Sicherheit, Governance und Compliance für Azure VMware Solution

In diesem Artikel wird beschrieben, wie Sie Azure VMware Solution sicher implementieren und während des gesamten Lebenszyklus ganzheitlich verwalten. Der Artikel befasst sich mit spezifischen Designelementen und gibt gezielte Empfehlungen für die Sicherheit, Governance und Compliance von Azure VMware Solution.

Sicherheit

Berücksichtigen Sie die folgenden Aspekte, wenn Sie entscheiden, welche Systeme, Benutzer oder Geräte Funktionen innerhalb von Azure VMware Solution ausführen können, und wie die Plattform insgesamt gesichert werden soll.

Identität und Sicherheit

• Beschränkungen für den dauerhaften Zugriff: Azure VMware Solution verwendet die Rolle „Mitwirkender“ in der Azure-Ressourcengruppe, die die private Azure VMware Solution-Cloud hostet. Beschränken Sie den dauerhaften Zugriff, um einen absichtlichen oder unbeabsichtigten Missbrauch von Rechten als Mitwirkender zu verhindern. Verwenden Sie eine Lösung zur Verwaltung privilegierter Konten, um die Nutzung hoch privilegierter Konten zu überwachen und zeitlich zu begrenzen.

  Erstellen Sie eine privilegierte Zugriffsgruppe für Microsoft Entra ID innerhalb von Azure Privileged Identity Management (PIM), um Microsoft Entra-Benutzer- und Dienstprinzipalkonten zu verwalten. Verwenden Sie diese Gruppe, um den Azure VMware Solution-Cluster mit zeitgebundenem, begründungsbasiertem Zugriff zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Zuweisen berechtigter Besitzer und Mitglieder für Gruppen mit privilegiertem Zugriff.

  Verwenden Sie Berichte zum Microsoft Entra PIM-Überwachungsverlauf für administrative Azure VMware Solution-Aktivitäten, -Vorgänge und -Zuweisungen. Sie können die Berichte zur langfristigen Aufbewahrung von Überwachungen in Azure Storage archivieren. Weitere Informationen finden Sie unter Aktivitäten und Überwachungsverlauf für Zuweisungen von Gruppen mit privilegiertem Zugriff (Vorschau) in Privileged Identity Management.

• Zentrale Identitätsverwaltung: Azure VMware Solution stellt Cloudadministrator- und Netzwerkadministrator-Anmeldeinformationen für die Konfiguration der privaten Cloudumgebung von VMware. Diese Administratorkonten sind für alle Mitwirkenden sichtbar, die über RBAC-Zugriff (Role-Based Access Control) auf Azure VMware Solution verfügen.

  Verwenden Sie die RBAC-Funktionen der privaten Cloud-Steuerungsebene von VMware, um den Rollen- und Kontozugriff ordnungsgemäß zu verwalten und eine übermäßige Nutzung oder einen Missbrauch der integrierten cloudadmin-Benutzer und Netzwerkadministratorbenutzer für den Zugriff auf die private Cloud-Steuerungsebene von VMware zu verhindern. Erstellen Sie mehrere gezielte Identitätsobjekte wie Benutzer und Gruppen nach dem Prinzip der geringsten Rechte. Beschränken Sie den Zugriff auf Administratorkonten, die durch Azure VMware Solution bereitgestellt werden, und konfigurieren Sie die Konten in einer Konfiguration für den Notfall. Verwenden Sie die integrierten Konten nur, wenn alle anderen Administratorkonten nicht verwendet werden können.

  Nutzen Sie das bereitgestellte Konto cloudadmin, um Active Directory Domain Services (AD DS) oder Microsoft Entra Domain Services in die VMware vCenter Server- und NSX-T-Rechenzentrum-Steuerungsanwendungen und die administrativen Identitäten der Domänendienste zu integrieren. Verwenden Sie die von den Domänendiensten bereitgestellten Benutzer und Gruppen für die Verwaltung und den Betrieb von Azure VMware Solution, und lassen Sie keine Kontofreigabe zu. Erstellen Sie benutzerdefinierte vCenter Server-Rollen und verknüpfen Sie diese für eine differenzierte Kontrolle des privilegierten Zugriffs auf private Cloud-Steuerelementoberflächen von VMware mit AD DS-Gruppen.

  Sie können Azure VMware Solution-Optionen zum Rotieren und Zurücksetzen von Kennwörtern für vCenter Server- und NSX-T-Rechenzentrum-Administratorkonten verwenden. Konfigurieren Sie eine regelmäßige Rotation für diese Konten, und rotieren Sie die Kennwörter der Konten bei jeder Verwendung der Notfallkonfiguration. Weitere Informationen finden Sie unter Rotieren der Anmeldeinformationen von Cloudadministratoren für Azure VMware Solution.

• Identitätsverwaltung für Gast-VMs: Stellen Sie eine zentralisierte Authentifizierung und Autorisierung für Azure VMware-Gastcomputer bereit, um eine effiziente Anwendungsverwaltung zu ermöglichen und unberechtigten Zugriff auf Geschäftsdaten und -prozesse zu verhindern. Verwalten Sie Azure VMware Solution-Gastcomputer und -Anwendungen im Rahmen ihres Lebenszyklus. Konfigurieren Sie Gast-VMs zur Verwendung einer zentralisierten Identitätsverwaltungslösung für die Authentifizierung und Autorisierung der Verwaltung und Anwendungsnutzung.

  Verwenden Sie einen zentralisierten AD DS- oder LDAP-Dienst (Lightweight Directory Access Protocol) für Azure VMware Solution-Gast-VMs und die Anwendungsidentitätsverwaltung. Achten Sie darauf, dass die Architektur der Domänendienste alle Ausfallszenarien berücksichtigt, um bei Ausfällen eine fortgesetzte Funktion zu gewährleisten. Verbinden Sie die AD DS-Implementierung mit Microsoft Entra ID, um eine erweiterte Verwaltung und eine nahtlose Authentifizierung und Autorisierung von Gastcomputern zu ermöglichen.

Umgebungs- und Netzwerksicherheit

• Native Netzwerksicherheitsfunktionen: Implementieren Sie Netzwerksicherheitskontrollen wie Datenverkehrsfilterung, Einhaltung von OWASP-Regeln (Open Web Application Security Project), eine einheitliche Firewallverwaltung und DDoS-Schutz (Distributed Denial of Service).

  • Mithilfe der Datenverkehrsfilterung wird der Verkehr zwischen den Segmenten kontrolliert. Implementieren Sie Geräte zur Filterung des Gastnetzwerkverkehrs, um den Zugriff zwischen Gastnetzwerksegmenten über NSX-T-Rechenzentrum- oder NVA-Funktionen (Network Virtual Appliance) zu beschränken.

  • Konformität mit dem OWASP-Kernregelsatz schützt Webanwendungs-Workloads von Azure VMware Solution-Gastsystemen vor generischen Webangriffen. Verwenden Sie die OWASP-Funktionen von Azure Application Gateway Web Application Firewall (WAF), um Webanwendungen zu schützen, die in Azure VMware Solution gehostet werden. Aktivieren Sie den Schutzmodus mithilfe der neuesten Richtlinie, und integrieren Sie WAF-Protokolle in Ihre Protokollierungsstrategie. Weitere Informationen finden Sie unter Was ist die Azure Web Application Firewall?

  • Die einheitliche Verwaltung von Firewallregeln verhindert, dass doppelte oder fehlende Firewallregeln das Risiko eines unbefugten Zugriffs erhöhen. Die Firewallarchitektur trägt zu einem verbesserten Sicherheitsstatus von Netzwerk und Umgebung für Azure VMware Solution bei. Verwenden Sie eine zustandsbehaftete verwaltete Firewallarchitektur, die Datenverkehrsfluss, Überprüfung, zentrale Regelverwaltung und Ereignissammlung unterstützt.

  • DDoS-Schutz schützt Azure VMware Solution-Workloads vor Angriffen, die finanzielle Verluste oder ein negatives Nutzererlebnis verursachen. Wenden Sie DDoS-Schutz auf das virtuelle Azure-Netzwerk an, das das ExpressRoute-Terminierungsgateway für die Azure VMware Solution-Verbindung hostet. Erwägen Sie ein Einsatz von Azure Policy für die automatische Erzwingung des DDoS-Schutzes.

• Mithilfe der VSAN-Verschlüsselung mit kundenseitig verwalteten Schlüsseln (Customer Managed Keys, CMK) können Azure VMware Solution VSAN-Datenspeicher mit einem kundenseitig bereitgestellten Verschlüsselungsschlüssel verschlüsselt werden, der in Azure Key Vault gespeichert ist. Sie können dieses Feature verwenden, um Complianceanforderungen zu erfüllen, z. B. die Einhaltung von Schlüsselrotationsrichtlinien oder das Verwalten von Schlüssellebenszyklusereignissen. Ausführliche Implementierungsanleitungen und Grenzwerte finden Sie unter Konfigurieren kundenseitig verwalteter Schlüssel für die Verschlüsselung ruhender Daten in Azure VMware Solution

• Kontrollierter vCenter Server-Zugriff: Ein unkontrollierter Zugriff auf Azure VMware Solution vCenter Server kann die Angriffsfläche vergrößern. Verwenden Sie eine dedizierte Arbeitsstation mit privilegiertem Zugriff (Privileged Access Workstation, PAW), um sicher auf Azure VMware Solution vCenter Server und NSX-T Manager zuzugreifen. Erstellen Sie eine Benutzergruppe, und fügen Sie dieser Benutzergruppe ein einzelnes Benutzerkonto hinzu.

• Protokollierung eingehender Internetanforderungen für Gastworkloads: Verwenden Sie Azure Firewall oder eine zugelassene NVA, die Überwachungsprotokolle für eingehende Anforderungen an Gast-VMs unterhält. Importieren Sie diese Protokolle für eine angemessene Überwachung und Benachrichtigung in Ihre SIEM-Lösung (Security Incident and Event Management). Verwenden Sie Microsoft Sentinel, um Azure-Ereignisinformationen und -Protokollierung vor der Integration in vorhandene SIEM-Lösungen zu verarbeiten. Weitere Informationen finden Sie unter Integrieren von Microsoft Defender für Cloud in Azure VMware Solution.

• Sitzungsüberwachung für die Sicherheit ausgehender Internetverbindungen: Verwenden Sie die Regelsteuerung oder Sitzungsüberwachung für ausgehende Internetverbindungen von Azure VMware Solution, um unerwartete oder verdächtige ausgehende Internetaktivitäten zu erkennen. Entscheiden Sie, wann und wo eine ausgehende Netzwerkuntersuchung durchgeführt werden soll, um maximale Sicherheit zu gewährleisten. Weitere Informationen finden Sie unter Netzwerktopologie und -konnektivität für Azure VMware Solution.

  Verwenden Sie spezielle Firewall-, NVA- und Virtual Wide Area Network-Dienste (Virtual WAN) für die ausgehende Internetkonnektivität, anstatt sich auf die Standard-Internetkonnektivität von Azure VMware Solution zu verlassen. Weitere Informationen und Entwurfsempfehlungen finden Sie unter Untersuchen des Azure VMware Solution-Datenverkehrs mit einer virtuellen Netzwerk-Appliance in Azure Virtual Network.

  Verwenden Sie Diensttags wie Virtual Network und vollqualifizierte Domänennamen (FQDN) zur Identifizierung, wenn Sie den ausgehenden Datenverkehr mit Azure Firewall filtern. Nutzen Sie eine ähnliche Funktion für andere NVAs.

• Zentral verwaltete sichere Sicherungen: Nutzen Sie RBAC und Funktionen für das verzögerte Löschen, um das absichtliche oder versehentliche Löschen von Sicherungsdaten zu verhindern, die zur Wiederherstellung der Umgebung benötigt werden. Verwenden Sie Azure Key Vault für die Verwaltung von Verschlüsselungsschlüsseln, und beschränken Sie den Zugriff auf den Speicherort der Sicherungsdaten, um das Risiko einer Löschung zu minimieren.

  Nutzen Sie Azure Backup oder eine andere für Azure VMware Solution validierte Sicherungstechnologie, die Verschlüsselung während der Übertragung und im Ruhezustand bietet. Nutzen Sie bei der Verwendung von Azure Recovery Services-Tresoren Ressourcensperren und die Funktionen für vorläufiges Löschen, um sich gegen ein versehentliches oder absichtliches Löschen von Sicherungen zu schützen. Weitere Informationen finden Sie unter Business Continuity & Disaster Recovery auf Unternehmensebene für Azure VMware Solution.

Gastanwendungs- und VM-Sicherheit

• Erweiterte Bedrohungserkennung: Um verschiedenen Sicherheitsrisiken und Datenverletzungen vorzubeugen, verwenden Sie Endpunktsicherheitsschutz, Konfiguration von Sicherheitswarnungen, Prozesse zur Änderungssteuerung und Sicherheitsrisikobewertungen. Sie können Microsoft Defender für Cloud für Bedrohungsverwaltung, Endpunktschutz, Sicherheitswarnungen, Betriebssystempatches und eine zentralisierte Ansicht der Durchsetzung gesetzlicher Bestimmungen verwenden. Weitere Informationen finden Sie unter Integrieren von Microsoft Defender für Cloud in Azure VMware Solution.

