以針對未經授權的存取提供額外的安全性層。 各種多重要素驗證方法,例如行動推播通知,提供方便的用戶體驗,也有助於確保強身份驗證。 您可以將 Azure VMware 解決方案 與 Microsoft Entra 識別元整合,以集中管理使用者,並利用 Microsoft Entra 進階安全性功能。 功能範例包括特殊許可權身分識別管理、多重要素驗證和條件式存取。

建議
  • 使用 Microsoft Entra Privileged Identity Management 允許時間範圍存取 Azure 入口網站 和控制窗格作業。 使用特殊權限身分識別管理稽核記錄來追蹤高權限帳戶執行的作業。
  • 減少可以:
    • 存取 Azure 入口網站 和 API。
    • 流覽至私人雲端 Azure VMware 解決方案。
    • 讀取 VMware vCenter Server 和 VMware NSX-T 資料中心系統管理帳戶。
  • 輪替 VMware vCenter Server 和 VMware NSX-T 數據中心的本機 cloudadmin 帳戶認證,以防止濫用和濫用這些系統管理帳戶。 只有在打破玻璃案例中,才使用這些帳戶。 建立 VMware vCenter Server 的伺服器群組和使用者,並從外部身分識別來源指派身分識別。 針對特定的 VMware vCenter Server 和 VMware NSX-T 資料中心作業使用這些群組和使用者。
  • 使用集中式身分識別來源來設定客體 VM 和應用程式的驗證和授權服務。

監視安全性並偵測威脅

影響:安全性、卓越營運

安全性監視和威脅偵測牽涉到偵測和回應 Azure VMware 解決方案 私人雲端工作負載的安全性狀態變更。 請務必遵循業界最佳做法並符合法規需求,包括:

  • 《醫療保險可移植性和責任法》(HIPAA)。
  • 支付卡產業數據安全性標準(PCI DSS)。

您可以使用安全性資訊和事件管理 (SIEM) 工具或 Microsoft Sentinel 來匯總、監視和分析安全性記錄和事件。 此資訊可協助您偵測及回應潛在威脅。 定期進行稽核檢閱也有助於避免威脅。 當您定期監視 Azure VMware 解決方案 環境時,您處於較佳的位置,以確保其符合安全性標準和原則。

建議
  • 使用下列 Azure 原則,將來自 適用於雲端的 Defender 的建議回應自動化:
    • 安全性警示的工作流程自動化
    • 安全性建議的工作流程自動化
    • 法規合規性變更的工作流程自動化
  • 部署 Microsoft Sentinel 並將目的地設定為 Log Analytics 工作區,以從 Azure VMware 解決方案 私人雲端客體 VM 收集記錄。
  • 使用數據連接器來連線 Microsoft Sentinel 和 適用於雲端的 Defender。
  • 使用 Microsoft Sentinel 劇本和 Azure 自動化規則將威脅回應自動化。

建立安全性基準

影響:安全性

Microsoft 雲端安全性效能評定提供如何在 Azure 上保護您的雲端解決方案的建議。 此安全性基準會將 Microsoft 雲端安全性基準 1.0 版定義的控件套用至 Azure 原則。

建議

下一步

既然您已了解保護 Azure VMware 解決方案 的最佳做法,請調查業務管理程式以達到卓越業務。

Operations

使用評估工具來評估您的設計選擇。

評量