Pertimbangan keamanan untuk beban kerja Azure VMware Solution
Artikel ini membahas area desain keamanan beban kerja Azure VMware Solution. Diskusi ini mencakup berbagai langkah untuk membantu mengamankan dan melindungi beban kerja Azure VMware Solution. Langkah-langkah ini membantu melindungi infrastruktur, data, dan aplikasi. Pendekatan keamanan ini holistik dan selaras dengan prioritas inti organisasi.
Mengamankan Azure VMware Solution memerlukan model tanggung jawab bersama, di mana Microsoft Azure dan VMware bertanggung jawab atas aspek keamanan tertentu. Untuk menerapkan langkah-langkah keamanan yang sesuai, pastikan pemahaman yang jelas tentang model tanggung jawab bersama dan kolaborasi antara tim TI, VMware, dan Microsoft.
Mengelola kepatuhan dan tata kelola
Dampak: Keamanan, Keunggulan Operasional
Untuk menghindari penghapusan cloud privat secara tidak sengaja, gunakan kunci sumber daya untuk melindungi sumber daya dari penghapusan atau perubahan yang tidak diinginkan. Mereka dapat diatur di tingkat langganan, grup sumber daya, atau sumber daya dan memblokir penghapusan, modifikasi, atau keduanya.
Penting juga untuk mendeteksi server yang tidak patuh. Anda dapat menggunakan Azure Arc untuk tujuan ini. Azure Arc memperluas kemampuan dan layanan manajemen Azure ke lingkungan lokal atau multicloud. Azure Arc memberi Anda tampilan panel tunggal untuk menerapkan pembaruan dan perbaikan dengan menyediakan manajemen dan tata kelola server terpusat. Hasilnya adalah pengalaman yang konsisten untuk mengelola komponen dari Azure, sistem lokal, dan Azure VMware Solution.
Rekomendasi
- Letakkan kunci sumber daya pada grup sumber daya yang menghosting cloud privat untuk mencegah penghapusannya secara tidak sengaja.
- Konfigurasikan komputer virtual tamu (VM) Azure VMware Solution sebagai server yang diaktifkan Azure Arc. Untuk metode yang dapat Anda gunakan untuk menyambungkan komputer, lihat Opsi penyebaran agen mesin yang terhubung dengan Azure.
- Menyebarkan solusi pihak ketiga bersertifikat atau Azure Arc untuk Azure VMware Solution (pratinjau).
- Gunakan Azure Policy untuk server berkemampuan Azure Arc untuk mengaudit dan menerapkan kontrol keamanan pada VM tamu Azure VMware Solution.
Melindungi sistem operasi tamu
Dampak: Keamanan
Jika Anda tidak melakukan patch dan memperbarui sistem operasi secara teratur, Anda membuatnya rentan terhadap kerentanan dan membahmakan seluruh platform Anda. Ketika Anda menerapkan patch secara teratur, Anda selalu memperbarui sistem Anda. Saat Anda menggunakan solusi perlindungan titik akhir, Anda membantu mencegah vektor serangan umum menargetkan sistem operasi Anda. Penting juga untuk melakukan pemindaian dan penilaian kerentanan secara teratur. Alat-alat ini membantu Anda mengidentifikasi dan memulihkan kelemahan dan kerentanan keamanan.
Microsoft Defender untuk Cloud menawarkan alat unik yang memberikan perlindungan ancaman tingkat lanjut di seluruh Azure VMware Solution dan VM lokal, termasuk:
- Pemantauan integritas file.
- Deteksi serangan tanpa file.
- Penilaian patch sistem operasi.
- Penilaian kesalahan konfigurasi keamanan.
- Penilaian perlindungan titik akhir.
Rekomendasi
- Instal agen keamanan Azure di VM tamu Azure VMware Solution melalui Azure Arc untuk server guna memantau konfigurasi dan kerentanan keamanan.
- Konfigurasikan komputer Azure Arc untuk membuat asosiasi secara otomatis dengan aturan pengumpulan data default untuk Defender untuk Cloud.
- Pada langganan yang Anda gunakan untuk menyebarkan dan menjalankan cloud privat Azure VMware Solution, gunakan paket Defender untuk Cloud yang menyertakan perlindungan server.
- Jika Anda memiliki VM tamu dengan manfaat keamanan yang diperluas di cloud privat Azure VMware Solution, sebarkan pembaruan keamanan secara teratur. Gunakan Alat Manajemen Aktivasi Volume untuk menyebarkan pembaruan ini.
