Recomendaciones de seguridad para Azure Virtual Desktop
Azure Virtual Desktop es un servicio de escritorio virtual administrado que incluye muchas funcionalidades de seguridad para mantener protegida su organización. La arquitectura de Azure Virtual Desktop consta de muchos componentes que componen el servicio que conecta a los usuarios a sus escritorios y aplicaciones.
Azure Virtual Desktop tiene muchas características de seguridad avanzada integradas, como Reverse Connect, donde no es necesario abrir ningún puerto de red entrante, lo que reduce el riesgo que implica tener escritorios remotos accesibles desde cualquier lugar. El servicio también se beneficia de muchas otras características de seguridad de Azure, como la autenticación multifactor y el acceso condicional. En este artículo se describen los pasos que puede seguir como administrador para proteger las implementaciones de Azure Virtual Desktop, tanto si proporciona escritorios como aplicaciones a los usuarios de su organización o a usuarios externos.
Responsabilidades de seguridad compartidas
Antes de Azure Virtual Desktop, las soluciones de virtualización locales como los servicios de Escritorio remoto requieren conceder a los usuarios acceso a roles como Puerta de enlace, Agente o Acceso web, entre otros. Estos roles tenían que ser totalmente redundantes y ser capaces de controlar la capacidad máxima. Los administradores instalarían estos roles como parte del sistema operativo Windows Server y tenían que estar unidos a un dominio con puertos específicos accesibles para las conexiones públicas. Para mantener seguras las implementaciones, los administradores tenían que asegurarse constantemente de que todo en la infraestructura se mantiene y está actualizado.
Sin embargo, en la mayoría de los servicios en la nube hay una conjunto compartido de responsabilidades de seguridad entre Microsoft y el cliente o asociado. Para Azure Virtual Desktop, la mayoría de los componentes son administrados por Microsoft, pero los hosts de sesión y algunos servicios y componentes auxiliares son administrados por el cliente o administrados por asociados. Para más información sobre los componentes administrados por Microsoft de Azure Virtual Desktop, consulte Arquitectura del servicio Azure Virtual Desktop y resistencia.
Aunque algunos componentes ya están protegidos para su entorno, deberá configurar otras áreas para adaptarse a las necesidades de seguridad de su organización o cliente. Estos son los componentes de los que es responsable de la seguridad en la implementación de Azure Virtual Desktop:
| Componente | Responsabilidad |
|---|---|
| Identidad | Cliente o asociado |
| Dispositivos del usuario (móvil y PC) | Cliente o asociado |
| Seguridad de la aplicación | Cliente o asociado |
| Sistema operativo host de sesión | Cliente o asociado |
| Configuración de la implementación | Cliente o asociado |
| Controles de red | Cliente o asociado |
| Plano de control de la virtualización | Microsoft |
| Anfitriones físicos | Microsoft |
| Red física | Microsoft |
| Centro de datos físico | Microsoft |
Límites de seguridad
Los límites de seguridad separan el código y los datos de los dominios de seguridad con distintos niveles de confianza. Por ejemplo, normalmente hay un límite de seguridad entre el modo kernel y el modo de usuario. La mayoría de los servicios y software de Microsoft dependen de varios límites de seguridad para aislar dispositivos en redes, máquinas virtuales y aplicaciones en dispositivos. En la tabla siguiente se enumeran los límites de seguridad de Windows y lo que hacen para la seguridad general.
| Límite de seguridad | Descripción |
|---|---|
| Límite de red | Un punto de conexión de red no autorizado no puede alterar ni acceder al código ni a los datos del dispositivo de un cliente. |
| Límite de kernel | Un proceso en modo usuario no administrativo no puede acceder ni manipular el código y los datos del núcleo. La relación entre el administrador y el núcleo no es un límite de seguridad. |
| Límite de proceso | Un proceso en modo usuario no autorizado no puede alterar ni acceder al código ni a los datos de otro proceso. |
| Límite de espacio aislado de AppContainer | Un proceso de espacio aislado basado en AppContainer no puede alterar ni acceder al código ni a los datos que hay fuera del espacio aislado en función de las características del contenedor. |
| Límite de usuario | Un usuario no puede alterar ni acceder al código ni a los datos de otro usuario sin autorización. |
| Límite de sesión | Una sesión de un usuario no puede alterar ni acceder a la sesión de otro usuario sin autorización. |
| Límite de explorador web | Un sitio web no autorizado no puede infringir la directiva de mismo origen y tampoco puede alterar ni acceder al código nativo ni a los datos del espacio aislado del explorador web Microsoft Edge. |
| Límite de máquina virtual | Una máquina virtual invitada de Hyper-V no autorizada no puede alterar ni acceder al código ni a los datos de otra máquina virtual invitada. Esto incluye los contenedores aislados de Hyper-V. |
| Límite del modo de seguridad virtual (VSM) | El código que se ejecuta fuera del enclave o proceso de confianza de VSM no puede acceder a los datos y el código dentro del proceso de confianza ni alterarlo. |
Límites de seguridad recomendados para escenarios de Azure Virtual Desktop
También deberá tomar determinadas decisiones sobre los límites de seguridad caso por caso. Por ejemplo, si un usuario de su organización necesita privilegios de administrador local para instalar aplicaciones, deberá proporcionarles un escritorio personal en lugar de un host de sesión compartido. No se recomienda conceder a los usuarios privilegios de administrador local en escenarios agrupados de varias sesiones, ya que estos usuarios pueden cruzar límites de seguridad para sesiones o permisos de datos NTFS, apagar máquinas virtuales de varias sesiones o hacer otras cosas que podrían interrumpir el servicio o provocar pérdidas de datos.
Los usuarios de la misma organización, como los trabajadores del conocimiento con aplicaciones que no requieren privilegios de administrador, son excelentes candidatos para hosts de sesión multisesión, como Windows 11 Enterprise multisesión. Estos hosts de sesión reducen los costos de su organización porque varios usuarios pueden compartir una sola máquina virtual, con solo los costos de sobrecarga de una máquina virtual por usuario. Con productos de administración de perfiles de usuario como FSLogix, los usuarios se pueden asignar a cualquier máquina virtual de un grupo de hosts sin detectar interrupciones del servicio. Esta característica también le permite optimizar los costes haciendo cosas como apagar las máquinas virtuales durante las horas de menos actividad.
Si su situación requiere que usuarios de distintas organizaciones se conecten a la implementación, se recomienda tener un inquilino independiente para servicios de identidad como Active Directory y Microsoft Entra ID. También se recomienda tener una suscripción independiente para esos usuarios para hospedar recursos de Azure, como Azure Virtual Desktop y máquinas virtuales.
En muchos casos, el uso de varias sesiones es una manera aceptable de reducir los costes, pero si se recomienda depende del nivel de confianza entre los usuarios con acceso simultáneo a una instancia compartida de varias sesiones. Normalmente, los usuarios que pertenecen a la misma organización tienen una relación de confianza suficiente y acordada. Por ejemplo, un departamento o grupo de trabajo en el que las personas colaboren y puedan acceder a la información personal de los demás es una organización con un alto nivel de confianza.
Windows usa controles y límites de seguridad para garantizar que los procesos y los datos de los usuarios estén aislados entre sesiones. Sin embargo, Windows proporciona acceso a la instancia en la que está trabajando el usuario.
Las implementaciones de varias sesiones se beneficiarían de una estrategia de seguridad en profundidad que agrega más límites de seguridad que impiden que los usuarios dentro y fuera de la organización obtengan acceso no autorizado a la información personal de otros usuarios. El acceso no autorizado a los datos se produce debido a un error en el proceso de configuración por parte del administrador del sistema, como una vulnerabilidad de seguridad no revelada o una vulnerabilidad conocida que aún no se ha puesto en revisión.
No se recomienda conceder a los usuarios que trabajen para empresas diferentes o competidoras el acceso al mismo entorno de sesiones múltiples. Estos escenarios tienen varios límites de seguridad que pueden ser atacados o aprovechados, como la red, el kernel, el proceso, el usuario o las sesiones. Una única vulnerabilidad de seguridad podría provocar el robo de datos y credenciales no autorizados, pérdidas de información personal, robo de identidades y otros problemas. Los proveedores de entornos virtualizados son responsables de ofrecer sistemas bien diseñados con varios límites de seguridad seguros y características de seguridad adicionales habilitadas siempre que sea posible.
En la tabla se resumen nuestras recomendaciones para cada escenario.
| Escenario de nivel de confianza | Solución recomendada |
|---|---|
| Usuarios de una organización con privilegios estándar | Usa un sistema operativo (SO) de varias sesiones de Windows Enterprise. |
| Usuarios que requieren privilegios administrativos | Use un grupo de hosts personal y asigne a cada usuario su propio host de sesión. |
| Usuarios de diferentes organizaciones que se conectan | Inquilino de Azure independiente y suscripción de Azure |