La "Best Practice sulla sicurezza" dipende da molti fattori poiché il tuo ambiente di controllo (ad esempio assistenza sanitaria, sistemi di pagamento, ecc.) avrà norme e standard diversi che devono essere seguiti. (ad esempio HIPAA, PCI-DSS, ecc.)
Besides following VMware's security best practices
Suppongo che intendi le guide di approfondimento disponibili qui: link
Se questo è il caso, quelli sono principalmente controlli tecnici - controlli molto buoni da implementare se puoi - e non coprono molti dei controlli delineati in qualcosa come ISO 27001/2 o COBIT. Ancora una volta, la distanza e la profondità necessarie per la sicurezza e la conformità dipendono dall'ambiente di controllo.
are there any other recommended security technologies that are aimed at security and compliance in virtual environments?
VMware offre alcuni correttori di conformità gratuiti per cose come la Guida all'Hardening (menzionata sopra), DISA e HIPAA - li consiglio per iniziare. C'è uno strumento di controllo PCI ma è un po 'obsoleto:
Per restringere ciò che è meglio per il tuo ambiente di controllo, ti suggerirei di cercare white paper nel tuo settore. Ho fatto una rapida ricerca di "partner di sicurezza vmware" e ho visto che Symantec offre un'offerta per aiutare con sicurezza e conformità - Control Compliance Suite - link
Per specifici miglioramenti della sicurezza ci sono prodotti come McAfee MOVE che spostano il carico di scansione antivirus sull'hypervisor invece che sulla macchina virtuale.
Si noti inoltre che ciò che si può fare con VMware e le offerte di terze parti dipende dal tipo di licenza che si possiede - se non si utilizza Enterprise, ad esempio potrebbero esserci dei "trucchi" lungo il percorso. Ad esempio, se è necessario uno switch distribuito, necessario per qualcosa come NSX, è necessario disporre di una licenza aziendale. La Symantec Control Compliance Suite che ho menzionato sopra richiede anche una licenza VMware Enterprise.
Non penso che troverai una soluzione onnicomprensiva, ma una buona strategia sarebbe comprendere le minacce e l'ambiente di controllo, eseguire una valutazione delle lacune, analizzare la quantità di sforzo richiesta per rimediare (ad esempio, attenuare, accettare, trasferire rischi), e quindi vedere se esiste una soluzione di terze parti che può aiutare a risparmiare tempo e denaro nel rimediare ai rischi che devono essere mitigati.
Leggi altre domande sui tag virtualization compliance