Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come implementare in modo sicuro e gestire in modo olistico la soluzione Azure VMware nell'intero ciclo di vita. L'articolo esamina elementi di progettazione specifici e fornisce raccomandazioni mirate relative a sicurezza, governance e conformità per la soluzione Azure VMware.
Sicurezza
Considerare i fattori seguenti quando è necessario decidere quali sistemi, utenti o dispositivi possono eseguire determinate funzioni all'interno della soluzione Azure VMware e come proteggere la piattaforma nel suo complesso.
Sicurezza delle identità
Limiti per l'accesso permanente: la soluzione Azure VMware usa il ruolo collaboratore nel gruppo di risorse di Azure che ospita il cloud privato della soluzione. Limitare l'accesso permanente per impedire l'uso improprio intenzionale o accidentale dei diritti di collaboratore. Usare una soluzione di gestione degli account con privilegi per controllare e limitare l'utilizzo del tempo degli account con privilegi elevati.
Creare un gruppo di accesso con privilegi di Microsoft Entra ID all'interno di Azure Privileged Identity Management (PIM) per gestire gli account utente e le entità servizio di Microsoft Entra. Usare questo gruppo per creare e gestire il cluster della soluzione Azure VMware con accesso temporizzato e basato su giustificazione. Per altre informazioni, vedere l'articolo su come assegnare proprietari e membri idonei per i gruppi di accesso con privilegi.
Usare i report della cronologia di controllo di Microsoft Entra PIM per le attività amministrative, le operazioni e le assegnazioni della soluzione Azure VMware. È possibile archiviare i report in Archiviazione di Azure per le esigenze di conservazione dei controlli a lungo termine. Per altre informazioni, vedere Visualizzare il report di controllo per le assegnazioni di gruppi di accesso con privilegi in Privileged Identity Management (PIM).
Gestione centralizzata delle identità: soluzione Azure VMware fornisce le credenziali di amministratore cloud e amministratore di rete per la configurazione dell'ambiente cloud privato VMware. Questi account amministrativi sono visibili a tutti i collaboratori che hanno accesso al controllo degli accessi in base al ruolo alla soluzione Azure VMware.
Per evitare l'uso eccessivo o improprio degli utenti predefiniti e degli amministratori di rete per accedere al piano di controllo del cloud privato VMware, utilizzare le funzionalità RBAC del piano di controllo del cloud privato VMware per gestire correttamente l'accesso ai ruoli e agli account. Creare più oggetti di identità mirati, come utenti e gruppi, basati sui principi del minimo privilegio. Limitare l'accesso agli account amministratore forniti da Azure VMware Solution e configurare gli account in una configurazione di break-glass. Usare gli account predefiniti solo quando tutti gli altri account amministrativi sono inutilizzabili.
Usare l'account fornito
cloudadminper integrare i Servizi di dominio Active Directory (AD DS) o Microsoft Entra Domain Services con VMware vCenter Server e le applicazioni di controllo di NSX-T Data Center e le identità amministrative dei servizi di dominio. Usare gli utenti e i gruppi di origine dei servizi di dominio per la gestione e le operazioni della soluzione Azure VMware e non consentire la condivisione degli account. Creare ruoli personalizzati del server vCenter e associarli ai gruppi di Active Directory Domain Services per il controllo di accesso con privilegi granulari alle superfici di controllo del cloud privato VMware.È possibile usare le opzioni della soluzione Azure VMware per rinnovare e reimpostare le password degli account amministrativi del server vCenter e dell'NSX-T Data Center. Impostare una rotazione regolare per questi account ed effettuare la rotazione degli account ogni volta che utilizzi la configurazione di emergenza. Per altre informazioni, vedere Ruotare le credenziali di cloudadmin per la soluzione Azure VMware.
Gestione delle identità delle macchine virtuali guest: fornire autenticazione e autorizzazione centralizzate per guest della soluzione Azure VMware per garantire una gestione efficiente delle applicazioni e impedire l'accesso non autorizzato a dati e processi aziendali. Gestire le macchine virtuali e le applicazioni di Azure VMware Solution come parte del loro ciclo di vita. Configurare le macchine virtuali guest per l'uso di una soluzione centralizzata di gestione delle identità per autenticare e autorizzare la gestione e l'uso delle applicazioni.