Mengenkripsi data
Dampak: Keamanan, Keunggulan Operasional
Enkripsi data adalah aspek penting untuk melindungi beban kerja Azure VMware Solution Anda dari akses yang tidak sah dan mempertahankan integritas data sensitif. Enkripsi mencakup data tidak aktif pada sistem dan data saat transit.
Rekomendasi
- Enkripsi datastore VMware vSAN dengan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif.
- Gunakan alat enkripsi asli seperti BitLocker untuk mengenkripsi VM tamu.
- Gunakan opsi enkripsi database asli untuk database yang berjalan di VM tamu cloud privat Azure VMware Solution. Misalnya, Anda dapat menggunakan enkripsi data transparan (TDE) untuk SQL Server.
- Pantau aktivitas database untuk aktivitas yang mencurigakan. Anda dapat menggunakan alat pemantauan database asli seperti SQL Server Activity Monitor.
Terapkan keamanan jaringan
Dampak: Keunggulan operasional
Tujuan keamanan jaringan adalah untuk mencegah akses tidak sah ke komponen Azure VMware Solution. Salah satu metode untuk mencapai tujuan ini adalah menerapkan batasan melalui segmentasi jaringan. Praktik ini membantu mengisolasi aplikasi Anda. Sebagai bagian dari segmentasi, LAN virtual beroperasi di lapisan tautan data Anda. LAN virtual tersebut menyediakan pemisahan fisik VM Anda dengan mempartisi jaringan fisik menjadi yang logis untuk memisahkan lalu lintas.
Segmen kemudian dibuat untuk memberikan kemampuan dan perutean keamanan tingkat lanjut. Misalnya, tingkat aplikasi, web, dan database dapat memiliki segmen terpisah dalam arsitektur tiga tingkat. Aplikasi dapat menambahkan tingkat segmentasi mikro dengan menggunakan aturan keamanan untuk membatasi komunikasi jaringan antara VM di setiap segmen.
Router tingkat 1 diposisikan di depan segmen. Router ini menyediakan kemampuan perutean dalam pusat data yang ditentukan perangkat lunak (SDDC). Anda dapat menyebarkan beberapa router tingkat-1 untuk memisahkan set segmen yang berbeda atau untuk mencapai perutean tertentu. Misalnya, Anda ingin membatasi lalu lintas Timur-Barat yang mengalir ke dan dari beban kerja produksi, pengembangan, dan pengujian Anda. Anda dapat menggunakan tingkat tingkat-1 terdistribusi untuk segmentasi dan memfilter lalu lintas tersebut berdasarkan aturan dan kebijakan tertentu.
Rekomendasi
- Gunakan segmen jaringan untuk memisahkan dan memantau komponen secara logis.
- Gunakan kemampuan segmentasi mikro yang asli dari VMware NSX-T Data Center untuk membatasi komunikasi jaringan antar komponen aplikasi.
- Gunakan appliance perutean terpusat untuk mengamankan dan mengoptimalkan perutean antar segmen.
- Gunakan router tingkat 1 yang terhuyung-huyung saat segmentasi jaringan didorong oleh kebijakan keamanan atau jaringan organisasi, persyaratan kepatuhan, unit bisnis, departemen, atau lingkungan.
Menggunakan sistem deteksi dan pencegahan intrusi (IDPS)
Dampak: Keamanan
IDPS dapat membantu Anda mendeteksi dan mencegah serangan berbasis jaringan dan aktivitas berbahaya di lingkungan Azure VMware Solution Anda.
Rekomendasi
- Gunakan firewall terdistribusi VMware NSX-T Data Center untuk membantu mendeteksi pola berbahaya dan malware di lalu lintas Timur-Barat antara komponen Azure VMware Solution Anda.
- Gunakan layanan Azure seperti Azure Firewall atau NVA pihak ketiga bersertifikat yang berjalan di Azure atau di Azure VMware Solution.
Menggunakan kontrol akses berbasis peran (RBAC) dan autentikasi multifaktor
Dampak: Keamanan, Keunggulan operasional
Keamanan identitas membantu mengontrol akses ke beban kerja cloud privat Azure VMware Solution dan aplikasi yang berjalan di atasnya. Anda dapat menggunakan RBAC untuk menetapkan peran dan izin yang sesuai untuk pengguna dan grup tertentu. Peran dan izin ini diberikan berdasarkan prinsip hak istimewa paling sedikit.
Anda dapat menerapkan autentikasi multifaktor untuk autentikasi pengguna untuk memberikan lapisan keamanan tambahan terhadap akses yang tidak sah. Berbagai metode autentikasi multifaktor, seperti pemberitahuan push seluler, menawarkan pengalaman pengguna yang nyaman dan juga membantu memastikan autentikasi yang kuat. Anda dapat mengintegrasikan Azure VMware Solution dengan MICROSOFT Entra ID untuk memfokuskan manajemen pengguna dan memanfaatkan fitur keamanan tingkat lanjut Microsoft Entra. Contoh fitur termasuk manajemen identitas istimewa, autentikasi multifaktor, dan akses bersyarkat.
Rekomendasi
- Gunakan Microsoft Entra Privileged Identity Management untuk memungkinkan akses terikat waktu ke operasi panel portal Azure dan kontrol. Gunakan riwayat audit manajemen identitas istimewa untuk melacak operasi yang dilakukan akun dengan hak istimewa tinggi.
- Kurangi jumlah akun Microsoft Entra yang dapat:
- Akses portal Azure dan API.
- Navigasikan ke cloud privat Azure VMware Solution.
- Baca akun admin VMware vCenter Server dan VMware NSX-T Data Center.
- Putar kredensial akun lokal
cloudadmin
untuk VMware vCenter Server dan VMware NSX-T Data Center untuk mencegah penyalahgunaan dan penyalahgunaan akun administratif ini. Gunakan akun-akun ini hanya dalam skenario break glass . Buat grup server dan pengguna untuk VMware vCenter Server, dan tetapkan identitas mereka dari sumber identitas eksternal. Gunakan grup dan pengguna ini untuk operasi VMware vCenter Server dan VMware NSX-T Data Center tertentu. - Gunakan sumber identitas terpusat untuk mengonfigurasi layanan autentikasi dan otorisasi untuk VM dan aplikasi tamu.
Memantau keamanan dan mendeteksi ancaman
Dampak: Keamanan, Keunggulan operasional
Pemantauan keamanan dan deteksi ancaman melibatkan deteksi dan respons terhadap perubahan postur keamanan beban kerja cloud privat Azure VMware Solution. Penting untuk mengikuti praktik terbaik industri dan mematuhi persyaratan peraturan, termasuk:
- Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
Anda dapat menggunakan alat informasi keamanan dan manajemen peristiwa (SIEM) atau Microsoft Sentinel untuk mengagregasi, memantau, dan menganalisis log dan peristiwa keamanan. Informasi ini membantu Anda mendeteksi dan merespons potensi ancaman. Secara teratur melakukan tinjauan audit juga membantu Anda mencegah ancaman. Saat memantau lingkungan Azure VMware Solution secara teratur, Anda berada dalam posisi yang lebih baik untuk memastikannya selaras dengan standar dan kebijakan keamanan.
Rekomendasi
- Mengotomatiskan respons terhadap rekomendasi dari Defender untuk Cloud dengan menggunakan kebijakan Azure berikut:
- Otomatisasi alur kerja untuk pemberitahuan terhadap keamanan
- Otomatisasi alur kerja untuk rekomendasi keamanan
- Otomatisasi alur kerja untuk perubahan kepatuhan terhadap peraturan
- Sebarkan Microsoft Sentinel dan atur tujuan ke ruang kerja Analitik Log untuk mengumpulkan log dari VM tamu cloud privat Azure VMware Solution.
- Gunakan konektor data untuk menyambungkan Microsoft Azure Sentinel dan Defender untuk Cloud.
- Mengotomatiskan respons ancaman dengan menggunakan playbook Microsoft Azure Sentinel dan aturan Azure Automation.
Menetapkan garis besar keamanan
Dampak: Keamanan
Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Garis besar keamanan ini menerapkan kontrol yang ditentukan oleh tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Policy.
Rekomendasi
- Untuk membantu melindungi beban kerja Anda, terapkan rekomendasi yang diberikan di garis besar keamanan Azure untuk Azure VMware Solution.
Langkah berikutnya
Sekarang setelah Anda melihat praktik terbaik untuk mengamankan Azure VMware Solution, selidiki prosedur manajemen operasional untuk mencapai keunggulan bisnis.
Gunakan alat penilaian untuk mengevaluasi pilihan desain Anda.