Consideraciones de seguridad e identidad y administración de acceso (IAM) para cargas de trabajo de Azure Virtual Desktop
En este artículo se describe el área de diseño de seguridad e IAM de una carga de trabajo de Azure Virtual Desktop. Azure Virtual Desktop es un servicio administrado que proporciona un plano de control de Microsoft para la infraestructura de escritorio virtual. Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure para controlar las identidades y administrar el acceso. Como propietario de la carga de trabajo, también puede aplicar otros principios de Confianza cero adecuados para los requisitos de la organización. Entre los ejemplos se incluyen el principio de comprobación explícita y el principio de acceso con privilegios mínimos .
Importante
Este artículo forma parte de la serie de cargas de trabajo de Azure Well-Architected Framework de Azure Virtual Desktop . Si no está familiarizado con esta serie, se recomienda empezar con ¿Qué es una carga de trabajo de Azure Virtual Desktop?.
Uso de RBAC
Impacto: Seguridad, Excelencia operativa
RBAC admite la separación de tareas para los distintos equipos y personas que administran la implementación de Azure Virtual Desktop. Como parte del diseño de la zona de aterrizaje, debe decidir quién asume los distintos roles. Además, se deberá crear un grupo de seguridad para cada rol a fin de simplificar la adición y eliminación de roles para los usuarios.
Azure Virtual Desktop proporciona roles de Azure personalizados diseñados para cada área funcional. Para información sobre cómo se configuran estos roles, consulte Roles de Azure Virtual Desktop integrados. También puede crear y definir roles personalizados de Azure como parte del Cloud Adoption Framework para la implementación de Azure. Es posible que tenga que combinar roles RBAC específicos de Azure Virtual Desktop con otros roles de RBAC de Azure. Este enfoque proporciona el conjunto completo de permisos que los usuarios necesitan para Azure Virtual Desktop y para otros servicios de Azure, como máquinas virtuales y redes.
Recomendaciones
- Defina roles para los equipos y las personas que administran las implementaciones de Azure Virtual Desktop.
- Defina roles integrados de Azure para separar las responsabilidades de administración de los grupos host, los grupos de aplicaciones y las áreas de trabajo.
- Cree un grupo de seguridad para cada rol.
Mejora de la seguridad de los hosts de sesión
Impacto: Seguridad
Azure Virtual Desktop usa el Protocolo de Escritorio remoto (RDP) para la comunicación entre el servidor de terminal o los hosts de sesión y el cliente del usuario final.
RDP es un protocolo multicanal que puede permitir y denegar canales virtuales independientes que llevan la siguiente información:
- Datos de presentación
- Comunicaciones de dispositivo serie
- Información de licencia
- Datos altamente cifrados, como la actividad de teclado y mouse
Para mejorar la seguridad, puede configurar las propiedades RDP de la conexión de forma centralizada en Azure Virtual Desktop.
Recomendaciones
- Restringir el acceso al Explorador de Windows al ocultar las asignaciones de unidades locales y remotas. Esta estrategia impide que los usuarios detecten información confidencial sobre las configuraciones del sistema y los usuarios.
- Impedir que el software no deseado se ejecute en los hosts de sesión. Puede habilitar AppLocker para mayor seguridad en los hosts de sesión. Esta característica ayuda a garantizar que solo las aplicaciones que especifique se puedan ejecutar en el host.
- Use la protección de captura de pantalla y las marcas de agua para ayudar a evitar que se capture información confidencial en los puntos de conexión de cliente. Al activar la protección de captura de pantalla, el contenido remoto se bloquea o oculta automáticamente en capturas de pantalla y el uso compartido de pantalla. El cliente de Escritorio remoto también oculta el contenido del software malintencionado que captura la pantalla.
- Use Microsoft Defender Antivirus para ayudar a proteger las máquinas virtuales. Para obtener más información, consulte Configuración de Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual.
- Active Windows Defender Control de aplicaciones. Defina directivas para sus controladores y aplicaciones, tanto si confía en ellos como si no.
- Cierre la sesión de los usuarios cuando estén inactivos para conservar los recursos y evitar el acceso no autorizado. Para obtener más información, vea Establecer el tiempo máximo inactivo y las directivas de desconexión.
- Active Microsoft Defender for Cloud for Cloud for Cloud security posture management (CSPM). Para obtener más información, consulte Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistentes en Microsoft 365 Defender.
Consideraciones de diseño para equipos centrales de plataforma, identidad y redes
Impacto: Seguridad
La identidad es un principio de diseño fundamental para Azure Virtual Desktop. La identidad también es un área de diseño clave que debe tratar como una preocupación de primera clase dentro del proceso arquitectónico.
Diseño de identidades para Azure Virtual Desktop
Azure Virtual Desktop admite diferentes tipos de identidades para acceder a los recursos y aplicaciones corporativos. Como propietario de la carga de trabajo, puede seleccionar entre varios tipos de proveedores de identidades según sus necesidades empresariales y organizativas. Revise las áreas de diseño de identidad de esta sección para evaluar lo que es mejor para la carga de trabajo.
| Diseño de identidad | Resumen |
|---|---|
| identidad de Servicios de dominio de Active Directory (AD DS) | Los usuarios deben ser reconocibles a través de Microsoft Entra identificador para acceder a Azure Virtual Desktop. Como resultado, no se admiten identidades de usuario que solo existen en AD DS. Tampoco se admiten implementaciones de Active Directory independientes con Servicios de federación de Active Directory (AD FS) (AD FS). |
| Identidad híbrida | Azure Virtual Desktop admite identidades híbridas a través de Microsoft Entra identificador, incluidas las identidades federadas mediante AD FS. Puede administrar estas identidades de usuario en AD DS y sincronizarlas con Microsoft Entra id. mediante Microsoft Entra Connect. También puede usar Microsoft Entra id. para administrar estas identidades y sincronizarlas con AD DS. |
| Identidad solo en la nube | Azure Virtual Desktop admite identidades solo en la nube cuando se usan máquinas virtuales unidas mediante el identificador de Microsoft Entra. Estos usuarios se crean y administran directamente en Microsoft Entra id. |
Importante
Azure Virtual Desktop no admite cuentas empresariales, cuentas microsoft ni identidades externas.
Para obtener más información sobre cómo seleccionar e implementar una estrategia de identidad y autenticación, consulte Identidades admitidas y métodos de autenticación.
Recomendaciones
- Cree una cuenta de usuario dedicada con privilegios mínimos. Al implementar hosts de sesión, use esta cuenta para unir los hosts de sesión a un dominio de Servicios de dominio de Microsoft Entra o AD DS.
- Requerir autenticación multifactor. Para mejorar la seguridad de toda la implementación, aplique la autenticación multifactor para todos los usuarios y administradores de Azure Virtual Desktop. Para más información, consulte Aplicación de la autenticación multifactor de Microsoft Entra id. para Azure Virtual Desktop mediante el acceso condicional.
- Active Microsoft Entra id. de acceso condicional. Al usar el acceso condicional, puede administrar los riesgos antes de conceder a los usuarios acceso al entorno de Azure Virtual Desktop. En el proceso de decidir a qué usuarios conceder acceso, también debe tener en cuenta a quién es cada usuario, cómo inician sesión y a qué dispositivo usan.
Diseño de red seguro para Azure Virtual Desktop
Sin medidas de seguridad de red vigentes, los atacantes pueden obtener acceso a los recursos. Para proteger los recursos, es importante colocar controles en el tráfico de red. Los controles de seguridad de red adecuados pueden ayudarle a detectar y detener a los atacantes que obtienen acceso a las implementaciones en la nube.
Recomendaciones
- Use una arquitectura en estrella tipo hub-and-spoke. Es fundamental diferenciar entre los servicios compartidos y los servicios de aplicaciones de Azure Virtual Desktop. Una arquitectura en estrella tipo hub-and-spoke es un buen enfoque para la seguridad. Debe mantener los recursos específicos de la carga de trabajo en su propia red virtual independiente de los servicios compartidos del centro. Algunos ejemplos de servicios compartidos incluyen servicios de administración y sistema de nombres de dominio (DNS).
- Uso de grupos de seguridad de red Puede usar grupos de seguridad de red para filtrar el tráfico de red hacia y desde la carga de trabajo de Azure Virtual Desktop. Las etiquetas de servicio y las reglas del grupo de seguridad de red proporcionan una manera de permitir o denegar el acceso a la aplicación de Azure Virtual Desktop. Por ejemplo, puede permitir el acceso a los puertos de aplicación de Azure Virtual Desktop desde intervalos de direcciones IP locales y puede denegar el acceso desde la red pública de Internet. Para más información, consulteGrupo de seguridad de red. Para implementar Azure Virtual Desktop y ponerlo a disposición de los usuarios, debe permitir direcciones URL específicas a las que pueden acceder las máquinas virtuales del host de sesión en cualquier momento. Para obtener una lista de estas direcciones URL, consulte Direcciones URL necesarias para Azure Virtual Desktop.
- Aísle los grupos de hosts colocando cada grupo de hosts en una red virtual independiente. Use grupos de seguridad de red con las direcciones URL que Azure Virtual Desktop requiere para cada subred.
- Aplique la seguridad de la red y de la aplicación. Los controles de seguridad de red y aplicaciones son medidas de seguridad de línea base para cada carga de trabajo de Azure Virtual Desktop. La red y la aplicación del host de sesión de Azure Virtual Desktop requieren rigurosas revisiones de seguridad y controles de línea base.
- Evite el acceso directo de RDP a los hosts de sesión de su entorno mediante la deshabilitación o el bloqueo del puerto RDP. Si necesita acceso directo a RDP con fines administrativos o solución de problemas, use Azure Bastion para conectarse a los hosts de sesión.
- Use Azure Private Link con Azure Virtual Desktop para mantener el tráfico dentro de la red de Microsoft y ayudar a mejorar la seguridad. Al crear un punto de conexión privado, el tráfico entre la red virtual y el servicio permanece en la red de Microsoft. Ya no es necesario exponer el servicio a la red pública de Internet. También puede usar una red privada virtual (VPN) o Azure ExpressRoute para que los usuarios con un cliente de Escritorio remoto puedan conectarse a la red virtual.
- Use Azure Firewall para ayudar a proteger Azure Virtual Desktop. Los hosts de sesión de Azure Virtual Desktop se ejecutan en la red virtual y están sujetos a los controles de seguridad de red virtual. Si las aplicaciones o los usuarios necesitan acceso saliente a Internet, se recomienda usar Azure Firewall para ayudar a protegerlos y bloquear su entorno.
Cifrado de los datos en tránsito
Impacto: Seguridad
El cifrado en tránsito se aplica al estado de los datos que se mueven de una ubicación a otra. Puede cifrar los datos en tránsito de varias maneras, en función de la naturaleza de la conexión. Para obtener más información, consulte Cifrado de datos en tránsito.
Azure Virtual Desktop usa la versión 1.2 de seguridad de la capa de transporte (TLS) para todas las conexiones que se inician desde clientes y hosts de sesión a los componentes de infraestructura de Azure Virtual Desktop. Azure Virtual Desktop usa los mismos cifrados TLS 1.2 que Azure Front Door. Es importante asegurarse de que los equipos cliente y los hosts de sesión puedan usar estos cifrados. Para el transporte de conexión inversa, el cliente y el host de sesión se conectan a la puerta de enlace de Azure Virtual Desktop. A continuación, el cliente y el host de sesión establecen una conexión del Protocolo de control de transmisión (TCP). A continuación, el cliente y el host de sesión validan el certificado de puerta de enlace de Azure Virtual Desktop. RDP se usa para establecer el transporte base. Después, RDP establece una conexión TLS anidada entre el cliente y el host de sesión mediante los certificados de host de sesión.
Para más información sobre la conectividad de red, consulte Descripción de la conectividad de red de Azure Virtual Desktop.
Recomendaciones
- Comprenda cómo Azure Virtual Desktop cifra los datos en tránsito.
- Asegúrese de que los equipos cliente y los hosts de sesión pueden usar los cifrados TLS 1.2 que usa Azure Front Door.
Uso de la computación confidencial para cifrar datos en uso
Impacto: Seguridad, eficiencia del rendimiento
Use la computación confidencial para proteger los datos en uso cuando opera en sectores regulados, como los gobiernos, los servicios financieros y los institutos sanitarios.
Puede usar máquinas virtuales confidenciales para Azure Virtual Desktop. Las máquinas virtuales confidenciales aumentan la privacidad y la seguridad de los datos al proteger los datos en uso. Las series de máquinas virtuales confidenciales de Azure DCasv5 y ECasv5 proporcionan un entorno de ejecución de confianza (TEE) basado en hardware. Este entorno incluye funcionalidades de seguridad advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure anidada de paginación (SEV-SNP). Estas características protegen a los invitados para denegar el hipervisor y otro código de administración del host acceso a la memoria y el estado de la máquina virtual. También ayudan a protegerse contra el acceso del operador y cifran los datos en uso.
Las máquinas virtuales confidenciales proporcionan compatibilidad con las versiones 22H1, 22H2 y futuras de Windows 11. La compatibilidad con máquinas virtuales confidenciales para Windows 10 está planeada. El cifrado de disco del sistema operativo confidencial está disponible para máquinas virtuales confidenciales. Además, la supervisión de la integridad está disponible durante el aprovisionamiento del grupo de hosts de Azure Virtual Desktop para máquinas virtuales confidenciales.
Para obtener más información, consulte los siguientes recursos:
Recomendaciones
- Use la computación confidencial para proteger los datos en uso.
- Use la serie de máquinas virtuales confidenciales de Azure DCasv5 y ECasv5 para compilar un TEE basado en hardware.
Recursos de seguridad de Azure Virtual Desktop relacionados
Pasos siguientes
Ahora que ha examinado los procedimientos recomendados para proteger Azure Virtual Desktop, investigue los procedimientos de administración operativa para lograr la excelencia empresarial.
Use la herramienta de evaluación para evaluar las opciones de diseño.