Usare un servizio Active Directory Domain Services o LDAP (Lightweight Directory Access Protocol) centralizzato per le macchine virtuali guest e la gestione delle identità delle applicazioni della soluzione Azure VMware. Assicurarsi che l'architettura dei servizi di dominio tenga in considerazione eventuali scenari di interruzione, al fine di garantire la continuità in caso di interruzioni. Connettere l'implementazione di Active Directory Domain Services con Microsoft Entra ID per la gestione avanzata e un'esperienza di autenticazione e autorizzazione guest senza problemi.
Sicurezza dell'ambiente e della rete
Funzionalità di sicurezza di rete native: implementare controlli di sicurezza di rete come il filtro del traffico, la conformità alle regole Open Web Application Security Project (OWASP), la gestione unificata del firewall e la protezione DDoS (Distributed Denial of Service).
Il filtro del traffico controlla il traffico tra segmenti. Implementare i dispositivi per filtrare il traffico della rete ospite utilizzando le funzionalità di NSX-T Data Center o di appliance virtuale di rete (NVA) per limitare l'accesso tra i segmenti della rete ospite.
La conformità al set di regole di base di OWASP protegge i carichi di lavoro delle applicazioni Web guest della soluzione Azure VMware da attacchi Web generici. Usa le funzionalità OWASP del Web Application Firewall (WAF) di Azure Application Gateway per proteggere le applicazioni Web ospitate sui guest di Azure VMware Solution. Abilitare la modalità di prevenzione usando i criteri più recenti e assicurarsi di integrare i log di WAF nella strategia di registrazione. Per altre informazioni, vedere l'introduzione a Web application firewall di Azure.
La gestione unificata delle regole del firewall impedisce che regole del firewall duplicate o mancanti aumentino il rischio di accessi non autorizzati. L'architettura del firewall contribuisce a una postura di sicurezza più estesa dell'ambiente e della gestione di rete per la soluzione Azure VMware. Usare un'architettura basata su firewall gestito con stato che consenta il flusso del traffico, l'ispezione, la gestione centralizzata delle regole e la raccolta di eventi.
La protezione DDoS protegge i carichi di lavoro della soluzione Azure VMware da attacchi che causano perdite finanziarie o un'esperienza utente insoddisfacente. Applicare la protezione DDoS nella rete virtuale di Azure che ospita il gateway di terminazione ExpressRoute per la connessione alla soluzione Azure VMware. Considerare l'uso di Azure Policy per l'applicazione automatica della protezione DDoS.
La crittografia VSAN con chiavi gestite dal cliente consente di crittografare soluzione Azure VMware archivi dati VSAN con una chiave di crittografia fornita dal cliente archiviata in Azure Key Vault. È possibile usare questa funzionalità per soddisfare i requisiti di conformità, ad esempio rispettare i criteri di rotazione delle chiavi o gestire gli eventi del ciclo di vita chiave. Per indicazioni dettagliate sull'implementazione e sui limiti, vedere Configurare la crittografia a riposo con chiavi gestite dal cliente in Azure VMware Solution
Accesso controllato al server vCenter: l'accesso non controllato al server soluzione Azure VMware vCenter può aumentare la superficie di attacco. Usare una workstation PAW (Privileged Access Workstation) dedicata per accedere in modo sicuro ad Azure VMware Solution vCenter Server e NSX-T Manager. Creare un gruppo di utenti e aggiungervi un singolo account utente.
Registrazione delle richieste Internet in ingresso per i carichi di lavoro guest: usare Azure Firewall o un'appliance di rete virtuale approvata che mantenga i log di audit per le richieste in ingresso alle macchine virtuali guest. Importare questi log nella soluzione SIEM (Security Information and Event Management) per il monitoraggio e gli avvisi appropriati. Usare Microsoft Sentinel per elaborare informazioni sugli eventi di Azure e la registrazione prima dell'integrazione in soluzioni SIEM esistenti. Per altre informazioni, vedere Integrare Microsoft Defender for Cloud con la soluzione Azure VMware.
