Beveiliging, governance en naleving voor Azure VMware Solution

In dit artikel wordt beschreven hoe u veilig en holistisch beheer van Azure VMware Solution levenscyclus kunt uitvoeren. In dit artikel worden specifieke ontwerpelementen verkend en worden gerichte aanbevelingen gegeven Azure VMware Solution beveiliging, governance en naleving.

Beveiliging

Houd rekening met de volgende factoren bij het bepalen welke systemen, gebruikers of apparaten functies kunnen uitvoeren binnen Azure VMware Solution en hoe u het algehele platform beveiligt.

Identiteitsbeveiliging

• Limieten voor permanente toegang: Azure VMware Solution maakt gebruik van de rol Inzender in de Azure-resourcegroep die als host voor Azure VMware Solution privécloud wordt gebruikt. Beperk permanente toegang om opzettelijk of onbedoeld misbruik van rechten van inzenders te voorkomen. Gebruik een beheeroplossing voor bevoegde accounts om het tijdsgebruik van accounts met hoge bevoegdheden te controleren en te beperken.

  Maak een Azure Active Directory (Azure AD) privileged access group binnen Azure Privileged Identity Management (PIM) voor het beheren van Azure AD-accounts voor gebruikers en service-principals. Gebruik deze groep voor het maken en beheren van Azure VMware Solution cluster met tijdsgebonden, op redenen gebaseerde toegang. Zie In aanmerking komende eigenaren en leden toewijzen voor groepen met bevoegde toegang voor meer informatie.

  Gebruik Azure AD PIM-controlegeschiedenisrapporten voor Azure VMware Solution, bewerkingen en toewijzingen. U kunt de rapporten archiveren in Azure Storage voor langetermijnretentiebehoeften voor controles. Zie Auditrapport weergeven voor groepstoewijzingen met bevoegde toegang in Privileged Identity Management (PIM) voor meer informatie.

• Gecentraliseerd identiteitsbeheer: Azure VMware Solution biedt cloudbeheerder- en netwerkbeheerderreferenties voor het configureren van de VMware-omgeving. Deze beheerdersaccounts zijn zichtbaar voor alle inzenders die op rollen gebaseerd toegangsbeheer (RBAC) toegang hebben tot Azure VMware Solution.

  Gebruik de RBAC-mogelijkheden van het VMware-besturingsvlak om overmatig gebruik of misbruik van de ingebouwde gebruikers en netwerkbeheerders te voorkomen voor toegang tot het VMware-besturingsvlak om de toegang tot rollen en het account correct te cloudadmin beheren. Maak meerdere doelidentiteitsobjecten, zoals gebruikers en groepen, met behulp van principes met de minste bevoegdheden. Beperk de toegang tot beheerdersaccounts Azure VMware Solution en configureer de accounts in een break-glass-configuratie. Gebruik de ingebouwde accounts alleen als alle andere beheerdersaccounts onbruikbaar zijn.

  Gebruik het opgegeven account om Active Directory Domain Services (AD DS) of Azure AD Domain Services (Azure AD DS) te integreren met de beheer-id's van cloudadmin VMware vCenter en NSX-T en domeinservices. Gebruik de domeinservices-brongebruikers en -groepen voor Azure VMware Solution en bewerkingen, en sta het delen van een account niet toe. Maak aangepaste vCenter-rollen en koppel deze aan AD DS groepen voor fijnerf bevoorrecht toegangsbeheer voor VMware-beheeroppervlakken.

  U kunt de Azure VMware Solution gebruiken om wachtwoorden van vCenter- en NSX-T-beheerdersaccounts te roteren en opnieuw in te stellen. Configureer een regelmatige rotatie van deze accounts en draai de accounts op elk gewenst moment dat u de break-glass-configuratie gebruikt. Zie De cloudadmin-referenties roteren voor Azure VMware Solution.

• Identiteitsbeheer voor virtuele gastmachines (VM's) : Gecentraliseerde verificatie en autorisatie Azure VMware Solution gasten om efficiënt toepassingsbeheer te bieden en onbevoegde toegang tot zakelijke gegevens en processen te voorkomen. Beheer Azure VMware Solution gasten en toepassingen als onderdeel van hun levenscyclus. Configureer gast-VM's om een gecentraliseerde oplossing voor identiteitsbeheer te gebruiken voor verificatie en autoriseren voor beheer en toepassingsgebruik.

