Безопасность, управление и соответствие требованиям в решении VMware для Azure

В этой статье описывается, как безопасно реализовать и глобально управлять решением VMware для Azure в течение всего жизненного цикла. В статье рассматриваются конкретные элементы проектирования и приводятся конкретные рекомендации по безопасности, управлению и соответствию в решении VMware для Azure.

Безопасность

При принятии решения о том, какие системы, пользователи или устройства могут выполнять функции в рамках решения VMware для Azure и как защитить общую платформу, учитывайте следующие факторы.

Идентификация и безопасность

• Ограничения постоянного доступа: решение VMware для Azure играет роль участника в группе ресурсов Azure, в которой размещается частное облако решения VMware для Azure. Ограничьте постоянный доступ, чтобы предотвратить преднамеренное или непреднамеренное нарушение прав участника. Используйте решение по управлению привилегированными учетными записями для аудита и ограничения времени использования учетных записей с высоким уровнем привилегий.

  Создайте группу привилегированного доступа Microsoft Entra ID в Azure Управлении привилегиями идентификации (PIM) для управления учетными записями пользователя и учетными записями службы Microsoft Entra. Используйте эту группу для создания кластера решений VMware для Azure и управления им за счет установления доступа с ограничением по времени и при предоставлении обоснования. Дополнительную информацию см. в разделе Назначение соответствующих владельцев и членов для групп привилегированного доступа.

  Используйте отчеты журнала аудита Microsoft Entra PIM для административных действий, операций и назначений в решении Azure VMware. Вы можете архивировать отчеты в службе хранилища Azure, чтобы сохранять данные аудита на долгий срок. Дополнительную информацию см. в разделе Просмотр отчета об аудите для группы назначений с привилегированным доступом в Privileged Identity Management (PIM).

• Централизованное управление удостоверениями: Решение Azure VMware предоставляет учетные данные администратора облака и администратора сети для настройки частной облачной среды VMware. Эти административные учетные записи видны всем участникам, имеющим доступ к решениям Azure VMware с помощью управления доступом на основе ролей (RBAC).

  Чтобы предотвратить чрезмерное использование или злоупотребление встроенными функциональными возможностями и пользователями сетевого администратора для доступа к плоскости управления частным облаком VMware, воспользуйтесь возможностями RBAC плоскости управления частным облаком VMware для надлежащего управления доступом к ролям и учетным записям. Создавайте несколько целевых объектов идентификации, таких как пользователи и группы, используя принципы наименьших привилегий. Ограничьте доступ к учетным записям администратора, предоставляемым решением Azure VMware Solution, и настройте учетные записи в аварийной конфигурации. Используйте встроенные учетные записи только в том случае, если все другие учетные записи администраторов непригодны для использования.

  Используйте предоставленную cloudadmin учетную запись для интеграции служб доменных служб Active Directory (AD DS) или доменных служб Microsoft Entra с сервером VMware vCenter Server и NSX-T Data Center для управления приложениями и учетными данными административных удостоверений доменных служб. Используйте пользователей и группы на основе доменных служб для управления решением VMware для Azure и его эксплуатации и не разрешайте совместное использование учетных записей. Создайте пользовательские роли vCenter Server и свяжите их с группами AD DS для точного управления привилегированным доступом к поверхностям управления частным облаком VMware.

  Вы можете использовать возможности решения Azure VMware для смены и сброса паролей административных учетных записей vCenter Server и Центра обработки данных NSX-T. Настройте периодическую смену этих учетных записей и меняйте учетные записи в любое время при использовании конфигурации с прозрачным разделением. Дополнительную информацию см. в разделе Смена учетных данных cloudadmin для решения VMware для Azure.

• Управление удостоверениями гостевых виртуальных машин: предоставьте централизованную аутентификацию и авторизацию для гостей в Azure VMware Solution, чтобы эффективно управлять приложениями и предотвратить несанкционированный доступ к бизнес-данным и процессам. Управляйте гостями и приложениями решения VMware для Azure в рамках их жизненного цикла. Настройте гостевые виртуальные машины для использования централизованного решения по управлению удостоверениями, чтобы выполнять аутентификацию и проверку подлинности для управления и использования приложений.

