Az Azure VMware Solution biztonsága, szabályozása és megfelelősége

Ez a cikk azt ismerteti, hogyan implementálhatja és holisztikusan szabályozhatja az Azure VMware Solutiont az életciklusa során. A cikk konkrét tervezési elemeket ismertet, és célzott javaslatokat tartalmaz az Azure VMware Solution biztonságával, szabályozásával és megfelelőségével kapcsolatban.

Biztonság

Vegye figyelembe az alábbi tényezőket, amikor eldönti, hogy mely rendszerek, felhasználók vagy eszközök végezhetnek funkciókat az Azure VMware Solutionben, és hogyan lehet biztonságossá tenni a teljes platformot.

Identitásbiztonság

• Az állandó hozzáférés korlátai: Az Azure VMware Solution az Azure VMware Solution magánfelhőt üzemeltető Azure-erőforráscsoport közreműködői szerepkörét használja. Az állandó hozzáférés korlátozása a szándékos vagy nem szándékos közreműködői jogokkal való visszaélés megakadályozása érdekében. Emelt szintű fiókkezelési megoldással naplózhatja és korlátozhatja a kiemelt jogosultságú fiókok időhasználatát.

  Hozzon létre egy Microsoft Entra ID-jogosultsággal rendelkező hozzáférési csoportot az Azure Privileged Identity Managementben (PIM) a Microsoft Entra felhasználói és szolgáltatásnév-fiókok kezeléséhez. Ezzel a csoporttal létrehozhatja és kezelheti az Azure VMware Solution-fürtöt időkorlátos, indoklásalapú hozzáféréssel. További információ: Jogosult tulajdonosok és tagok hozzárendelése kiemelt hozzáférési csoportokhoz.

  Használja a Microsoft Entra PIM naplózási előzményjelentéseit az Azure VMware Solution felügyeleti tevékenységeihez, műveleteihez és hozzárendeléseihez. A jelentések archiválhatók az Azure Storage-ban a hosszú távú naplózási megőrzési igényekhez. További információt a Privileged Identity Management (PIM) emelt szintű hozzáférési csoport-hozzárendelések naplózási jelentésének megtekintése című témakörben talál.

• Központosított identitáskezelés: Az Azure VMware Solution felhőadminisztrátori és hálózati rendszergazdai hitelesítő adatokat biztosít a VMware magánfelhő-környezet konfigurálásához. Ezek a felügyeleti fiókok minden olyan közreműködő számára láthatók, akiknek szerepköralapú hozzáférés-vezérlési (RBAC) hozzáférésük van az Azure VMware Solutionhez.

  A VMware magánfelhő-vezérlősíkhoz való hozzáférés érdekében a VMware magánfelhő-vezérlősík RBAC-képességeivel cloudadmin a szerepkör- és fiókhozzáférés megfelelő kezeléséhez használja a beépített és a hálózati rendszergazda felhasználóinak túlzott használatát vagy visszaélését. Hozzon létre több célzott identitásobjektumot, például felhasználókat és csoportokat a minimális jogosultsági elvek használatával. Korlátozza az Azure VMware Solution által biztosított rendszergazdai fiókokhoz való hozzáférést, és konfigurálja a fiókokat egy szünetmentes konfigurációban. A beépített fiókokat csak akkor használja, ha az összes többi felügyeleti fiók használhatatlan.

  A megadott cloudadmin fiókkal integrálhatja a Active Directory tartományi szolgáltatások (AD DS) vagy a Microsoft Entra Domain Services szolgáltatást a VMware vCenter Server és az NSX-T adatközpont vezérlőalkalmazásokkal és tartományi szolgáltatások felügyeleti identitásaival. Használja a tartományi szolgáltatások által létrehozott felhasználókat és csoportokat az Azure VMware-megoldáskezeléshez és -műveletekhez, és ne engedélyezze a fiókmegosztást. Hozzon létre egyéni vCenter Server-szerepköröket, és társítsa őket AD DS-csoportokkal a VMware magánfelhő-vezérlőfelületekhez való részletes emelt szintű hozzáférés-vezérléshez.