  Gebruik een gecentraliseerde AD DS- of Lightweight Directory Access Protocol (LDAP)-service voor Azure VMware Solution gast-VM's en toepassingsidentiteitsbeheer. Zorg ervoor dat de architectuur van domeinservices rekening moet houden met eventuele uitvalscenario's, om ervoor te zorgen dat de functionaliteit tijdens uitval blijft werken. Verbinding maken de AD DS met Azure AD voor geavanceerd beheer en een naadloze ervaring voor gastverificatie en autorisatie.

Omgevings- en netwerkbeveiliging

• Mogelijkheden voor native netwerkbeveiliging: Netwerkbeveiligingscontroles implementeren, zoals het filteren van verkeer, naleving van OWASP-regels (Open Web Application Security Project), geïntegreerd firewallbeheer en DDoS-beveiliging (Distributed Denial of Service).

  • Het filteren van verkeer regelt het verkeer tussen segmenten. Implementeer apparaten voor het filteren van gastnetwerkverkeer met behulp van NSX- of NVA-mogelijkheden (Network Virtual Appliance) om de toegang tussen gastnetwerksegmenten te beperken.

  • Naleving van OWASP Core Rule Set beschermt Azure VMware Solution workloads van gastweb-toepassingen tegen algemene webaanvallen. Gebruik de OWASP-mogelijkheden van Azure Application Gateway Web Application Firewall (WAF) om webtoepassingen te beveiligen die worden gehost op Azure VMware Solution gasten. Schakel de preventiemodus in met behulp van het meest recente beleid en zorg ervoor dat u WAF-logboeken integreert in uw strategie voor logboekregistratie. Zie Inleiding tot Azure Web Application Firewall voor meer informatie.

  • Geïntegreerd beheer van firewallregels voorkomt dat dubbele of ontbrekende firewallregels het risico op onbevoegde toegang vergroten. Firewallarchitectuur draagt bij aan het grotere netwerkbeheer en de beveiligingsstatus van de omgeving voor Azure VMware Solution. Gebruik een stateful beheerde firewallarchitectuur die verkeersstromen, inspectie, gecentraliseerd regelbeheer en gebeurtenisverzameling mogelijk maakt.

  • DDoS-beveiliging beschermt Azure VMware Solution workloads tegen aanvallen die leiden tot financieel verlies of een slechte gebruikerservaring. Pas DDoS-beveiliging toe op het virtuele Azure-netwerk dat als host voor de ExpressRoute-beëindigingsgateway voor de Azure VMware Solution host. Overweeg het gebruik Azure Policy voor automatische afdwinging van DDoS-beveiliging.

• Gecontroleerde vCenter-toegang: De toegang tot de Azure VMware Solution vCenter kan de kans op aanvallen surface area. Gebruik een toegewezen PAW (Privileged Access Workstation) om veilig toegang te krijgen Azure VMware Solution vCenter en NSX Manager. Maak een gebruikersgroep en voeg een afzonderlijk gebruikersaccount toe aan deze gebruikersgroep.

• Registratie van inkomende internetaanvraag voor gastworkloads: Gebruik Azure Firewall of een goedgekeurde NVA die auditlogboeken bijhoudt voor binnenkomende aanvragen naar gast-VM's. Importeer deze logboeken in uw SIEM-oplossing (Security Incident and Event Management) voor de juiste bewaking en waarschuwingen. Gebruik Microsoft Sentinel voor het verwerken van Azure-gebeurtenisgegevens en logboekregistratie voordat u integratie in bestaande SIEM-oplossingen maakt. Zie Microsoft Defender for Cloud integreren met Azure VMware Solution voor meer Azure VMware Solution.

• Sessiebewaking voor de beveiliging van uitgaande internetverbinding: Gebruik regelbeheer of sessiecontrole van uitgaande internetverbinding van Azure VMware Solution om onverwachte of verdachte uitgaande internetactiviteit te identificeren. Bepaal waar en wanneer u de uitgaande netwerkinspectie wilt plaatsen om maximale beveiliging te garanderen. Zie Enterprise-scale network topology and connectivity for Azure VMware Solution (Netwerktopologie en connectiviteitop ondernemingsschaal voor meer Azure VMware Solution.