Monitoraggio della sessione per la sicurezza delle connessioni Internet in uscita: usare il controllo delle regole o il controllo di sessione della connettività Internet in uscita dalla soluzione Azure VMware per identificare attività Internet in uscita impreviste o sospette. Decidere quando e dove posizionare l'ispezione di rete in uscita per garantire la massima sicurezza. Per altre informazioni, vedere Topologia e connettività di rete su scala aziendale per la soluzione Azure VMware.
Usare servizi specializzati per firewall, appliance virtuale di rete e rete WAN virtuale per la connettività Internet in uscita invece di basarsi sulla connettività Internet predefinita della soluzione Azure VMware. Per altre informazioni e per le raccomandazioni sulla progettazione, vedere l'articolo su come ispezionare il traffico della soluzione Azure VMware con un'appliance virtuale di rete in Rete virtuale di Azure.
Usare tag di servizi come
Virtual Networke tag di nome di dominio completo (FQDN) per l'identificazione quando si filtra il traffico in uscita con Firewall di Azure. Utilizzare una funzionalità simile per altre appliance virtuali di rete.Backup protetti gestiti centralmente: usare RBAC (controllo degli accessi in base al ruolo) e le funzionalità di eliminazione ritardata per impedire l'eliminazione intenzionale o accidentale dei dati di backup necessari al ripristino dell'ambiente. Usare Azure Key Vault per gestire le chiavi di crittografia e limitare l'accesso al percorso di archiviazione dei dati di backup in modo da ridurre al minimo il rischio di eliminazione.
Usare Backup di Azure o un'altra tecnologia di backup convalidata per la soluzione Azure VMware che preveda la crittografia dei dati in transito e inattivi. Quando si usano le casseforti dei Servizi di ripristino di Azure, utilizzare i blocchi delle risorse e le funzionalità di eliminazione temporanea per proteggersi dall'eliminazione accidentale o intenzionale dei backup. Per altre informazioni, vedere Continuità aziendale e ripristino di emergenza su scala aziendale per la soluzione Azure VMware.
Sicurezza delle applicazioni guest e delle macchine virtuali
Rilevamento avanzato delle minacce: per evitare diversi rischi per la sicurezza e violazioni dei dati, usare la protezione della sicurezza degli endpoint, la configurazione degli avvisi di sicurezza, i processi di controllo modifiche e le valutazioni delle vulnerabilità. È possibile usare Microsoft Defender for Cloud per la gestione delle minacce, la protezione degli endpoint, gli avvisi di sicurezza, l'applicazione di patch al sistema operativo e una visualizzazione centralizzata dell'applicazione della conformità alle normative. Per altre informazioni, vedere Integrare Microsoft Defender for Cloud con la soluzione Azure VMware.
Utilizza Azure Arc per i server per eseguire l'onboarding delle macchine virtuali guest. Dopo l'onboarding, usare Azure Log Analytics, Monitoraggio di Azure e Microsoft Defender for Cloud per raccogliere log e metriche e creare dashboard e avvisi. Usare Microsoft Defender Security Center per la protezione e l'invio di avvisi relativi alle minacce associate ai guest delle macchine virtuali. Per altre informazioni, vedere Integrare e distribuire servizi nativi di Azure nella soluzione Azure VMware.
Distribuire l'agente di Monitoraggio di Azure in macchine virtuali VMware vSphere prima di avviare una migrazione o quando si distribuiscono nuove macchine virtuali guest. Configurare le regole di raccolta dati per inviare metriche e log a un'area di lavoro Log Analytics di Azure. Dopo la migrazione verificare che la macchina virtuale della soluzione Azure VMware invii gli avvisi in Monitoraggio di Azure e Microsoft Defender for Cloud.
In alternativa, usare una soluzione di un partner certificato della soluzione Azure VMware per valutare le posture di sicurezza delle macchine virtuali e garantire la conformità alle normative in base ai requisiti di Center for Internet Security (CIS).
Analisi della sicurezza: usare i dati globali di raccolta, correlazione e analisi degli eventi di sicurezza delle macchine virtuali della soluzione Azure VMware e di altre origini per rilevare cyberattacchi. Usare Microsoft Defender for Cloud come origine dati per Microsoft Sentinel. Configurare Microsoft Defender per archiviazione, Azure Resource Manager, Domain Name System (DNS) e altri servizi di Azure correlati alla distribuzione della soluzione Azure VMware. Valutare l'opportunità di usare un connettore dati della Soluzione Azure VMware di un partner certificato.