  Используйте централизованную службу AD DS или протокол Lightweight Directory Access Protocol (LDAP) для гостевых виртуальных машин Azure VMware и управления удостоверениями приложений. Убедитесь, что архитектура доменных служб учитывает любые сценарии сбоя, чтобы обеспечить продолжение функциональности во время перебоев. Подключите реализацию AD DS с идентификатором Microsoft Entra для расширенного управления и простой гостевой проверки подлинности и авторизации.

Безопасность среды и сети

• Встроенные возможности безопасности сети: реализуйте средства управления безопасностью сети, такие как фильтрация трафика, Open Web Application Security Project (OWASP), унифицированное управление брандмауэрами и защита от атак типа «отказ в обслуживании» (DDoS).

  • Фильтрация трафика контролирует трафик между сегментами. Реализация устройств фильтрации трафика гостевой сети с помощью центра обработки данных NSX-T или возможностей виртуального сетевого устройства (NVA) для ограничения доступа между сегментами гостевой сети.

  • Соответствие набора правил OWASP Core защищает рабочие нагрузки гостевых веб-приложений VMware для Azure от универсальных веб-атак. Используйте возможности брандмауэра веб-приложения шлюза приложений Azure (WAF) на базе OWASP для защиты веб-приложений, размещенных на гостевых машинах решения Azure VMware Solution. Включите режим предотвращения, используя последнюю политику, и обеспечьте интеграцию журналов WAF с вашей стратегией ведения журнала. Дополнительные сведения см. в разделе Что такое брандмауэр веб-приложения Azure?

  • Единое управление правилами брандмауэра предотвращает дублирование или исчезновение правил брандмауэра, не позволяя увеличить риск несанкционированного доступа. Архитектура брандмауэра вносит свой вклад в оптимизацию управления сетью и повышение уровня безопасности среды решения VMware для Azure. Используйте управляемую архитектуру брандмауэра с отслеживанием состояния, которая обеспечивает поток трафика, проверку, централизованное управление правилами и сбор событий.

  • Защита от DDoS-атак защищает рабочие нагрузки решения VMware для Azure от атак, которые могут привести к финансовым убыткам или неудобству работы пользователей. Используйте функцию защиты от DDoS-атак в виртуальной сети Azure, в которой размещен шлюз завершения ExpressRoute для подключения решения Azure VMware. Рассмотрите возможность использования политики Azure для автоматического применения функции защиты от DDoS-атак.

• Шифрование VSAN с помощью ключей, управляемых клиентом (CMK), позволяет Решение Azure VMware хранилища данных VSAN шифроваться с помощью предоставленного клиентом ключа шифрования, хранящегося в Azure Key Vault. Эту функцию можно использовать для удовлетворения требований соответствия требованиям, таких как применение политик смены ключей или управление событиями жизненного цикла ключей. Для получения подробных рекомендаций по реализации и ограничениям, см. раздел Настройка шифрования данных в состоянии покоя с помощью ключей, управляемых клиентом, в Azure VMware Solution

• Контролируемый доступ к vCenter Server: неконтролируемый доступ к Решение Azure VMware vCenter Server может увеличить область поверхности атаки. Используйте выделенную рабочую станцию привилегированного доступа (PAW) для безопасного доступа к Azure VMware Solution, vCenter Server и NSX-T Manager. Создайте группу пользователей и добавьте учетную запись отдельного пользователя в эту группу пользователей.

• Ведение журнала входящих интернет-запросов для гостевых рабочих нагрузок: используйте брандмауэр Azure или утвержденный NVA, который поддерживает журналы аудита для входящих запросов к гостевым виртуальным машинам. Импортируйте эти журналы в решение по управлению инцидентами и событиями (SIEM) для обеспечения соответствующего мониторинга и оповещений. Используйте Microsoft Sentinel для обработки сведений о событиях Azure и ведения журнала перед интеграцией в существующие решения SIEM. Дополнительные сведения см. разделе Интеграция Microsoft Defender для облака с решением VMware для Azure.