  Gebruik gespecialiseerde firewall-, NVA- en virtuele Virtual WAN-services (Wide Area Network) voor uitgaande internetverbinding in plaats van te vertrouwen op de standaardinternetconnectiviteit van Azure VMware Solution. Zie Inspecting Azure VMware Solution traffic with a network virtual appliance in Azure Virtual Network (Verkeer controleren met een virtueel netwerkapparaat in Azure Virtual Network) voor meer informatie en ontwerpaanbevelingen.

  Gebruik servicetags zoals Virtual Network en FQDN-tags (Fully Qualified Domain Name) voor identificatie bij het filteren van Azure Firewall. Gebruik een vergelijkbare mogelijkheid voor andere N NVA's.

• Centraal beheerde beveiligde back-ups: Gebruik RBAC en vertraagde verwijderingsmogelijkheden om opzettelijke of onbedoelde verwijdering van back-upgegevens te voorkomen die nodig zijn om de omgeving te herstellen. Gebruik Azure Key Vault voor het beheren van versleutelingssleutels en beperk de toegang tot de opslaglocatie voor back-upgegevens om het risico op verwijdering te minimaliseren.

  Gebruik Azure Backup of een andere back-uptechnologie die is gevalideerd voor Azure VMware Solution die versleuteling in transit en at-rest biedt. Wanneer u Azure Recovery Services-kluizen gebruikt, gebruikt u resourcevergrendelingen en de functies voor het verwijderen van de soft-delete om u te beschermen tegen onbedoelde of opzettelijke verwijdering van back-ups. Zie Bedrijfscontinuïteit op ondernemingsschaalen herstel na noodherstel voor Azure VMware Solution.

Gasttoepassing en VM-beveiliging

• Geavanceerde detectie van bedreigingen: Als u verschillende beveiligingsrisico's en gegevensschending wilt voorkomen, gebruikt u Endpoint Security Protection, configuratie van beveiligingswaarschuwingen, wijzigingsbeheerprocessen en evaluaties van beveiligingslekken. U kunt Microsoft Defender for Cloud gebruiken voor bedreigingsbeheer, eindpuntbeveiliging, beveiligingswaarschuwingen, patching van besturingssystemen en een gecentraliseerde weergave van naleving van regelgeving. Zie Microsoft Defender for Cloud integreren met Azure VMware Solution voor meer Azure VMware Solution.

  Gebruik Azure Arc voor servers om uw gast-VM's te onboarden. Nadat de onboarding is uitgevoerd, kunt u Azure Log Analytics, Azure Monitor en Microsoft Defender for Cloud gebruiken om logboeken en metrische gegevens te verzamelen en dashboards en waarschuwingen te maken. Gebruik Microsoft Defender-beveiligingscentrum om bedreigingen te beveiligen en te waarschuwen die zijn gekoppeld aan VM-gasten. Zie Systeemeigen Azure-services integreren en implementeren inAzure VMware Solution voor meer Azure VMware Solution.

  Implementeer de Log Analytics-agent op VMware-VM's voordat u een migratie start of bij het implementeren van nieuwe gast-VM's. Configureer de MMA-agent voor het verzenden van metrische gegevens en logboeken naar een Azure Log Analytics-werkruimte. Controleer na de migratie of de virtuele Azure VMware Solution-VM waarschuwingen in Azure Monitor en Microsoft Defender for Cloud rapporteert.

  U kunt ook een oplossing van een Azure VMware Solution gecertificeerde partner gebruiken om VM-beveiligingsstatussen te beoordelen en naleving van regelgeving te bieden ten opzichte van cis-vereisten (Center for Internet Security).

• Beveiligingsanalyse: Gebruik samenhangend verzamelen, correlatie en analyses van beveiligingsgebeurtenissen van Azure VMware Solution-VM's en andere bronnen om cyberaanvallen te detecteren. Gebruik Microsoft Defender for Cloud als gegevensbron voor Microsoft Sentinel. Configureer Microsoft Defender voor Storage, Azure Resource Manager, Domain Name System (DNS) en andere Azure-services met betrekking tot Azure VMware Solution implementatie. Overweeg het gebruik van Azure VMware Solution gegevensconnector van een gecertificeerde partner.

• Gast-VM-versleuteling: Azure VMware Solution biedt versleuteling van data-at-rest voor het onderliggende vSAN-opslagplatform. Voor sommige workloads en omgevingen met bestandssysteemtoegang is mogelijk meer versleuteling vereist om gegevens te beveiligen. In dergelijke situaties kunt u overwegen om versleuteling van het besturingssysteem en de gegevens van de gast-VM in te stellen. Gebruik de versleutelingshulpprogramma's van het native gast-besturingssysteem om gast-VM's te versleutelen. Gebruik Azure Key Vault om de versleutelingssleutels op te slaan en te beveiligen.

• Databaseversleuteling en activiteitsbewaking: Versleutel SQL en andere databases in Azure VMware Solution om eenvoudige toegang tot gegevens in geval van een gegevensschending te voorkomen. Gebruik voor databaseworkloads versleuteling-at-rest-methoden, zoals TDE (Transparent Data Encryption) of een equivalente systeemeigen databasefunctie. Zorg ervoor dat werkbelastingen versleutelde schijven gebruiken en dat gevoelige geheimen worden opgeslagen in een sleutelkluis die is toegewezen aan de resourcegroep.

  Gebruik Azure Key Vault voor door de klant beheerde sleutels in BYOK-scenario's (Bring Your Own Key), zoals BYOK voor Azure SQL Database Transparent Data Encryption (TDE). Scheid waar mogelijk de taken voor sleutelbeheer en gegevensbeheer. Voor een voorbeeld van hoe SQL Server 2019 Key Vault gebruikt, zie Azure Key Vault gebruiken Always Encrypted met beveiligde enclaves.

  Controleer op ongebruikelijke databaseactiviteiten om het risico op een insider-aanval te verminderen. Systeemeigen databasebewaking gebruiken, zoals Activity Monitor of een Azure VMware Solution gecertificeerde partneroplossing. Overweeg het gebruik van Azure-databaseservices voor verbeterde controlebesturingselementen.

• ESU-sleutels (Extended Security Update) : Geef ESU-sleutels op en configureer deze om beveiligingsupdates te pushen en te installeren op Azure VMware Solution-VM's. Gebruik de Hulpprogramma voor volumeactivering voor het configureren van ESU-sleutels voor het Azure VMware Solution cluster. Zie Obtaining Extended Security Updates for eligible Windows devices (Uitgebreide beveiligingsupdates verkrijgenvoor in aanmerking komende Windows apparaten).

• Codebeveiliging: Implementeert een beveiligingsmaatregel in DevOps-werkstromen om beveiligingsproblemen in Azure VMware Solution te voorkomen. Moderne verificatie- en autorisatiewerkstromen zoals Open Authorization (OAuth) en OpenID-Verbinding maken.

  Gebruik GitHub Enterprise Server op Azure VMware Solution voor een opslagplaats met versiebeheer die de integriteit van de codebasis garandeert. Implementeer build- en runagents in Azure VMware Solution of in een beveiligde Azure-omgeving.

Beheer

Overweeg de volgende aanbevelingen te implementeren bij het plannen van omgevings- en gast-VM-governance.

Omgevingsbeheer

• vSAN-opslagruimte: Onvoldoende vSAN-opslagruimte kan invloed hebben op SLA-garanties. Bekijk en begrijp de verantwoordelijkheden van klanten en partners in de SLA voor Azure VMware Solution. Wijs de juiste prioriteiten en eigenaren toe voor waarschuwingen voor de metrische waarde Percentage datastore disk used. Zie Waarschuwingen configureren en werken met metrische gegevens in Azure VMware Solution voor meer Azure VMware Solution.

• Opslagbeleid voor VM-sjablonen: Een standaardbeleid voor opslag met thick provisioning kan ertoe leiden dat er te veel vSAN-opslag wordt reserveren. Maak VM-sjablonen die gebruikmaken van een beleid voor thin provisioning waarbij ruimtereserveringen niet zijn vereist. VM's die niet de volledige hoeveelheid opslagruimte van te voren reserveren, maken efficiëntere opslagresources mogelijk.

• Hostquotumbeheer: Onvoldoende hostquota kunnen leiden tot 5-7 dagen vertraging bij het verkrijgen van meer hostcapaciteit voor groei- of noodherstelbehoeften. Factorgroei en DR-vereisten in het ontwerp van de oplossing bij het aanvragen van het hostquotum en controleer regelmatig de groei en maximumaantallen van de omgeving om de juiste doorlooptijd voor uitbreidingsaanvragen te garanderen. Als een cluster met drie knooppunten Azure VMware Solution nog drie knooppunten nodig heeft voor DR, vraagt u een hostquotum van zes knooppunten aan. Hostquotumaanvragen brengen geen extra kosten met zich mee.

• FTT-governance (Failure to Tolerate: fout om te tolereren) : Stel FTT-instellingen in die in verhouding zijn tot de clustergrootte om de SLA voor Azure VMware Solution. Pas het vSAN-opslagbeleid aan de juiste FTT-instelling aan bij het wijzigen van de clustergrootte om ervoor te zorgen dat de SLA wordt nageleefd.

• ESXi-toegang: Toegang tot Azure VMware Solution ESXi-hosts is beperkt. Software van derden die ESXi-hosttoegang vereist, werkt mogelijk niet. Identificeer alle Azure VMware Solution ondersteunde software van derden in de bronomgeving die toegang nodig heeft tot de ESXi-host. Vertrouwd raken met en het proces voor Azure VMware Solution-ondersteuningsaanvraag gebruiken in de Azure Portal situaties waarin ESXi-hosttoegang nodig is.

• ESXi-hostdichtheid en -efficiëntie: Voor een goed rendement op investeringen moet u inzicht krijgen in het gebruik van ESXi-host. Definieer een gezonde dichtheid van gast-VM's om de Azure VMware Solution te maximaliseren en het algehele knooppuntgebruik te controleren op die drempelwaarde. U kunt de Azure VMware Solution omgeving wanneer controle aangeeft en voldoende doorlooptijd voor knooppuntoptellingen toestaan.

• Netwerkbewaking: Controleer het interne netwerkverkeer op schadelijk of onbekend verkeer of aangetaste netwerken. Implementeert vRealize Network Insights (vRNI) en VRealize Operations Manager gedetailleerde inzichten in Azure VMware Solution netwerkbewerkingen.

• Beveiligings-, gepland onderhoud- en Service Health waarschuwingen: Service health begrijpen en weergeven om op de juiste wijze te plannen en te reageren op uitval en problemen. Configureer Service Health voor Azure VMware Solution serviceproblemen, gepland onderhoud, statusadviezen en beveiligingsadviezen. Plan en plan Azure VMware Solution workloadactiviteiten buiten door Microsoft voorgestelde onderhoudsvensters.

• Kostenbeheer: Bemonitor de kosten voor goede financiële verantwoordelijkheid en budgettoewijzing. Gebruik een oplossing voor kostenbeheer voor het bijhouden van kosten, kostentoewijzing, budget maken, kostenwaarschuwingen en goede financiële governance. Gebruik voor door Azure gefactureerde Azure Cost Management + Billing om budgetten te maken, waarschuwingen te genereren, kosten toe te wijzen en rapporten te maken voor financiële belanghebbenden.

• Integratie van Azure-services: Vermijd het gebruik van het openbare eindpunt van de Azure platform as a service (PaaS), wat kan leiden tot verkeer dat de gewenste netwerkgrenzen verlaat. Om ervoor te zorgen dat verkeer binnen de grenzen van een gedefinieerd virtueel netwerk blijft, gebruikt u een privé-eindpunt voor toegang tot Azure-services zoals Azure SQL Database en Azure Blob Storage.

Gasttoepassing en VM-governance

Beveiligingsstatusbewustheid voor Azure VMware Solution gast-VM's helpt u de gereedheid en reactie van cyberbeveiliging te begrijpen en volledige beveiligingsdekking te bieden voor gast-VM's en toepassingen.

• Schakel Microsoft Defender for Cloud in voor het uitvoeren van Azure-services en Azure VMware Solution gast-VM-workloads.

• Gebruik Azure Arc voor servers om gast-VM Azure VMware Solution s te beheren met hulpprogramma's waarmee de hulpprogramma's voor native Azure-resources worden gerepliceerd, waaronder:

  • Azure Policy voor het beheren, rapporteren en controleren van gastconfiguraties en -instellingen
  • Azure Automation State Configuration en ondersteunde extensies om implementaties te vereenvoudigen
  • Updatebeheer voor het beheren van updates voor de Azure VMware Solution gast-VM-landschap
  • Tags voor het beheren en organiseren van Azure VMware Solution gast-VM-inventaris

  Zie overzicht van Azure Arc ingeschakelde servers voor meer informatie.

• Domeinbeheer voor gast-VM's: Om foutgevoelige handmatige processen te voorkomen, gebruikt u extensies zoals de of equivalente automatiseringsopties om in te Azure VMware Solution gast-VM's automatisch lid te maken van een Active Directory-domein.

• Logboekregistratie en bewaking van gast-VM's: Schakel metrische gegevens over diagnostische gegevens en logboekregistratie in op gast-VM's om problemen met gasten en toepassingen gemakkelijker op te lossen. Implementeert functies voor logboekverzameling en query's die snelle reactietijden bieden voor foutopsporing en probleemoplossing. Schakel bijna realtime VM-inzichten in op gast-VM's voor promptdetectie van prestatieknelpunten en operationele problemen. Configureer logboekwaarschuwingen om grensvoorwaarden voor gast-VM's vast te leggen.

  Implementeer de Log Analytics-agent (MMA) op VMware-gast-VM's vóór de migratie of bij het implementeren van nieuwe gast-VM's in de Azure VMware Solution omgeving. Configureer de MMA met een Azure Log Analytics-werkruimte en koppel de Azure Log Analytics-werkruimte aan Azure Automation. Valideer de status van gast-VM MMA-agents die vóór de migratie zijn geïmplementeerd met Azure Monitor migratie.

• Governance van gast-VM-updates: Vertraagde of onvolledige updates of patching zijn de belangrijkste aanvalsvectoren die kunnen leiden tot het blootstellen of compromitteren van Azure VMware Solution gast-VM's en -toepassingen. Zorg voor tijdige update-installaties op gast-VM's.

• Governance van back-ups van gast-VM's: Regelmatige back-ups plannen om gemiste back-ups te voorkomen of te vertrouwen op oude back-ups die kunnen leiden tot gegevensverlies. Gebruik een back-upoplossing die geplande back-ups kan maken en het succes van de back-up kan controleren. Controleer en waarschuwing bij back-upgebeurtenissen om ervoor te zorgen dat geplande back-ups goed worden uitgevoerd.

• Governance voor dr-beheer voor gast-VM's: Niet-gedocumenteerde RPO-vereisten (Recovery Point Objective) en RTO-vereisten (Recovery Time Objective) kunnen leiden tot slechte klantervaringen en niet-voldaan operationele doelstellingen tijdens BCDR-gebeurtenissen (bedrijfscontinuïteit en herstel na noodherstel). Implementeert dr-orchestration om vertragingen in bedrijfscontinuïteit te voorkomen.

  Gebruik een dr-oplossing voor Azure VMware Solution die dr-orchestration biedt en detecteert en rapporteert over fouten of problemen met geslaagde continue replicatie naar een dr-site. Documenteren van RPO- en RTO-vereisten voor toepassingen die worden uitgevoerd in Azure en Azure VMware Solution. Kies een oplossingsontwerp voor herstel na noodherstel en bedrijfscontinuïteit die voldoet aan verifieerbare RPO- en RTO-vereisten via orchestration.

Naleving

Overweeg en implementeert de volgende aanbevelingen bij het plannen van Azure VMware Solution omgeving en naleving van gast-VM's.

• Microsoft Defender voor cloudbewaking: Gebruik de nalevingsweergave voor regelgeving in Defender for Cloud om de naleving van beveiligings- en regelgevingsbenchmarks te bewaken. Configureer Defender for Cloud-werkstroomautomatisering om eventuele afwijkingen van de verwachte nalevingsstatus bij te houden. Zie Overzicht van Microsoft Defender for Cloud voor meer informatie.