Crittografia della macchina virtuale guest: La soluzione Azure VMware fornisce la crittografia dei dati inattivi per la piattaforma di archiviazione vSAN sottostante. Alcuni carichi di lavoro e ambienti con accesso al file system potrebbe richiedere una crittografia più avanzata per proteggere i dati. In queste situazioni è consigliabile abilitare la crittografia del sistema operativo e dei dati della macchina virtuale guest. Usare gli strumenti di crittografia del sistema operativo guest nativi per crittografare le macchine virtuali guest. Usare Azure Key Vault per archiviare e proteggere le chiavi di crittografia.
Crittografia del database e monitoraggio delle attività: crittografare SQL e gli altri database nella soluzione Azure VMware per impedire un facile accesso ai dati in caso di violazione. Per i carichi di lavoro del database usare metodi di crittografia dei dati inattivi, ad esempio TDE (Transparent Data Encryption), o una funzionalità nativa equivalente del database. Assicurarsi che i carichi di lavoro utilizzino dischi crittografati e che i segreti sensibili siano archiviati in un key vault dedicato al gruppo di risorse.
Usare Azure Key Vault per le chiavi gestite dal cliente in scenari BYOK (Bring Your Own Key), ad esempio BYOK per la crittografia TDE (Transparent Data Encryption) del database SQL di Azure. Se possibile, separare i compiti di gestione delle chiavi da quelli di gestione dei dati. Per un esempio relativo all'uso di Key Vault in SQL Server 2019, vedere Usare Azure Key Vault con Always Encrypted con enclave sicuri.
Monitorare le attività insolite del database per ridurre il rischio di un attacco dall'interno. Usare il monitoraggio nativo del database, come Activity Monitor, oppure una soluzione di un partner certificato per Azure VMware Solution. Valutare la possibilità di usare i servizi di database di Azure per controlli avanzati.
Chiavi dell'aggiornamento di sicurezza esteso (ESU, Extended Security Update): fornire e configurare chiavi ESU per eseguire il push e l'installazione degli aggiornamenti della sicurezza nelle macchine virtuali della soluzione Azure VMware. Usare lo Strumento di gestione dell'attivazione dei volumi per configurare le chiavi ESU per il cluster della soluzione Azure VMware. Per altre informazioni, vedere Ottenere aggiornamenti della sicurezza estesi per dispositivi Windows idonei.
Sicurezza del codice: implementare nei flussi di lavoro DevOps misure per evitare vulnerabilità di sicurezza nei carichi di lavoro della soluzione Azure VMware. Usare flussi di lavoro moderni di autenticazione e autorizzazione, ad esempio Open Authorization (OAuth) e OpenID Connect.
Usare GitHub Enterprise Server nella soluzione Azure VMware per un repository con controllo delle versioni che garantisca l'integrità della codebase. Distribuire gli agenti di compilazione ed esecuzione nella soluzione Azure VMware o in un ambiente Azure sicuro.
Gestione
Quando si pianifica la governance dell'ambiente e delle macchine virtuali guest, è consigliabile implementare le raccomandazioni seguenti.
Governance dell'ambiente
Spazio di archiviazione vSAN: uno spazio di archiviazione vSAN insufficiente può influire sulle garanzie del contratto di servizio. Esaminare e comprendere le responsabilità di clienti e partner nel contratto di servizio per la soluzione Azure VMware. Assegnare priorità e proprietari appropriati per gli avvisi sulla metrica relativa alla percentuale del disco utilizzato nell'archivio dati. Per altre informazioni e indicazioni, vedere Configurare gli avvisi e usare le metriche nella soluzione Azure VMware.
Criteri di archiviazione del modello di macchina virtuale: un criterio di archiviazione con thick provisioning predefinito può comportare la prenotazione di troppo spazio di archiviazione vSAN. Creare modelli di macchina virtuale che utilizzano i criteri di archiviazione con thin provisioning, in cui non sono necessarie prenotazioni dello spazio. Se le macchine virtuali non riservano in anticipo tutto lo spazio di archiviazione, le risorse di archiviazione risultano più efficienti.