• Наблюдение за сеансом для обеспечения безопасности исходящих подключений к Интернету: используйте управление правилами или аудит сеансов исходящего подключения к Интернету из решения VMware для Azure для обнаружения непредвиденных или подозрительных исходящих интернет-операций. Определите, когда и где следует проводить проверки исходящего сетевого трафика для обеспечения максимальной безопасности. Дополнительные сведения см. в разделе Корпоративная топология сети и подключение в решении VMware для Azure.

  Используйте специализированные службы брандмауэра, NVA и виртуальной глобальной сети (Virtual WAN) для исходящего подключения к Интернету, чтобы не полагаться на подключение к Интернету, предоставляемое решением VMware для Azure по умолчанию. Дополнительные сведения и рекомендации по проектированию см. в разделе Проверка трафика решения VMware для Azure с помощью виртуального сетевого устройства в виртуальной сети Azure.

  Используйте теги служб, например Virtual Network и теги полного доменного имени (FQDN), для идентификации при фильтрации исходящего трафика с помощью брандмауэра Azure. Используйте аналогичные возможности для других NVA.

• Централизованно управляемые резервные копии системы безопасности: используйте возможности RBAC и отложенного удаления, чтобы предотвратить намеренное или случайное удаление данных резервного копирования, необходимых для восстановления среды. Используйте Azure Key Vault для управления ключами шифрования и ограничьте доступ к хранилищу данных резервных копий, чтобы снизить риск удаления.

  Используйте Azure Backup или другую технологию резервного копирования, которая утверждена для использования с решением VMware для Azure и обеспечивает шифрование передающихся и неактивных данных. Для хранилищ служб Azure Recovery используйте блокировки ресурсов и функции обратимого удаления, чтобы защититься от случайного или намеренного удаления резервных копий. Для получения дополнительных сведений см. в разделе Обеспечение непрерывности бизнеса и аварийное восстановление для решения Azure VMware.

Безопасность гостевого приложения и виртуальной машины

• Расширенное обнаружение угроз: чтобы избежать различных угроз безопасности и нарушений данных, используйте защиту конечных точек, настройку предупреждений системы безопасности, процессы управления изменениями и оценки уязвимостей. Вы можете использовать Microsoft Defender для облака для управления угрозами, защиты конечных точек, оповещений системы безопасности, исправлений ОС и централизованного представления нормативных требований. Дополнительные сведения см. разделе Интеграция Microsoft Defender для облака с решением VMware для Azure.

  Используйте Azure Arc для серверов, чтобы подключить гостевые виртуальные машины. После подключения используйте Azure Log Analytics, Azure Monitor и Microsoft Defender для облака, чтобы собирать журналы и метрики, а затем создавайте панели мониторинга и оповещения. Используйте Центр безопасности в Microsoft Defender для защиты и оповещений об угрозах, связанных с гостевыми виртуальными машинами. Дополнительные сведения см. в разделе Интеграция и развертывание собственных служб Azure в решении VMware для Azure.

  Разверните агент Azure Monitor на виртуальных машинах VMware vSphere перед началом миграции или при развертывании новых гостевых виртуальных машин. Настройте правила сбора данных для отправки метрик и журналов в рабочую область Azure Log Analytics. После миграции проверьте, что виртуальная машина Azure VMware сообщает об оповещениях в Azure Monitor и Microsoft Defender для облака.

  Кроме того, вы можете использовать решение от сертифицированного партнера VMware для Azure, чтобы оценить уровень безопасности виртуальной машины и обеспечить соответствие нормативным требованиям Центра Интернет-безопасности (CIS).

• Аналитика безопасности: используйте единую коллекцию событий безопасности, корреляцию и аналитику из виртуальных машин решения VMware для Azure и других источников для обнаружения кибератак. Использование Microsoft Defender для облака в качестве источника данных для Microsoft Sentinel. Настройте Microsoft Defender для хранилища, Azure Resource Manager, службу доменных имен (DNS) и другие сервисы Azure, связанные с развертыванием решения VMware для Azure. Рассмотрите возможность использования соединителя данных решения VMware для Azure от сертифицированного партнера.

• Шифрование гостевой виртуальной машины: решение Azure VMware обеспечивает шифрование неактивных данных для базовой платформы хранения vSAN. Некоторые рабочие нагрузки и среды с доступом к файловой системе могут потребовать больше шифрования для защиты данных. В таких ситуациях рекомендуется включить шифрование операционной системы гостевой виртуальной машины (ОС) и данных. Используйте собственные средства шифрования гостевой ОС для шифрования гостевых виртуальных машин. Используйте Azure Key Vault для хранения и защиты ключей шифрования.

• Мониторинг шифрования и активности базы данных: зашифруйте SQL и другие базы данных в решении VMware для Azure, чтобы предотвратить простой доступ к данным в случае нарушения целостности данных. Для рабочих нагрузок базы данных используйте методы шифрования данных на диске, такие как прозрачное шифрование данных (TDE) или эквивалентную встроенную функцию базы данных. Убедитесь, что рабочие нагрузки используют зашифрованные диски, а конфиденциальные секреты хранятся в хранилище ключей, выделенном для группы ресурсов.

  Используйте Azure Key Vault для ключей, управляемых пользователем, в сценариях BYOK (принеси свой собственный ключ), например, BYOK для прозрачного шифрования данных (TDE) для Базы данных Azure SQL. Когда это возможно, разделяйте обязанности по управлению ключами и управлению данными. Для примера того, как SQL Server 2019 использует Key Vault, см. раздел Использование Azure Key Vault с безопасными анклавами Always Encrypted.

  Отслеживайте необычные действия с базами данных, чтобы снизить риск атаки изнутри. Используйте собственный мониторинг базы данных, например Activity Monitor или сертифицированное партнерское решение VMware для Azure. Рассмотрите возможность использования служб базы данных Azure для расширенных элементов управления аудитом.

• Ключи расширенного обновления для системы безопасности (ESU): укажите и настройте ключи ESU для отправки и установки обновлений безопасности на виртуальных машинах VMware для Azure. Используйте средство управления активацией корпоративных лицензий для настройки ключей ESU для кластера решений VMware для Azure. Дополнительные сведения см. в разделе Получение расширенных обновлений безопасности для соответствующих устройств Windows.

• Безопасность кода: реализация меры безопасности в рабочих процессах DevOps для предотвращения уязвимостей безопасности в рабочих нагрузках решения VMware для Azure. Используйте современные рабочие процессы проверки подлинности и авторизации, такие как Open Authorization (OAuth) и OpenID Connect.

  Используйте GitHub Enterprise Server в Решении VMware для Azure для создания версий репозитория, обеспечивающего целостность базы кода. Разверните сборку и запустите агенты в Решении VMware для Azure или в безопасной среде Azure.

Система управления

При планировании управления средой и гостевой виртуальной машиной рассмотрите возможность реализации следующих рекомендаций.

Управление средой

• Пространство для хранения vSAN: нехватка места для хранения vSAN может сказаться на гарантиях соглашения об уровне обслуживания. Просматривайте и анализируйте обязанности клиента и партнера в рамках соглашения об уровне обслуживания для Решения VMware для Azure. Назначьте соответствующие приоритеты и владельцев для оповещений по метрике «Использование диска в хранилище данных в процентах». Дополнительные сведения и рекомендации см. в разделе Настройка оповещений и работа с метриками в Решении VMware для Azure.

• Политика хранилища шаблонов виртуальных машин: политика хранилища по умолчанию с толстым предоставлением ресурсов может привести к зарезервированию слишком большого объема хранилища vSAN. Создайте шаблоны виртуальных машин, использующие политику хранилища с тонким выделением, когда резервирование пространства не требуется. Виртуальные машины, на которых не резервируется полный объем хранилища, обеспечивают более эффективные ресурсы хранения.

