Azure VMware Çözümü için güvenlik, idare ve uyumluluk

Bu makalede, yaşam döngüsü boyunca Azure VMware Çözümü nasıl güvenli bir şekilde uygulanıp bütüncül bir şekilde yönetilmeye devam ettiği açıklanır. Makale, belirli tasarım öğelerini inceler ve Azure VMware Çözümü güvenlik, idare ve uyumluluk için hedeflenen öneriler sağlar.

Güvenlik

Azure VMware Çözümü içinde hangi sistemlerin, kullanıcıların veya cihazların işlev gerçekleştirebileceğine ve genel platformun güvenliğinin nasıl sağlanabileceğine karar verirken aşağıdaki faktörleri göz önünde bulundurun.

Kimlik güvenliği

• Kalıcı erişim sınırları: Azure VMware Çözümü, Azure VMware Çözümü özel bulutu barındıran Azure kaynak grubunda Katkıda Bulunan rolünü kullanır. Kasıtlı veya kasıtsız katkıda bulunan haklarının kötüye kullanılmasını önlemek için kalıcı erişimi sınırlayın. Yüksek ayrıcalıklı hesapların zaman kullanımını denetlemek ve sınırlamak için ayrıcalıklı bir hesap yönetimi çözümü kullanın.

  Microsoft Entra kullanıcı ve hizmet sorumlusu hesaplarını yönetmek için Azure Privileged Identity Management (PIM) içinde bir Microsoft Entra Id ayrıcalıklı erişim grubu oluşturun. Zamana bağlı, gerekçe tabanlı erişimle Azure VMware Çözümü kümesi oluşturmak ve yönetmek için bu grubu kullanın. Daha fazla bilgi için bkz . Ayrıcalıklı erişim grupları için uygun sahipleri ve üyeleri atama.

  Azure VMware Çözümü yönetim etkinlikleri, işlemler ve atamalar için Microsoft Entra PIM denetim geçmişi raporlarını kullanın. Uzun süreli denetim saklama gereksinimleri için azure Depolama raporları arşivleyebilirsiniz. Daha fazla bilgi için bkz . Privileged Identity Management'ta (PIM) ayrıcalıklı erişim grubu atamaları için denetim raporunu görüntüleme.

• Merkezi kimlik yönetimi: Azure VMware Çözümü, VMware özel bulut ortamını yapılandırmak için bulut yöneticisi ve ağ yöneticisi kimlik bilgileri sağlar. Bu yönetim hesapları, Azure VMware Çözümü rol tabanlı erişim denetimi (RBAC) erişimi olan tüm katkıda bulunanlar tarafından görülebilir.

  Yerleşik cloudadmin ve ağ yöneticisi kullanıcılarının VMware özel bulut denetim düzlemine erişmesini aşırı kullanımını veya kötüye kullanımını önlemek için rol ve hesap erişimini düzgün bir şekilde yönetmek için VMware özel bulut denetim düzlemi RBAC özelliklerini kullanın. En az ayrıcalıklı ilkeleri kullanarak kullanıcılar ve gruplar gibi birden çok hedeflenen kimlik nesnesi oluşturun. Azure VMware Çözümü tarafından sağlanan yönetici hesaplarına erişimi sınırlayın ve hesapları bir kesme camı yapılandırmasında yapılandırın. Yerleşik hesapları yalnızca diğer tüm yönetim hesapları kullanılamaz durumda olduğunda kullanın.

  Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services'ı VMware vCenter Server ve NSX-T Veri Merkezi denetim uygulamaları ve etki alanı hizmetleri yönetim kimlikleriyle tümleştirmek için sağlanan cloudadmin hesabı kullanın. Azure VMware Çözümü yönetimi ve işlemleri için etki alanı hizmetleri kaynaklı kullanıcıları ve grupları kullanın ve hesap paylaşımına izin verme. VMware özel bulut denetimi yüzeylerine ayrıntılı ayrıcalıklı erişim denetimi için vCenter Server özel rolleri oluşturun ve bunları AD DS gruplarıyla ilişkilendirin.

  vCenter Server ve NSX-T Veri Merkezi yönetim hesabı parolalarını döndürmek ve sıfırlamak için Azure VMware Çözümü seçeneklerini kullanabilirsiniz. Bu hesapların düzenli bir rotasyonunu yapılandırın ve kırılan yapılandırmasını her kullandığınızda hesapları döndürün. Daha fazla bilgi için bkz. Azure VMware Çözümü için cloudadmin kimlik bilgilerini döndürme.

• Konuk sanal makine (VM) kimlik yönetimi: Etkin uygulama yönetimi sağlamak ve iş verilerine ve süreçlerine yetkisiz erişimi önlemek için Azure VMware Çözümü konuklar için merkezi kimlik doğrulaması ve yetkilendirme sağlayın. Yaşam döngülerinin bir parçası olarak konukları ve uygulamaları Azure VMware Çözümü yönetin. Yönetim ve uygulama kullanımı için kimlik doğrulaması ve yetkilendirme amacıyla merkezi bir kimlik yönetimi çözümü kullanmak üzere konuk VM'leri yapılandırın.

  Azure VMware Çözümü konuk VM'ler ve uygulama kimliği yönetimi için merkezi bir AD DS veya Basit Dizin Erişim Protokolü (LDAP) hizmeti kullanın. Kesintiler sırasında işlevselliğin devam ettiğinden emin olmak için etki alanı hizmetleri mimarisinin kesinti senaryolarına uygun olduğundan emin olun. Gelişmiş yönetim ve sorunsuz bir konuk kimlik doğrulaması ve yetkilendirme deneyimi için AD DS uygulamasını Microsoft Entra Id ile Bağlan.

Ortam ve ağ güvenliği

• Yerel ağ güvenliği özellikleri: Trafik filtreleme, Open Web Application Security Project (OWASP) kuralı uyumluluğu, birleşik güvenlik duvarı yönetimi ve dağıtılmış hizmet reddi (DDoS) koruması gibi ağ güvenlik denetimleri uygulayın.

  • Trafik filtreleme, segmentler arasındaki trafiği denetler. Konuk ağ kesimleri arasındaki erişimi sınırlamak için NSX-T Veri Merkezi veya ağ sanal gereci (NVA) özelliklerini kullanarak konuk ağ trafiği filtreleme cihazları uygulayın.

  • OWASP Çekirdek Kural Kümesi uyumluluğu, Azure VMware Çözümü konuk web uygulaması iş yüklerini genel web saldırılarına karşı korur. Azure VMware Çözümü konuklarda barındırılan web uygulamalarını korumak için Azure Uygulaması lication Gateway Web Uygulaması Güvenlik Duvarı (WAF) OWASP özelliklerini kullanın. En son ilkeyi kullanarak önleme modunu etkinleştirin ve WAF günlüklerini günlüğe kaydetme stratejinizle tümleştirdiğinizden emin olun. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı'a giriş.

  • Birleşik güvenlik duvarı kuralı yönetimi , yinelenen veya eksik güvenlik duvarı kurallarının yetkisiz erişim riskini artırmasını önler. Güvenlik duvarı mimarisi, Azure VMware Çözümü için daha büyük ağ yönetimi ve ortam güvenliği duruşu sağlar. Trafik akışı, inceleme, merkezi kural yönetimi ve olay toplamaya olanak tanıyan durum bilgisi olan bir yönetilen güvenlik duvarı mimarisi kullanın.

  • DDoS koruması, Azure VMware Çözümü iş yüklerini mali kayıplara veya kötü kullanıcı deneyimine neden olan saldırılara karşı korur. Azure VMware Çözümü bağlantısı için ExpressRoute sonlandırma ağ geçidini barındıran Azure sanal ağına DDoS koruması uygulayın. DDoS korumasının otomatik olarak uygulanması için Azure İlkesi kullanmayı göz önünde bulundurun.

• Müşteri Tarafından Yönetilen Anahtarlarla VSAN Şifrelemesi (CMK), Azure VMware Çözümü VSAN veri depolarının müşteri tarafından sağlanan Azure Key Vault'ta depolanan bir şifreleme anahtarıyla şifrelenmesini sağlar. Anahtar döndürme ilkelerine uymak veya anahtar yaşam döngüsü olaylarını yönetmek gibi uyumluluk gereksinimlerini karşılamak için bu özelliği kullanabilirsiniz. Ayrıntılı uygulama kılavuzu ve sınırları için bkz. Azure VMware Çözümü bekleyen müşteri tarafından yönetilen anahtar şifrelemesini yapılandırma

• Denetimli vCenter Server erişimi: Azure VMware Çözümü vCenter Server'a denetimsiz erişim saldırı yüzeyi alanını artırabilir. vCenter Server ve NSX-T Manager Azure VMware Çözümü güvenli bir şekilde erişmek için ayrılmış bir ayrıcalıklı erişim iş istasyonu (PAW) kullanın. Bir kullanıcı grubu oluşturun ve bu kullanıcı grubuna tek tek kullanıcı hesabı ekleyin.

• Konuk iş yükleri için gelen İnternet isteği günlüğü: Konuk VM'lere gelen istekler için denetim günlüklerini tutan Azure Güvenlik Duvarı veya onaylı bir NVA kullanın. Uygun izleme ve uyarı için bu günlükleri güvenlik olayı ve olay yönetimi (SIEM) çözümünüzde içeri aktar. Mevcut SIEM çözümleriyle tümleştirmeden önce Azure olay bilgilerini ve günlüğe kaydetmeyi işlemek için Microsoft Sentinel'i kullanın. Daha fazla bilgi için bkz. Bulut için Microsoft Defender Azure VMware Çözümü ile tümleştirme.

• Giden İnternet bağlantısı güvenliği için oturum izleme: Beklenmeyen veya şüpheli giden İnternet etkinliğini belirlemek için Azure VMware Çözümü giden İnternet bağlantısının kural denetimini veya oturum denetimini kullanın. Maksimum güvenlik sağlamak için giden ağ incelemesinin ne zaman ve nereye yerleştirileceğine karar verin. Daha fazla bilgi için bkz. Azure VMware Çözümü için kurumsal ölçekli ağ topolojisi ve bağlantısı.

  Azure VMware Çözümü varsayılan İnternet bağlantısına güvenmek yerine giden İnternet bağlantısı için özel güvenlik duvarı, NVA ve sanal geniş alan ağı (Sanal WAN) hizmetlerini kullanın. Daha fazla bilgi ve tasarım önerileri için bkz. Azure Sanal Ağ'da ağ sanal gereci ile trafiği Azure VMware Çözümü inceleme.

  Çıkış trafiğini Azure Güvenlik Duvarı ile filtrelerken tanımlama için, gibi hizmet etiketlerini Virtual Network ve tam etki alanı adı (FQDN) etiketlerini kullanın. Diğer NVA'lar için benzer bir özellik kullanın.

• Merkezi olarak yönetilen güvenli yedeklemeler: Ortamı kurtarmak için gereken yedekleme verilerinin kasıtlı veya yanlışlıkla silinmesini önlemeye yardımcı olmak için RBAC ve gecikmeli silme özelliklerini kullanın. Şifreleme anahtarlarını yönetmek için Azure Key Vault'ı kullanın ve silme riskini en aza indirmek için yedekleme veri depolama konumuna erişimi kısıtlayın.

  Azure Backup'ı veya aktarım sırasında ve bekleme durumunda şifreleme sağlayan Azure VMware Çözümü için doğrulanmış başka bir yedekleme teknolojisi kullanın. Azure Kurtarma Hizmetleri kasalarını kullanırken, yanlışlıkla veya kasıtlı yedekleme silmeye karşı koruma sağlamak için kaynak kilitlerini ve geçici silme özelliklerini kullanın. Daha fazla bilgi için bkz. Azure VMware Çözümü için kurumsal ölçekli iş sürekliliği ve olağanüstü durum kurtarma.

Konuk uygulama ve VM güvenliği

• Gelişmiş tehdit algılama: Çeşitli güvenlik risklerini ve veri ihlallerini önlemek için uç nokta güvenlik korumasını, güvenlik uyarısı yapılandırmasını, değişiklik denetimi işlemlerini ve güvenlik açığı değerlendirmelerini kullanın. Bulut için Microsoft Defender tehdit yönetimi, uç nokta koruması, güvenlik uyarısı, işletim sistemi düzeltme eki uygulama ve mevzuat uyumluluğu zorlaması için merkezi bir görünüm için kullanabilirsiniz. Daha fazla bilgi için bkz. Bulut için Microsoft Defender Azure VMware Çözümü ile tümleştirme.

  Konuk VM'lerinizi eklemek için sunucular için Azure Arc'ı kullanın. Eklendikten sonra günlükleri ve ölçümleri toplamak ve panolar ve uyarılar oluşturmak için Azure Log Analytics, Azure İzleyici ve Bulut için Microsoft Defender kullanın. VM konuklarıyla ilişkili tehditleri korumak ve uyarı vermek için Microsoft Defender Güvenlik Merkezi kullanın. Daha fazla bilgi için bkz. azure yerel hizmetlerini Azure VMware Çözümü'de tümleştirme ve dağıtma.

  Geçişe başlamadan önce veya yeni konuk VM'leri dağıtırken VMware vSphere VM'lerinde Log Analytics aracısını dağıtın. MMA aracısını ölçümleri ve günlükleri bir Azure Log Analytics çalışma alanına gönderecek şekilde yapılandırın. Geçiş sonrasında Azure VMware Çözümü VM'sinin Azure İzleyici ve Bulut için Microsoft Defender uyarı bildirdiğini doğrulayın.

  Alternatif olarak, VM güvenlik duruşlarını değerlendirmek ve İnternet Güvenliği Merkezi (CIS) gereksinimlerine karşı mevzuat uyumluluğu sağlamak için Azure VMware Çözümü sertifikalı bir iş ortağının çözümünü kullanın.

• Güvenlik analizi: Siber saldırıları algılamak için Azure VMware Çözümü VM'lerden ve diğer kaynaklardan uyumlu güvenlik olayı toplama, bağıntı ve analiz kullanın. Microsoft Sentinel için veri kaynağı olarak Bulut için Microsoft Defender kullanın. Depolama, Azure Resource Manager, Etki Alanı Adı Sistemi (DNS) ve Azure VMware Çözümü dağıtımıyla ilgili diğer Azure hizmetleri için Microsoft Defender'ı yapılandırın. Sertifikalı bir iş ortağından Azure VMware Çözümü veri bağlayıcısı kullanmayı göz önünde bulundurun.

• Konuk VM şifrelemesi: Azure VMware Çözümü, temel alınan vSAN depolama platformu için bekleyen veriler için şifreleme sağlar. Dosya sistemi erişimi olan bazı iş yükleri ve ortamlar, verileri korumak için daha fazla şifreleme gerektirebilir. Bu gibi durumlarda konuk VM işletim sistemi (OS) ve verilerin şifrelenmesini etkinleştirmeyi göz önünde bulundurun. Konuk VM'leri şifrelemek için yerel konuk işletim sistemi şifreleme araçlarını kullanın. Şifreleme anahtarlarını depolamak ve korumak için Azure Key Vault'ı kullanın.

• Veritabanı şifrelemesi ve etkinlik izleme: Veri ihlali durumunda kolay veri erişimini önlemek için sql ve diğer veritabanlarını Azure VMware Çözümü şifreleyin. Veritabanı iş yükleri için saydam veri şifrelemesi (TDE) veya eşdeğer bir yerel veritabanı özelliği gibi bekleyen şifreleme yöntemlerini kullanın. İş yüklerinin şifrelenmiş diskler kullandığından ve hassas gizli dizilerin kaynak grubuna ayrılmış bir anahtar kasasında depolandığından emin olun.

  Saydam veri şifrelemesi (TDE) için KAG gibi kendi anahtarını getir (BYOK) senaryolarında müşteri tarafından yönetilen anahtarlar Azure SQL Veritabanı için Azure Key Vault'u kullanın. Mümkün olduğunda anahtar yönetimi ve veri yönetimi görevlerini birbirinden ayırın. SQL Server 2019'un Key Vault'un nasıl kullanıldığına ilişkin bir örnek için bkz . Güvenli kuşatmalarla Always Encrypted ile Azure Key Vault kullanma.

  Insider saldırısı riskini azaltmak için olağan dışı veritabanı etkinliklerini izleyin. Etkinlik İzleyicisi veya Azure VMware Çözümü sertifikalı iş ortağı çözümü gibi yerel veritabanı izlemesini kullanın. Gelişmiş denetim denetimleri için Azure veritabanı hizmetlerini kullanmayı göz önünde bulundurun.

• Genişletilmiş Güvenlik Güncelleştirmesi (ESU) anahtarları: güvenlik güncelleştirmelerini Azure VMware Çözümü VM'lere göndermek ve yüklemek için ESU anahtarlarını sağlayın ve yapılandırın. Azure VMware Çözümü kümesi için ESU anahtarlarını yapılandırmak için Toplu Etkinleştirme Yönetim Aracı kullanın. Daha fazla bilgi için bkz. Uygun Windows cihazları için Genişletilmiş Güvenlik Güncelleştirmeler alma.

• Kod güvenliği: Azure VMware Çözümü iş yüklerindeki güvenlik açıklarını önlemek için DevOps iş akışlarında güvenlik önlemi uygulayın. Open Authorization (OAuth) ve OpenID Bağlan gibi modern kimlik doğrulaması ve yetkilendirme iş akışlarını kullanın.

  Kod tabanının bütünlüğünü sağlayan bir sürüme sahip depo için Azure VMware Çözümü üzerinde GitHub Enterprise Server kullanın. Derleme ve çalıştırma aracılarını Azure VMware Çözümü veya güvenli bir Azure ortamında dağıtın.

İdare

Ortam ve konuk VM idaresini planlarken aşağıdaki önerileri uygulamayı göz önünde bulundurun.

Ortam idaresi

• vSAN depolama alanı: Yetersiz vSAN depolama alanı SLA garantilerini etkileyebilir. Azure VMware Çözümü için SLA'daki müşteri ve iş ortağı sorumluluklarını gözden geçirin ve anlayın. Kullanılan Veri Deposu Disk Yüzdesi ölçümündeki uyarılar için uygun öncelikleri ve sahipleri atayın. Daha fazla bilgi ve rehberlik için bkz. Azure VMware Çözümü'de uyarıları yapılandırma ve ölçümlerle çalışma.

• VM şablonu depolama ilkesi: Varsayılan kalın sağlanmış depolama ilkesi, çok fazla vSAN depolama alanı ayırmaya neden olabilir. Alan ayırmalarının gerekli olmadığı, ölçülü sağlanan bir depolama ilkesi kullanan VM şablonları oluşturun. Önceden tam depolama alanı ayırmamış VM'ler daha verimli depolama kaynakları sağlar.

• Konak kotası idaresi: Konak kotalarının yetersiz olması, büyüme veya olağanüstü durum kurtarma (DR) gereksinimleri için daha fazla konak kapasitesi elde etmede 5-7 günlük gecikmelere neden olabilir. Konak kotası istenirken çözüm tasarımında büyüme ve DR gereksinimlerini faktöre alın ve genişletme istekleri için uygun sağlama süresini sağlamak üzere ortam büyümesi ve maksimumlarını düzenli aralıklarla gözden geçirin. Örneğin, üç düğümlü bir Azure VMware Çözümü kümesinin DR için başka bir üç düğüme ihtiyacı varsa, altı düğümden oluşan bir konak kotası isteyin. Konak kotası istekleri ek maliyet doğurmaz.

• Tolere etme hatası (FTT) idaresi: Azure VMware Çözümü için SLA'yı korumak için küme boyutuna uygun FTT ayarları oluşturun. SLA uyumluluğunu sağlamak için küme boyutunu değiştirirken vSAN depolama ilkesini uygun FTT ayarına ayarlayın.

• ESXi erişimi: Azure VMware Çözümü ESXi konaklarına erişim sınırlıdır. ESXi ana bilgisayar erişimi gerektiren üçüncü taraf yazılımlar çalışmayabilir. Kaynak ortamda ESXi konağına erişmesi gereken Azure VMware Çözümü desteklenen üçüncü taraf yazılımları belirleyin. ESXi ana bilgisayar erişimi gerektiren durumlar için Azure portalındaki Azure VMware Çözümü destek isteği işlemini tanıyın ve kullanın.

• ESXi konak yoğunluğu ve verimliliği: İyi bir yatırım getirisi (ROI) için ESXi konak kullanımını anlayın. Azure VMware Çözümü yatırımlarını en üst düzeye çıkarmak ve bu eşiğe karşı genel düğüm kullanımını izlemek için konuk VM'lerin iyi durumdaki yoğunluğunun tanımlanması. İzleme şunu gösterirken Azure VMware Çözümü ortamını yeniden boyutlandırın ve düğüm eklemeleri için yeterli sağlama süresine izin verin.

• Ağ izleme: Kötü amaçlı veya bilinmeyen trafik veya güvenliği aşılmış ağlar için iç ağ trafiğini izleyin. Azure VMware Çözümü ağ işlemleriyle ilgili ayrıntılı içgörüler için vRealize Network Insight (vRNI) ve vRealize Operations (vROps) uygulayın.

• Güvenlik, planlı bakım ve Hizmet Durumu uyarıları: Kesintileri ve sorunları uygun şekilde planlamak ve yanıtlamak için hizmet durumunu anlayın ve görüntüleyin. Azure VMware Çözümü hizmet sorunları, planlı bakım, sistem durumu önerileri ve güvenlik önerileri için Hizmet Durumu uyarılarını yapılandırın. Microsoft tarafından önerilen bakım pencerelerinin dışında Azure VMware Çözümü iş yükü etkinliklerini zamanlayın ve planlayın.

• Maliyet idaresi: İyi finansal sorumluluk ve bütçe ayırma için maliyetleri izleyin. Maliyet izleme, maliyet ayırma, bütçe oluşturma, maliyet uyarıları ve iyi finansal idare için bir maliyet yönetimi çözümü kullanın. Azure faturalı ücretleri için Azure Maliyet Yönetimi + Faturalama araçlarını kullanarak bütçe oluşturun, uyarılar oluşturun, maliyetleri ayırın ve finansal paydaşlar için raporlar oluşturun.

• Azure hizmetleri tümleştirmesi: Azure hizmet olarak platformunun (PaaS) genel uç noktasını kullanmaktan kaçının. Bu, trafiğin istenen ağ sınırlarından çıkmasına neden olabilir. Trafiğin tanımlı bir sanal ağ sınırı içinde kaldığından emin olmak için Azure SQL Veritabanı ve Azure Blob Depolama gibi Azure hizmetlerine erişmek için özel bir uç nokta kullanın.

İş yükü uygulaması ve VM idaresi

Azure VMware Çözümü iş yükü VM'leri için güvenlik duruşu farkındalığı, siber güvenlik hazırlığını ve yanıtını anlamanıza yardımcı olur ve konuk VM'ler ve uygulamalar için eksiksiz güvenlik kapsamı sağlar.

• Azure hizmetlerini çalıştırmak ve uygulama VM iş yüklerini Azure VMware Çözümü için Bulut için Microsoft Defender etkinleştirin.

• Azure Arc özellikli sunucuları kullanarak azure yerel kaynak araçlarını çoğaltan araçlarla Azure VMware Çözümü konuk VM'leri yönetme:

  • Konuk yapılandırmalarını ve ayarlarını idare etmek, raporlamak ve denetlemek için Azure İlkesi
  • Dağıtımları basitleştirmek için Durum Yapılandırması'nı ve desteklenen uzantıları Azure Otomasyonu
  • Azure VMware Çözümü uygulama VM'sinin güncelleştirmelerini yönetmek için Güncelleştirme Yönetimi
  • uygulama VM envanteri Azure VMware Çözümü yönetmek ve düzenlemek için etiketler

  Daha fazla bilgi için bkz . Azure Arc özellikli sunuculara genel bakış.

• İş yükü VM etki alanı idaresi: Hataya açık el ile işlemlerden kaçınmak için veya eşdeğer otomasyon seçenekleri gibi JsonADDomainExtension uzantıları kullanarak Azure VMware Çözümü konuk VM'lerin bir Active Directory etki alanına otomatik olarak katılmasını sağlayın.

• İş yükü VM'sini günlüğe kaydetme ve izleme: İşletim sistemi ve uygulama sorunlarının hatalarını daha kolay ayıklamak için tanılama ölçümlerini ve iş yükü VM'lerinde günlüğe kaydetmeyi etkinleştirin. Hata ayıklama ve sorun giderme için hızlı yanıt süreleri sağlayan günlük toplama ve sorgulama özelliklerini uygulayın. Performans sorunlarını ve operasyonel sorunları anında algılamak için iş yükü VM'lerinde neredeyse gerçek zamanlı VM içgörülerini etkinleştirin. İş yükü VM'lerinin sınır koşullarını yakalamak için günlük uyarılarını yapılandırın.

  Geçiş öncesinde veya Azure VMware Çözümü ortamında yeni iş yükü VM'leri dağıtırken VMware vSphere iş yükü VM'lerinde Log Analytics aracısını (MMA) dağıtın. MMA'yı bir Azure Log Analytics çalışma alanıyla yapılandırın ve Azure Log Analytics çalışma alanını Azure Otomasyonu ile bağlayın. Geçiş sonrasında Azure İzleyici ile geçiş öncesinde dağıtılan tüm iş yükü VM MMA aracılarının durumunu doğrulayın.

• İş yükü VM güncelleştirme idaresi: Gecikmeli veya tamamlanmamış güncelleştirmeler veya düzeltme eki uygulama, iş yükü VM'lerinin ve uygulamalarının Azure VMware Çözümü açığa çıkarma veya tehlikeye atılmasıyla sonuçlanabilecek en önemli saldırı vektörleridir. Konuk VM'lerde yüklemelerin zamanında güncelleştirildiğinden emin olun.

• İş yükü VM yedekleme idaresi: Eksik yedeklemeleri önlemek için normal yedeklemeler zamanlayın veya veri kaybına neden olabilecek eski yedeklemelere güvenin. Zamanlanmış yedeklemeler alabilen ve yedekleme başarılarını izleyebilen bir yedekleme çözümü kullanın. Zamanlanmış yedeklemelerin başarıyla çalıştığından emin olmak için yedekleme olaylarını izleyin ve uyarın.

• İş yükü VM DR idaresi: Belgelenmemiş kurtarma noktası hedefi (RPO) ve kurtarma süresi hedefi (RTO) gereksinimleri, iş sürekliliği ve olağanüstü durum kurtarma (BCDR) olayları sırasında kötü müşteri deneyimlerine ve karşılanmamış operasyonel hedeflere neden olabilir. İş sürekliliğindeki gecikmeleri önlemek için DR düzenlemesi uygulayın.

  DR düzenlemesi sağlayan ve dr sitesine başarılı bir sürekli çoğaltma ile ilgili hataları veya sorunları algılayan ve raporlayan Azure VMware Çözümü için bir DR çözümü kullanın. Azure'da çalışan ve Azure VMware Çözümü uygulamalar için RPO ve RTO gereksinimlerini belgeleyin. Düzenleme yoluyla doğrulanabilir RPO ve RTO gereksinimlerini karşılayan bir olağanüstü durum kurtarma ve iş sürekliliği çözümü tasarımı seçin.

Uyumluluk

Azure VMware Çözümü ortamı ve iş yükü VM uyumluluğunu planlarken aşağıdaki önerileri göz önünde bulundurun ve uygulayın.

• Bulut için Microsoft Defender izleme: Güvenlik ve mevzuat karşılaştırmalarıyla uyumluluğu izlemek için Bulut için Defender mevzuat uyumluluğu görünümünü kullanın. beklenen uyumluluk duruşundan sapmaları izlemek için Bulut için Defender iş akışı otomasyonunu yapılandırın. Daha fazla bilgi için bkz. Bulut için Microsoft Defender genel bakış.

• İş yükü VM DR uyumluluğu: Görev açısından kritik uygulamalarının olağanüstü durum sırasında kullanılabilir durumda kalmasını sağlamak için Azure VMware Çözümü iş yükü VM'leri için DR yapılandırma uyumluluğunu izleyin. Azure Site Recovery'yi veya büyük ölçekte çoğaltma sağlama, uyumsuzluk durumu izleme ve otomatik düzeltme sağlayan Azure VMware Çözümü sertifikalı bir BCDR çözümü kullanın.

• İş yükü VM yedekleme uyumluluğu: VM'lerin yedeklenmesini sağlamak için Azure VMware Çözümü iş yükü VM yedekleme uyumluluğunu izleyin ve izleyin. İş yükü VM yedeklemesini izlemek ve izlemek için ölçek düzeyinde perspektif, detaya gitme analizi ve eyleme dönüştürülebilir arabirim sağlayan Azure VMware Çözümü sertifikalı bir iş ortağı çözümü kullanın.

• Ülkeye/bölgeye veya sektöre özgü uyumluluk: Yüksek maliyetli yasal eylemlerden ve cezalardan kaçınmak için, Azure VMware Çözümü iş yüklerinin ülkeye/bölgeye ve sektöre özgü düzenlemelere uygun olduğundan emin olun. Sektör veya bölge tabanlı mevzuat uyumluluğu için bulut paylaşılan sorumluluk modelini anlama. Uyumluluk hikayesinin tamamını destekleyen Azure VMware Çözümü ve Azure Denetim raporlarını görüntülemek veya indirmek için Hizmet Güveni Portalı'nı kullanın.

  Mevzuat gereksinimlerine uymak için HTTP/S ve HTTP/S olmayan uç noktalarda güvenlik duvarı denetim raporlaması uygulayın.

• Şirket ilkesi uyumluluğu: Şirket kurallarının ve düzenlemelerinin ihlal edilmesini önlemek için şirket ilkeleriyle Azure VMware Çözümü iş yükü VM uyumluluğunu izleyin. Azure Arc özellikli sunucuları ve Azure İlkesi veya eşdeğer bir üçüncü taraf çözümü kullanın. geçerli iç ve dış düzenlemelere mevzuat uyumluluğu için Azure VMware Çözümü iş yükü VM'lerini ve uygulamalarını düzenli olarak değerlendirin ve yönetin.

• Veri saklama ve yerleşim gereksinimleri: Azure VMware Çözümü kümelerde depolanan verilerin elde tutulmasını veya ayıklanması desteklenmez. Kümenin silinmesi, çalışan tüm iş yüklerini ve bileşenleri sonlandırır ve genel IP adresleri de dahil olmak üzere tüm küme verilerini ve yapılandırma ayarlarını yok eder. Bu veriler kurtarılamaz.

  Azure VMware Çözümü, hizmeti çalıştırmaya yönelik tüm meta veriler ve yapılandırma verilerinin yalnızca dağıtılan coğrafi bölgede mevcut olduğunu garanti etmez. Veri yerleşimi gereksinimleriniz tüm verilerin dağıtılan bölgede mevcut olmasını gerektiriyorsa yardım için Azure VMware Çözümü desteğe başvurun.

• Veri işleme: Kaydolduğunuzda yasal koşulları okuyun ve anlayın. L3 desteği için aktarılan Microsoft Azure VMware Çözümü müşterileri için VMware veri işleme sözleşmesine dikkat edin. Bir destek sorunu VMware desteğine ihtiyaç duyuyorsa, Microsoft profesyonel hizmet verilerini ve ilişkili kişisel verileri VMware ile paylaşır. Bu noktadan itibaren, Microsoft ve VMware iki bağımsız veri işlemcisi olarak hareket eder.

Sonraki adımlar

Bu makale, Bulut Benimseme Çerçevesi kurumsal ölçekli giriş bölgesi mimari tasarım ilkelerini ve yönergelerini temel alır. Daha fazla bilgi için bkz.

• Azure giriş bölgesi tasarım ilkeleri
• Azure giriş bölgesi tasarım yönergeleri

Makale, Azure VMware Çözümü dağıtımlarına kurumsal ölçekli giriş bölgesi ilkelerini ve önerilerini uygulayan bir serinin parçasıdır. Serideki diğer makaleler şunlardır:

• Azure VMware Çözümü için kurumsal ölçekli kimlik ve erişim yönetimi
• Azure VMware Çözümü için kurumsal ölçekli ağ topolojisi ve bağlantısı
• Azure VMware Çözümü için kurumsal ölçekli platform otomasyonu ve DevOps
• Azure VMware Çözümü için kurumsal ölçekli iş sürekliliği ve olağanüstü durum kurtarma

Serinin sonraki makalesini okuyun:

Azure VMware Çözümü için kurumsal ölçekli yönetim ve izleme