Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo discute a área de design de segurança de uma carga de trabalho da Solução VMware no Azure. A discussão aborda várias medidas para ajudar a proteger e proteger cargas de trabalho da Solução VMware no Azure. Essas medidas ajudam a proteger a infraestrutura, os dados e os aplicativos. Essa abordagem de segurança é holística e está alinhada com as principais prioridades de uma organização.
Proteger a Solução VMware no Azure requer um modelo de responsabilidade compartilhada, em que o Microsoft Azure e o VMware são responsáveis por determinados aspectos de segurança. Para implementar as medidas de segurança apropriadas, garanta uma compreensão clara do modelo de responsabilidade compartilhada e da colaboração entre as equipes de TI, o VMware e a Microsoft.
Gerenciar conformidade e governança
Impacto: Segurança, Excelência Operacional
Para evitar a exclusão da nuvem privada por engano, use bloqueios de recursos para proteger os recursos contra exclusão ou alteração indesejadas. Eles podem ser configurados na assinatura, no grupo de recursos ou no nível de recurso, e podem restringir exclusões, modificações ou ambos.
Também é importante detectar servidores não compatíveis. Você pode usar o Azure Arc para essa finalidade. O Azure Arc estende os recursos e serviços de gerenciamento do Azure para ambientes locais ou multinuvem. O Azure Arc oferece uma exibição de painel único para aplicar atualizações e hotfixes fornecendo gerenciamento e governança centralizados de servidores. O resultado é uma experiência consistente para gerenciar componentes do Azure, sistemas locais e solução VMware no Azure.
Recommendations
- Coloque um bloqueio de recurso no grupo de recursos que hospeda a nuvem privada para evitar a exclusão acidental.
- Configure as máquinas virtuais (VMs) convidadas da Solução Azure VMware como servidores habilitados com Azure Arc. Para métodos que você pode usar para conectar computadores, consulte as opções de implantação do agente de computador conectado do Azure.
- Implantar uma solução de terceiros certificada ou Azure Arc para a Solução VMware no Azure (versão prévia).
- Use a Política do Azure nos servidores habilitados pelo Azure Arc para auditar e impor controles de segurança em máquinas virtuais (VMs) convidadas da Solução VMware do Azure.
Proteger o sistema operacional convidado
Impacto: Segurança
Se você não corrigir e atualizar regularmente seu sistema operacional, você o tornará suscetível a vulnerabilidades e colocará toda a plataforma em risco. Ao aplicar patches regularmente, você mantém seu sistema atualizado. Ao usar uma solução de proteção de ponto de extremidade, você ajuda a impedir que vetores de ataque comuns direcionem seu sistema operacional. Também é importante executar regularmente verificações e avaliações de vulnerabilidades. Essas ferramentas ajudam a identificar e corrigir vulnerabilidades e pontos fracos de segurança.
O Microsoft Defender para Nuvem oferece ferramentas exclusivas que fornecem proteção avançada contra ameaças na Solução VMware no Azure e VMs locais, incluindo:
- Monitoramento de integridade do arquivo.
- Detecção de ataque sem arquivo.
- Avaliação de patch do sistema operacional.
- Avaliação de configuração incorreta de segurança.
- Avaliação de proteção de ponto de extremidade.
Recommendations
- Instale um agente de segurança do Azure em VMs convidadas da Solução VMware no Azure por meio do Azure Arc para servidores para monitorá-las em busca de configurações e vulnerabilidades de segurança.
- Configure computadores do Azure Arc para criar automaticamente uma associação com a regra de coleta de dados padrão para o Defender para Nuvem.
- Na assinatura que você usa para implantar e executar a nuvem privada da Solução VMware no Azure, use um plano do Defender para Nuvem que inclua a proteção do servidor.
- Se você tiver VMs convidadas com benefícios de segurança estendidos na nuvem privada da Solução VMware no Azure, implante atualizações de segurança regularmente. Use a Ferramenta de Gerenciamento de Ativação de Volume para implantar essas atualizações.
Criptografar dados
Impacto: Segurança, Excelência Operacional
A criptografia de dados é um aspecto importante para proteger sua carga de trabalho da Solução VMware no Azure contra acesso não autorizado e preservar a integridade de dados confidenciais. A criptografia inclui dados em repouso nos sistemas e dados em trânsito.
Recommendations
- Criptografe armazenamentos de dados VMware vSAN com chaves gerenciadas pelo cliente para criptografar dados em repouso.
- Use ferramentas de criptografia nativas, como o BitLocker, para criptografar VMs convidadas.
- Use opções nativas de criptografia de banco de dados para bancos de dados executados em VMs convidadas da nuvem privada da Solução VMware no Azure. Por exemplo, você pode usar tde (transparent data encryption) para SQL Server.
- Monitore as atividades do banco de dados para atividades suspeitas. Você pode usar ferramentas nativas de monitoramento de banco de dados, como o SQL Server Activity Monitor.
Implementar a segurança de rede
Impacto: Excelência operacional
Uma meta de segurança de rede é impedir o acesso não autorizado aos componentes da Solução VMware no Azure. Um método para atingir essa meta é implementar limites por meio da segmentação de rede. Essa prática ajuda a isolar seus aplicativos. Como parte da segmentação, uma LAN virtual opera em sua camada de vínculo de dados. Essa LAN virtual fornece a separação física das suas VMs particionando a rede física em redes lógicas para separar o tráfego.
Os segmentos são criados para fornecer recursos de segurança e roteamento avançados. Por exemplo, o aplicativo, a Web e a camada de banco de dados podem ter segmentos separados em uma arquitetura de três camadas. O aplicativo pode adicionar um nível de micro segmentação usando regras de segurança para restringir a comunicação de rede entre as VMs em cada segmento.
Os roteadores de camada 1 são posicionados na frente dos segmentos. Esses roteadores fornecem recursos de roteamento dentro do SDDC (datacenter definido pelo software). Você pode implantar vários roteadores de camada 1 para separar diferentes conjuntos de segmentos ou para obter um roteamento específico. Por exemplo, digamos que você gostaria de restringir o tráfego leste-oeste que flui de e para suas cargas de trabalho de produção, desenvolvimento e testes. Você pode usar camadas de nível 1 distribuídas para segmentar e filtrar esse tráfego com base em regras e políticas específicas.
Recommendations
- Use segmentos de rede para separar e monitorar componentes logicamente.
- Use recursos de micro segmentação nativos do VMware NSX-T Data Center para restringir a comunicação de rede entre os componentes do aplicativo.
- Use um dispositivo de roteamento centralizado para proteger e otimizar o roteamento entre segmentos.
- Use roteadores de camada 1 escalonados quando a segmentação de rede é orientada por políticas de segurança organizacional ou de rede, requisitos de conformidade, unidades de negócios, departamentos ou ambientes.
Usar um IDPS (sistema de detecção e prevenção de intrusões)
Impacto: Segurança
Um IDPS pode ajudá-lo a detectar e prevenir ataques baseados em rede e atividades mal-intencionadas em seu ambiente de Solução VMware no Azure.
Recommendations
- Utilize o firewall distribuído do VMware NSX-T Data Center para ajudar na detecção de padrões mal-intencionados e malware no tráfego Leste-Oeste entre os componentes da Solução VMware no Azure.
- Use um serviço do Azure, como o Firewall do Azure ou uma NVA de terceiros certificada que é executada no Azure ou na Solução VMware no Azure.
Usar o RBAC (controle de acesso baseado em função) e a autenticação multifator
Impacto: Segurança, excelência operacional
A segurança de identidade ajuda a controlar o acesso às cargas de trabalho de nuvem privada da Solução VMware no Azure e aos aplicativos executados nelas. Você pode usar o RBAC para atribuir funções e permissões apropriadas para usuários e grupos específicos. Essas funções e permissões são concedidas com base no princípio do privilégio mínimo.
Você pode impor a autenticação multifator para autenticação de usuário para fornecer uma camada extra de segurança contra acesso não autorizado. Vários métodos de autenticação multifator, como notificações por push móvel, oferecem uma experiência conveniente do usuário e também ajudam a garantir uma autenticação forte. Você pode integrar a Solução VMware no Azure à ID do Microsoft Entra para centralizar o gerenciamento de usuários e aproveitar os recursos de segurança avançada do Microsoft Entra. Exemplos de recursos incluem gerenciamento de identidade privilegiado, autenticação multifator e acesso condicional.
Recommendations
- Use o Microsoft Entra Privileged Identity Management para permitir o acesso associado ao tempo ao portal do Azure e às operações do painel de controle. Use o histórico de auditoria de gerenciamento de identidade com privilégios para acompanhar as operações executadas por contas altamente privilegiadas.
- Reduza o número de contas do Microsoft Entra que podem:
- Acesse o portal e as APIs do Azure.
- Navegue até a nuvem privada da Solução VMware no Azure.
- Leia as contas de administrador do VMware vCenter Server e do VMware NSX-T Data Center.
- Gire as credenciais de conta local
cloudadminpara o VMware vCenter Server e o VMware NSX-T Data Center para evitar o uso indevido e o abuso dessas contas administrativas. Use essas contas apenas em cenários de quebra de vidro . Crie grupos de servidores e usuários para o VMware vCenter Server e atribua-lhes identidades de fontes de identidade externas. Use esses grupos e usuários para operações específicas do VMware vCenter Server e do VMware NSX-T Data Center. - Use uma fonte de identidade centralizada para configurar serviços de autenticação e autorização para VMs e aplicativos convidados.
Monitorar a segurança e detectar ameaças
Impacto: Segurança, excelência operacional
O monitoramento de segurança e a detecção de ameaças envolvem detectar e responder a alterações na postura de segurança das cargas de trabalho de nuvem privada da Solução VMware no Azure. É importante seguir as práticas recomendadas do setor e cumprir os requisitos regulatórios, incluindo:
- A Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA).
- Padrões de segurança de dados do setor de cartões de pagamento (PCI DSS).
Você pode usar uma ferramenta siem (gerenciamento de eventos e informações de segurança) ou o Microsoft Sentinel para agregar, monitorar e analisar eventos e logs de segurança. Essas informações ajudam você a detectar e responder a possíveis ameaças. A realização regular de revisões de auditoria também ajuda você a evitar ameaças. Ao monitorar regularmente o ambiente da Solução VMware no Azure, você está em uma posição melhor para garantir que ele se alinhe aos padrões e políticas de segurança.
Recommendations
- Automatize as respostas às recomendações do Defender para Nuvem usando as seguintes políticas do Azure:
- Automação de fluxo de trabalho para alertas de segurança
- Automação de fluxo de trabalho para recomendações de segurança
- Automação do fluxo de trabalho para alterações de conformidade regulatória
- Implante o Microsoft Sentinel e defina o destino como um workspace do Log Analytics para coletar logs das VMs convidadas da nuvem privada do Azure VMware Solution.
- Use um conector de dados para conectar o Microsoft Sentinel e o Defender para Nuvem.
- Automatize as respostas de ameaças usando guias estratégicos do Microsoft Sentinel e regras de Automação do Azure.
Estabelecer uma linha de base de segurança
Impacto: Segurança
O parâmetro de comparação de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Essa linha de base de segurança aplica controles definidos pelo Microsoft Cloud Security Benchmark versão 1.0 ao Azure Policy.
Recommendations
- Para ajudar a proteger sua carga de trabalho, aplique as recomendações fornecidas na linha de base de segurança do Azure para a Solução VMware no Azure.
Próximas etapas
Agora que você analisou as melhores práticas para proteger a Solução VMware no Azure, investigue os procedimentos de gerenciamento operacional para alcançar a excelência nos negócios.
Use a ferramenta de avaliação para avaliar suas opções de design.