Seguridad y gobernanza

En este artículo se tratan las principales consideraciones de diseño y recomendaciones relacionadas con la seguridad, gobernanza y cumplimiento en las zonas de aterrizaje de Azure Virtual Desktop de acuerdo con Cloud Adoption Framework de Microsoft.

Revise las secciones siguientes para buscar controles de seguridad y gobernanza recomendados para la zona de aterrizaje de Azure Virtual Desktop.

Identidad

• Proteja el acceso de usuario a Azure Virtual Desktop mediante el establecimiento de la directiva de acceso condicional de Microsoft Entra con la autenticación multifactor de Microsoft Entra o una herramienta de autenticación multifactor de un asociado. Tenga en cuenta las ubicaciones, los dispositivos y los comportamientos de inicio de sesión de los usuarios y agregue controles adicionales según sea necesario en función de sus patrones de acceso. Para más información sobre cómo habilitar la autenticación multifactor de Azure para Azure Virtual Desktop, consulte Habilitación de la autenticación multifactor de Azure para Azure Virtual Desktop.

• Asigne los privilegios mínimos necesarios mediante la definición de roles administrativos, de operaciones y de ingeniería en roles RBAC de Azure. Para limitar el acceso a roles de privilegios elevados dentro de la zona de aterrizaje de Azure Virtual Desktop, considere la posibilidad de la integración con Azure Privileged Identity Management (PIM). Mantener el conocimiento de qué equipo es responsable de cada área administrativa determinada le ayuda a determinar los roles y la configuración del control de acceso basado en rol (RBAC) de Azure.

• Use la identidad administrada de Azure o la entidad de servicio con credenciales de certificado para la automatización y los servicios de Azure Virtual Desktop. Asigne privilegios mínimos a la cuenta de Automation y un ámbito limitado a las zonas de aterrizaje de Azure Virtual Desktop. Puede usar Azure Key Vault con identidades administradas de Azure, de modo que el entorno de ejecución (por ejemplo, una función de Azure) pueda recuperar las credenciales de automatización del almacén de claves.

• Asegúrese de recopilar el registro de actividad de usuario y administrador para las zonas de aterrizaje de Azure Virtual Desktop y Microsoft Entra ID. Supervise estos registros con la herramienta de Administración de eventos e información de seguridad (SIEM). Puede recopilar registros de varios orígenes, como:

  • Registro de actividad de Azure
  • Registro de actividad de Microsoft Entra
  • Microsoft Entra ID
  • Hosts de sesión
  • Registros de Key Vault

• Use grupos de Microsoft Entra en lugar de usuarios individuales al asignar acceso a grupos de aplicaciones de Azure Virtual Desktop. Considere la posibilidad de usar grupos de seguridad existentes que se asignen a las funciones empresariales de su organización, lo que le permite reutilizar los procesos de aprovisionamiento y desaprovisionamiento de usuarios existentes.

Redes

• Aprovisione o reutilice una red virtual dedicada para las zonas de aterrizaje de Azure Virtual Desktop. Planee el espacio de direcciones IP para acomodar la escala de los hosts de sesión. Establezca el tamaño de subred de línea base en función del número mínimo y máximo de hosts de sesión por grupo de hosts. Asigne los requisitos de unidad de negocio a los grupos de hosts.

• Use grupos de seguridad de red (NSG) o Azure Firewall (o dispositivo de firewall de terceros) para establecer la microsegmentación. Use etiquetas de servicio de Azure Virtual Network y grupos de servicio de aplicación (ASG) para definir controles de acceso a la red en los grupos de seguridad de red o en una instancia de Azure Firewall configurada para los recursos de Azure Virtual Desktop. Compruebe que el acceso saliente del host de sesión a las direcciones URL necesarias se omite mediante proxy (si se usa en hosts de sesión) y Azure Firewall (o dispositivo de firewall de terceros).

• En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja el tráfico entre los hosts de sesión y los recursos internos mediante reglas de grupo de seguridad o Azure Firewall (o un dispositivo de firewall de terceros) a gran escala.

• Habilite la protección estándar contra DDoS de Azure para Azure Firewall (o un dispositivo de firewall de terceros) para ayudar a proteger las zonas de aterrizaje de Azure Virtual Desktop.

• Si usa un proxy para el acceso saliente a Internet desde los hosts de sesión:

  • Configure los servidores proxy en la misma área geográfica que los hosts y clientes de sesión de Azure Virtual Desktop (si usa proveedores de proxy en la nube).
  • No use la inspección de TLS. En Azure Virtual Desktop, el tráfico se cifra en tránsito de forma predeterminada.
  • Evite la configuración de proxy que requiera la autenticación de usuario. Los componentes de Azure Virtual Desktop en el host de sesión se ejecutan en el contexto del sistema operativo, por lo que no admiten servidores proxy que requieran autenticación. Debe estar habilitado el proxy para todo el sistema a fin de configurar el proxy de nivel de host en el host de sesión.

• Compruebe que los usuarios finales tienen acceso a las direcciones URL de cliente de Azure Virtual Desktop. Si se usa la configuración o el agente de proxy en los dispositivos de los usuarios, asegúrese de omitir también las direcciones URL de cliente de Azure Virtual Desktop.

• Use el acceso Just-In-Time para la administración y la solución de problemas de los hosts de sesión. Evite conceder acceso RDP directo a hosts de sesión. Los hosts de sesión de AVD usan el transporte de conexión inversa para establecer sesiones remotas.

• Use las características de la protección de red adaptable de Microsoft Defender for Cloud para buscar configuraciones de grupo de seguridad de red que limiten los puertos y las direcciones IP de origen con referencia a las reglas de tráfico externo.

• Recopile los registros de Azure Firewall (o dispositivo de firewall de terceros) con Azure Monitor o una solución de supervisión de asociados. También debe supervisar los registros de SIEM, mediante Microsoft Sentinel o un servicio similar.

• Use solo un punto de conexión privado para los archivos de Azure que se usan para los contenedores de perfiles de FSLogix.

• Configure Shortpath de RDP para complementar el transporte de conexión inversa.

Hosts de sesión

• Cree una unidad organizativa (UO) dedicada en Active Directory para los hosts de sesión de Azure Virtual Desktop. Aplique la directiva de grupo dedicado a los hosts de sesión para administrar controles como:

  • Habilitar la protección de captura de pantalla para evitar que se capture información confidencial de la pantalla en los puntos de conexión de cliente.
  • Establecer directivas de tiempo máximo de inactividad y desconexión y bloqueos de pantalla.
  • Ocultar las asignaciones de unidades locales y remotas en Windows Explorer.
  • Opcionalmente, los parámetros de configuración para contenedores de perfil FSLogix y caché en la nube de FSLogix.

• Controle el redireccionamiento de dispositivos para los hosts de sesión. Entre los dispositivos que suelen deshabilitarse cabe destacar el acceso a la unidad de disco duro local y las restricciones de puerto o USB. Limitar el redireccionamiento de la cámara y la impresión remota puede ayudar a proteger los datos de la organización. Deshabilite el redireccionamiento del Portapapeles para impedir que el contenido remoto se copie en los puntos de conexión.

• Habilite el antivirus de próxima generación Endpoint Protection como Microsoft Defender para punto de conexión en los hosts de sesión. Si usa una solución de punto de conexión de asociado, asegúrese de que Microsoft Defender for Cloud pueda comprobar su estado. También debe incluir el contenedor de perfil de FSLogix en las exclusiones de antivirus. Microsoft Defender para punto de conexión se integra directamente en varias soluciones de Microsoft Defender, entre las que se incluyen:

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Intune

• Habilite las evaluaciones para administración de amenazas y vulnerabilidades. Integre la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud o una solución de terceros de administración de vulnerabilidades). Microsoft Defender for Cloud se integra de forma nativa con la solución de evaluación de vulnerabilidades de Qualys.

• Use el control de aplicaciones a través de Windows Defender Application Control (WDAC) o AppLocker para asegurarse de que las aplicaciones son de confianza antes de la ejecución. Las directivas de control de aplicaciones también pueden bloquear archivos MSI y scripts sin firmar, y restringir Windows PowerShell para que se ejecute en modo de lenguaje restringido.

• Habilite el inicio de confianza para máquinas virtuales de Azure Gen2 a fin de habilitar características como el arranque seguro, vTPM y la seguridad basada en virtualización (VBS). Microsoft Defender for Cloud puede supervisar los hosts de sesión configurados con el inicio de confianza.

• Aleatorizar contraseñas de administrador local mediante Windows LAPS para protegerse frente a ataques de recorrido lateral y Pass-the-Hash.

• Compruebe que Azure Monitor o una solución de supervisión de asociados supervisan los hosts de sesión a través de Event Hubs.

• Establezca una estrategia de administración de revisiones para los hosts de sesión. Microsoft Endpoint Configuration Manager permite que los hosts de sesión de Azure Virtual Desktop reciban actualizaciones automáticamente. Debe aplicar las revisiones a las imágenes base como mínimo una vez cada 30 días. Considere la posibilidad de usar Azure Image Builder (AIB) para establecer su propia canalización de imágenes para la imagen base de Azure Virtual Desktop.

Para más información sobre los procedimientos recomendados de seguridad del host de sesión de Azure Virtual Desktop, consulte Procedimientos recomendados de seguridad del host de sesión.

Para una lista detallada de los procedimientos recomendados para la seguridad de máquinas virtuales de Azure, consulte Recomendaciones de seguridad para máquinas virtuales de Azure.

Protección de los datos

• Microsoft Azure cifra los datos en reposo para protegerlos de ataques "fuera de banda", como intentos de acceder al almacenamiento subyacente. El cifrado ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente. El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en reposo implica:

  • Cifrado de datos con claves administradas por el cliente. Los usuarios proporcionan su propia clave para el cifrado de discos. Pueden traer sus propias claves a su Key Vault (una práctica conocida como BYOK – Bring Your Own Key) o generar nuevas claves en Azure Key Vault para cifrar los recursos deseados (incluidos los discos de host de sesión).
  • Cifrado de la infraestructura mediante claves administradas por la plataforma. De forma predeterminada, los discos se cifran automáticamente en reposo mediante claves de cifrado administradas por la plataforma.
  • Cifrado en el host de máquina virtual (servidor de Azure al que está asignada la máquina virtual). Los datos de caché de disco de datos y de sistema operativo del disco temporal de cada máquina virtual se almacenan en el host de máquina virtual. Cuando se habilita el cifrado en el host de máquina virtual, esos datos se cifran en reposo y fluyen cifrados al servicio Storage para su persistencia.

• Implemente una solución de protección de la información, como Microsoft Purview Information Protection o una solución de terceros, que garantice que la información confidencial se almacena, se procesa y se transmite de forma segura por los sistemas tecnológicos de la organización.

• Use el Asesor de directivas de seguridad para las aplicaciones de Microsoft 365 para empresas a fin de mejorar la seguridad de la implementación de Office. Esta herramienta identifica las directivas que puede aplicar a la implementación para obtener más seguridad y también recomienda directivas basadas en sus efectos en la seguridad y la productividad.

• Configure la autenticación basada en identidades para Azure Files usada para los perfiles de usuario de FSLogix a través de Active Directory Domain Services (AD DS) locales y Microsoft Entra Domain Services. Configure permisos NTFS para que los usuarios autorizados puedan acceder a Azure Files.

Administración de costos

• Use etiquetas de Azure para organizar los costos para crear, administrar e implementar recursos de Azure Virtual Desktop. Para identificar el costo de proceso asociado de Azure Virtual Desktop, etiquete todos los grupos de hosts y máquinas virtuales. Etiquete los recursos de Azure Files o Azure NetApp Files para hacer un seguimiento del costo del almacenamiento asociado a los contenedores de perfiles de usuario de FSLogix, las imágenes personalizadas del sistema operativo y la asociación de aplicaciones MSIX (si se usan).

• Defina las etiquetas mínimas sugeridas que se deben establecer en todos los recursos de Azure Virtual Desktop. Puede establecer etiquetas de Azure durante la implementación o después del aprovisionamiento. Considere la posibilidad de usar definiciones integradas de Azure Policy para aplicar reglas de etiquetado.

• Establezca presupuestos en Microsoft Cost Management para administrar de forma proactiva los costes de uso de Azure. Cuando se superan los umbrales del presupuesto que ha creado, se desencadenan las notificaciones.

• Cree alertas de Cost Management para supervisar el uso y el gasto de Azure en la zona de aterrizaje de Azure Virtual Desktop.

• La característica Iniciar máquina virtual al establecer la conexión permite ahorrar costos al permitir que los usuarios finales activen sus máquinas virtuales solo cuando las necesiten.

• Implemente soluciones de escalado para hosts de sesión agrupados mediante Azure Automation o la característica de escalado (versión preliminar).

Coherencia de recursos

• Use Intune para los hosts de sesión personales de Azure Virtual Desktop a fin de aplicar configuraciones existentes o crear nuevas, y proteger las máquinas virtuales con la directiva de cumplimiento y el acceso condicional. La administración de Intune no depende de la administración de Azure Virtual Desktop de la misma máquina virtual ni interfiere con este proceso.

• La administración de hosts de sesión multisesión con Microsoft Intune le permite administrar escritorios remotos de Windows 10 o Windows 11 Enterprise multisesión en el centro de administración de Intune y de la misma forma en que podría administrar un dispositivo cliente compartido de Windows 10 o Windows 11. Al administrar estas máquinas virtuales (VM), puede usar la configuración basada en dispositivos o la configuración basada en el usuario dirigida a los usuarios.

• Audite y configure la protección del sistema operativo de los hosts de sesión mediante la configuración de la máquina Azure Policy. Use las líneas base de seguridad de Windows como punto de partida para proteger el sistema operativo Windows.

• Use las definiciones integradas de Azure Policy para configurar las opciones de diagnóstico de los recursos de Azure Virtual Desktop, como áreas de trabajo, grupos de aplicaciones y grupos de hosts.

Revise los procedimientos recomendados de seguridad de Azure Virtual Desktop como punto de partida para la seguridad dentro de su entorno.

Cumplimiento

Casi todas las organizaciones deben cumplir con varias directivas gubernamentales o normativas del sector. Revise esas directivas con el equipo de cumplimiento e implemente los controles correctos para la zona de aterrizaje concreta de Azure Virtual Desktop. Por ejemplo, debe considerar los controles de directivas específicas, como el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) o la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA) si su organización sigue sus marcos.

• Use Microsoft Defender for Cloud para aplicar estándares de cumplimiento adicionales a las zonas de aterrizaje de Azure Virtual Desktop si es necesario. Microsoft Defender for Cloud resulta de gran ayuda para simplificar el proceso necesario para cumplir los requisitos de cumplimiento normativo mediante el panel de cumplimiento normativo. Puede agregar estándares de cumplimiento integrados o personalizados al panel. Entre los estándares normativos ya integrados que puede agregar se incluyen:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL y UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • ISM restringido en Nueva Zelanda
  • CMMC nivel 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Si su organización está sujeta a requisitos de residencia de datos, considere la posibilidad de limitar la implementación de recursos de Azure Virtual Desktop (áreas de trabajo, grupos de aplicaciones y grupos de hosts) a las siguientes zonas geográficas:

  • Estados Unidos
  • Europa
  • Reino Unido
  • Canadá

  Limitar la implementación a estas zonas geográficas puede ayudarle a garantizar que los metadatos de Azure Virtual Desktop se almacenan en la región de la zona geográfica de los recursos de Azure Virtual Desktop, ya que los hosts de sesión se pueden implementar en todo el mundo para adaptarse a la base de usuarios.

• Use una directiva de grupo y herramientas de administración de dispositivos, como Intune y Microsoft Endpoint Configuration Manager, para mantener un procedimiento riguroso de seguridad y cumplimiento en los hosts de sesión.

• Configure alertas y respuestas automatizadas en Microsoft Defender for Cloud para garantizar el cumplimiento general de las zonas de aterrizaje de Azure Virtual Desktop.

• Revise la Puntuación de seguridad de Microsoft para medir la posición de seguridad general de la organización en los siguientes productos:

  • Microsoft 365 (incluidos Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Defender para aplicaciones en la nube
  • Equipos de Microsoft

• Revise la Puntuación de seguridad de Microsoft Defender for Cloud para mejorar el cumplimiento general de la seguridad de las zonas de aterrizaje de Azure Virtual Desktop.

Procedimientos de seguridad y líneas de base recomendados

• Procedimientos de seguridad recomendados de Azure Virtual Desktop
• Línea base de seguridad de Azure Virtual Desktop basada en Azure Security Benchmark
• Aplicación de principios de Confianza cero a una implementación de Azure Virtual Desktop

Pasos siguientes

Aprenda sobre la automatización de la plataforma y DevOps para escenarios de escala empresarial de Azure Virtual Desktop.

Automatización de la plataforma y DevOps