Doporučení zabezpečení pro Azure Virtual Desktop
Azure Virtual Desktop je spravovaná služba virtuálních klientských počítačů, která obsahuje řadu možností zabezpečení pro zajištění bezpečnosti vaší organizace. Architektura Služby Azure Virtual Desktop se skládá z mnoha komponent, které tvoří službu, která uživatele připojuje ke svým desktopům a aplikacím.
Azure Virtual Desktop má řadu integrovaných pokročilých funkcí zabezpečení, jako je zpětné připojení, kdy není nutné otevírat žádné příchozí síťové porty, což snižuje riziko spojené s přístupem ke vzdáleným plochám odkudkoli. Služba také využívá mnoho dalších funkcí zabezpečení Azure, jako je vícefaktorové ověřování a podmíněný přístup. Tento článek popisuje kroky, které můžete provést jako správce, abyste zajistili zabezpečení nasazení služby Azure Virtual Desktop bez ohledu na to, jestli uživatelům ve vaší organizaci nebo externím uživatelům poskytujete desktopy a aplikace.
Společná odpovědnost za zabezpečení
Před službou Azure Virtual Desktop vyžadují místní virtualizační řešení, jako je Vzdálená plocha, udělení přístupu uživatelům k rolím, jako je brána, zprostředkovatel, webový přístup atd. Tyto role musely být plně redundantní a schopné zvládnout kapacitu ve špičce. Správci by tyto role nainstalovali jako součást operačního systému Windows Server a museli být připojeni k doméně s konkrétními porty dostupnými pro veřejná připojení. Aby byla nasazení zabezpečená, museli správci neustále zajistit, aby vše v infrastruktuře bylo udržováno a aktuální.
Ve většině cloudových služeb ale existuje sdílená sada odpovědností za zabezpečení mezi Microsoftem a zákazníkem nebo partnerem. Pro Azure Virtual Desktop je většina komponent spravovaná Microsoftem, ale hostitelé relací a některé podpůrné služby a komponenty jsou spravované zákazníky nebo partnery. Další informace o komponentách spravovaných Microsoftem služby Azure Virtual Desktop najdete v tématu Architektura služby Azure Virtual Desktop a odolnost.
I když jsou některé komponenty pro vaše prostředí již zabezpečené, budete muset nakonfigurovat jiné oblasti sami tak, aby vyhovovaly potřebám zabezpečení vaší organizace nebo zákazníka. Tady jsou komponenty, za které zodpovídáte za zabezpečení v nasazení služby Azure Virtual Desktop:
| Součást | Odpovědnost |
|---|---|
| Identita | Zákazník nebo partner |
| Uživatelská zařízení (mobilní zařízení a počítač) | Zákazník nebo partner |
| Zabezpečení aplikací | Zákazník nebo partner |
| Operační systém hostitele relace | Zákazník nebo partner |
| Konfigurace nasazení | Zákazník nebo partner |
| Síťové ovládací prvky | Zákazník nebo partner |
| Rovina řízení virtualizace | Microsoft |
| Fyzičtí hostitelé | Microsoft |
| Fyzická síť | Microsoft |
| Fyzické datové centrum | Microsoft |
Hranice zabezpečení
Hranice zabezpečení odděluje kód a data domén zabezpečení s různými úrovněmi důvěryhodnosti. Existuje například obvykle hranice zabezpečení mezi režimem jádra a uživatelským režimem. Většina softwaru a služeb Microsoftu závisí na několika hranicích zabezpečení pro izolaci zařízení v sítích, virtuálních počítačích a aplikacích na zařízeních. Následující tabulka uvádí každou hranici zabezpečení pro Windows a to, co dělají pro celkové zabezpečení.
| Hranice zabezpečení | Popis |
|---|---|
| Hranice sítě | Neautorizovaný koncový bod sítě nemá přístup k kódu a datům na zařízení zákazníka ani k němu nemá přístup. |
| Hranice jádra | Proces uživatelského režimu, který není správcem, nemá přístup k kódu jádra a datům ani k němu nemá přístup. Správce-jádro není hranicí zabezpečení. |
| Hranice procesu | Neautorizovaný proces uživatelského režimu nemůže přistupovat k kódu a datům jiného procesu ani k němu manipulovat. |
| Hranice sandboxu AppContainer | Proces sandboxu založený na AppContaineru nemá přístup k kódu a datům mimo sandbox na základě možností kontejneru. |
| Hranice uživatele | Uživatel nemá přístup k kódu a datům jiného uživatele, aniž by byl autorizovaný. |
| Hranice relace | Uživatelská relace nemůže získat přístup k jiné uživatelské relaci ani ji neautorizovat. |
| Hranice webového prohlížeče | Neautorizovaný web nemůže porušit zásady stejného původu, ani nemůže přistupovat k nativnímu kódu a datům sandboxu webového prohlížeče Microsoft Edge ani k němu přistupovat nebo manipulovat. |
| Hranice virtuálního počítače | Neautorizovaný hostovaný virtuální počítač Hyper-V nemá přístup k kódu a datům jiného hostovaného virtuálního počítače nebo k jeho manipulaci; to zahrnuje izolované kontejnery Hyper-V. |
| Hranice virtuálního zabezpečeného režimu (VSM) | Kód spuštěný mimo důvěryhodný proces nebo enklávu VSM nemá přístup k datům a kódu v rámci důvěryhodného procesu ani k manipulaci s daty a kódem. |
Doporučené hranice zabezpečení pro scénáře Azure Virtual Desktopu
Budete také muset provést určité volby týkající se hranic zabezpečení na základě případu. Pokud například uživatel ve vaší organizaci potřebuje oprávnění místního správce k instalaci aplikací, budete jim muset dát osobní plochu místo hostitele sdílené relace. Nedoporučujeme uživatelům udělit oprávnění místního správce ve scénářích ve fondu s více relacemi, protože tito uživatelé můžou překročit hranice zabezpečení pro relace nebo oprávnění k datům NTFS, vypnout virtuální počítače s více relacemi nebo dělat jiné věci, které by mohly přerušit službu nebo způsobit ztráty dat.
Uživatelé ze stejné organizace, jako jsou pracovníci znalostí s aplikacemi, které nevyžadují oprávnění správce, jsou skvělými kandidáty pro hostitele relací s více relacemi, jako je windows 11 Enterprise s více relacemi. Tito hostitelé relací snižují náklady na vaši organizaci, protože více uživatelů může sdílet jeden virtuální počítač s pouze režijními náklady na virtuální počítač na uživatele. V případě produktů pro správu profilů uživatelů, jako je FSLogix, je možné uživatelům přiřadit jakýkoli virtuální počítač ve fondu hostitelů, aniž by se museli rušit služby. Tato funkce také umožňuje optimalizovat náklady tím, že během špičky vypnete virtuální počítače.
Pokud vaše situace vyžaduje, aby se uživatelé z různých organizací připojili k vašemu nasazení, doporučujeme mít samostatného tenanta pro služby identit, jako je Active Directory a Microsoft Entra ID. Doporučujeme také, abyste pro tyto uživatele měli samostatné předplatné pro hostování prostředků Azure, jako je Azure Virtual Desktop a virtuální počítače.
V mnoha případech je použití více relací přijatelným způsobem, jak snížit náklady, ale jestli doporučujeme, aby závisela na úrovni důvěryhodnosti mezi uživateli s souběžným přístupem ke sdílené instanci více relací. Uživatelé, kteří patří do stejné organizace, mají obvykle dostatečný a odsouhlasený vztah důvěryhodnosti. Například oddělení nebo pracovní skupina, kde lidé spolupracují a mají k osobním údajům přístup, je organizace s vysokou úrovní důvěryhodnosti.
Systém Windows používá hranice zabezpečení a ovládací prvky k zajištění izolace uživatelských procesů a dat mezi relacemi. Systém Windows ale stále poskytuje přístup k instanci, na které uživatel pracuje.
Nasazení s více relacemi by byla přínosná z hloubkové strategie zabezpečení, která zvyšuje hranice zabezpečení, které uživatelům v organizaci i mimo ni brání v získání neoprávněného přístupu k osobním údajům jiných uživatelů. Neautorizovaný přístup k datům dochází kvůli chybě v procesu konfigurace správcem systému, jako je nepřístupná ohrožení zabezpečení nebo známá chyba zabezpečení, která ještě nebyla opravena.
Nedoporučujeme uživatelům, kteří pracují pro různé nebo konkurenční společnosti, udělit přístup ke stejnému prostředí s více relacemi. Tyto scénáře mají několik hranic zabezpečení, které je možné napadnout nebo zneužít, jako je síť, jádro, proces, uživatel nebo relace. Jediné ohrožení zabezpečení může způsobit neoprávněné krádeže dat a přihlašovacích údajů, únik osobních údajů, krádež identity a další problémy. Poskytovatelé virtualizovaných prostředí zodpovídají za nabízení dobře navržených systémů s několika silnými hranicemi zabezpečení a dalšími bezpečnostními funkcemi, které jsou povolené všude, kde je to možné.
Tabulka shrnuje naše doporučení pro jednotlivé scénáře.
| Scénář úrovně důvěryhodnosti | Doporučené řešení |
|---|---|
| Uživatelé z jedné organizace se standardními oprávněními | Použití operačního systému Windows Enterprise s více relacemi (OS). |
| Uživatelé vyžadují oprávnění správce. | Použijte osobní fond hostitelů a přiřaďte každému uživateli vlastního hostitele relace. |
| Uživatelé z různých organizací, kteří se připojují | Oddělení tenanta Azure a předplatného Azure |