  Az Azure VMware Solution beállításaival elforgathatja és alaphelyzetbe állíthatja a vCenter Server és az NSX-T adatközpont felügyeleti fiókjelszavait. Konfigurálja ezeknek a fiókoknak a rendszeres rotálását, és forgassa el a fiókokat, amikor az üvegtöréses konfigurációt használja. További információ: Az Azure VMware Solution cloudadmin-hitelesítő adatainak elforgatása.

• Vendég virtuális gép (VM) identitáskezelése: Központosított hitelesítést és engedélyezést biztosít az Azure VMware Solution vendégeinek, hogy hatékony alkalmazásfelügyeletet biztosítsanak, és megakadályozzák az üzleti adatokhoz és folyamatokhoz való jogosulatlan hozzáférést. Az Azure VMware Solution vendégeinek és alkalmazásainak kezelése életciklusuk részeként. Konfigurálja a vendég virtuális gépeket úgy, hogy központosított identitáskezelési megoldást használjanak a felügyelet és az alkalmazás használatának hitelesítéséhez és engedélyezéséhez.

  Használjon központosított AD DS-t vagy egyszerűsített címtárelérési protokollt (LDAP) az Azure VMware Solution vendég virtuális gépeihez és az alkalmazásidentitás-kezeléshez. Győződjön meg arról, hogy a tartományi szolgáltatások architektúrája minden üzemkimaradási forgatókönyvet figyelembe fog venni, hogy a szolgáltatáskimaradások során továbbra is működőképes legyen. Csatlakozás az AD DS implementációját a Microsoft Entra ID azonosítójával a speciális felügyelethez, valamint a zökkenőmentes vendéghitelesítéshez és engedélyezéshez.

Környezet és hálózati biztonság

• Natív hálózati biztonsági képességek: Olyan hálózati biztonsági vezérlők implementálása, mint a forgalomszűrés, az Open Web Application Security Project (OWASP) szabálymegfelelőség, az egységes tűzfalkezelés és az elosztott szolgáltatásmegtagadási (DDoS) védelem.

  • A forgalomszűrés szabályozza a szegmensek közötti forgalmat. A vendéghálózati forgalomszűrő eszközöket az NSX-T Adatközpont vagy a hálózati virtuális berendezés (NVA) képességeivel valósíthatja meg a vendéghálózati szegmensek közötti hozzáférés korlátozására.

  • Az OWASP Core Rule Set megfelelősége védi az Azure VMware Solution vendég webalkalmazás számítási feladatait az általános webes támadásoktól. Az Azure-alkalmazás Gateway Web Application Firewall (WAF) OWASP-funkcióival védheti az Azure VMware Solution vendégein üzemeltetett webalkalmazásokat. Engedélyezze a megelőzési módot a legújabb szabályzattal, és mindenképpen integrálja a WAF-naplókat a naplózási stratégiába. További információ: Bevezetés az Azure Web Application Firewall használatába.

  • Az egyesített tűzfalszabály-kezelés megakadályozza, hogy ismétlődő vagy hiányzó tűzfalszabályok növelhessék a jogosulatlan hozzáférés kockázatát. A tűzfalarchitektúra hozzájárul az Azure VMware Solution nagyobb hálózatkezelési és környezeti biztonsági helyzetéhez. Használjon állapotalapú felügyelt tűzfalarchitektúrát, amely lehetővé teszi a forgalomáramlást, az ellenőrzést, a központosított szabálykezelést és az eseménygyűjtést.

  • A DDoS protection megvédi az Azure VMware-megoldás számítási feladatait a pénzügyi veszteséget vagy gyenge felhasználói élményt okozó támadásoktól. DDoS-védelmet alkalmazhat az Azure-beli virtuális hálózaton, amely az Azure VMware Solution-kapcsolat ExpressRoute-végponti átjárót üzemelteti. Fontolja meg az Azure Policy használatát a DDoS-védelem automatikus érvényesítéséhez.