  Verwenden Sie Azure Arc für Server zum Onboarding Ihrer Gast-VMs. Nach dem Onboarding verwenden Sie Azure Log Analytics, Azure Monitor und Microsoft Defender für Cloud, um Protokolle und Metriken zu erfassen und Dashboards und Warnungen zu erstellen. Verwenden Sie Microsoft Defender Security Center zum Schutz und zur Warnung vor Bedrohungen im Zusammenhang mit VM-Gastsystemen. Weitere Informationen finden Sie unter Integrieren und Bereitstellen Azure-nativer Dienste in Azure VMware Solution.

  Stellen Sie den Log Analytics-Agent auf VMware vSphere-VMs vor dem Starten einer Migration oder beim Bereitstellen neuer Gast-VMs bereit. Konfigurieren Sie den MMA-Agent zum Senden von Metriken und Protokollen an einen Azure Log Analytics-Arbeitsbereich. Überprüfen Sie nach der Migration, ob die Azure VMware Solution-VM Warnungen in Azure Monitor und Microsoft Defender für Cloud meldet.

  Alternativ können Sie auf eine Lösung eines zertifizierten Azure VMware Solution-Partners zurückgreifen, um den Sicherheitsstatus von VMs zu bewerten und die Einhaltung der CIS-Anforderungen (Center for Internet Security) zu gewährleisten.

• Sicherheitsanalyse: Nutzen Sie die kohärente Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus Azure VMware Solution-VMs und anderen Quellen, um Cyberangriffe zu erkennen. Verwenden Sie Microsoft Defender für Cloud als Datenquelle für Microsoft Sentinel. Konfigurieren Sie Microsoft Defender für Storage, Azure Resource Manager, Domain Name System (DNS) und andere Azure-Dienste im Zusammenhang mit der Bereitstellung von Azure VMware Solution. Erwägen Sie die Verwendung eines Azure VMware Solution-Datenconnectors von einem zertifizierten Partner.

• Verschlüsselung von Gast-VMs: Azure VMware Solution bietet eine Verschlüsselung von Daten im Ruhezustand für die zugrunde liegende vSAN-Speicherplattform. Einige Workloads und Umgebungen mit Dateisystemzugriff erfordern möglicherweise eine stärkere Verschlüsselung zum Schutz der Daten. In diesen Fällen sollten Sie die Verschlüsselung des Betriebssystems und der Daten der Gast-VM aktivieren. Verwenden Sie die Tools für die native Gastbetriebssystemverschlüsselung, um Gast-VMs zu verschlüsseln. Verwenden Sie Azure Key Vault zum Speichern und Schützen der Verschlüsselungsschlüssel.

• Datenbankverschlüsselung und Aktivitätsüberwachung: Verschlüsseln Sie SQL- und andere Datenbanken in Azure VMware Solution, um einen einfachen Datenzugriff im Falle einer Datenverletzung zu verhindern. Verwenden Sie für Datenbankworkloads Methoden zur Verschlüsselung im Ruhezustand, z. B. die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) oder eine gleichwertige native Datenbankfunktion. Stellen Sie sicher, dass Workloads verschlüsselte Datenträger verwenden und dass vertrauliche Geheimnisse in einem dedizierten Schlüsseltresor für die Ressourcengruppe gespeichert werden.

  Verwenden Sie Azure Key Vault für kundenseitig verwaltete Schlüssel in BYOK-Szenarien (Bring-Your-Own-Key), wie etwa BYOK für Azure SQL Transparent Data Encryption (TDE). Trennen Sie nach Möglichkeit die Aufgaben der Schlüsselverwaltung und der Datenverwaltung. Ein Beispiel dafür, wie SQL Server 2019 Key Vault verwendet, finden Sie unter Verwendung von Always Encrypted mit Secure Enclaves mit einem Azure Key Vault-Anbieter.

  Überwachen Sie ungewöhnliche Datenbankaktivitäten, um das Risiko eines Insiderangriffs zu verringern. Verwenden Sie eine native Datenbanküberwachung wie den Aktivitätsmonitor oder eine für Azure VMware Solution zertifizierte Partnerlösung. Erwägen Sie die Verwendung von Azure-Datenbankdiensten für eine verbesserte Überwachungskontrolle.

• Schlüssel für erweiterte Sicherheitsupdates (ESU): Stellen Sie ESU-Schlüssel bereit, und konfigurieren Sie sie, um Sicherheitsupdates per Push an Azure VMware Solution-VMs zu übertragen und auf ihnen zu installieren. Verwenden Sie das Tool für die Volumenaktivierungsverwaltung (Volume Activation Management Tool, VAMT) zum Konfigurieren von ESU-Schlüsseln für den Azure VMware Solution-Cluster. Weitere Informationen finden Sie unter Abrufen erweiterter Sicherheitsupdates für berechtigte Windows-Geräte.

• Codesicherheit: Implementieren Sie Sicherheitsmaßnahmen in DevOps-Workflows, um Sicherheitsschwachstellen in Azure VMware Solution-Workloads zu verhindern. Verwenden Sie moderne Authentifizierungs- und Autorisierungsworkflows wie OAuth (Open Authorization) und OpenID Connect.

  Verwenden Sie GitHub Enterprise Server in Azure VMware Solution für ein versioniertes Repository, das die Integrität der Codebasis gewährleistet. Stellen Sie Build- und Ausführungs-Agents entweder in Azure VMware Solution oder in einer sicheren Azure-Umgebung bereit.

Governance

Beachten Sie beim Planen der Governance von Umgebungen und Gast-VMs die folgenden Empfehlungen.

Umgebungsgovernance

• vSAN-Speicherplatz: Unzureichender vSAN-Speicherplatz kann die SLA-Garantien beeinträchtigen. Sie sollten die Verantwortlichkeiten von Kunden und Partnern im Rahmen der SLA für Azure VMware Solution überprüfen und kennen. Weisen Sie geeignete Prioritäten und Besitzer für Warnungen zur Metrik für den Prozentsatz des genutzten Datenträgerspeicherplatzes für den Datenspeicher zu. Weitere Informationen und Anleitungen finden Sie unter Konfigurieren von Azure-Warnungen in Azure VMware Solution.

• Richtlinie für die VM-Vorlagenspeicherung: Eine Standardspeicherrichtlinie mit Thick-Provisioning kann dazu führen, dass zu viel vSAN-Speicher reserviert wird. Erstellen Sie VM-Vorlagen, die eine Speicherrichtlinie mit Thin-Provisioning verwenden, bei der keine Speicherplatzreservierungen erforderlich sind. VMs, die nicht die gesamte Speichermenge im Voraus reservieren, ermöglichen effizientere Speicherressourcen.

• Verwaltung von Hostkontingenten: Unzureichende Hostkontingente können zu Verzögerungen von 5 bis 7 Tagen führen, wenn mehr Hostkapazität für Wachstum oder zur Notfallwiederherstellung (Disaster Recovery, DR) angefordert werden muss. Berücksichtigen Sie bei der Beantragung des Hostkontingents die Wachstums- und DR-Anforderungen im Lösungsentwurf, und überprüfen Sie regelmäßig das Umgebungswachstum und die Höchstwerte, um eine angemessene Vorlaufzeit für Erweiterungsanforderungen zu gewährleisten. Wenn z. B. ein Azure VMware Solution-Cluster mit drei Knoten weitere drei Knoten für die Notfallwiederherstellung benötigt, fordern Sie ein Hostkontingent von sechs Knoten an. Für Hostkontingentanforderungen fallen keine zusätzlichen Kosten an.

• FTT-Governance: Legen Sie die FTT-Einstellungen (Failure-to-Tolerate) entsprechend der Clustergröße fest, um die SLA für Azure VMware Solution aufrechtzuerhalten. Passen Sie beim Ändern der Clustergröße die vSAN-Speicherrichtlinie an die entsprechende FTT-Einstellung an, um die Einhaltung von SLAs sicherzustellen.

• ESXi-Zugriff: Der Zugriff auf Azure VMware Solution-ESXi-Hosts ist eingeschränkt. Drittanbietersoftware, die ESXi-Hostzugriff benötigt, funktioniert möglicherweise nicht. Identifizieren Sie jegliche von Azure VMware Solution unterstützte Drittanbietersoftware in der Quellumgebung, die Zugriff auf den ESXi-Host benötigt. Machen Sie sich mit dem Azure VMware Solution-Supportanfrageprozess im Azure-Portal vertraut, und nutzen Sie ihn für Situationen, in denen der Zugriff auf ESXi-Hosts erforderlich ist.

• ESXi-Hostdichte und -Effizienz: Für eine gute Investitionsrendite (ROI) müssen Sie die Auslastung der ESXi-Hosts verstehen. Definieren Sie eine angemessene Dichte von Gast-VMs, um die Azure VMware Solution-Investitionen zu maximieren, und überwachen Sie die Gesamtauslastung der Knoten anhand dieses Schwellenwerts. Ändern Sie die Größe der Azure VMware Solution-Umgebung, wenn die Überwachung dies nahelegt, und planen Sie genügend Vorlaufzeit für das Hinzufügen von Knoten ein.

• Netzwerküberwachung: Überwachen Sie den internen Netzwerkverkehr auf schädlichen oder unbekannten Datenverkehr oder kompromittierte Netzwerke. Implementieren Sie vRealize Network Insight (vRNI) und vRealize Operations (vROps), um detaillierte Einblicke in den Netzwerkbetrieb von Azure VMware Solution zu erhalten.

• Sicherheit, geplante Wartung und Service Health-Warnungen: Verfolgen Sie den Dienststatus, und zeigen Sie ihn an, um auf Ausfälle und Probleme angemessen reagieren zu können. Konfigurieren Sie Service Health-Warnungen für Probleme mit Azure VMware Solution-Diensten, geplante Wartung, Status- und Sicherheitsempfehlungen. Planen Sie Azure VMware Solution-Workloadaktivitäten außerhalb der von Microsoft vorgeschlagenen Wartungsfenster.

• Kostenkontrolle: Überwachen Sie die Kosten, um korrekte Finanzierungsberichte und eine sinnvolle Budgetzuteilung zu gewährleisten. Nutzen Sie eine Kostenmanagementlösung für Kostenverfolgung, Kostenzuweisung, Budgeterstellung, Kostenwarnungen und eine ordnungsgemäße Kontrolle der Finanzierung. Nutzen Sie für abgerechnete Azure-Gebühren die Tools unter Azure Cost Management + Billing, um Budgets zu erstellen, Warnungen zu generieren, Kosten zuzuordnen und Berichte für Finanzverantwortliche zu erstellen.

• Integration von Azure-Diensten: Vermeiden Sie die Verwendung des öffentlichen Azure-PaaS-Endpunkts (Platform-as-a-Service), da dies dazu führen kann, dass der Datenverkehr die gewünschten Netzwerkgrenzen verlässt. Um sicherzustellen, dass der Datenverkehr innerhalb einer definierten virtuellen Netzwerkgrenze verbleibt, verwenden Sie einen privaten Endpunkt für den Zugriff auf Azure-Dienste wie Azure SQL-Datenbank und Azure Blob Storage.

Workloadanwendungs- und VM-Governance

Ein Sicherheitsbewusstsein für Azure VMware Solution-Workload-VMs hilft Ihnen, die Cybersicherheitsbereitschaft und -maßnahmen zu verstehen und eine vollständige Sicherheitsabdeckung für Gast-VMs und Anwendungen bereitzustellen.

• Aktivieren Sie Microsoft Defender für Cloud für die Ausführung von Azure-Diensten und Azure VMware Solution-Anwendung-VM-Workloads.

• Verwenden Sie Azure Arc-fähige Server, um Azure VMware Solution-Gast-VMs mithilfe von Tools zu verwalten, die die nativen Azure-Ressourcentools replizieren, darunter:

  • Azure Policy zum Steuern, Melden und Überwachen von Gastkonfigurationen und -einstellungen
  • Azure Automation State Configuration und unterstützte Erweiterungen zur Vereinfachung von Bereitstellungen
  • Updateverwaltung zum Verwalten von Updates für die Azure VMware Solution-Anwendung-VM-Landschaft
  • Tags zum Verwalten und Organisieren des Azure VMware Solution-Anwendung-VM-Bestands

  Weitere Informationen finden Sie unter Was sind Server mit Azure Arc-Unterstützung?.

• Governance von Workload-VM-Domänen: Um fehleranfällige manuelle Prozesse zu vermeiden, verwenden Sie Erweiterungen wie JsonADDomainExtension oder gleichwertige Automatisierungsoptionen, damit Azure VMware Solution-Gast-VMs automatisch einer Active Directory-Domäne beitreten können.

• Protokollierung und Überwachung von Workload-VMs: Aktivieren Sie Diagnosemetriken und Protokollierung auf Workload-VMs, um Betriebssystem- und Anwendungsprobleme leichter zu debuggen. Implementieren Sie Protokollerfassungs- und Abfragefunktionen, die schnelle Reaktionszeiten für die Fehlersuche und -behebung ermöglichen. Aktivieren Sie VM-Erkenntnisse in Quasi-Echtzeit für Workload-VMs, um Leistungsengpässe und Betriebsprobleme sofort zu erkennen. Konfigurieren Sie Protokollwarnungen zur Erfassung von Begrenzungsbedingungen für Workload-VMs.

  Stellen Sie vor der Migration oder bei der Bereitstellung neuer Workload-VMs in der Azure VMware Solution-Umgebung den Log Analytics-Agent (MMA) für VMware vSphere-Workload-VMs bereit. Konfigurieren Sie den MMA mit einem Azure Log Analytics-Arbeitsbereich, und verknüpfen Sie den Azure Log Analytics-Arbeitsbereich mit Azure Automation. Überprüfen Sie den Status aller vor der Migration bereitgestellten MMA-Agents für Workload-VMs nach der Migration mit Azure Monitor.

• Governance von Workload-VM-Updates: Verzögerte oder unvollständige Updates oder Patches sind die häufigsten Angriffsvektoren, die dazu führen können, dass Azure VMware Solution-Workload-VMs und -Anwendungen gefährdet oder kompromittiert werden. Stellen Sie sicher, dass Installationen auf Gast-VMs rechtzeitig aktualisiert werden.

• Governance von Workload-VM-Sicherungen: Planen Sie regelmäßige Sicherungen, um fehlende Sicherungen oder den Rückgriff auf alte Sicherungen zu vermeiden, die zu Datenverlusten führen können. Verwenden Sie eine Sicherungslösung, die geplante Sicherungen durchführen und den Sicherungserfolg überwachen kann. Überwachen Sie Sicherungsereignisse, und senden Sie Warnmeldungen, um sicherzustellen, dass geplante Sicherungen erfolgreich durchgeführt werden.

• Governance der Workload-VM-DR: Nicht dokumentierte RPO- (Recovery Point Objective) und RTO-Anforderungen (Recovery Time Objective) können bei BCDR-Ereignissen (Business Continuity and Disaster Recovery) zu negativen Kundenerfahrungen und zur Verfehlung von Betriebszielen führen. Implementieren Sie eine DR-Orchestrierung, um die Aufrechterhaltung des Geschäftsbetriebs zu gewährleisten.

  Verwenden Sie eine DR-Lösung für Azure VMware Solution, die eine DR-Orchestrierung bietet und jegliche Fehler oder Probleme erkennt und meldet, die eine erfolgreiche fortlaufende Replikation zu einem DR-Standort verhindern. Dokumentieren Sie die RPO- und RTO-Anforderungen für Anwendungen, die in Azure und Azure VMware Solution ausgeführt werden. Wählen Sie eine Lösung für Disaster Recovery und Business Continuity, die überprüfbare RPO- und RTO-Anforderungen durch Orchestrierung erfüllt.

Kompatibilität

Berücksichtigen und implementieren Sie bei der Planung der Azure VMware Solution-Umgebung und der Konformität von Workload-VMs die folgenden Empfehlungen.

• Microsoft Defender für Cloudüberwachung: Verwenden Sie die Ansicht zur Einhaltung gesetzlicher Bestimmungen in Defender für Cloud zur Überwachung der Einhaltung von Vergleichstests für die Sicherheit und behördlichen Benchmarks. Konfigurieren Sie die Defender für Cloud-Workflowautomatisierung, um jede Abweichung vom erwarteten Konformitätsstatus nachzuverfolgen. Weitere Informationen finden Sie in der Übersicht zu Microsoft Defender für Cloud.

• DR-Konformität von Workload-VMs: Verfolgen Sie die Einhaltung der DR-Konfiguration für Azure VMware Solution-Workload-VMs, um sicherzustellen, dass geschäftskritische Anwendungen im Katastrophenfall verfügbar bleiben. Verwenden Sie Azure Site Recovery oder eine Azure VMware Solution-zertifizierte BCDR-Lösung, die eine Replikationsbereitstellung im großen Maßstab, eine Statusüberwachung bezüglich der Nichteinhaltung von Vorschriften und eine automatische Problembehebung bietet.

• Konformität der Workload-VM-Sicherung: Verfolgen und überwachen Sie die Einhaltung von Azure VMware Solution Workload-VM-Sicherungen, um sicherzustellen, dass die VMs gesichert werden. Verwenden Sie eine zertifizierte Azure VMware Solution-Partnerlösung, die einen umfassenden Überblick, Drilldownanalysen und eine Schnittstelle zur Verfolgung und Überwachung von Workload-VM-Sicherungen bietet, über die Sie direkt Maßnahmen ergreifen können.

• Einhaltung landes-/regionsspezifischer oder branchenspezifischer Vorgaben: Um kostspielige rechtliche Schritte und Bußgelder zu vermeiden, müssen Sie sicherstellen, dass Azure VMware Solution-Workloads die landes-, regions- und branchenspezifischen Vorgaben einhalten. Machen Sie sich mit dem Cloudmodell der gemeinsamen Verantwortung für die Einhaltung von branchenspezifischen oder regionalen Vorschriften vertraut. Verwenden Sie das Service Trust Portal, um Azure VMware Solution- und Azure-Überwachungsberichte anzuzeigen oder herunterzuladen, die alle Complianceaspekte unterstützen.

  Implementieren Sie eine Berichterstellung zur Firewallüberwachung für HTTP/S- und Nicht-HTTP/S-Endpunkte, um gesetzliche Anforderungen zu erfüllen.

• Einhaltung von Unternehmensrichtlinien: Überwachen Sie die Konformität von Azure VMware Solution-Workload-VMs mit Unternehmensrichtlinien, um Verstöße gegen Unternehmensregeln und -vorschriften zu verhindern. Verwenden Sie Azure Arc-fähige Server und Azure Policy oder eine gleichwertige Lösung eines Drittanbieters. Führen Sie eine regelmäßige Bewertung und Verwaltung von Azure VMware Solution-Workload-VMs und -Anwendungen durch, um die Einhaltung der geltenden internen und externen Vorschriften zu gewährleisten.

• Anforderungen bezüglich Datenaufbewahrung und Datenresidenz: Azure VMware Solution bietet keine Unterstützung für die Aufbewahrung oder Extraktion von Daten, die in Clustern gespeichert sind. Beim Löschen eines Clusters werden alle ausgeführten Workloads und Komponenten beendet und alle Clusterdaten und Konfigurationseinstellungen, einschließlich öffentlicher IP-Adressen, zerstört. Diese Daten können nicht wiederhergestellt werden.

  Azure VMware Solution garantiert nicht, dass alle Metadaten und Konfigurationsdaten für die Dienstausführung ausschließlich in der bereitgestellten geografischen Region vorhanden sind. Wenn Ihre Anforderungen an die Datenresidenz vorschreiben, dass sämtliche Daten ausschließlich in der bereitgestellten Region gespeichert werden, wenden Sie sich zwecks Unterstützung an den Azure VMware Solution-Support.

• Datenverarbeitung: Machen Sie sich bei der Registrierung mit den rechtlichen Bestimmungen vertraut. Beachten Sie die Vereinbarung zur VMware-Datenverarbeitung für Microsoft Azure VMware Solution-Kunden bei Weiterleitung an den L3-Support. Wenn bei einem Problem VMware-Support erforderlich ist, teilt Microsoft unternehmensbezogene Dienstdaten und zugehörige personenbezogene Daten mit VMware. Ab diesem Zeitpunkt handeln Microsoft und VMware als zwei voneinander unabhängige Stellen für die Datenverarbeitung.

Nächste Schritte

Dieser Artikel basiert auf den architektonischen Gestaltungsprinzipien und Richtlinien des Cloud Adoption Framework für Zielzonen auf Unternehmensniveau. Weitere Informationen finden Sie unter

• Entwurfsprinzipien für Azure-Zielzonen
• Entwurfsrichtlinien für Azure-Zielzonen

Dieser Artikel ist Teil einer Serie, in der die Prinzipien und Empfehlungen für Zielzonen auf Unternehmensniveau auf Azure VMware Solution-Bereitstellungen angewendet werden. Weitere Artikel in dieser Reihe:

• Identitäts- und Zugriffsverwaltung auf Unternehmensebene für Azure VMware Solution
• Netzwerktopologie und -konnektivität auf Unternehmensebene für Azure VMware Solution
• Plattformautomatisierung und DevOps auf Unternehmensebene für Azure VMware Solution
• Business Continuity & Disaster Recovery auf Unternehmensebene für Azure VMware Solution

Lesen Sie den nächsten Artikel aus dieser Reihe:

Verwaltung und Überwachung auf Unternehmensebene für Azure VMware Solution