• Naleving van dr-beleid voor gast-VM's: Houd de naleving van dr-configuraties bij Azure VMware Solution gast-VM's om ervoor te zorgen dat hun bedrijfskritische toepassingen en workloads beschikbaar blijven tijdens een noodlot. Gebruik Azure Site Recovery of een Azure VMware Solution gecertificeerde BCDR-oplossing, die inrichting van replicatie op schaal, bewaking van de status van niet-naleving en automatisch herstel biedt.

• Naleving van back-ups van gast-VM's: Volg en controleer de Azure VMware Solution van back-ups van gast-VM's om ervoor te zorgen dat er een back-up van de VM's wordt gemaakt. Gebruik een Azure VMware Solution gecertificeerde partneroplossing die een perspectief op schaal, analyse van inzoomen en een interface biedt voor het bijhouden en bewaken van back-ups van gast-VM's.

• Land- of branchespecifieke naleving van regelgeving: Zorg Azure VMware Solution van gastworkloads voldoet aan land- en branchespecifieke regelgeving om kostbare juridische stappen en boetes te voorkomen. Meer informatie over het model voor gedeelde verantwoordelijkheid in de cloud voor naleving van regelgeving in de branche of regio. Gebruik de Service Trust Portal om de rapporten Azure VMware Solution auditrapporten van Azure weer te geven of te downloaden die ondersteuning bieden voor het hele nalevingsverhaal.

  Implementeert firewallcontrolerapportage op HTTP/S- en niet-HTTP/S-eindpunten om te voldoen aan wettelijke vereisten.

• Naleving van bedrijfsbeleid: De Azure VMware Solution van gastworkloads bewaken met bedrijfsbeleid om schendingen van bedrijfsregels en regelgeving te voorkomen. Gebruik Azure Arc servers en Azure Policy of een equivalente oplossing van derden. Evalueer en beheer regelmatig Azure VMware Solution gast-VM's en toepassingen voor naleving van regelgeving met toepasselijke interne en externe regelgeving.

• Vereisten voor gegevensretentie en -opslag: Azure VMware Solution biedt geen ondersteuning voor retentie of extractie van gegevens die zijn opgeslagen in clusters. Als u een cluster verwijderd, worden alle lopende workloads en onderdelen beëindigd en worden alle clustergegevens en configuratie-instellingen, inclusief openbare IP-adressen, vernietigd. De gegevens kunnen niet worden hersteld.

  Azure VMware Solution garandeert niet dat alle metagegevens en configuratiegegevens voor het uitvoeren van de service alleen aanwezig zijn in de geïmplementeerde geografische regio. Als voor uw vereisten voor gegevensstatus alle gegevens aanwezig moeten zijn in de geïmplementeerde regio, kunt u contact opnemen met Azure VMware Solution voor hulp.

• Gegevensverwerking: Lees en begrijp de juridische voorwaarden wanneer u zich registreert. Let op de VMware-overeenkomst voor gegevensverwerking voor Microsoft Azure VMware Solution-klantendie zijn overgedragen voor L3-ondersteuning. Als voor een ondersteuningsprobleem VMware-ondersteuning nodig is, deelt Microsoft professionele servicegegevens en bijbehorende persoonsgegevens met VMware. Vanaf dat moment fungeren Microsoft en VMware als twee onafhankelijke gegevensprocessors.

Volgende stappen

Dit artikel is gebaseerd op de Cloud Adoption Framework en richtlijnen voor architectuurontwerp op enterprise-schaal voor landingszone. Zie voor meer informatie:

• Principes voor een ontwerp op ondernemingsniveau
• Ontwerprichtlijnen op ondernemingsschaal

Het artikel maakt deel uit van een reeks die principes en aanbevelingen voor landingszone op ondernemingsschaal van toepassing is op Azure VMware Solution implementaties. Andere artikelen in de serie zijn onder andere:

• Identiteits- en toegangsbeheer op ondernemingsschaal voor Azure VMware Solution
• Netwerktopologie en connectiviteit op ondernemingsschaal voor Azure VMware Solution
• Automatisering van platformen op ondernemingsschaal en DevOps voor Azure VMware Solution
• Bedrijfscontinuïteit op ondernemingsschaal en herstel na nood Azure VMware Solution

Lees het volgende artikel in de reeks: