Come proteggere l'ambiente cloud privato

  • Articolo

Definire il controllo degli accessi in base al ruolo per il servizio CloudSimple, il portale CloudSimple e il cloud privato da Azure. Gli utenti, i gruppi e i ruoli per l'accesso a vCenter del cloud privato vengono specificati tramite VMware SSO.

Controllo degli accessi in base al ruolo di Azure per il servizio CloudSimple

La creazione del servizio CloudSimple richiede il ruolo Proprietario o Collaboratore nella sottoscrizione di Azure. Per impostazione predefinita, tutti i proprietari e i collaboratori possono creare un servizio CloudSimple e accedere al portale cloudSimple per creare e gestire cloud privati. È possibile creare un solo servizio CloudSimple per area. Per limitare l'accesso a specifici amministratori, seguire la procedura seguente.

  1. Creare un servizio CloudSimple in un nuovo gruppo di risorse in portale di Azure
  2. Specificare il controllo degli accessi in base al ruolo di Azure per il gruppo di risorse.
  3. Acquistare nodi e usare lo stesso gruppo di risorse del servizio CloudSimple

Solo gli utenti con privilegi di proprietario o collaboratore nel gruppo di risorse vedranno il servizio CloudSimple e avviano il portale CloudSimple.

Per altre informazioni, vedere Informazioni sul controllo degli accessi in base al ruolo di Azure.

Controllo degli accessi in base al ruolo per vCenter del cloud privato

Quando viene creato un cloud privato, viene creato un utente CloudOwner@cloudsimple.local predefinito nel dominio SSO di vCenter. L'utente CloudOwner dispone dei privilegi per la gestione di vCenter. Altre origini di identità vengono aggiunte all'accesso SSO di vCenter per concedere l'accesso a utenti diversi. I ruoli e i gruppi predefiniti vengono configurati nel vCenter che può essere usato per aggiungere altri utenti.

Aggiungere nuovi utenti a vCenter

  1. Inoltrare i privilegi per CloudOwner@cloudsimple.local l'utente nel cloud privato.
  2. Accedere a vCenter usando CloudOwner@cloudsimple.local
  3. Aggiungere utenti a Sign-On singolo di vCenter.
  4. Aggiungere utenti ai gruppi di accesso Single Sign-On di vCenter.

Per altre informazioni sui ruoli e i gruppi predefiniti, vedere l'articolo Modello di autorizzazione cloud privato CloudSimple di VMware vCenter .

Aggiungere nuove origini di identità

È possibile aggiungere altri provider di identità per il dominio SSO di vCenter del cloud privato. I provider di identità forniscono l'autenticazione e i gruppi SSO di vCenter forniscono l'autorizzazione per gli utenti.

  1. Inoltrare i privilegi per CloudOwner@cloudsimple.local l'utente nel cloud privato.
  2. Accedere a vCenter usando CloudOwner@cloudsimple.local
  3. Aggiungere utenti dal provider di identità ai gruppi single sign-on di vCenter.

Proteggere la rete nell'ambiente cloud privato

La sicurezza di rete dell'ambiente cloud privato è controllata proteggendo l'accesso alla rete e controllando il traffico di rete tra le risorse.

Accesso alle risorse del cloud privato

L'accesso a vCenter e alle risorse del cloud privato avvierà tramite una connessione di rete sicura:

  • Connessione ExpressRoute. ExpressRoute offre una connessione sicura a larghezza di banda elevata e bassa latenza dall'ambiente locale. L'uso della connessione consente ai servizi, alle reti e agli utenti locali di accedere al cloud privato vCenter.
  • Gateway VPN da sito a sito. Vpn da sito a sito consente l'accesso alle risorse del cloud privato dall'ambiente locale tramite un tunnel sicuro. Specificare le reti locali che possono inviare e ricevere il traffico di rete al cloud privato.
  • Gateway VPN da punto a sito. Usare la connessione VPN da punto a sito per l'accesso remoto rapido al cloud privato vCenter.

Controllare il traffico di rete nel cloud privato

Le tabelle e le regole del firewall controllano il traffico di rete nel cloud privato. La tabella firewall consente di controllare il traffico di rete tra una rete di origine o un indirizzo IP e una rete o un indirizzo IP di destinazione in base alla combinazione di regole definite nella tabella.

  1. Creare una tabella del firewall.
  2. Aggiungere regole alla tabella del firewall.
  3. Collegare una tabella del firewall a una VLAN/subnet.