Použití principů nulová důvěra (Zero Trust) pro nasazení služby Azure Virtual Desktop

Dokončeno

Tato lekce vás provede postupem použití principů nulová důvěra (Zero Trust) v referenční architektuře Azure Virtual Desktopu.

Krok 1: Zabezpečení identit pomocí nulová důvěra (Zero Trust)

Použití principů nulová důvěra (Zero Trust) pro identity používané ve službě Azure Virtual Desktop:

• Azure Virtual Desktop podporuje různé typy identit. Informace v zabezpečení identity s nulová důvěra (Zero Trust) použijte k zajištění toho, aby zvolené typy identit dodržovaly nulová důvěra (Zero Trust) principy.
• Vytvořte vyhrazený uživatelský účet s nejnižšími oprávněními pro připojení hostitelů relací ke službě Microsoft Entra Domain Services nebo doméně SLUŽBY AD DS během nasazování hostitele relace.

Krok 2: Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust)

Koncové body jsou zařízení, přes která uživatelé přistupují k prostředí služby Azure Virtual Desktop a k hostitelským virtuálním počítačům relace. Postupujte podle pokynů v přehledu integrace koncového bodu a použijte Microsoft Defender for Endpoint a Microsoft Endpoint Manager, abyste zajistili, že vaše koncové body vyhovují vašim požadavkům na zabezpečení a dodržování předpisů.

Krok 3: Použití principů nulová důvěra (Zero Trust) na prostředky úložiště Služby Azure Virtual Desktop

Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro úložiště v Azure pro prostředky úložiště používané v nasazení služby Azure Virtual Desktop. Tímto postupem zajistíte následující:

• Zabezpečte neaktivní uložená data služby Azure Virtual Desktop, přenášená a užitá.
• Ověřte uživatele a kontrolujte přístup k datům úložiště s nejnižšími oprávněními.
• Implementujte privátní koncové body pro účty úložiště.
• Logicky oddělte důležitá data pomocí síťových ovládacích prvků. Například samostatné účty úložiště pro různé fondy hostitelů a jiné účely, jako je připojení sdílených složek aplikace MSIX.
• K automatizované ochraně před hrozbami použijte Defender for Storage.

Krok 4: Použití principů nulová důvěra (Zero Trust) pro hvězdicové virtuální sítě Azure Virtual Desktopu

Virtuální síť centra je centrálním bodem připojení pro více paprskových virtuálních sítí. Implementujte kroky v části Použití principů nulová důvěra (Zero Trust) pro virtuální síť centra v Azure pro virtuální síť centra, která se používá k filtrování odchozího provozu z hostitelů relací.

Paprsková virtuální síť izoluje úlohu Služby Azure Virtual Desktop a obsahuje virtuální počítače hostitele relace. Implementujte kroky uvedené v tématu Použití principů nulová důvěra (Zero Trust) pro paprskovou virtuální síť v Azure pro paprskovou virtuální síť, která obsahuje hostitele relace nebo virtuální počítače.

Izolujte různé fondy hostitelů v samostatných virtuálních sítích pomocí skupiny zabezpečení sítě s požadovanou adresou URL potřebnou pro Azure Virtual Desktop pro každou podsíť. Při nasazování privátních koncových bodů je umístíte do příslušné podsítě ve virtuální síti na základě jejich role.

Bránu firewall Azure nebo bránu firewall síťového virtuálního zařízení (NVA) je možné použít k řízení a omezení odchozího provozu hostitelů relací služby Azure Virtual Desktop. Pokyny pro azure Firewall použijte k ochraně hostitelů relací. Vynuťte provoz přes bránu firewall s trasami definovanými uživatelem propojenými s podsítí fondu hostitelů. Projděte si úplný seznam požadovaných adres URL služby Azure Virtual Desktop ke konfiguraci brány firewall. Azure Firewall poskytuje značku plně kvalifikovaného názvu domény služby Azure Virtual Desktop pro zjednodušení této konfigurace.

Krok 5: Použití principů nulová důvěra (Zero Trust) u hostitelů relací služby Azure Virtual Desktop

Hostitelé relací jsou virtuální počítače, které běží uvnitř paprskové virtuální sítě. Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro virtuální počítače v Azure pro virtuální počítače vytvořené pro hostitele relací.

Fondy hostitelů by měly mít oddělené organizační jednotky (OU), pokud jsou spravované zásadami skupiny ve službě Doména služby Active Directory Services (AD DS).

Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Microsoft Defender for Endpoint můžete použít pro hostitele relací. Další informace najdete v tématu Zařízení infrastruktury virtuálních klientských počítačů (VDI).

Krok 6: Nasazení zabezpečení, zásad správného řízení a dodržování předpisů pomocí služby Azure Virtual Desktop

Služba Azure Virtual Desktop umožňuje používat Službu Azure Private Link k privátnímu připojení k vašim prostředkům vytvořením privátních koncových bodů.

Azure Virtual Desktop má integrované pokročilé funkce zabezpečení pro ochranu hostitelů relací. V následujících článcích se ale dozvíte, jak zlepšit ochranu zabezpečení prostředí Azure Virtual Desktopu a hostitelů relací:

• Osvědčené postupy zabezpečení služby Azure Virtual Desktop
• Standardní hodnoty zabezpečení Azure pro Azure Virtual Desktop

Kromě toho se podívejte na klíčové aspekty návrhu a doporučení týkající se zabezpečení, zásad správného řízení a dodržování předpisů v cílových zónách Azure Virtual Desktopu v souladu s architekturou přechodu na cloud od Microsoftu.

Krok 7: Nasazení zabezpečené správy a monitorování do služby Azure Virtual Desktop

Správa a průběžné monitorování jsou důležité, aby se zajistilo, že vaše prostředí Služby Azure Virtual Desktop se nebude zabývat škodlivým chováním. Pomocí Azure Virtual Desktop Insights můžete protokolovat data a hlásit diagnostická data a data o využití.

Podívejte se na tyto další články:

• Projděte si doporučení azure Advisoru pro Azure Virtual Desktop.
• K podrobné správě zásad použijte Microsoft Intune .
• Zkontrolujte a nastavte vlastnosti protokolu RDP pro podrobná nastavení na úrovni fondu hostitelů.