• Управление квотами хоста: недостаточные квоты хоста могут привести к задержкам до 5–7 дней в целях расширения ресурсов хоста или для нужд аварийного восстановления (DR). Учитывайте требования к росту и DR при проектировании решения и запросе квоты хоста и периодически проверяйте рост и максимальные значения среды для обеспечения надлежащего времени для запросов на расширение. Например, если кластеру Решений Azure VMware с тремя узлами требуется еще три узла для аварийного восстановления, запросите квоту на шесть узлов. Запросы квот хоста не требуют дополнительных затрат.

• Управление отказоустойчивостью (FTT): установите параметры FTT в соответствии с размером кластера, чтобы выполнять соглашение об уровне обслуживания для решения VMware для Azure. Настройте политику хранилища vSAN на соответствующий параметр FTT при изменении размера кластера, чтобы обеспечить соответствие требованиям соглашения об уровне обслуживания.

• Доступ ESXi: доступ к узлам Azure VMware ESXi ограничен. Стороннее программное обеспечение, требующее доступа к узлу ESXi, может не работать. Найдите любое поддерживаемое Решением VMware для Azure стороннее программное обеспечение в исходной среде, которому требуется доступ к узлу ESXi. Ознакомьтесь с процессом запроса поддержки в Решении VMware для Azure на портале Azure и используйте его для ситуаций, требующих доступа к узлу ESXi.

• Плотность и эффективность узла ESXi: чтобы обеспечить высокую рентабельность инвестиций, разберитесь с использованием узла ESXi. Определите оптимальную плотность гостевых виртуальных машин, чтобы максимизировать отдачу от инвестиций в решения VMware для Azure и отслеживать общее использование узла в соответствии с этим пороговым значением. Измените размер среды Решения VMware для Azure, когда это необходимо по данным мониторинга, и оставьте достаточно времени для добавления узла.

• Мониторинг сети: отслеживайте внутренний сетевой трафик для вредоносного или неизвестного трафика или скомпрометированных сетей. Используйте vRealize Network Insight (vRNI) и vRealize Operations (vROps) для получения подробной информации о сетевых операциях в Azure VMware Solution.

• Оповещения о безопасности, плановом обслуживании и работоспособности служб. Проанализируйте и просматривайте работоспособность службы на предмет планирования и реагирования на сбои и проблемы. Настройте оповещения о состоянии службы для решения Azure VMware на случаи проблем с услугами, планового обслуживания, советов по работоспособности и советов по безопасности. Планируйте действия, связанные с рабочей нагрузкой для Решения Azure VMware за пределами периодов обслуживания, предлагаемых корпорацией Microsoft.

• Управление затратами: отслеживайте затраты на надежную финансовую отчетность и распределение бюджета. Используйте решение по управлению затратами для отслеживания затрат, распределения затрат, создания бюджета, оповещений о затратах и правильного финансового руководства. Для выставленных счетов Azure используйте средства управления затратами Майкрософт для создания бюджетов, создания оповещений, выделения затрат и создания отчетов для финансовых заинтересованных лиц.

• Интеграция со службами Azure: не используйте общедоступную конечную точку «платформы как услуга» (PaaS) Azure, так как это может привести к тому, что трафик выйдет за желаемые границы сети. Чтобы трафик оставался в заданных границах виртуальной сети, для доступа к службам Azure, таким как База данных SQL Azure и Хранилище BLOB-объектов Azure, используйте частную конечную точку.

Управление приложениями рабочей нагрузки и виртуальными машинами

Осведомленность о стратегии безопасности для виртуальных машин рабочей нагрузки решения Azure VMware способствует пониманию готовности к киберугрозам и реагирования на них, обеспечивая полное обеспечение безопасности гостевых виртуальных машин и приложений.

• Включите Microsoft Defender для облака для защиты служб Azure и рабочих нагрузок виртуальных машин приложений в решении Azure VMware.

• Используйте серверы с поддержкой Azure Arc для управления гостевыми виртуальными машинами Azure VMware Solution с помощью инструментов, которые воспроизводят присущие Azure инструменты управления ресурсами, включая.

  • Политика Azure для управления конфигурациями и параметрами компьютера, а также отчетов и аудита
  • Настройка состояния службы автоматизации Azure и поддерживаемые расширения для упрощения развертываний
  • Система управления обновлениями для управления обновлениями ландшафта виртуальных машин приложения Azure VMware Solution
  • Теги для управления и организации инвентаря виртуальных машин (VM) приложений в решении Azure VMware.

  Дополнительные сведения см. в статье Обзор серверов с поддержкой Azure Arc.

• Управление доменами виртуальных машин рабочей нагрузки: Чтобы избежать ошибок, используйте расширения, такие как JsonADDomainExtension или аналогичные параметры автоматизации, чтобы гостевые виртуальные машины в решении Azure VMware автоматически присоединялись к домену Active Directory.

• Логирование и мониторинг виртуальных машин рабочей нагрузки: Включите диагностические метрики и логирование на виртуальных машинах рабочей нагрузки, чтобы легче проводить отладку проблем с ОС и приложениями. Внедрите возможности сбора журналов и запросов, которые обеспечивают быстрое время ответа для отладки и устранения неполадок. Включите аналитику виртуальных машин практически в реальном времени на виртуальных машинах рабочей нагрузки для обнаружения узких мест производительности и операционных проблем. Настройте журналируемые оповещения для отслеживания граничных условий для виртуальных машин рабочей нагрузки.

  Разверните агент Azure Monitor на виртуальных машинах рабочей нагрузки VMware vSphere перед миграцией или при развертывании новых виртуальных машин рабочей нагрузки в среде Решение Azure VMware. Настройте правила сбора данных для отправки метрик и журналов в рабочую область Azure Log Analytics и свяжите рабочую область Azure Log Analytics со службой автоматизации Azure. Проверьте состояние всех агентов мониторинга виртуальных машин рабочей нагрузки, развернутых перед миграцией с помощью Azure Monitor.

• Управление обновлением виртуальных машин рабочей нагрузки: отложенные или неполные обновления или исправления являются основными векторами атаки, которые могут привести к раскрытию или компрометации виртуальных машин и приложений рабочей нагрузки Решения Azure VMware. Обеспечьте своевременную установку обновлений на гостевых виртуальных машинах.

• Управление резервным копированием виртуальной машины рабочей нагрузки: планирование регулярных резервных копий, чтобы предотвратить пропущенные резервные копии или полагаться на старые резервные копии, которые могут привести к потере данных. Используйте решение для резервного копирования, чтобы планировать резервное копирование и отслеживать результаты его выполнения. Контролируйте и получайте оповещения о событиях резервного копирования, чтобы обеспечить успешное выполнение запланированного резервного копирования.

• Управление восстановлением рабочих нагрузок виртуальной машины: Незадокументированные требования к целевым точкам восстановления (RPO) и целевым показателям времени восстановления (RTO) могут привести к негативному клиентскому опыту и невыполнению операционных целей во время событий обеспечения непрерывности бизнес-процессов и аварийного восстановления (BCDR). Внедрение оркестрации аварийного восстановления для предотвращения непрерывности бизнес-процессов.

  Используйте решение аварийного восстановления для Решения VMware для Azure, которое обеспечивает согласованное аварийное восстановление, а также обнаруживает и сообщает о любых сбоях или проблемах, связанных с успешной непрерывной репликацией на сайт аварийного восстановления. Задокументируйте требования к RPO и RTO для приложений, работающих в среде Azure и решении Azure VMware. Выберите проект решения для аварийного восстановления и непрерывности бизнеса, удовлетворяющий проверяемым требованиям RPO и RTO посредством оркестрации.

Соответствие нормативным требованиям

Рассмотрите и реализуйте следующие рекомендации при планировании для соответствия среды и рабочих виртуальных машин в решении Azure VMware.

• Мониторинг Microsoft Defender для облака: используйте представление соответствия нормативным требованиям в Microsoft Defender для облака, чтобы отслеживать соответствие нормативным требованиям по безопасности и правовым показателям. Настройте автоматизацию рабочих процессов Microsoft Defender для облака для отслеживания любого отклонения от ожидаемого уровня соответствия. Подробнее см. в статье Обзор Microsoft Defender для облака.

• Соответствие требованиям виртуальных машин рабочей нагрузки: отслеживание соответствия конфигурации аварийного восстановления для виртуальных машин рабочей нагрузки решения Azure VMware, чтобы обеспечить доступность их жизненно важных приложений во время катастрофы. Используйте Azure Site Recovery или сертифицированное в рамках Azure VMware Solution BCDR решение, которое обеспечивает масштабное развертывание репликации, мониторинг состояния несоответствия и автоматическое устранение.

• Соблюдение требований к резервному копированию виртуальных машин в рабочей нагрузке. Отслеживайте и контролируйте соблюдение требований к резервному копированию виртуальных машин в Решении Azure VMware, чтобы гарантировать их резервное копирование. Используйте Решение Azure VMware сертифицированное партнерское решение, которое обеспечивает масштабируемую перспективу, анализ детализации и практический интерфейс для отслеживания и мониторинга резервного копирования виртуальных машин рабочей нагрузки.

• Соответствие требованиям, характерным для страны или региона или отрасли: чтобы избежать дорогостоящих юридических действий и штрафов, обеспечить соответствие Решение Azure VMware рабочих нагрузок с нормативными положениями, характерными для страны или региона и отрасли. Разберитесь с моделью общей ответственности в облаке для соответствия нормативным требованиям в отрасли или регионе. Просматривайте или скачивайте Решения Azure VMware и аудиторские отчеты Azure, которые поддерживают всю историю соответствия, на портале службы доверия.

  Реализуйте отчеты аудита брандмауэра для конечных точек HTTP/S и не-HTTP/S, чтобы соответствовать нормативным требованиям.

• Соответствие корпоративной политике: Мониторинг соответствия виртуальных машин рабочей загрузки Azure VMware Solution требованиям корпоративной политики, чтобы предотвратить нарушение правил и регламентов компании. Используйте серверы с поддержкой Azure Arc и Политику Azure или эквивалентное стороннее решение. Регулярно оценивать и управлять виртуальными машинами и приложениями рабочей нагрузки в Решении Azure VMware с целью соответствия применимым внутренним и внешним регламентам.

• Требования к хранению и местонахождению данных: решение VMware для Azure не поддерживает хранение или извлечение данных, хранящихся в кластерах. Удаление кластера приводит к завершению всех работающих рабочих нагрузок и компонентов и уничтожает все данные кластера и параметры конфигурации, включая общедоступные IP-адреса. Эти данные не могут быть восстановлены.

• Обработка данных: прочтите и изучите юридические условия при регистрации. Обратите внимание на соглашение об обработке данных VMware для клиентов Microsoft Azure VMware Solution, переведенных на поддержку уровня L3. Если для решения проблемы с поддержкой требуется поддержка VMware, корпорация Microsoft делится с VMware данными профессиональных услуг и связанными с ними персональными данными. С этого момента корпорация Microsoft и VMware работают как два независимых обработчика данных.

Следующие шаги

Эта статья основана на принципах и рекомендациях по проектированию корпоративной целевой зоны в рамках архитектуры Cloud Adoption Framework. Дополнительные сведения см. в разделе:

• Принципы проектирования посадочной зоны Azure
• Рекомендации по проектированию посадочной зоны Azure

Эта статья входит в серию, посвященную применению масштабных корпоративных принципов и рекомендаций зон приземления к развертыванию решения VMware для Azure. В число других статей серии входят:

• Управление удостоверениями и доступом корпоративного уровня для Azure VMware Solution
• Корпоративная топология сети и подключение к Решению VMware для Azure
• Автоматизация платформы корпоративного масштаба и DevOps для решения VMware в Azure
• Корпоративная непрерывность бизнес-процессов и аварийное восстановление для Решения VMware для Azure.

Прочитайте следующую статью в этом цикле: