Рекомендации по безопасности для рабочих нагрузок Решение Azure VMware

  • Статья

В этой статье рассматривается область проектирования безопасности рабочей нагрузки Решение Azure VMware. В ходе обсуждения рассматриваются различные меры по обеспечению безопасности и защите рабочих нагрузок Решение Azure VMware. Эти меры помогают защитить инфраструктуру, данные и приложения. Этот подход к безопасности является целостным и соответствует основным приоритетам организации.

Для защиты Решение Azure VMware требуется модель общей ответственности, в которой Microsoft Azure и VMware отвечают за определенные аспекты безопасности. Чтобы реализовать соответствующие меры безопасности, убедитесь в четком понимании модели общей ответственности и совместной работы между ИТ-командами, VMware и Корпорацией Майкрософт.

управление соответствием требованиям и системой управления.

Влияние: безопасность, эффективность работы

Чтобы избежать удаления частного облака по ошибке, используйте блокировки ресурсов для защиты ресурсов от нежелательного удаления или изменения. Их можно задать на уровне подписки, группы ресурсов или на уровне ресурсов и блокировать удаление, изменения или оба.

Также важно обнаружить несоответствующие серверы. Для этого можно использовать Azure Arc. Azure Arc расширяет возможности и службы управления Azure в локальных или многооблачных средах. Azure Arc предоставляет одноуровневое представление для применения обновлений и исправлений, предоставляя централизованное управление серверами и управление ими. Результатом является согласованный интерфейс для управления компонентами из Azure, локальных систем и Решение Azure VMware.

Рекомендации
  • Поместите блокировку ресурсов в группу ресурсов, в которой размещено частное облако, чтобы предотвратить случайное удаление.
  • Настройте Решение Azure VMware гостевых виртуальных машин (виртуальных машин) в качестве серверов с поддержкой Azure Arc. Методы, которые можно использовать для подключения компьютеров, см. в параметрах развертывания подключенного агента машин Azure.
  • Разверните сертифицированное стороннее решение или Azure Arc для Решение Azure VMware (предварительная версия).
  • Используйте Политика Azure для серверов с поддержкой Azure Arc для аудита и применения элементов управления безопасностью на гостевых виртуальных машинах Решение Azure VMware.

Защита гостевой операционной системы

Влияние: безопасность

Если вы не исправите и регулярно обновляете операционную систему, вы делаете ее уязвимой для уязвимостей и ставите всю платформу под угрозу. При регулярном применении исправлений система обновляется. При использовании решения защиты конечных точек вы помогаете предотвратить использование распространенных векторов атак на операционную систему. Также важно регулярно выполнять проверки уязвимостей и оценки. Эти средства помогают выявлять и устранять слабые места и уязвимости системы безопасности.

Microsoft Defender для облака предлагает уникальные средства, обеспечивающие расширенную защиту от угроз в Решение Azure VMware и локальных виртуальных машинах, в том числе:

  • Мониторинг целостности файлов.
  • Обнаружение атак без файлов.
  • Оценка исправлений операционной системы.
  • Оценка неправильной настройки безопасности.
  • Оценка защиты конечных точек.
Рекомендации
  • Установите агент безопасности Azure на гостевых виртуальных машинах Решение Azure VMware через Azure Arc, чтобы серверы отслеживали их для конфигураций безопасности и уязвимостей.
  • Настройте компьютеры Azure Arc для автоматического создания связи с правилом сбора данных по умолчанию для Defender для облака.
  • В подписке, используемой для развертывания и запуска частного облака Решение Azure VMware, используйте план Defender для облака, включающий защиту сервера.
  • Если у вас есть гостевые виртуальные машины с расширенными преимуществами безопасности в частном облаке Решение Azure VMware, регулярно развертывайте обновления безопасности. Используйте средство управления активацией корпоративных лицензий для развертывания этих обновлений.

Шифрование данных

Влияние: безопасность, эффективность работы

Шифрование данных является важным аспектом защиты рабочей нагрузки Решение Azure VMware от несанкционированного доступа и сохранения целостности конфиденциальных данных. Шифрование включает в себя неактивные данные в системах и данных при передаче.

Рекомендации
  • Шифрование хранилищ данных VMware vSAN с помощью ключей, управляемых клиентом, для шифрования неактивных данных.
  • Используйте собственные средства шифрования, такие как BitLocker, для шифрования гостевых виртуальных машин.
  • Используйте собственные параметры шифрования баз данных для баз данных, работающих на гостевых виртуальных машинах частного облака Решение Azure VMware. Например, для SQL Server можно использовать прозрачное шифрование данных (TDE).
  • Отслеживайте действия базы данных для подозрительных действий. Вы можете использовать собственные средства мониторинга баз данных, такие как монитор активности SQL Server.

Реализация защиты сети

Влияние: эффективность работы

Целью сетевой безопасности является предотвращение несанкционированного доступа к компонентам Решение Azure VMware. Одним из способов достижения этой цели является реализация границ через сегментацию сети. Эта практика помогает изолировать приложения. В рамках сегментации виртуальная локальная сеть работает на уровне канала данных. Эта виртуальная локальная сеть обеспечивает физическое разделение виртуальных машин путем секционирования физической сети на логические, чтобы разделить трафик.

Затем сегменты создаются для обеспечения расширенных возможностей безопасности и маршрутизации. Например, уровень приложений, веб-сайтов и баз данных может содержать отдельные сегменты в трехуровневой архитектуре. Приложение может добавить уровень микро-сегментации с помощью правил безопасности, чтобы ограничить сетевое взаимодействие между виртуальными машинами в каждом сегменте.

Схема архитектуры, на которой показаны различные уровни и сегменты среды Решение Azure VMware.

Маршрутизаторы уровня 1 расположены перед сегментами. Эти маршрутизаторы предоставляют возможности маршрутизации в программно-определяемом центре обработки данных (SDDC). Можно развернуть несколько маршрутизаторов уровня 1 для разделения различных наборов сегментов или для достижения определенной маршрутизации. Например, предположим, что вы хотите ограничить трафик на востоке Запада, который передается из рабочей, разработки и тестирования рабочих нагрузок. Распределенные уровни 1 можно использовать для сегментирования и фильтрации трафика на основе определенных правил и политик.

Схема архитектуры с несколькими распределенными уровнями в среде Решение Azure VMware.

Рекомендации
  • Используйте сегменты сети для логического разделения и мониторинга компонентов.
  • Используйте возможности микро-сегментации, которые являются собственными для Центра обработки данных VMware NSX-T, чтобы ограничить сетевое взаимодействие между компонентами приложения.
  • Используйте централизованную (модуль) маршрутизации для защиты и оптимизации маршрутизации между сегментами.
  • Используйте ошеломляемые маршрутизаторы уровня 1, если сегментация сети зависит от политик безопасности организации или сети, требований к соответствию требованиям, бизнес-подразделениям, отделам или средам.

Использование системы обнаружения и предотвращения вторжений (IDPS)

Влияние: безопасность

Поставщик удостоверений позволяет обнаруживать и предотвращать сетевые атаки и вредоносные действия в среде Решение Azure VMware.

Рекомендации
  • Используйте распределенный брандмауэр Центра обработки данных VMware NSX-T для обнаружения вредоносных шаблонов и вредоносных программ на Востоке между компонентами Решение Azure VMware.
  • Используйте службу Azure, например Брандмауэр Azure или сертифицированную стороннюю NVA, которая выполняется в Azure или в Решение Azure VMware.

Использование управления доступом на основе ролей (RBAC) и многофакторной проверки подлинности

Влияние: безопасность, эффективность работы

Безопасность удостоверений помогает управлять доступом к Решение Azure VMware рабочим нагрузкам частного облака и приложениям, работающим на них. С помощью RBAC можно назначать роли и разрешения, соответствующие определенным пользователям и группам. Эти роли и разрешения предоставляются на основе принципа наименьших привилегий.

Вы можете применить многофакторную проверку подлинности для проверки подлинности пользователей, чтобы обеспечить дополнительный уровень безопасности для несанкционированного доступа. Различные многофакторные методы проверки подлинности, такие как мобильные push-уведомления, предлагают удобный пользовательский интерфейс, а также помогают обеспечить надежную проверку подлинности. Вы можете интегрировать Решение Azure VMware с идентификатором Microsoft Entra для централизованного управления пользователями и использования расширенных функций безопасности Microsoft Entra. Примеры функций включают управление привилегированными удостоверениями, многофакторную проверку подлинности и условный доступ.

Рекомендации
  • Используйте microsoft Entra управление привилегированными пользователями, чтобы разрешить доступ к операциям портал Azure и панели управления с привязкой времени. Используйте журнал аудита управления привилегированными пользователями для отслеживания операций, выполняемых с высоким уровнем привилегий учетных записей.
  • Уменьшите количество учетных записей Microsoft Entra, которые могут:
    • Доступ к портал Azure и API.
    • Перейдите в частное облако Решение Azure VMware.
    • Чтение учетных записей администрирования Центра обработки данных VMware vCenter Server и VMware NSX-T.
  • Смена учетных данных локальной cloudadmin учетной записи для VMware vCenter Server и Центра обработки данных VMware NSX-T, чтобы предотвратить неправильное использование и злоупотребление этими административными учетными записями. Используйте эти учетные записи только в сценариях разбиения . Создайте группы серверов и пользователей для VMware vCenter Server и назначьте им удостоверения из внешних источников удостоверений. Используйте эти группы и пользователей для определенных операций VMware vCenter Server и VMware NSX-T Data Center.
  • Используйте централизованный источник удостоверений для настройки служб проверки подлинности и авторизации для гостевых виртуальных машин и приложений.

Мониторинг безопасности и обнаружение угроз

Влияние: безопасность, эффективность работы

Мониторинг безопасности и обнаружение угроз включают обнаружение и реагирование на изменения состояния безопасности Решение Azure VMware рабочих нагрузок частного облака. Важно следовать отраслевым рекомендациям и соблюдать нормативные требования, в том числе:

  • Закон о переносимости медицинского страхования и подотчетности (HIPAA).
  • Стандарты безопасности данных индустрии оплаты (PCI DSS).

Вы можете использовать средство управления сведениями и событиями безопасности (SIEM) или Microsoft Sentinel для статистической обработки, мониторинга и анализа журналов безопасности и событий. Эта информация помогает обнаруживать потенциальные угрозы и реагировать на них. Регулярное проведение проверок аудита также помогает предотвратить угрозы. При регулярном мониторинге среды Решение Azure VMware вы находитесь в лучшем положении, чтобы обеспечить соответствие стандартам и политикам безопасности.

Рекомендации
  • Автоматизация ответов на рекомендации из Defender для облака с помощью следующих политик Azure:
    • Автоматизация рабочих процессов для оповещений системы безопасности
    • Автоматизация рабочих процессов для рекомендаций системы безопасности
    • Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям
  • Разверните Microsoft Sentinel и установите назначение в рабочую область Log Analytics, чтобы собирать журналы из Решение Azure VMware гостевых виртуальных машин частного облака.
  • Используйте соединитель данных для подключения Microsoft Sentinel и Defender для облака.
  • Автоматизация ответов на угрозы с помощью сборников схем Microsoft Sentinel и правил служба автоматизации Azure.

Создание базовых показателей безопасности

Влияние: безопасность

Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Этот базовый план безопасности применяет элементы управления, определенные microsoft cloud security benchmark версии 1.0, к Политика Azure.

Рекомендации

Следующие шаги

Теперь, когда вы изучили рекомендации по защите Решение Azure VMware, изучите процедуры оперативного управления для достижения бизнес-превосходства.

Операции

Используйте средство оценки для оценки вариантов проектирования.

Оценка