• A VSAN-titkosítás ügyfél által felügyelt kulcsokkal (CMK) lehetővé teszi az Azure VMware Solution VSAN-adattárak titkosítását egy ügyfél által biztosított, az Azure Key Vaultban tárolt titkosítási kulccsal. Ezzel a funkcióval megfelelhet a megfelelőségi követelményeknek, például a kulcsforgatási szabályzatoknak való megfeleléshez vagy a kulcsfontosságú életciklus-események kezeléséhez. Részletes megvalósítási útmutató és korlátok: Ügyfél által felügyelt kulcstitkosítás konfigurálása inaktív állapotban az Azure VMware Solutionben

• Felügyelt vCenter-kiszolgálóhozzáférés: Az Azure VMware Solution vCenter Serverhez való ellenőrizetlen hozzáférés növelheti a támadási felület területét. Dedikált emelt szintű hozzáférési munkaállomás (PAW) használatával biztonságosan elérheti az Azure VMware Solution vCenter Servert és az NSX-T Managert. Hozzon létre egy felhasználói csoportot, és adjon hozzá egyéni felhasználói fiókot ehhez a felhasználói csoporthoz.

• Bejövő internetes kérések naplózása vendég számítási feladatokhoz: Használja az Azure Firewallt vagy egy jóváhagyott NVA-t, amely naplókat tart fenn a vendég virtuális gépekhez érkező kérelmekhez. Importálja ezeket a naplókat a biztonsági incidens- és eseménykezelési (SIEM) megoldásba a megfelelő figyeléshez és riasztáshoz. A Microsoft Sentinel használatával feldolgozhatja az Azure-eseményadatokat és a naplózást a meglévő SIEM-megoldásokba való integráció előtt. További információ: Felhőhöz készült Microsoft Defender integrálása az Azure VMware Megoldással.

• Munkamenet-figyelés a kimenő internetkapcsolat biztonságához: Az Azure VMware Solutionből kimenő internetkapcsolat szabály-vezérlésével vagy munkamenet-naplózásával azonosíthatja a váratlan vagy gyanús kimenő internetes tevékenységeket. Döntse el, hogy mikor és hol helyezze el a kimenő hálózati ellenőrzést a maximális biztonság érdekében. További információ: Nagyvállalati szintű hálózati topológia és kapcsolat az Azure VMware Solutionhez.

  Az Azure VMware Solution alapértelmezett internetkapcsolatára való támaszkodás helyett speciális tűzfal-, NVA- és virtuális széles körű hálózati (Virtual WAN) szolgáltatásokat használjon a kimenő internetkapcsolathoz. További információkért és tervezési javaslatokért tekintse meg az Azure VMware-megoldás forgalmát egy hálózati virtuális berendezéssel az Azure Virtual Networkben.

  Szolgáltatáscímkék, például Virtual Network és teljes tartománynév (FQDN) címkék használata azonosításhoz a kimenő forgalom Azure Firewall használatával történő szűrésekor. Hasonló képességet használhat más NVA-khoz is.

• Központilag felügyelt biztonságos biztonsági mentések: Az RBAC és a késleltetett törlési képességek használatával megelőzheti a környezet helyreállításához szükséges biztonsági mentési adatok szándékos vagy véletlen törlését. Az Azure Key Vault használatával kezelheti a titkosítási kulcsokat, és korlátozhatja a biztonsági mentési adattár helyéhez való hozzáférést a törlés kockázatának minimalizálása érdekében.

  Használja az Azure Backupot vagy egy másik, az Azure VMware Solutionhez ellenőrzött biztonsági mentési technológiát, amely titkosítást biztosít átvitel közben és inaktív állapotban. Az Azure Recovery Services-tárolók használatakor az erőforrás-zárolásokkal és a helyreállítható törlési funkciókkal védekezhet a biztonsági mentés véletlen vagy szándékos törlése ellen. További információ: Nagyvállalati szintű üzletmenet-folytonosság és vészhelyreállítás az Azure VMware Solutionhez.

Vendégalkalmazás és virtuális gép biztonsága

• Speciális fenyegetésészlelés: A különböző biztonsági kockázatok és adatszivárgások megelőzése érdekében használja a végpontok biztonsági védelmét, a biztonsági riasztások konfigurálását, a változásvezérlési folyamatokat és a sebezhetőségi felméréseket. A Felhőhöz készült Microsoft Defender a fenyegetéskezeléshez, a végpontvédelemhez, a biztonsági riasztásokhoz, az operációs rendszer javításához és a szabályozási megfelelőség érvényesítésének központosított nézetéhez használhatja. További információ: Felhőhöz készült Microsoft Defender integrálása az Azure VMware Megoldással.

  A kiszolgálókhoz készült Azure Arc használatával előkészítheti a vendég virtuális gépeket. A bevezetés után az Azure Log Analytics, az Azure Monitor és a Felhőhöz készült Microsoft Defender segítségével gyűjthet naplókat és metrikákat, és irányítópultokat és riasztásokat hozhat létre. Használja a Microsoft Defender biztonsági központ a virtuálisgép-vendégekkel kapcsolatos fenyegetések védelmére és riasztására. További információ: Natív Azure-szolgáltatások integrálása és üzembe helyezése az Azure VMware Solutionben.

  A Log Analytics-ügynök üzembe helyezése VMware vSphere virtuális gépeken a migrálás megkezdése előtt vagy új vendég virtuális gépek üzembe helyezésekor. Konfigurálja az MMA-ügynököt, hogy metrikákat és naplókat küldjön egy Azure Log Analytics-munkaterületre. A migrálás után ellenőrizze, hogy az Azure VMware Solution virtuális gép riasztásokat jelent-e az Azure Monitorban és Felhőhöz készült Microsoft Defender.

  Másik lehetőségként egy Azure VMware Solution-tanúsítvánnyal rendelkező partner megoldását is használhatja a virtuális gépek biztonsági helyzetének felméréséhez és a Center for Internet Security (CIS) követelményeinek való megfelelés biztosításához.

• Biztonsági elemzés: A kibertámadások észleléséhez használjon összetartó biztonsági eseménygyűjteményt, korrelációt és elemzést azure-beli VMware-megoldás virtuális gépekről és más forrásokból. Használja a Felhőhöz készült Microsoft Defender adatforrásként a Microsoft Sentinelhez. Konfigurálja a Microsoft Defender for Storage-t, az Azure Resource Managert, a tartománynévrendszert (DNS) és az Azure VMware-megoldás üzembe helyezéséhez kapcsolódó egyéb Azure-szolgáltatásokat. Fontolja meg az Azure VMware Solution adatösszekötő használatát egy hitelesített partnertől.

• Vendég virtuális gép titkosítása: Az Azure VMware Solution az alapul szolgáló vSAN-tárolóplatformhoz biztosít inaktív adatok titkosítását. Egyes fájlrendszer-hozzáféréssel rendelkező számítási feladatokhoz és környezetekhez több titkosításra lehet szükség az adatok védelme érdekében. Ilyen esetekben fontolja meg a vendég virtuálisgép-operációs rendszer (OS) és az adatok titkosításának engedélyezését. A vendég virtuális gépek titkosításához használja a natív vendég operációs rendszer titkosítási eszközeit. Az Azure Key Vault használatával tárolhatja és védheti a titkosítási kulcsokat.

• Adatbázistitkosítás és tevékenységfigyelés: Sql- és egyéb adatbázisok titkosítása az Azure VMware Solutionben az adatszivárgás esetén az egyszerű adathozzáférés megakadályozása érdekében. Adatbázis-számítási feladatokhoz használjon inaktív titkosítási módszereket, például transzparens adattitkosítást (TDE) vagy ezzel egyenértékű natív adatbázis-funkciót. Győződjön meg arról, hogy a számítási feladatok titkosított lemezeket használnak, és hogy a bizalmas titkos kulcsok az erőforráscsoport számára dedikált kulcstartóban legyenek tárolva.

  Használja az Azure Key Vaultot az ügyfél által felügyelt kulcsokhoz a saját kulcsú (BYOK) forgatókönyvekben, például az Azure SQL Database transzparens adattitkosításához (TDE) készült BYOK-hoz. Ha lehetséges, különítse el a kulcskezelési és adatkezelési feladatokat. Az SQL Server 2019 Key Vault használatával kapcsolatos példa: Az Azure Key Vault használata az Always Encrypteddel biztonságos enklávékkal.

  Figyelje meg a szokatlan adatbázis-tevékenységeket, hogy csökkentse a bennfentes támadások kockázatát. Használjon natív adatbázis-monitorozást, például tevékenységfigyelőt vagy Azure VMware Solution-tanúsítvánnyal rendelkező partnermegoldást. Fontolja meg az Azure-adatbázis-szolgáltatások használatát a továbbfejlesztett naplózási vezérlőkhöz.

• Kiterjesztett biztonsági frissítési (ESU) kulcsok: ESU-kulcsok megadása és konfigurálása biztonsági frissítések leküldéséhez és telepítéséhez az Azure VMware Solution virtuális gépeken. Használja a Mennyiségi aktiválás kezelőeszköze az Azure VMware Solution-fürt ESU-kulcsainak konfigurálásához. További információ: Kiterjesztett biztonsági Frissítések beszerzése a jogosult Windows-eszközökhöz.

• Kódbiztonság: Biztonsági mérték implementálása a DevOps-munkafolyamatokban az Azure VMware Solution számítási feladatainak biztonsági réseinek elkerülése érdekében. Használjon modern hitelesítési és engedélyezési munkafolyamatokat, például nyílt hitelesítést (OAuth) és OpenID Csatlakozás.

  Használja a GitHub Enterprise Servert az Azure VMware Solutionben egy verziószámozott adattárhoz, amely biztosítja a kódbázis integritását. Üzembe helyezheti az ügynököket az Azure VMware Solutionben vagy egy biztonságos Azure-környezetben.

Szabályozás

Fontolja meg a következő javaslatok implementálását a környezet és a vendég virtuális gépek szabályozásának tervezésekor.

Környezetirányítás

• vSAN-tárolóhely: A vSAN-tárolóterület hiánya hatással lehet az SLA-garanciákra. Tekintse át és ismerje meg az azure-beli VMware-megoldás SLA-jában szereplő ügyfél- és partneri felelősségeket. Rendelje hozzá a megfelelő prioritásokat és tulajdonosokat a használt százalékos adattárlemez metrikájára vonatkozó riasztásokhoz. További információ és útmutatás: Riasztások konfigurálása és metrikák használata az Azure VMware Solutionben.

• Virtuálisgép-sablon tárolási szabályzata: Az alapértelmezett, vastagon kiosztott tárolási szabályzat túl sok vSAN-tárterület megőrzését eredményezheti. Olyan virtuálisgép-sablonokat hozhat létre, amelyek vékony kiosztású tárolási szabályzatot használnak, ahol nincs szükség helyfoglalásra. Azok a virtuális gépek, amelyek nem foglalják le a teljes tárterületet, hatékonyabb tárolási erőforrásokat teszik lehetővé.

• Gazdagépkvóta szabályozása: A gazdagépkvóták elégtelensége 5–7 napos késést eredményezhet a gazdagép növekedési vagy vészhelyreállítási (DR) igényeinek növeléséhez. A gazdakvóta igénylésekor a megoldástervezésben figyelembe kell venni a növekedést és a dr.dr. követelményeket, és rendszeres időközönként felülvizsgálni a környezet növekedését és a maximális értékeket a bővítési kérelmek megfelelő átfutási idejének biztosítása érdekében. Ha például egy háromcsomópontos Azure VMware Solution-fürtnek további három csomópontra van szüksége a DR-hez, kérjen hat csomópontból álló gazdagépkvótát. A gazdagépkvóta-kérelmek nem járnak többletköltséggel.

• Nem tolerálható (FTT) szabályozás: Az Azure VMware Solution SLA-jának fenntartása érdekében hozza létre a fürt méretének megfelelő FTT-beállításokat. Módosítsa a vSAN tárolási szabályzatot a megfelelő FTT-beállításra a fürtméret módosításakor az SLA-megfelelőség biztosítása érdekében.

• ESXi-hozzáférés: Az Azure VMware Solution ESXi-gazdagépekhez való hozzáférés korlátozott. Előfordulhat, hogy az ESXi-gazdagép-hozzáférést igénylő harmadik féltől származó szoftverek nem működnek. Azonosítsa az Azure VMware Megoldás által támogatott külső szoftvereket a forráskörnyezetben, amelyhez hozzá kell férni az ESXi-gazdagéphez. Az Azure Portalon megismerheti és használhatja az Azure VMware-megoldás támogatási kérési folyamatát olyan helyzetekben, amelyekhez ESXi-gazdagép-hozzáférésre van szükség.

• ESXi gazdagépek sűrűsége és hatékonysága: A befektetés jó megtérüléséhez értse az ESXi gazdagépek kihasználtságát. A vendég virtuális gépek kifogástalan sűrűségének meghatározása az Azure VMware Solution-befektetések maximalizálása és a csomópontok teljes kihasználtságának a küszöbértékhez viszonyított monitorozása érdekében. A monitorozás jelzésekor méretezze át az Azure VMware Solution környezetet, és engedélyezze a csomópontok hozzáadásának megfelelő átfutási időt.

• Hálózatfigyelés: Belső hálózati forgalom figyelése rosszindulatú vagy ismeretlen forgalom vagy sérült hálózatok esetén. A vRealize Network Insights (vRNI) és a vRealize Operations (vROps) implementálása az Azure VMware Solution hálózatkezelési műveleteinek részletes elemzéséhez.

• Biztonsági, tervezett karbantartási és Service Health-riasztások: A szolgáltatás állapotának megismerése és megtekintése a kimaradások és problémák megfelelő megtervezése és megválaszolása érdekében. Service Health-riasztások konfigurálása az Azure VMware Solution szolgáltatással kapcsolatos problémákhoz, tervezett karbantartáshoz, állapot-tanácsadáshoz és biztonsági tanácsadáshoz. Az Azure VMware Solution számítási feladatainak ütemezése és megtervezése a Microsoft által javasolt karbantartási időszakokon kívül.

• Költségszabályozás: A jó pénzügyi elszámoltathatóság és a költségvetési kiosztás költségeinek monitorozása. Költségkövetési, költségfelosztási, költségvetés-létrehozási, költségriasztási és jó pénzügyi szabályozáshoz használjon költségkezelési megoldást. Az Azure-beli számlázott díjak esetében az Azure Cost Management + Számlázási eszközökkel költségvetéseket hozhat létre, riasztásokat hozhat létre, költségeket oszthat ki, és jelentéseket készíthet a pénzügyi érdekelt felek számára.

• Azure-szolgáltatások integrációja: Kerülje az Azure-platform nyilvános végpontjának használatát szolgáltatásként (PaaS), ami a kívánt hálózati határokat elhagyó forgalomhoz vezethet. Annak érdekében, hogy a forgalom egy meghatározott virtuális hálózat határain belül maradjon, használjon privát végpontot az Olyan Azure-szolgáltatások eléréséhez, mint az Azure SQL Database és az Azure Blob Storage.

Számítási feladatok alkalmazása és virtuális gép szabályozása

Az Azure VMware Solution számítási feladatokhoz készült virtuális gépek biztonsági helyzetfelismerése segít megérteni a kiberbiztonsági felkészültséget és választ, és teljes biztonsági lefedettséget biztosít a vendég virtuális gépek és alkalmazások számára.

• Engedélyezze a Felhőhöz készült Microsoft Defender az Azure-szolgáltatások és az Azure VMware Solution alkalmazás virtuálisgép-számítási feladatainak futtatásához.

• Azure Arc-kompatibilis kiszolgálók használata az Azure VMware Solution vendég virtuális gépeinek kezeléséhez olyan eszközökkel, amelyek natív Azure-erőforrásokat replikálnak, például:

  • Vendégkonfigurációk és -beállítások szabályozására, jelentésére és naplózására szolgáló Azure Policy
  • Az Azure Automation állapotkonfigurációja és a támogatott bővítmények az üzembe helyezés egyszerűsítése érdekében
  • Frissítéskezelés az Azure VMware-megoldásalkalmazás virtuálisgép-környezetének frissítéseinek kezeléséhez
  • Az Azure VMware-megoldásalkalmazás virtuálisgép-készletének kezeléséhez és rendszerezéséhez használható címkék

  További információkért tekintse meg az Azure Arc-kompatibilis kiszolgálók áttekintését.

• Számítási feladatok virtuálisgép-tartományszabályozása: A hibákra hajlamos manuális folyamatok elkerülése érdekében használjon olyan bővítményeket, mint például a JsonADDomainExtension vagy azzal egyenértékű automatizálási lehetőségeket, hogy az Azure VMware Solution vendég virtuális gépei automatikusan csatlakozzanak egy Active Directory-tartományhoz.

• Számítási feladat virtuális gép naplózása és monitorozása: A diagnosztikai metrikák és a számítási feladatokkal kapcsolatos virtuális gépek naplózásának engedélyezése az operációs rendszer és az alkalmazásproblémák egyszerűbb hibakereséséhez. Olyan naplógyűjtési és lekérdezési képességek implementálása, amelyek gyors válaszidőt biztosítanak a hibakereséshez és a hibaelhárításhoz. Közel valós idejű virtuálisgép-elemzések engedélyezése számítási feladatok virtuális gépeivel a teljesítmény szűk keresztmetszeteinek és működési problémáinak azonnali észleléséhez. Naplóriasztások konfigurálása a számítási feladatok virtuális gépeinek határfeltételeinek rögzítéséhez.

  A Log Analytics-ügynök (MMA) üzembe helyezése VMware vSphere számítási feladat virtuális gépeken a migrálás előtt, vagy új számítási feladatok virtuális gépeinek üzembe helyezésekor az Azure VMware Solution környezetben. Konfigurálja az MMA-t egy Azure Log Analytics-munkaterülettel, és kapcsolja össze az Azure Log Analytics-munkaterületet az Azure Automationnel. Ellenőrizze a migrálást követően az Azure Monitorral történő migrálás előtt üzembe helyezett számítási feladat virtuálisgép-MMA-ügynökök állapotát.

• Számítási feladatok virtuális gép frissítésének szabályozása: A késleltetett vagy hiányos frissítések vagy javítások a leggyakoribb támadási vektorok, amelyek az Azure VMware Solution számítási feladatainak virtuális gépeit és alkalmazásait tehetik közzé vagy veszélyeztethetik. Gondoskodjon arról, hogy a telepítések időben frissüljenek a vendég virtuális gépeken.

• Számítási feladat virtuális gép biztonsági mentésének szabályozása: Rendszeres biztonsági mentések ütemezése az elmulasztott biztonsági mentések vagy az adatvesztéshez vezető régi biztonsági mentések elkerülése érdekében. Olyan biztonsági mentési megoldást használjon, amely ütemezett biztonsági mentéseket végezhet, és nyomon követheti a biztonsági mentés sikerességét. A biztonsági mentési események figyelése és riasztása az ütemezett biztonsági mentések sikeres futtatása érdekében.

• Számítási feladat virtuális gép DR-szabályozása: A nem dokumentált helyreállítási pont célkitűzése (RPO) és a helyreállítási időkorlát (RTO) követelményei rossz ügyfélélményt és teljesítetlen üzemeltetési célokat okozhatnak az üzletmenet-folytonossági és vészhelyreállítási (BCDR) események során. A dr. vezénylés implementálása az üzletmenet-folytonosság késésének elkerülése érdekében.

  Dr-megoldást használjon az Azure VMware-megoldáshoz, amely dr. vezénylést biztosít, és észleli és jelenti a dr. helyekre történő sikeres folyamatos replikációval kapcsolatos hibákat vagy problémákat. Az Azure-ban és az Azure VMware Solutionben futó alkalmazások RPO- és RTO-követelményeinek dokumentálása. Válasszon egy vészhelyreállítási és üzletmenet-folytonossági megoldást , amely vezénylés útján megfelel az ellenőrizhető RPO- és RTO-követelményeknek.

Engedékenység

Az Azure VMware Solution-környezet és a számítási feladatok virtuálisgép-megfelelőségének tervezésekor vegye figyelembe és implementálja az alábbi javaslatokat.

• Felhőhöz készült Microsoft Defender monitorozás: A biztonsági és szabályozási teljesítménymutatóknak való megfelelés monitorozásához használja a szabályozási megfelelőségi nézetet Felhőhöz készült Defender. Konfigurálja Felhőhöz készült Defender munkafolyamat-automatizálást a várt megfelelőségi helyzettől való eltérés nyomon követéséhez. További információ: Felhőhöz készült Microsoft Defender áttekintés.

• Számítási feladat virtuális gép DR-megfelelősége: Kövesse nyomon az Azure VMware Megoldás számítási feladatainak virtuális gépeinek DR-konfigurációs megfelelőségét annak biztosítása érdekében, hogy kritikus fontosságú alkalmazásaik továbbra is elérhetők maradjanak egy katasztrófa során. Használja az Azure Site Recoveryt vagy egy Azure VMware Solution minősített BCDR-megoldást, amely a replikálás nagy léptékű kiépítését, a meg nem felelés állapotának monitorozását és az automatikus szervizelést biztosítja.

• Számítási feladat virtuális gép biztonsági mentésének megfelelősége: Nyomon követheti és monitorozhatja az Azure VMware megoldás számítási feladatainak virtuális gép biztonsági mentési megfelelőségét, hogy a virtuális gépek biztonsági mentése folyamatban legyen. Az Azure VMware Solution minősített partnermegoldása nagy léptékű perspektívát, részletezési elemzést és a számítási feladatok virtuális gép biztonsági mentésének nyomon követéséhez és monitorozásához használható felületet biztosít.

• Az országra/régióra vagy iparágra jellemző megfelelőség: A költséges jogi műveletek és bírságok elkerülése érdekében győződjön meg arról, hogy az Azure VMware Solution számítási feladatai megfelelnek az országra/régióra és iparágra vonatkozó előírásoknak. Megismerheti az iparági vagy régióalapú jogszabályi megfelelőség felhőalapú megosztott felelősségi modelljét. A Szolgáltatásmegbízhatósági portálon megtekintheti vagy letöltheti az Azure VMware Solution és az Azure Audit jelentéseket, amelyek támogatják a teljes megfelelőségi történetet.

  Http/S és nem HTTP/S végpontok tűzfal-naplózási jelentéseinek implementálása a jogszabályi követelményeknek való megfelelés érdekében.

• Vállalati szabályzatoknak való megfelelőség: Az Azure VMware-megoldás számítási feladatainak virtuálisgép-megfelelőségének figyelése vállalati szabályzatokkal a vállalati szabályok és előírások megsértésének megakadályozása érdekében. Használja az Azure Arc-kompatibilis kiszolgálókat és az Azure Policyt, vagy egy ezzel egyenértékű külső megoldást. Az Azure VMware Solution számítási feladataival kapcsolatos virtuális gépek és alkalmazások rutinszerű felmérése és kezelése az alkalmazandó belső és külső előírásoknak való megfelelés érdekében.

• Adatmegőrzési és tárolási követelmények: Az Azure VMware Solution nem támogatja a fürtökben tárolt adatok megőrzését vagy kinyerását. A fürt törlése leállítja az összes futó számítási feladatot és összetevőt, és megsemmisíti az összes fürtadatot és konfigurációs beállítást, beleértve a nyilvános IP-címeket is. Ezek az adatok nem állíthatók helyre.

  Az Azure VMware Solution nem garantálja, hogy a szolgáltatás futtatásához szükséges összes metaadat és konfigurációs adat csak az üzembe helyezett földrajzi régióban létezik. Ha az adattárolási követelmények megkövetelik az összes adat meglétét az üzembe helyezett régióban, forduljon az Azure VMware Solution ügyfélszolgálatához segítségért.

• Adatfeldolgozás: A regisztrációkor megjelenő jogi feltételek elolvasása és értelmezése. Figyelje meg a Microsoft Azure VMware Solution L3-támogatásra átvitt ügyfeleire vonatkozó VMware-adatfeldolgozási szerződést. Ha egy támogatási probléma VMware-támogatást igényel, a Microsoft megosztja a professzionális szolgáltatásadatokat és a kapcsolódó személyes adatokat a VMware-lel. Ettől kezdve a Microsoft és a VMware két független adatfeldolgozóként működik.

Következő lépések

Ez a cikk a felhőadaptálási keretrendszer nagyvállalati szintű célzóna architektúratervezési alapelvein és irányelveien alapul. For more information, see:

• Az Azure célzóna tervezési alapelvei
• Az Azure kezdőzónájának tervezési irányelvei

A cikk egy olyan sorozat része, amely nagyvállalati szintű kezdőzóna-alapelveket és javaslatokat alkalmaz az Azure VMware Solution üzembe helyezésére. A sorozat további cikkei a következők:

• Nagyvállalati szintű identitás- és hozzáférés-kezelés az Azure VMware Solutionhez
• Nagyvállalati szintű hálózati topológia és kapcsolat az Azure VMware Solutionhez
• Nagyvállalati szintű platformautomatizálás és DevOps for Azure VMware Solution
• Nagyvállalati szintű üzletmenet-folytonosság és vészhelyreállítás az Azure VMware-megoldáshoz

Olvassa el a következő cikket a sorozatban:

Nagyvállalati szintű felügyelet és monitorozás az Azure VMware Solutionhez