Zabezpečení, zásady správného řízení a dodržování předpisů pro řešení Azure VMware

Tento článek popisuje, jak bezpečně implementovat a komplexní řídit řešení Azure VMware v celém životním cyklu. Článek zkoumá konkrétní prvky návrhu a poskytuje cílené doporučení pro zabezpečení řešení Azure VMware, zásady správného řízení a dodržování předpisů.

Zabezpečení

Vezměte v úvahu následující faktory, které vám pomůžou při rozhodování, které systémy, uživatelé nebo zařízení mohou provádět funkce v rámci řešení Azure VMware, a jak zabezpečit celkovou platformu.

Zabezpečení identity

• Omezení trvalého přístupu: Řešení Azure VMware používá roli Přispěvatel ve skupině prostředků Azure, která je hostitelem privátního cloudu řešení Azure VMware. Omezte trvalý přístup, aby nedocházelo k úmyslnému nebo neúmyslnému zneužití oprávnění přispěvatele. Pomocí řešení pro správu privilegovaných účtů můžete auditovat a omezovat dobu využití vysoce privilegovaných účtů.

  vytvoření skupiny privilegovaného přístupu Azure Active Directory (Azure ad) v rámci Azure Privileged Identity Management (PIM) pro správu účtů uživatelů a objektů služby azure AD. Pomocí této skupiny můžete vytvořit a spravovat cluster řešení Azure VMware s časovým limitem přístupu na základě omezení. Další informace najdete v tématu přiřazení oprávněných vlastníků a členů pro privilegovaný přístup skupiny.

  Použijte sestavy historie auditu Azure AD PIM pro aktivity správy řešení Azure VMware, operace a přiřazení. sestavy v Azure Storage můžete archivovat pro dlouhodobé potřeby uchovávání auditů. další informace najdete v tématu zobrazení sestavy auditu pro přiřazování privilegovaných přístupových skupin v Privileged Identity Management (PIM).

• Centralizovaná správa identit: Řešení Azure VMware poskytuje správce cloudu a přihlašovací údaje správce sítě pro konfiguraci prostředí VMware. Tyto účty pro správu jsou viditelné všem přispěvatelům, které mají přístup řízení přístupu na základě role (RBAC) k řešení Azure VMware.

  Aby se zabránilo nadměrnému využití nebo zneužití předdefinovaných cloudadmin uživatelů a správců sítě pro přístup k rovině ovládacího prvku VMware, použijte k zajištění správného řízení přístupu rolí a účtů možnosti RBAC roviny řízení VMware. Vytvořte více cílových objektů identity, jako jsou uživatelé a skupiny, pomocí principů minimálního oprávnění. Omezte přístup k účtům správců poskytovaných řešením Azure VMware a nakonfigurujte účty v konfiguraci se zábrusem. Předdefinované účty používejte pouze v případě, že nejsou použitelné všechny ostatní účty pro správu.

  Pomocí zadaného cloudadmin účtu můžete integrovat Active Directory Domain Services (služba AD DS) nebo Azure AD Domain Services (Azure služba AD DS) pomocí řídicích aplikací VMware vCenter a NSX-T a identit pro správu doménových služeb. Použijte doménové služby (uživatele a skupiny) pro Azure VMware pro správu řešení a operace a nepovolujte sdílení účtů. Vytvářejte vlastní role vCenter a přidružte je k služba AD DS skupinám pro jemně odstupňované řízení přístupu k ovládacím plochám VMware.

  Můžete použít možnosti řešení Azure VMware k otočení a resetování hesel správce účtu vCenter a NSX-T. Konfigurace pravidelného rotace těchto účtů a střídání účtů kdykoli při použití konfigurace pro odrážky. Další informace najdete v tématu otočení přihlašovacích údajů cloudadmin pro řešení Azure VMware.

• Správa identit hostovaného virtuálního počítače (VM): Poskytněte centralizované ověřování a autorizaci pro hosty řešení Azure VMware a poskytněte efektivní správu aplikací a zabraňte neoprávněnému přístupu k podnikovým datům a procesům. Spravujte v rámci svého životního cyklu hosty a aplikace řešení Azure VMware. Nakonfigurujte virtuální počítače hosta tak, aby používaly centralizované řešení pro správu identit k ověřování a autorizaci pro správu a používání aplikací.

  Použijte centralizovanou službu služba AD DS nebo protokol LDAP (Lightweight Directory Access Protocol) pro virtuální počítače hosta řešení Azure VMware a správu identit aplikací. Ujistěte se, že účty architektury doménové služby jsou pro scénáře výpadku, aby se zajistila nepřetržitá funkčnost během výpadků. Připojení implementaci služba AD DS pomocí Azure AD pro pokročilou správu a bezproblémové ověřování hostů a možnosti autorizace.

Zabezpečení prostředí a sítě

• Možnosti zabezpečení nativní sítě: implementujte řízení zabezpečení sítě, jako je filtrování přenosů, otevřené dodržování pravidel OWASP (Web Application security Project), jednotné řízení brány firewall a DDoS (distributed denial of service).

  • Filtrování provozu řídí provoz mezi segmenty. Implementujte zařízení pro filtrování síťového provozu hosta pomocí možností NSX nebo síťového virtuálního zařízení (síťové virtuální zařízení), abyste omezili přístup mezi segmenty hostované sítě.

  • Dodržování předpisů základní sady pravidel OWASP chrání úlohy Azure VMware pro hostované webové aplikace z obecných webových útoků. K ochraně webových aplikací hostovaných v hostůch řešení Azure VMware použijte možnosti OWASP služby Firewall webových aplikací (WAF) Azure Application Gateway. Povolte režim prevence pomocí nejnovějších zásad a zajistěte integraci protokolů WAF do strategie protokolování. Další informace najdete v tématu Úvod do firewallu webových aplikací Azure.

  • Správa pravidel sjednocené brány firewall zabraňuje duplicitním nebo chybějícím pravidlům brány firewall ve zvýšení rizika neoprávněného přístupu. Architektura brány firewall přispívá k většímu zabezpečení správy sítě a prostředí stav pro řešení Azure VMware. Použijte stavovou architekturu brány firewall, která umožňuje tok provozu, kontrolu, centralizovanou správu pravidel a shromažďování událostí.

  • DDoS Protection chrání úlohy řešení Azure VMware před útoky, které způsobují finanční ztráty nebo špatné uživatelské prostředí. Použijte ochranu DDoS ve službě Azure Virtual Network, která je hostitelem brány ExpressRoute pro ukončení připojení řešení Azure VMware. Zvažte použití Azure Policy pro automatické vynucení ochrany DDoS.

• Řízený přístup k vCenter: Neřízený přístup k Azure VMware Solution vCenter může zvýšit prostor pro útoky. K zabezpečenému přístupu k Azure VMware Solution vCenter a NSX Manageru použijte vyhrazenou pracovní stanici s privilegovaným přístupem (PRIVILEGOVANÝM přístupem). Vytvořte skupinu uživatelů a do této skupiny uživatelů přidejte jednotlivý uživatelský účet.

• Protokolování příchozích internetových požadavků pro úlohy hosta: Použijte Azure Firewall nebo schválenou síťové virtuální zařízení, která udržuje protokoly auditu pro příchozí požadavky na virtuální počítače hosta. Importujte tyto protokoly do řešení incidentu zabezpečení a řízení událostí (SIEM), které vám bude odpovídat na vhodné monitorování a upozorňování. Pomocí služby Microsoft Sentinel můžete zpracovávat informace o událostech Azure a jejich protokolování před integrací do stávajících řešení SIEM. Další informace najdete v tématu integrace programu Microsoft Defender pro Cloud s řešením Azure VMware.

• Monitorování relací pro zabezpečení odchozího připojení k Internetu: K identifikaci neočekávané nebo podezřelé odchozí internetové aktivity použijte řízení pravidel nebo auditování relace odchozího připojení k Internetu z řešení Azure VMware. Rozhodněte, kdy a kam chcete umístit kontrolu odchozí sítě, abyste zajistili maximální zabezpečení. další informace najdete v tématu Enterprise topologie sítě a konektivitu pro řešení Azure VMware.

  Používejte specializované brány firewall, síťové virtuální zařízení a virtuální sítě WAN pro odchozí připojení k Internetu a nemusíte přitom spoléhat na výchozí připojení k Internetu řešení VMware Azure. Další informace a doporučení pro návrh najdete v tématu kontrola provozu řešení Azure VMware pomocí síťového virtuálního zařízení v Azure Virtual Network.

  Virtual NetworkPři filtrování odchozího provozu pomocí Azure Firewall použijte značky služby, jako je plně kvalifikovaný název domény (FQDN), který se má identifikovat. Použijte podobné možnosti pro jiné síťová virtuální zařízení.

• Centrálně spravovaná zabezpečená zálohování: Využijte možnosti RBAC a opožděné odstranění, které vám pomůžou zabránit úmyslnému nebo náhodnému odstranění zálohovaných dat potřebných k obnovení prostředí. Použijte Azure Key Vault pro správu šifrovacích klíčů a omezte přístup k umístění úložiště zálohovaných dat, abyste minimalizovali riziko odstranění.

  Používejte Azure Backup nebo jinou technologii zálohování ověřenou pro řešení Azure VMware, které zajišťuje šifrování při přenosu a v klidovém provozu. Při použití trezorů služby Azure Recovery Services použijte zámky prostředků a funkce obnovitelného odstranění k ochraně před náhodným nebo úmyslným odstraněním zálohy. další informace najdete v tématu Enterprise škálování pro provozní kontinuitu a zotavení po havárii pro řešení Azure VMware.

Aplikace hostů a zabezpečení virtuálního počítače

• Rozšířená detekce hrozeb: Aby nedocházelo k různým bezpečnostním rizikům a porušením dat, použijte ochranu Endpoint Protection, konfiguraci výstrah zabezpečení, procesy řízení změn a posouzení ohrožení zabezpečení. Můžete použít program Microsoft Defender pro Cloud pro správu hrozeb, službu Endpoint Protection, výstrahy zabezpečení, opravy operačního systému a centralizované zobrazení v vynucování dodržování předpisů regulativními předpisy. Další informace najdete v tématu integrace programu Microsoft Defender pro Cloud s řešením Azure VMware.

  K připojení virtuálních počítačů hosta použijte Azure ARC pro servery. Po zprovoznění použijte Azure Log Analytics, Azure Monitor a Microsoft Defender pro Cloud ke shromáždění protokolů a metrik a vytváření řídicích panelů a výstrah. pomocí Centrum zabezpečení v programu Microsoft Defender můžete chránit hrozby spojené s hosty virtuálních počítačů a upozorňovat na ně. Další informace najdete v tématu věnovaném integraci a nasazení nativních služeb Azure v řešení Azure VMware.

  Nasaďte agenta Log Analytics na virtuální počítače VMware před zahájením migrace nebo při nasazení nových virtuálních počítačů hosta. Nakonfigurujte agenta MMA, aby odesílal metriky a protokoly do pracovního prostoru Azure Log Analytics. Po migraci ověřte, že virtuální počítač řešení Azure VMware oznamuje výstrahy v Azure Monitor a Microsoft Defender pro Cloud.

  Alternativně můžete použít řešení z certifikovaného partnera řešení Azure VMware k vyhodnocení postures zabezpečení virtuálního počítače a zajištění dodržování předpisů v souladu s centrem pro požadavky na Internet Security (CIS).

• Analýza zabezpečení: Pomocí soudržného shromažďování událostí zabezpečení, korelace a analýz z virtuálních počítačů řešení VMware Azure a dalších zdrojů zjistíte kyberútokům. Použijte Microsoft Defender pro Cloud jako zdroj dat pro Microsoft Sentinel. nakonfigurujte Microsoft Defender pro Storage, Azure Resource Manager, DNS (Domain Name System) a další služby Azure související s nasazením řešení azure VMware. Zvažte použití konektoru dat řešení Azure VMware od certifikovaného partnera.

• Šifrování virtuálního počítače hosta: Řešení Azure VMware poskytuje pro základní platformu úložiště síti vSAN šifrování na základě dat. K ochraně dat můžou některé úlohy a prostředí s přístupem k systému souborů vyžadovat další šifrování. V těchto situacích zvažte povolení šifrování operačního systému hostovaného virtuálního počítače (OS) a dat. K šifrování virtuálních počítačů hosta použijte nativní nástroje pro šifrování hostovaného operačního systému . Použijte Azure Key Vault k ukládání a ochraně šifrovacích klíčů.

• Monitorování šifrování a aktivity databáze: zašifrujte SQL a další databáze v řešení Azure VMware, abyste zabránili snadnému přístupu k datům v případě porušení dat. U databázových úloh použijte metody šifrování při použití, jako je transparentní šifrování dat (TDE) nebo ekvivalentní funkce nativní databáze. Ujistěte se, že úlohy využívají šifrované disky a že citlivé tajné klíče jsou uložené v trezoru klíčů vyhrazeném pro skupinu prostředků.

  použijte Azure Key Vault pro klíče spravované zákazníkem ve scénářích přineste si vlastní klíč (BYOK), jako je například BYOK pro Azure SQL Database transparentní šifrování dat (TDE). Pokud je to možné, oddělte povinnosti správy klíčů a správy dat. příklad toho, jak SQL Server 2019 používá Key Vault, najdete v tématu použití Azure Key Vault se Always Encrypted se zabezpečeným enclaves.

  Monitorování neobvyklých databázových aktivit, aby se snížilo riziko útoku Insider. Použijte monitorování nativních databází, jako je monitorování aktivit nebo řešení Azure VMware Certified Partner. Zvažte použití Azure Database Services pro rozšířené ovládací prvky auditování.

• Klíče rozšířené aktualizace zabezpečení (EVJ): Poskytněte a konfigurujte klíče EVJ, které budou nabízet a instalovat aktualizace zabezpečení virtuálních počítačů řešení Azure VMware. použijte Nástroj pro správu aktivace multilicence (VAMT) pro konfiguraci klíčů evj pro cluster řešení Azure VMware. Další informace najdete v tématu Získání rozšířených aktualizací zabezpečení pro oprávněná Windows zařízení.

• Zabezpečení kódu: Implementujte bezpečnostní opatření v DevOps pracovních postupech, abyste zabránili ohrožením zabezpečení Azure VMware Solution úlohách. Používejte moderní pracovní postupy ověřování a autorizace, jako jsou Open Authorization (OAuth) a OpenID Připojení.

  Použijte GitHub Enterprise Server na Azure VMware Solution pro úložiště s verzí, které zajišťuje integritu základu kódu. Nasazování a spouštění agentů buď v Azure VMware Solution, nebo v zabezpečeném prostředí Azure.

Zásady správného řízení

Při plánování zásad správného řízení prostředí a hosta virtuálního počítače zvažte implementaci následujících doporučení.

Zásady správného řízení prostředí

• Prostor úložiště vSAN: Nedostatek prostoru úložiště vSAN může mít vliv na záruky SLA. Zkontrolujte a porozumíte odpovědnostem zákazníků a partnerů ve sla pro Azure VMware Solution. Přiřaďte příslušné priority a vlastníky upozornění na metriku Procento využití disku úložiště dat. Další informace a pokyny najdete v tématu Konfigurace upozornění a práce s metrikamiv Azure VMware Solution .

• Zásady úložiště šablony virtuálního počítače: Výchozí zásady úložiště s silnými prostředky mohou mít za následek rezervaci příliš šířlého úložiště sítě vSAN. Vytvořte šablony virtuálních počítače, které používají zásadu úložiště s tenkým zajišťováním, kdy se rezervace místa nepožaduje. Virtuální počítače, které si předem nevyhazují celou velikost úložiště, umožňují efektivnější prostředky úložiště.

• Zásady správného řízení kvót hostitele: Nedostatečné kvóty hostitelů mohou vést k 5 až 7denním zpožděním při získávání větší kapacity hostitele pro potřeby růstu nebo zotavení po havárii. Při žádosti o kvótu hostitele zavážte do návrhu řešení požadavky na růst a dr. A pravidelně kontrolujte růst a maxima prostředí, abyste zajistili správnou dobu vedení pro žádosti o rozšíření. Pokud například cluster se třemi uzly Azure VMware Solution pro dr. potřebuje další tři uzly, požádejte o kvótu hostitele šesti uzlů. Za žádosti o kvótu hostitele se nenáklady navíc nečtou.

• Zásady správného řízení tolerovat selhání (FTT): Nastavení ftt navázáním nastavení, která se přiřazují velikosti clusteru, aby se zachovala smlouva SLA pro Azure VMware Solution. Při změně velikosti clusteru upravte zásady úložiště vSAN na odpovídající nastavení FTT, aby se zajistila shoda se smlouvami SLA.

• Přístup ESXi: Přístup k Azure VMware Solution hostitelům ESXi je omezený. Software třetí strany, který vyžaduje přístup k hostiteli ESXi, nemusí fungovat. Identifikujte Azure VMware Solution podporovaný software třetí strany ve zdrojovém prostředí, který potřebuje přístup k hostiteli ESXi. Seznamte se s procesem žádosti o Azure VMware Solution a použijte ho v Azure Portal v situacích, kdy potřebujete přístup k hostiteli ESXi.

• Hustota a efektivita hostitele ESXi: Pokud chcete dobrou návratnost investic( ROI), seznamte se s využitím hostitele ESXi. Definujte v pořádku hustotu hosta virtuálních Azure VMware Solution maximalizovat investice a monitorovat celkové využití uzlů oproti této prahové hodnotě. Při indikování Azure VMware Solution změňte velikost virtuálního prostředí a povolte dostatečnou dobu vedení pro přidání uzlů.

• Monitorování sítě: Monitorujte provoz interní sítě z důvodu škodlivého nebo neznámého provozu nebo ohrožených sítí. Implementujte vRealize Network Přehledy (vRNI) a VRealize Operations Manager podrobné přehledy o Azure VMware Solution síťových operací.

• Zabezpečení, plánovaná údržba a Service Health výstrahy: Porozumíte a zobrazíte stav služby, abyste odpovídajícím způsobem naplánoval výpadky a problémy a reagovali na ně. Nakonfigurujte Service Health výstrahy pro Azure VMware Solution služeb, plánovanou údržbu, poradce pro stav a poradce pro zabezpečení. Naplánujte a naplánujte Azure VMware Solution úloh mimo časové intervaly pro správu a údržbu navrhované Microsoftem.

• Zásady správného řízení nákladů: Monitorujte náklady pro dobrou finanční odpovědnost a přidělování rozpočtu. Využijte řešení správy nákladů pro sledování nákladů, přidělování nákladů, vytváření rozpočtu, upozornění na náklady a dobré finanční zásady správného řízení. V případě fakturovaných poplatků za Azure můžete Azure Cost Management + Billing rozpočty, generovat upozornění, přidělovat náklady a vytvářet sestavy pro finanční účastníky.

• Integrace služeb Azure: Nepoužívejte veřejný koncový bod platformy Azure jako služby (PaaS), což může vést k tomu, že provoz opustí požadované hranice sítě. Pokud chcete zajistit, aby provoz zůstal v rámci definované hranice virtuální sítě, použijte privátní koncový bod pro přístup ke službám Azure, jako jsou Azure SQL Database a azure blob Storage.

Zásady správného řízení aplikací hosta a virtuálních počítače

Povědomí o postoji k zabezpečení Azure VMware Solution hosta vám pomůže porozumět připravenosti a reakci na kyberbezpečnost a zajistit úplné pokrytí zabezpečení pro hostování virtuálních počítače a aplikace.

• Povolte Microsoft Defender for Cloud pro spouštění služeb Azure a Azure VMware Solution úloh hosta virtuálního počítače.

• Pomocí Azure Arc povolených serverů můžete spravovat Azure VMware Solution hostovaných virtuálních počítače pomocí nástrojů, které replikují nativní nástroje prostředků Azure, včetně:

  • Azure Policy řízení, hlášení a auditování konfigurací a nastavení hosta
  • Azure Automation State Configuration a podporovaná rozšíření pro zjednodušení nasazení
  • Update Management spravovat aktualizace pro prostředí Azure VMware Solution hosta virtuálního počítače
  • Značky pro správu a uspořádání Azure VMware Solution inventáře hosta virtuálního počítače

  Další informace najdete v tématu Azure Arc povolených serverů.

• Zásady správného řízení domény virtuálního počítače hosta: Pokud se chcete vyhnout ručním procesům náchylných k chybám, použijte rozšíření, jako jsou nebo ekvivalentní možnosti automatizace, Azure VMware Solution virtuální počítače hosta k automatickému připojení k doméně služby Active Directory.

• Protokolování a monitorování virtuálního počítače hosta: Pokud chcete snadněji ladit problémy s hostem a aplikací, povolte diagnostické metriky a protokolování na virtuálních počítačech hostů. Implementujte funkce shromažďování protokolů a dotazování, které poskytují rychlou dobu odezvy pro ladění a řešení potíží. Povolte přehledy virtuálních počítače v reálném čase na hostových virtuálních počítačech, abyste rychle detekovaly kritické body výkonu a provozní problémy. Nakonfigurujte upozornění protokolu tak, aby zachytávání podmínek hranice pro virtuální počítače hostů.

  Nasaďte agenta Log Analytics (MMA) na virtuální počítače hosta VMware před migrací nebo při nasazování nových virtuálních počítačů hosta v Azure VMware Solution prostředí. Nakonfigurujte MMA s pracovním prostorem služby Azure Log Analytics a propoojte ho s pracovním prostorem služby Azure Log Analytics Azure Automation. Ověřte stav všech agentů MMA hostovaných virtuálních počítače nasazených před migrací pomocí Azure Monitor po migraci.

• Zásady správného řízení aktualizací hosta virtuálního počítače: Zpožděné nebo neúplné aktualizace nebo opravy jsou hlavní vektory útoku, které mohou vést k odhalení nebo ohrožení Azure VMware Solution hosta a aplikací. Zajistěte včasné instalace aktualizací na hostované virtuální počítače.

• Zásady správného řízení zálohování virtuálních počítače hosta: Naplánujte pravidelné zálohování, abyste zabránili zmeškané zálohy nebo spoléhli na staré zálohy, které mohou vést ke ztrátě dat. Použijte řešení zálohování, které může plánovat zálohování a monitorovat úspěšné zálohování. Monitorujte a upozorníte na události zálohování, abyste zajistili úspěšné spuštění plánovaných záloh.

• Zásady správného řízení dr. virtuálního počítače hosta: Požadavky na nezdokumentovaný cíl bodu obnovení (RPO) a cíl doby obnovení (RTO) mohou způsobit špatné zkušenosti zákazníků a nesplňovat provozní cíle během událostí provozní kontinuity a zotavení po havárii (BCDR). Implementujte orchestraci dr. Tím zabráníte prodlevám v kontinuitě podnikových časů.

  Řešení pro dr. Azure VMware Solution, které poskytuje orchestraci pro dr. a detekuje případné selhání nebo problémy s úspěšnou průběžnou replikací do lokality pro dr. Zdokumentování požadavků RPO a RTO pro aplikace běžící v Azure a Azure VMware Solution. Zvolte návrh řešení zotavení po havárii a kontinuity podnikových dat, který prostřednictvím orchestrace splňuje ověřitelné požadavky RPO a RTO.

Dodržování předpisů

Při plánování kompatibility virtuálních Azure VMware Solution prostředí a hosta zvažte a implementujte následující doporučení.

• Monitorování v programu Microsoft Defender for Cloud: Pomocí zobrazení dodržování právních předpisů v Defenderu for Cloud můžete monitorovat dodržování předpisů pomocí srovnávacích testů zabezpečení a zákonných srovnávacích testů. Nakonfigurujte automatizaci pracovních postupů služby Defender for Cloud, abyste sledovali odchylky od očekávaného stavu dodržování předpisů. Další informace najdete v tématu Přehled programu Microsoft Defender for Cloud.

• Dodržování předpisů dr. hosta virtuálního počítače: Sledujte dodržování konfigurace zotavení po havárii Azure VMware Solution virtuálních počítače hosta, abyste zajistili, že jejich důležité aplikace a úlohy zůstanou během havárie dostupné. Použijte Azure Site Recovery nebo certifikované Azure VMware Solution BCDR, které poskytuje zřizování replikace ve velkém měřítku, monitorování stavu nedokonalosti a automatickou nápravu.

• Dodržování předpisů zálohování hosta virtuálního počítače: Sledujte a monitorujte Azure VMware Solution virtuálních počítače hosta a ujistěte se, že se virtuální počítače zálohují. Využijte Azure VMware Solution certifikované partnerské řešení, které poskytuje perspektivu ve velkém měřítku, analýzu přechodu k podrobnostem a rozhraní s akcemi pro sledování a monitorování zálohování hostovaného virtuálního počítače.

• Dodržování zákonných předpisů pro konkrétní zemi nebo odvětví: Zajistěte Azure VMware Solution hosta vyhověl předpisům specifickým pro jednotlivé země a odvětví, abyste se vyhnuli nákladných právním akcím a finesám. Porozuměli jste modelu cloudové sdílené odpovědnosti pro dodržování právních předpisů na základě odvětví nebo oblastí. Pomocí portálu Service Trust Portal můžete zobrazit nebo stáhnout sestavy Azure VMware Solution auditů Azure, které podporují celý článek o dodržování předpisů.

  Implementujte generování sestav auditu brány firewall na koncových bodech HTTP/S a jiných koncových bodech než HTTP/S, abyste vyhověly zákonným požadavkům.

• Dodržování firemních zásad: Monitorujte Azure VMware Solution dodržování firemních zásad úlohami hosta, abyste zabránili porušení pravidel a předpisů společnosti. Použijte Azure Arc povolené servery a Azure Policy nebo ekvivalentní řešení třetí strany. Rutinně vyhodnocovat a Azure VMware Solution hostovat virtuální počítače a aplikace, aby se vyhověly zákonným předpisům v souladu s příslušnými interními a externími předpisy.

• Požadavky na uchovávání a rezidenci dat: Azure VMware Solution nepodporuje uchovávání ani extrakci dat uložených v clusterech. Odstranění clusteru ukončí všechny spuštěné úlohy a komponenty a zničí všechna data clusteru a nastavení konfigurace, včetně veřejných IP adres. Data není možné obnovit.

  Azure VMware Solution nezaručuje, že všechna metadata a konfigurační data pro spuštění služby existují pouze v nasazené geografické oblasti. Pokud vaše požadavky na rezidenci dat vyžadují, aby v nasazené oblasti existovala všechna data, obraťte se Azure VMware Solution podporu.

• Zpracování dat: Přečtěte si právní podmínky registrace a pochopte je. Věnujte pozornost smlouvě o zpracování dat VMware pro zákazníky Microsoft Azure VMware Solution přenesených kvůli podpoře L3. Pokud problém s podporou vyžaduje podporu VMware, Microsoft sdílí profesionální data služeb a související osobní údaje s VMware. Od tohoto okamžiku vystupuje Microsoft a VMware jako dva nezávislé procesory dat.

Další kroky

Tento článek vychází z principů Cloud Adoption Framework architektury cílové zóny na podnikové úrovni a na pokynech. Další informace naleznete v tématu:

• Principy návrhu na podnikové úrovni
• Enterprise návrhu ve velkém měřítku

Tento článek je součástí série, která používá principy cílové zóny na podnikové úrovni a doporučení pro Azure VMware Solution nasazení. Mezi další články v této sérii patří:

• Enterprise škálování identit a přístupu pro Azure VMware Solution
• Enterprise síťové topologie a možnosti připojení pro Azure VMware Solution
• Enterprise škálování platformy a DevOps pro Azure VMware Solution
• Enterprise škálování pro provozní kontinuitu a zotavení po havárii pro řešení Azure VMware

Přečtěte si další článek v řadě: