Azure Migrate 在一个中心位置提供多种工具,帮助你发现、评估应用、基础结构和工作负荷并将其迁移到 Microsoft Azure。 该中心包含 Azure Migrate 工具,以及非 Microsoft 独立软件供应商 (ISV) 的产品/服务。
本文总结了部署 Azure Migrate 设备时的最佳安全做法。 确保遵循这些最佳做法来确保安全性。
为 Azure Migrate 项目使用专用资源组
为 Azure Migrate 项目设置专用资源组。 这有助于隔离资源、分配 RBAC(基于角色的访问控制),以及清理 Azure 迁移资源。
选择正确的迁移设备的堆栈
若要发现 VMware 资产,建议使用支持无代理依赖项分析的 VMware 设备。 同一设备可用于无代理迁移。
若要发现 Hyper-V 资产,我们建议使用支持无代理依赖项分析的 Hyper-V 设备,并且同一设备可用于迁移,但它需要在 Hyper-V 主机上安装代理。
若要发现物理服务器、AWS 服务器和 GCP 服务器,我们建议使用支持无代理依赖项分析的设备的物理堆栈。 若要迁移,需要辅助复制设备,并且应在目标计算机上安装代理。
使用 Azure Migrate 设备的专用服务器 - 若要避免与其他组件冲突,请在专用服务器上部署 Azure Migrate 设备。 不应在 Migrate 设备服务器上安装其他应用程序。
网络最佳做法
遵循这些网络最佳做法。
- 限制出站连接 - Azure Migrate 设备需要在选择性网络终结点上建立出站连接。 如果您已在本地配置了防火墙或代理服务器,请通过仅将 所需的 URL 加入允许列表来限制设备上的出站连接。
- 限制端口访问 - 设备默认通过 TCP 端口 443 与 vCenter 服务器通信(可自定义),Hyper-V 主机通过 WinRM 端口 5986/5985 和 Linux 服务器通过 TCP 端口 22 进行通信。 设备服务器将收集的元数据通过 SSL 端口 443 发送到 Azure Migrate 的发现和评估工具,以及 Azure Migrate 的服务器迁移工具。
OS 映像强化最佳做法
建议将设备计算机加入域。
可以使用 PowerShell 安装脚本或 OVA/VHD 模板在受支持的 Windows Server 版本上部署 Migrate 设备。
安全基线 - 建议使用 安全基线强化 Migrate 设备的 OS 映像。 下载 安全符合性工具包 ,以在 Migrate Appliance 计算机上应用安全基线。 使用工具包,管理员可以将其当前 GPO 与Microsoft推荐的 GPO 基线或其他基线进行比较,编辑它们,以 GPO 备份文件格式存储它们,并通过域控制器应用它们,或将它们直接注入测试台主机以测试其效果。
凭据处理最佳做法
- 根据你发现的工作负载,我们建议专门为计划将 Azure Migrate 设备用于的方案使用最低特权凭据。
- 在设备配置管理器上提供的所有凭据都存储在设备服务器本地,不会发送到 Azure。
- 存储在设备服务器上的凭据使用安全数据保护 API (DPAPI) 协议进行加密。
- 建议使用域帐户减少发现所需的帐户总数。 此方法可减少管理多个用户帐户的作开销,并生成敏捷性,以在发生安全漏洞时更新凭据。
标识和访问管理最佳做法
- 若要在本地或以远程方式访问设备配置管理器,则设备服务器上需要有具备管理权限的本地或域用户帐户。 对设备计算机的管理访问权限应限制为特权用户。
漏洞保护最佳做法
- 默认情况下,在设备服务器上启用自动更新服务,以自动修补所有 Azure Migrate 相关组件。 通过代理更新解决 Migrate 设备上报告的任何漏洞。 建议始终启用自动更新服务,以确保设备保持安全。 此外,请定期修补 Windows Server 以确保 OS 层的安全。
后续步骤
- 详细了解迁移设备。
- 使用 PowerShell 脚本部署 Azure Migrate 设备。