Governance delle quote host: quote host insufficienti possono causare ritardi di 5-7 giorni per ottenere maggiore capacità host per necessità di crescita o per il recupero da disastri. Tenere in considerazione i requisiti di crescita e di ripristino di emergenza nella progettazione della soluzione quando si richiede la quota host e rivedere periodicamente la crescita dell'ambiente e i valori massimi per garantire un tempo di preavviso adeguato per le richieste di espansione. Se, ad esempio, un cluster della soluzione Azure VMware a tre nodi necessita di altri tre nodi per il ripristino di emergenza, richiedere una quota host di sei nodi. Le richieste di quota host non comportano costi aggiuntivi.
Governance dei Failure-to-tolerate (FTT): stabilire impostazioni FTT commisurate alle dimensioni del cluster per mantenere il SLA per Azure VMware Solution. Modificare i criteri di archiviazione vSAN specificando l'impostazione FTT appropriata quando si modificano le dimensioni del cluster per garantire la conformità al contratto di servizio.
Accesso a ESXi: l'accesso agli host ESXi della soluzione Azure VMware è limitato. Il software di terze parti che richiede l'accesso all'host ESXi potrebbe non funzionare. Identificare eventuale software di terze parti supportato dalla soluzione Azure VMware nell'ambiente di origine che deve accedere all'host ESXi. Acquisire familiarità con il processo delle richieste di supporto della soluzione Azure VMware nel portale di Azure e usarlo per le situazioni che richiedono l'accesso all'host ESXi.
Densità ed efficienza dell'host ESXi: per ottenere un valido ritorno sugli investimenti (ROI), comprendere l'utilizzo dell'host ESXi. Definire una densità sana di macchine virtuali guest per massimizzare gli investimenti nell'Azure VMware Solution e monitorare l'utilizzo complessivo dei nodi rispetto a tale soglia. Ridimensionare l'ambiente della soluzione Azure VMware quando indicato dal monitoraggio e consentire un lead time sufficiente per le aggiunte di nodi.
Monitoraggio di rete: monitorare il traffico di rete interno per identificare traffico dannoso o sconosciuto o reti compromesse. Implementare vRealize Network Insight (vRNI) e vRealize Operations (vROps) per informazioni dettagliate sulle operazioni di rete soluzione Azure VMware.
Avvisi di sicurezza, manutenzione pianificata e integrità dei servizi: conoscere e visualizzare le informazioni sull'integrità del servizio per pianificare e rispondere in modo appropriato alle interruzioni e ai problemi. Configurare gli avvisi di integrità dei servizi per problemi del servizio, manutenzione pianificata, avvisi di integrità e avvisi di sicurezza della soluzione Azure VMware. Pianificare le attività dei carichi di lavoro della soluzione Azure VMware al di fuori delle finestre di manutenzione consigliate da Microsoft.
Governance dei costi: monitorare i costi per una corretta rendicontazione finanziaria e un'adeguata allocazione del budget. Usare una soluzione per la gestione dei costi per la verifica e l'allocazione dei costi, la creazione di budget, gli avvisi sui costi e un'adeguata governance finanziaria. Per gli addebiti fatturati in Azure, usare gli strumenti di Gestione costi Microsoft per creare budget, generare avvisi, allocare i costi e produrre report per gli stakeholder finanziari.
Integrazione dei servizi di Azure: evitare di usare l'endpoint pubblico del servizio PaaS (piattaforma distribuita come servizio) di Azure, che può causare l'uscita del traffico dai limiti di rete desiderati. Per assicurarsi che il traffico rimanga compreso entro un limite di rete virtuale definito, usare un endpoint privato per accedere a servizi di Azure come database SQL di Azure e Archiviazione BLOB di Azure.
Governance delle applicazioni e macchine virtuali per carichi di lavoro
La consapevolezza della posizione di sicurezza per le macchine virtuali dei carichi di lavoro di Azure VMware Solution aiuta a comprendere la prontezza e la risposta alla sicurezza informatica e fornisce una copertura di sicurezza completa per le macchine virtuali guest e le applicazioni.
Abilitare Microsoft Defender per il cloud per l'esecuzione di servizi di Azure e carichi di lavoro di macchine virtuali dell'applicazione soluzione Azure VMware.
Usare server abilitati per Azure Arc per gestire macchine virtuali guest della soluzione Azure VMware con strumenti che replicano gli strumenti delle risorse native di Azure, tra cui:
- Criteri di Azure per gestire, segnalare e controllare le configurazioni e le impostazioni dei computer
- Configurazione dello Stato di Automazione di Azure ed estensioni supportate per semplificare le distribuzioni
- La gestione degli aggiornamenti per l'ambiente delle macchine virtuali della soluzione Azure VMware.
- Tag per gestire e organizzare l'inventario delle macchine virtuali dell'applicazione Azure VMware Solution
Per altre informazioni, vedere Panoramica dei server abilitati per Azure Arc.
Governance del dominio delle macchine virtuali di carico di lavoro: per evitare processi manuali soggetti a errori, utilizzare estensioni come le equivalenti opzioni di automazione per consentire alle macchine virtuali guest dell'Azure VMware Solution di aggiungersi automaticamente a un dominio di Active Directory.
Registrazione e monitoraggio delle macchine virtuali del carico di lavoro: abilitare le metriche di diagnostica e la registrazione nelle macchine virtuali del carico di lavoro per eseguire più facilmente il debug dei problemi del sistema operativo e dell'applicazione. Implementare funzionalità di raccolta di log e query che offrono tempi di risposta rapidi per il debug e la risoluzione dei problemi. Abilitare quasi in tempo reale informazioni dettagliate sulle macchine virtuali di carico di lavoro per rilevare prontamente i colli di bottiglia delle prestazioni e i problemi operativi. Configurare avvisi log per acquisire le condizioni limite per le macchine virtuali di carico di lavoro.
Distribuire l'agente di Monitoraggio di Azure nelle macchine virtuali del carico di lavoro VMware vSphere prima della migrazione o quando si distribuiscono nuove macchine virtuali del carico di lavoro nell'ambiente soluzione Azure VMware. Configurare le regole di raccolta dati per inviare metriche e log a un'area di lavoro Log Analytics di Azure e collegare l'area di lavoro Log Analytics di Azure con Automazione di Azure. Verificare lo stato di qualsiasi agente di monitoraggio delle VM di carico di lavoro distribuito prima della migrazione con Azure Monitor.
Governance degli aggiornamenti delle macchine virtuali di carico di lavoro: gli aggiornamenti ritardati o incompleti e l'applicazione di patch rappresentano vettori di attacco principali che possono causare l'esposizione o la compromissione delle macchine virtuali e delle applicazioni di carico di lavoro della soluzione Azure VMware. Assicurarsi che le installazioni degli aggiornamenti siano effettuate tempestivamente sulle macchine virtuali guest.
Governance dei backup delle macchine virtuali di carico di lavoro: Pianifica backup regolari per evitare backup mancanti o fare affidamento sui backup precedenti che possono causare la perdita di dati. Usare una soluzione di backup in grado di eseguire backup pianificati e monitorare la riuscita dei backup. Monitorare gli eventi di backup e inviare avvisi per assicurarsi che i backup pianificati vengano eseguiti correttamente.
Governance del ripristino di emergenza delle macchine virtuali dei carichi di lavoro: obiettivi di punto di ripristino (RPO) e requisiti di tempo di ripristino (RTO) non documentati possono causare esperienze negative per i clienti e obiettivi operativi non soddisfatti durante gli eventi di continuità aziendale e ripristino di emergenza (BCDR). Implementare l'orchestrazione del disaster recovery per evitare ritardi nella continuità operativa aziendale.
Usare una soluzione DR per Azure VMware Solution che fornisce l'orchestrazione del DR e rileva e segnala eventuali errori o problemi relativi alla replica continua corretta in un sito di DR. Documentare i requisiti RPO e RTO per le applicazioni in esecuzione in Azure e nella soluzione Azure VMware. Scegliere una progettazione della soluzione per ripristino di emergenza e continuità aziendale che soddisfi requisiti RPO e RTO verificabili tramite orchestrazione.
Conformità
Prendere in considerazione e implementare le seguenti raccomandazioni quando si pianifica la conformità dell'ambiente Azure VMware Solution e delle macchine virtuali di carico di lavoro.
Monitoraggio di Microsoft Defender for Cloud: usare la vista relativa conformità alle normative in Defender for Cloud per monitorare la conformità con i benchmark normativi e di sicurezza. Configurare l'automazione del flusso di lavoro di Defender for Cloud per tenere traccia di eventuali deviazioni dalla postura di conformità prevista. Per altre informazioni, vedere Panoramica di Microsoft Defender for Cloud.
Conformità del disaster recovery della VM del carico di lavoro: tenere traccia della conformità della configurazione di disaster recovery per le virtual machines del carico di lavoro di Azure VMware Solution per assicurarsi che le applicazioni mission-critical rimangano disponibili durante un'emergenza. Usare Azure Site Recovery o una soluzione certificata per la continuità aziendale e il ripristino di emergenza (BCDR) compatibile con Azure VMware Solution, che offre il provisioning della replica su larga scala, il monitoraggio dello stato di non conformità e la correzione automatica.
Conformità dei backup delle macchine virtuali del carico di lavoro: Seguire e monitorare la conformità dei backup delle macchine virtuali del carico di lavoro della soluzione Azure VMware per assicurarsi che le macchine virtuali vengano sottoposte a backup. Usare una soluzione partner certificata di Azure VMware che offre una visione su larga scala, un'analisi approfondita e un'interfaccia utilizzabile per il rilevamento e il monitoraggio del backup delle macchine virtuali del carico di lavoro.
Conformità specifica per paese/area geografica o settore: per evitare costose azioni legali e multe, garantire la conformità dei carichi di lavoro soluzione Azure VMware con normative specifiche per il paese o l'area geografica e il settore. Conoscere il modello di responsabilità condivisa del cloud per la conformità alle normative dell'area o del settore. Usare Service Trust Portal per visualizzare o scaricare i report della soluzione Azure VMware e di controllo di Azure a supporto dell'intera storia della conformità.
Implementare report di audit del firewall su endpoint HTTP/S e non HTTP/S per conformarsi ai requisiti normativi.
Conformità dei criteri aziendali: monitorare la conformità delle macchine virtuali di workload della soluzione Azure VMware con i criteri aziendali, per evitare violazioni delle normative e delle regole aziendali. Usare i server Azure Arc abilitati e Azure Policy oppure una soluzione di terze parti equivalente. Valutare e gestire regolarmente le macchine virtuali del carico di lavoro e le applicazioni della soluzione Azure VMware per la conformità normativa interna ed esterna applicabile.
Requisiti di residenza e conservazione dei dati: la soluzione Azure VMware non supporta la conservazione o l'estrazione dei dati archiviati nei cluster. L'eliminazione di un cluster determina la terminazione di tutti i carichi di lavoro e di tutti i componenti in esecuzione e l'eliminazione definitiva di tutti i dati e di tutte le impostazioni di configurazione del cluster, inclusi gli indirizzi IP pubblici. Questi dati non possono essere recuperati.
Elaborazione dei dati: leggere e comprendere le note legali all'atto della registrazione. Prestare attenzione al contratto di elaborazione dati VMware per i clienti della soluzione Microsoft Azure VMware trasferiti per il supporto di livello 3. Se per un problema è richiesto il supporto di VMware, Microsoft condivide i dati dei servizi professionali e i dati personali associati con VMware. Da quel momento in poi, Microsoft e VMware agiscono come responsabili del trattamento dei dati indipendenti.
Passaggi successivi
Questo articolo si basa sui principi e sulle linee guida di progettazione dell'architettura della zona di destinazione su scala aziendale di Cloud Adoption Framework. Per altre informazioni, vedi:
- Principi di progettazione della zona di destinazione di Azure
- Linee guida per la progettazione della zona di destinazione di Azure
L'articolo fa parte di una serie di articoli in cui vengono applicati i principi e le raccomandazioni delle zone di destinazione su scala aziendale alle distribuzioni della soluzione Azure VMware. Altri articoli della serie includono:
- Gestione delle identità e degli accessi su scala aziendale per Azure VMware Solution
- Topologia e connettività di rete su scala aziendale per la soluzione Azure VMware
- Automazione della piattaforma e DevOps su scala aziendale per la soluzione Azure VMware
- Continuità aziendale e ripristino di emergenza su scala aziendale per la soluzione Azure VMware
Leggere l'articolo successivo della serie: