الأمان والحوكمة والتوافق ل Azure VMware Solution

توضح هذه المقالة كيفية تنفيذ Azure VMware Solution والتحكم فيه بشكل شامل طوال دورة حياته. تستكشف المقالة عناصر تصميم محددة وتوفر توصيات مستهدفة لأمان Azure VMware Solution وحوكمته وتوافقه.

الأمان

ضع في اعتبارك العوامل التالية عند تحديد الأنظمة أو المستخدمين أو الأجهزة التي يمكنها أداء الوظائف داخل Azure VMware Solution، وكيفية تأمين النظام الأساسي العام.

أمان الهوية

• القيود المفروضة على الوصول الدائم: يستخدم Azure VMware Solution دور المساهم في مجموعة موارد Azure التي تستضيف السحابة الخاصة ل Azure VMware Solution. تقييد الوصول الدائم لمنع إساءة استخدام حقوق المساهمين عمدا أو غير مقصودين. استخدم حل إدارة حسابات متميزة لتدقيق وتحديد وقت استخدام الحسابات ذات الامتيازات العالية.

  إنشاء مجموعة وصول متميزة ل Azure Active Directory (Azure AD) داخل Azure إدارة الهويات المتميزة (PIM) لإدارة حسابات المستخدم والخدمة الأساسية Azure AD. استخدم هذه المجموعة لإنشاء وإدارة مجموعة Azure VMware Solution مع وصول محدد زمنيا يستند إلى التبرير. لمزيد من المعلومات، راجع تعيين المالكين والأعضاء المؤهلين لمجموعات الوصول المتميزة.

  استخدم Azure AD تقارير محفوظات تدقيق PIM للأنشطة والعمليات والتعيينات الإدارية ل Azure VMware Solution. يمكنك أرشفة التقارير في Azure Storage لتلبية احتياجات استبقاء التدقيق طويلة الأجل. لمزيد من المعلومات، راجع عرض تقرير التدقيق لتعيينات مجموعة الوصول المتميز في إدارة الهويات المتميزة (PIM).

• إدارة الهوية المركزية: يوفر Azure VMware Solution بيانات اعتماد مسؤول السحابة ومسؤول الشبكة لتكوين بيئة سحابة VMware الخاصة. هذه الحسابات الإدارية مرئية لجميع المساهمين الذين لديهم وصول التحكم في الوصول استنادا إلى الدور (RBAC) إلى Azure VMware Solution.

  لمنع الاستخدام المفرط أو إساءة استخدام المستخدمين المضمنين cloudadmin ومسؤول الشبكة للوصول إلى وحدة التحكم السحابية الخاصة ب VMware، استخدم قدرات التحكم في الوصول استنادا إلى الدور والحساب الخاصة ب VMware لإدارة الدور والوصول إلى الحساب بشكل صحيح. إنشاء كائنات هوية مستهدفة متعددة مثل المستخدمين والمجموعات باستخدام مبادئ أقل امتيازا. تقييد الوصول إلى حسابات المسؤول التي يوفرها Azure VMware Solution، وتكوين الحسابات في تكوين كسر الزجاج. استخدم الحسابات المضمنة فقط عندما تكون جميع الحسابات الإدارية الأخرى غير قابلة للاستخدام.

  استخدم الحساب المتوفر cloudadmin لدمج خدمات مجال Active Directory (AD DS) أو Azure AD Domain Services (Azure AD DS) مع VMware vCenter Server وتطبيقات التحكم في مركز بيانات NSX-T والهويات الإدارية لخدمات المجال. استخدم المستخدمين والمجموعات المصدر لخدمات المجال لإدارة Azure VMware Solution وعملياته، ولا تسمح بمشاركة الحساب. إنشاء أدوار مخصصة لخادم vCenter وربطها بمجموعات AD DS للتحكم في الوصول المتميز الدقيق إلى أسطح التحكم السحابية الخاصة ب VMware.

  يمكنك استخدام خيارات Azure VMware Solution لتدوير وإعادة تعيين كلمات مرور الحساب الإداري ل vCenter Server وNSX-T Data Center. قم بتكوين استدارة منتظمة لهذه الحسابات، وقم بتدوير الحسابات في أي وقت تستخدم فيه تكوين كسر الزجاج. لمزيد من المعلومات، راجع تدوير بيانات اعتماد cloudadmin ل Azure VMware Solution.

• إدارة هوية الجهاز الظاهري الضيف (VM): توفير المصادقة المركزية والتخويل لضيوف Azure VMware Solution لتوفير إدارة فعالة للتطبيق ومنع الوصول غير المصرح به إلى بيانات الأعمال والعمليات. إدارة ضيوف وتطبيقات Azure VMware Solution كجزء من دورة حياتهم. تكوين الأجهزة الظاهرية الضيف لاستخدام حل إدارة هوية مركزي للمصادقة والتخويل للإدارة واستخدام التطبيق.

  استخدم خدمة AD DS مركزية أو بروتوكول الوصول إلى الدليل الخفيف (LDAP) لأجهزة Azure VMware Solution الظاهرية الضيف وإدارة هوية التطبيق. تأكد من أن تصميم خدمات المجال يمثل أي سيناريوهات انقطاع، لضمان استمرار الوظائف أثناء الانقطاعات. قم بتوصيل تنفيذ AD DS مع Azure AD للإدارة المتقدمة وتجربة مصادقة الضيف والتخويل السلسة.

أمان البيئة والشبكة

• قدرات أمان الشبكة الأصلية: تنفيذ عناصر تحكم أمان الشبكة مثل تصفية نسبة استخدام الشبكة، وتوافق قاعدة Open Web Application Security Project (OWASP)، وإدارة جدار الحماية الموحدة، والحماية الموزعة لحجب الخدمة (DDoS).

  • تتحكم تصفية نسبة استخدام الشبكة في نسبة استخدام الشبكة بين الشرائح. تنفيذ أجهزة تصفية حركة مرور شبكة الضيف باستخدام قدرات مركز بيانات NSX-T أو الجهاز الظاهري للشبكة (NVA) للحد من الوصول بين مقاطع شبكة الضيف.

  • يحمي توافق مجموعة قواعد OWASP Core أحمال عمل تطبيق الويب الضيف Azure VMware Solution من هجمات الويب العامة. استخدم قدرات OWASP لجدار حماية تطبيق ويب لبوابة تطبيق Azure (WAF) لحماية تطبيقات الويب المستضافة على ضيوف Azure VMware Solution. قم بتمكين وضع الوقاية باستخدام أحدث نهج، وتأكد من دمج سجلات WAF في استراتيجية التسجيل الخاصة بك. لمزيد من المعلومات، راجع مقدمة إلى Azure Web Application Firewall.

  • تمنع إدارة قواعد جدار الحماية الموحد قواعد جدار الحماية المكررة أو المفقودة من زيادة خطر الوصول غير المصرح به. تساهم بنية جدار الحماية في إدارة الشبكة الأكبر ووضع أمان البيئة ل Azure VMware Solution. استخدم بنية جدار حماية مدارة ذات حالة تسمح بتدفق نسبة استخدام الشبكة والتفتيش وإدارة القواعد المركزية وجمع الأحداث.

  • تحمي حماية DDoS أحمال عمل Azure VMware Solution من الهجمات التي تسبب خسارة مالية أو تجربة مستخدم ضعيفة. تطبيق حماية DDoS على شبكة Azure الظاهرية التي تستضيف بوابة إنهاء ExpressRoute لاتصال Azure VMware Solution. ضع في اعتبارك استخدام نهج Azure للإنفاذ التلقائي لحماية DDoS.

• يسمح تشفير VSAN باستخدام المفاتيح المدارة من قبل العميل (CMK) بتشفير مخازن بيانات Azure VMware Solution VSAN باستخدام مفتاح تشفير مقدم من العميل مخزن في Azure Key Vault. استخدم هذه الميزة لتلبية متطلبات تشفير VSAN المخصصة مثل نهج تدوير المفاتيح المخصصة أو لإدارة أحداث دورة حياة المفتاح. للحصول على إرشادات وحدود تنفيذ مفصلة، راجع تكوين تشفير المفتاح المدار من قبل العميل في وضع الثبات في Azure VMware Solution

• الوصول المتحكم به إلى خادم vCenter: يمكن أن يؤدي الوصول غير الخاضع للرقابة إلى Azure VMware Solution vCenter Server إلى زيادة مساحة سطح الهجوم. استخدم محطة عمل وصول متميزة مخصصة (PAW) للوصول بأمان إلى Azure VMware Solution vCenter Server وNSX-T Manager. إنشاء مجموعة مستخدمين وإضافة حساب مستخدم فردي إلى مجموعة المستخدمين هذه.

• تسجيل طلب الإنترنت الوارد لأحمال عمل الضيف: استخدم جدار حماية Azure أو NVA معتمدا يحتفظ بسجلات التدقيق للطلبات الواردة إلى الأجهزة الظاهرية الضيف. قم باستيراد هذه السجلات إلى حل إدارة الأحداث والحوادث الأمنية (SIEM) للمراقبة والتنبيه المناسبين. استخدم Microsoft Sentinel لمعالجة معلومات حدث Azure والتسجيل قبل التكامل في حلول SIEM الموجودة. لمزيد من المعلومات، راجع دمج Microsoft Defender للسحابة مع Azure VMware Solution.

• مراقبة الجلسة لأمان اتصال الإنترنت الصادر: استخدم التحكم في القواعد أو تدقيق جلسة الاتصال بالإنترنت الصادر من Azure VMware Solution لتحديد نشاط الإنترنت الصادر غير المتوقع أو المشبوه. حدد متى وأين يتم وضع فحص الشبكة الصادرة لضمان أقصى قدر من الأمان. لمزيد من المعلومات، راجع تخطيط الشبكة على نطاق المؤسسة والاتصال ل Azure VMware Solution.

  استخدم خدمات جدار الحماية المتخصصة وNVA والشبكة الظاهرية واسعة النطاق (Virtual WAN) للاتصال بالإنترنت الصادر بدلا من الاعتماد على الاتصال الافتراضي بالإنترنت في Azure VMware Solution. لمزيد من المعلومات وتوصيات التصميم، راجع فحص حركة مرور Azure VMware Solution باستخدام جهاز ظاهري للشبكة في شبكة Azure الظاهرية.

  استخدم علامات الخدمة مثل Virtual Network وعلامات اسم المجال المؤهلة بالكامل (FQDN) لتحديدها عند تصفية نسبة استخدام الشبكة الخارجة باستخدام جدار حماية Azure. استخدم إمكانية مماثلة ل NVAs الأخرى.

• النسخ الاحتياطية الآمنة المدارة مركزيا: استخدم RBAC وقدرات الحذف المتأخر للمساعدة في منع الحذف المتعمد أو العرضي لبيانات النسخ الاحتياطي اللازمة لاسترداد البيئة. استخدم Azure Key Vault لإدارة مفاتيح التشفير، وتقييد الوصول إلى موقع تخزين بيانات النسخ الاحتياطي لتقليل مخاطر الحذف.

  استخدم Azure Backup أو تقنية نسخ احتياطي أخرى تم التحقق من صحتها ل Azure VMware Solution التي توفر التشفير أثناء النقل وفي حالة الثبات. عند استخدام مخازن Azure Recovery Services، استخدم أقفال الموارد وميزات الحذف المبدئي للحماية من حذف النسخ الاحتياطي العرضي أو المتعمد. لمزيد من المعلومات، راجع استمرارية الأعمال على نطاق المؤسسة والتعافي من الكوارث ل Azure VMware Solution.

تطبيق الضيف وأمان الجهاز الظاهري

• الكشف المتقدم عن التهديدات: لمنع العديد من المخاطر الأمنية وخروقات البيانات، استخدم حماية أمان نقطة النهاية وتكوين تنبيه الأمان وعمليات التحكم في التغيير وتقييمات الثغرات الأمنية. يمكنك استخدام Microsoft Defender للسحابة لإدارة التهديدات وحماية نقطة النهاية والتنبيه الأمني وتصحيح نظام التشغيل وعرض مركزي في فرض التوافق التنظيمي. لمزيد من المعلومات، راجع دمج Microsoft Defender للسحابة مع Azure VMware Solution.

  استخدم Azure Arc للخوادم لإلحاق الأجهزة الظاهرية الضيف. بمجرد إلحاقها، استخدم Azure Log Analytics وAzure Monitor Microsoft Defender for Cloud لجمع السجلات والمقاييس وإنشاء لوحات المعلومات والتنبيهات. استخدم مركز حماية Microsoft Defender لحماية التهديدات المرتبطة بضيوف الجهاز الظاهري والتنبيه بشأنها. لمزيد من المعلومات، راجع دمج خدمات Azure الأصلية وتوزيعها في Azure VMware Solution.

  انشر عامل Log Analytics على VMware vSphere VMs قبل بدء الترحيل، أو عند نشر أجهزة ظاهرية ضيفة جديدة. تكوين عامل MMA لإرسال المقاييس والسجلات إلى مساحة عمل Azure Log Analytics. بعد الترحيل، تحقق من أن Azure VMware Solution VM يبلغ عن التنبيهات في Azure Monitor Microsoft Defender for Cloud.

  بدلا من ذلك، استخدم حلا من شريك معتمد من Azure VMware Solution لتقييم أوضاع أمان الجهاز الظاهري وتوفير التوافق التنظيمي مقابل متطلبات مركز أمان الإنترنت (CIS).

• تحليلات الأمان: استخدم مجموعة أحداث الأمان المتماسكة والارتباط والتحليلات من Azure VMware Solution VMs ومصادر أخرى للكشف عن الهجمات الإلكترونية. استخدم Microsoft Defender للسحابة كمصدر بيانات ل Microsoft Sentinel. تكوين Microsoft Defender للتخزين وAzure Resource Manager ونظام أسماء المجالات (DNS) وخدمات Azure الأخرى المتعلقة بنشر Azure VMware Solution. ضع في اعتبارك استخدام موصل بيانات Azure VMware Solution من شريك معتمد.

• تشفير الجهاز الظاهري الضيف: يوفر Azure VMware Solution تشفير البيانات الثابتة للنظام الأساسي لتخزين vSAN الأساسي. قد تتطلب بعض أحمال العمل والبيئات مع الوصول إلى نظام الملفات المزيد من التشفير لحماية البيانات. في هذه الحالات، ضع في اعتبارك تمكين تشفير نظام تشغيل الجهاز الظاهري الضيف (OS) والبيانات. استخدم أدوات تشفير نظام التشغيل الضيف الأصلي لتشفير الأجهزة الظاهرية للضيف. استخدم Azure Key Vault لتخزين مفاتيح التشفير وحمايتها.

• تشفير قاعدة البيانات ومراقبة النشاط: تشفير SQL وقواعد البيانات الأخرى في Azure VMware Solution لمنع الوصول السهل إلى البيانات في حالة خرق البيانات. بالنسبة لأحمال عمل قاعدة البيانات، استخدم أساليب التشفير الثابتة مثل تشفير البيانات الشفاف (TDE) أو ميزة قاعدة بيانات أصلية مكافئة. تأكد من أن أحمال العمل تستخدم أقراصا مشفرة، وأن الأسرار الحساسة مخزنة في مخزن مفاتيح مخصص لمجموعة الموارد.

  استخدم Azure Key Vault للمفاتيح التي يديرها العميل في سيناريوهات إحضار المفتاح الخاص بك (BYOK)، مثل BYOK لتشفير البيانات الشفافة لقاعدة بيانات Azure SQL (TDE). افصل بين مهام إدارة المفاتيح وإدارة البيانات حيثما أمكن ذلك. للحصول على مثال حول كيفية استخدام SQL Server 2019 Key Vault، راجع استخدام Key Vault Azure مع Always Encrypted مع الجيوب الآمنة.

  راقب أنشطة قاعدة البيانات غير العادية لتقليل مخاطر هجوم من الداخل. استخدم مراقبة قاعدة البيانات الأصلية مثل Activity Monitor أو حل شريك معتمد من Azure VMware Solution. ضع في اعتبارك استخدام خدمات قاعدة بيانات Azure لعناصر تحكم التدقيق المحسنة.

• مفاتيح تحديث الأمان الموسع (ESU): توفير وتكوين مفاتيح ESU لدفع تحديثات الأمان وتثبيتها على الأجهزة الظاهرية ل Azure VMware Solution. استخدم أداة إدارة تنشيط وحدة التخزين لتكوين مفاتيح ESU لمجموعة Azure VMware Solution. لمزيد من المعلومات، راجع الحصول على التحديثات الأمان الموسع لأجهزة Windows المؤهلة.

• أمان التعليمات البرمجية: تنفيذ مقياس الأمان في مهام سير عمل DevOps لمنع الثغرات الأمنية في أحمال عمل Azure VMware Solution. استخدم مهام سير عمل المصادقة والتخويل الحديثة مثل Open Authorization (OAuth) وOpenID Connect.

  استخدم GitHub Enterprise Server على Azure VMware Solution لمستودع تم إصداره يضمن تكامل قاعدة التعليمات البرمجية. نشر عوامل الإنشاء والتشغيل إما في Azure VMware Solution أو في بيئة Azure آمنة.

الإدارة

ضع في اعتبارك تنفيذ التوصيات التالية عند التخطيط لإدارة البيئة وحوكمة الجهاز الظاهري الضيف.

إدارة البيئة

• مساحة تخزين vSAN: يمكن أن تؤثر مساحة تخزين vSAN غير الكافية على ضمانات اتفاقية مستوى الخدمة. مراجعة وفهم مسؤوليات العملاء والشركاء في اتفاقية مستوى الخدمة ل Azure VMware Solution. تعيين الأولويات والمالكين المناسبين للتنبيهات على مقياس النسبة المئوية لقرص مخزن البيانات المستخدم. لمزيد من المعلومات والإرشادات، راجع تكوين التنبيهات والعمل مع المقاييس في Azure VMware Solution.

• نهج تخزين قالب الجهاز الظاهري: يمكن أن يؤدي نهج التخزين الافتراضي الذي يتم توفيره بسمك إلى حجز الكثير من تخزين vSAN. إنشاء قوالب الأجهزة الظاهرية التي تستخدم نهج تخزين قليل التزويد حيث لا تكون حجوزات المساحة مطلوبة. تسمح الأجهزة الظاهرية التي لا تحتفظ بالكمية الكاملة من التخزين مقدما بموارد تخزين أكثر كفاءة.

• إدارة الحصة النسبية للمضيف: يمكن أن تؤدي الحصص النسبية غير الكافية للمضيف إلى تأخيرات من 5 إلى 7 أيام في الحصول على المزيد من قدرة المضيف على النمو أو احتياجات الإصلاح بعد كارثة (DR). متطلبات نمو العوامل والإصلاح بعد كارثة في تصميم الحل عند طلب حصة المضيف، ومراجعة نمو البيئة والحد الأقصى بشكل دوري لضمان الوقت المتوقع المناسب لطلبات التوسع. على سبيل المثال، إذا كانت مجموعة Azure VMware Solution المكونة من ثلاث عقد تحتاج إلى ثلاث عقد أخرى للإصلاح بعد كارثة، فاطلب حصة مضيفة من ست عقد. لا تتحمل طلبات الحصة النسبية للمضيف تكاليف إضافية.

• حوكمة الفشل في التسامح (FTT): إنشاء إعدادات FTT تتناسب مع حجم نظام المجموعة للحفاظ على اتفاقية مستوى الخدمة ل Azure VMware Solution. اضبط نهج تخزين vSAN إلى إعداد FTT المناسب عند تغيير حجم نظام المجموعة لضمان توافق اتفاقية مستوى الخدمة.

• وصول ESXi: الوصول إلى مضيفي Azure VMware Solution ESXi محدود. قد لا تعمل برامج الجهات الخارجية التي تتطلب وصول مضيف ESXi. حدد أي برنامج جهة خارجية مدعوم من Azure VMware Solution في بيئة المصدر التي تحتاج إلى الوصول إلى مضيف ESXi. تعرف على عملية طلب دعم Azure VMware Solution واستخدمها في مدخل Microsoft Azure للحالات التي تحتاج إلى وصول مضيف ESXi.

• كثافة مضيف ESXi وكفاءته: للحصول على عائد جيد على الاستثمار (ROI)، فهم استخدام مضيف ESXi. حدد كثافة صحية للأجهزة الظاهرية الضيف لزيادة استثمارات Azure VMware Solution إلى أقصى حد، ومراقبة الاستخدام العام للعقدة مقابل هذا الحد. تغيير حجم بيئة Azure VMware Solution عند الإشارة إلى المراقبة، والسماح بوقت كاف لإضافات العقدة.

• مراقبة الشبكة: مراقبة نسبة استخدام الشبكة الداخلية لنسبة استخدام الشبكة الضارة أو غير المعروفة أو الشبكات المخترقة. تنفيذ vRealize Network Insight (vRNI) وvRealize Operations (vROps) للحصول على رؤى مفصلة حول عمليات شبكات Azure VMware Solution.

• تنبيهات الأمان والصيانة المخطط لها وصحة الخدمة: فهم حالة الخدمة وعرضها لتخطيط الانقطاعات والمشكلات والاستجابة لها بشكل مناسب. تكوين تنبيهات حالة الخدمة لمشكلات خدمة Azure VMware Solution والصيانة المخطط لها والنصائح الصحية والنصائح الأمنية. جدولة أنشطة حمل عمل Azure VMware Solution وتخطيطها خارج نوافذ الصيانة المقترحة من Microsoft.

• إدارة التكلفة: مراقبة التكاليف من أجل المساءلة المالية الجيدة وتخصيص الميزانية. استخدم حل إدارة التكلفة لتتبع التكلفة وتخصيص التكلفة وإنشاء الموازنة وتنبيهات التكلفة والإدارة المالية الجيدة. بالنسبة لرسوم Azure المفوترة، استخدم أدوات إدارة التكلفة + الفوترة في Azure لإنشاء الميزانيات وإنشاء التنبيهات وتخصيص التكاليف وإعداد تقارير لأصحاب المصلحة الماليين.

• تكامل خدمات Azure: تجنب استخدام نقطة النهاية العامة للنظام الأساسي Azure كخدمة (PaaS)، والتي يمكن أن تؤدي إلى مغادرة نسبة استخدام الشبكة لحدود الشبكة المطلوبة. للتأكد من بقاء نسبة استخدام الشبكة ضمن حدود شبكة ظاهرية محددة، استخدم نقطة نهاية خاصة للوصول إلى خدمات Azure مثل Azure SQL Database وAzure Blob Storage.

تطبيق حمل العمل وإدارة الجهاز الظاهري

يساعدك الوعي بوضع الأمان للأجهزة الظاهرية لحمل عمل Azure VMware Solution على فهم جاهزية الأمان عبر الإنترنت والاستجابة له وتوفير تغطية أمان كاملة للأجهزة الظاهرية والتطبيقات الضيف.

• تمكين Microsoft Defender للسحابة لتشغيل خدمات Azure وأحمال عمل الجهاز الظاهري لتطبيق Azure VMware Solution.

• استخدم خوادم Azure Arc الممكنة لإدارة الأجهزة الظاهرية الضيف Azure VMware Solution باستخدام الأدوات التي تنسخ أدوات موارد Azure الأصلية، بما في ذلك:

  • نهج Azure للتحكم في تكوينات الضيف وإعداداته وإعداداته وإعداداته وإعداداته وتدقيقها
  • تكوين حالة أتمتة Azure والملحقات المدعومة لتبسيط عمليات التوزيع
  • إدارة التحديث لإدارة التحديثات لمشهد الجهاز الظاهري لتطبيق Azure VMware Solution
  • علامات لإدارة مخزون الجهاز الظاهري لتطبيق Azure VMware Solution وتنظيمه

  لمزيد من المعلومات، راجع نظرة عامة على الخوادم الممكنة في Azure Arc.

• إدارة مجال الجهاز الظاهري لحمل العمل: لتجنب العمليات اليدوية المعرضة للخطأ، استخدم ملحقات مثل JsonADDomainExtension خيارات التنفيذ التلقائي أو ما يعادلها لتمكين الأجهزة الظاهرية الضيف Azure VMware Solution من الانضمام التلقائي إلى مجال Active Directory.

• تسجيل ومراقبة الجهاز الظاهري لحمل العمل: تمكين مقاييس التشخيص وتسجيل الدخول إلى أجهزة حمل العمل الظاهرية لتصحيح مشكلات نظام التشغيل والتطبيق بسهولة أكبر. تنفيذ إمكانات جمع السجل والاستعلام التي توفر أوقات استجابة سريعة لتصحيح الأخطاء واستكشاف الأخطاء وإصلاحها. تمكين رؤى الجهاز الظاهري في الوقت الفعلي تقريبا على الأجهزة الظاهرية لحمل العمل للكشف الفوري عن ازدحامات الأداء والمشكلات التشغيلية. تكوين تنبيهات السجل لالتقاط شروط الحدود لأجهزة حمل العمل الظاهرية.

  توزيع عامل Log Analytics (MMA) على VMware vSphere workload VMs قبل الترحيل، أو عند نشر أجهزة ظاهرية جديدة لحمل العمل في بيئة Azure VMware Solution. قم بتكوين MMA باستخدام مساحة عمل Azure Log Analytics، وربط مساحة عمل Azure Log Analytics ب Azure Automation. تحقق من حالة أي عوامل MMA للأجهزة الظاهرية لحمل العمل التي تم نشرها قبل الترحيل باستخدام Azure Monitor بعد الترحيل.

• إدارة تحديث الجهاز الظاهري لحمل العمل: التحديثات أو التصحيحات المتأخرة أو غير المكتملة هي أهم متجهات الهجوم التي يمكن أن تؤدي إلى الكشف عن الأجهزة الظاهرية وتطبيقات حمل عمل Azure VMware Solution أو المساس بها. تأكد من تثبيتات التحديث في الوقت المناسب على الأجهزة الظاهرية الضيف.

• إدارة النسخ الاحتياطي للأجهزة الظاهرية لحمل العمل: جدولة النسخ الاحتياطية العادية لمنع النسخ الاحتياطية الفائتة أو الاعتماد على النسخ الاحتياطية القديمة التي يمكن أن تؤدي إلى فقدان البيانات. استخدم حل النسخ الاحتياطي الذي يمكنه أخذ النسخ الاحتياطية المجدولة ومراقبة نجاح النسخ الاحتياطي. مراقبة أحداث النسخ الاحتياطي والتنبيه بشأنها لضمان تشغيل النسخ الاحتياطية المجدولة بنجاح.

• إدارة حمل العمل VM DR: يمكن أن يتسبب هدف نقطة الاسترداد غير الموثقة (RPO) ومتطلبات هدف وقت الاسترداد (RTO) في ضعف تجارب العملاء والأهداف التشغيلية غير الملباة أثناء أحداث استمرارية الأعمال والإصلاح بعد كارثة (BCDR). تنفيذ تنسيق الإصلاح بعد كارثة لمنع التأخير في استمرارية الأعمال.

  استخدم حل الإصلاح بعد كارثة ل Azure VMware Solution الذي يوفر تنسيق الإصلاح بعد كارثة، ويكتشف ويبلغ عن أي فشل أو مشكلات في النسخ المتماثل المستمر الناجح إلى موقع الإصلاح بعد كارثة. توثيق متطلبات RPO وRTO للتطبيقات التي تعمل في Azure وAzure VMware Solution. اختر تصميم حل الإصلاح بعد كارثة واستمرارية الأعمال الذي يلبي متطلبات RPO وRTO التي يمكن التحقق منها من خلال التنسيق.

التوافق

ضع في اعتبارك التوصيات التالية وتنفيذها عند التخطيط لبيئة Azure VMware Solution وتوافق الجهاز الظاهري لحمل العمل.

• Microsoft Defender لمراقبة السحابة: استخدم طريقة عرض التوافق التنظيمي في Defender for Cloud لمراقبة التوافق مع معايير الأمان والمقاييس التنظيمية. تكوين أتمتة سير عمل Defender for Cloud لتتبع أي انحراف عن وضع التوافق المتوقع. لمزيد من المعلومات، راجع نظرة عامة على Microsoft Defender for Cloud.

• توافق Workload VM DR: تتبع توافق تكوين الإصلاح بعد كارثة للأجهزة الظاهرية لحمل عمل Azure VMware Solution للتأكد من أن تطبيقاتها ذات المهام الحرجة تظل متاحة أثناء حدوث كارثة. استخدم Azure Site Recovery أو حل BCDR المعتمد من Azure VMware Solution، والذي يوفر توفير النسخ المتماثل على نطاق واسع ومراقبة حالة عدم التوافق والمعالجة التلقائية.

• توافق النسخ الاحتياطي لأحمال العمل VM: تعقب ومراقبة توافق النسخ الاحتياطي للأجهزة الظاهرية لحمل عمل Azure VMware Solution للتأكد من نسخ الأجهزة الظاهرية احتياطيا. استخدم حل شريك معتمد من Azure VMware Solution يوفر منظورا على نطاق واسع وتحليلا لأسفل وواجهة قابلة للتنفيذ لتتبع ومراقبة النسخ الاحتياطي للأجهزة الظاهرية لحمل العمل.

• التوافق الخاص بالبلد/المنطقة أو الصناعة: لتجنب الإجراءات القانونية المكلفة والغرامات، تأكد من توافق أحمال عمل Azure VMware Solution مع اللوائح الخاصة بالبلد/المنطقة والصناعة. فهم نموذج المسؤولية المشتركة السحابية للامتثال التنظيمي المستند إلى الصناعة أو المنطقة. استخدم Service Trust Portal لعرض أو تنزيل Azure VMware Solution وتقارير تدقيق Azure التي تدعم قصة التوافق بأكملها.

  تنفيذ تقارير تدقيق جدار الحماية على نقاط نهاية HTTP/S وغير HTTP/S للامتثال للمتطلبات التنظيمية.

• الامتثال لنهج الشركة: مراقبة توافق الجهاز الظاهري لحمل عمل Azure VMware Solution مع نهج الشركة لمنع خرق قواعد الشركة ولوائحها. استخدم خوادم Azure Arc الممكنة ونهج Azure أو حل مكافئ لجهة خارجية. تقييم وإدارة الأجهزة الظاهرية لحمل عمل Azure VMware Solution والتطبيقات للامتثال التنظيمي للوائح الداخلية والخارجية المعمول بها.

• متطلبات استبقاء البيانات والإقامة: لا يدعم Azure VMware Solution الاحتفاظ بالبيانات المخزنة في أنظمة المجموعات أو استخراجها. يؤدي حذف نظام مجموعة إلى إنهاء جميع أحمال العمل والمكونات قيد التشغيل، وتدمير جميع بيانات نظام المجموعة وإعدادات التكوين، بما في ذلك عناوين IP العامة. لا يمكن استرداد هذه البيانات.

  لا يضمن Azure VMware Solution وجود جميع بيانات التعريف وبيانات التكوين لتشغيل الخدمة فقط في المنطقة الجغرافية المنشورة. إذا كانت متطلبات موقع البيانات تتطلب وجود جميع البيانات في المنطقة المنشورة، فاتصل بدعم Azure VMware Solution للحصول على المساعدة.

• معالجة البيانات: اقرأ الشروط القانونية وفهمها عند التسجيل. انتبه إلى اتفاقية معالجة بيانات VMware لعملاء Microsoft Azure VMware Solution المنقولين لدعم L3. إذا كانت مشكلة الدعم تحتاج إلى دعم VMware، تشارك Microsoft بيانات الخدمة المهنية والبيانات الشخصية المقترنة مع VMware. من هذه النقطة فصاعدا، تعمل Microsoft وVMware كمعالجين مستقلين للبيانات.

الخطوات التالية

تستند هذه المقالة إلى مبادئ وإرشادات التصميم المعماري للمنطقة المنتقل إليها على نطاق المؤسسة Cloud Adoption Framework. لمزيد من المعلومات، راجع:

• مبادئ تصميم منطقة Azure المنتقل إليها
• إرشادات تصميم منطقة Azure المنتقل إليها

تعد المقالة جزءا من سلسلة تطبق مبادئ وتوصيات المنطقة المنتقل إليها على نطاق المؤسسة على عمليات توزيع Azure VMware Solution. تتضمن المقالات الأخرى في السلسلة ما يلي:

• إدارة الهوية والوصول على نطاق المؤسسة ل Azure VMware Solution
• تخطيط الشبكة على نطاق المؤسسة والاتصال ل Azure VMware Solution
• أتمتة النظام الأساسي على نطاق المؤسسة وDevOps ل Azure VMware Solution
• استمرارية الأعمال على نطاق المؤسسة والتعافي من الكوارث ل Azure VMware Solution

اقرأ المقالة التالية في السلسلة:

إدارة ومراقبة على نطاق المؤسسة ل Azure VMware Solution