Garis besar keamanan Azure untuk Azure VMware Solution
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure VMware Solution. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure VMware Solution.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure VMware Solution telah dikecualikan. Untuk melihat bagaimana Azure VMware Solution memetakan sepenuhnya ke tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure VMware Solution lengkap.
Profil keamanan
Profil keamanan merangkum perilaku Azure VMware Solution berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
Atribut Perilaku Layanan | Nilai |
---|---|
Kategori Produk | Compute |
Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | Salah | Pelanggan |
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku) kecuali ada alasan kuat untuk menetapkan IP publik langsung ke sumber daya.
Catatan: Cloud privat Azure VMware Solution memerlukan Virtual Network Azure. Karena Azure VMware Solution tidak mendukung vCenter Server lokal, Anda harus melakukan langkah-langkah tambahan untuk berintegrasi dengan lingkungan lokal Anda. Menyiapkan sirkuit ExpressRoute dan gateway jaringan virtual juga diperlukan.
Referensi: Tutorial: Mengonfigurasi jaringan untuk cloud privat VMware Anda di Azure
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | Salah | Pelanggan |
Panduan Konfigurasi: Meskipun NSG didukung, pertimbangkan untuk masuk dan keluar konektivitas jaringan Anda ke ExpressRoute atau jaringan aman lainnya. Hindari mengekspos layanan manajemen Anda seperti vCenter Server, misalnya, di internet.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Azure VMware Solution konsep jaringan dan interkonektivitas
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | Salah | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Untuk konfigurasi manajemen akses identitas Azure VMware Solution, lihat tautan di bawah ini.
Referensi: Akses dan identitas vCenter Server
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perwakilan Layanan
Deskripsi: Data plane mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyar untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Akses AVS dikendalikan oleh VMware vSphere RBAC
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Informasi Masuk Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | FALSE | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Lihat hak istimewa yang diberikan kepada peran cloudAdmin Azure VMware Solution di Azure VMware Solution vCenter Server cloud privat Anda. Lihat tautan untuk detailnya
Referensi: Akses dan identitas vCenter Server
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure RBAC tidak didukung. Solusi Azure VMware memanfaatkan peran RBAC vCenter Server yang memberi pelanggan kemampuan untuk berintegrasi dengan Azure AD.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Enkripsi data tidak aktif
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Fitur ini saat ini sedang dikerjakan, tetapi kami tidak memiliki ETA untuk pratinjau privat.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Kami akan menambahkan fitur tertentu di masa mendatang yang mendukung ini tetapi untuk saat ini kami tidak.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure VMWare Solution saat ini mendukung Azure Policy untuk mengelola sumber daya VM beban kerja. Jika Anda memilih untuk menyebarkan Azure Arc Server untuk VMWare Solution, itu akan dilengkapi dengan dukungan Azure Policy.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan server dengan dukungan Azure Arc untuk VM Anda di VMware Anda yang memungkinkan Microsoft Defender cloud menyediakan fitur berikut:
- pemantauan integritas file
- Deteksi serangan tanpa file
- Penilaian patch sistem operasi
- Penilaian kesalahan konfigurasi keamanan
- Penilaian perlindungan titik akhir
Referensi: Mengintegrasikan Microsoft Defender untuk Cloud dengan Azure VMware Solution
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Untuk pengelogan Azure VMware Solution. Aktifkan konfigurasi di syslog VMware. Lihat tautan untuk detail selengkapnya: Mengonfigurasi syslog VMware untuk Azure VMware Solution
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan server Azure Backup (sebagai bagian dari Azure Backup) untuk melakukan pencadangan tingkat VM. Azure Backup Server dapat menyimpan data cadangan ke: Disk: Untuk penyimpanan jangka pendek, Azure Backup Server mencadangkan data ke kumpulan disk. Cloud Azure: Untuk penyimpanan jangka pendek dan jangka panjang di luar lokasi, data Azure Backup Server yang disimpan dalam kumpulan disk dapat dicadangkan ke cloud Microsoft Azure dengan menggunakan Azure Backup.
Referensi: Menyiapkan server Azure Backup untuk Azure VMware Solution
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
True | FALSE | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyebarkan pemulihan bencana dengan VMware Site Recovery Manager
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure