Aplicación de principios de Confianza cero a una implementación de Azure Virtual Desktop

  • 4 minutos

En esta unidad se describen los pasos para aplicar los principios de Confianza cero en la arquitectura de referencia de Azure Virtual Desktop.

Paso 1: Proteger sus identidades con Confianza cero.

Para aplicar principios de Confianza cero a las identidades que se usen en Azure Virtual Desktop:

  • Azure Virtual Desktop admite diferentes tipos de identidades. Use la información de Protección de identidades con Confianza cero para asegurarse de que los tipos de identidad elegidos se adhieren a los principios de Confianza cero.
  • Cree una cuenta de usuario dedicada con privilegios mínimos para unir hosts de sesión a un dominio de Microsoft Entra Domain Services o AD DS durante la implementación del host de sesión.

Paso 2: Proteger sus puntos de conexión con Confianza cero

Los puntos de conexión son los dispositivos a través de los que los usuarios acceden al entorno de Azure Virtual Desktop y a las máquinas virtuales del host de sesión. Use las instrucciones de información general de integración de puntos de conexión y use Microsoft Defender para punto de conexión y Microsoft Endpoint Manager para asegurarse de que los puntos de conexión cumplen los requisitos de seguridad y cumplimiento.

Paso 3: Aplicación de principios de Confianza cero a recursos de almacenamiento de Azure Virtual Desktop

Implemente los pasos descritos en Aplicación de principios de Confianza cero a Storage en Azure para los recursos de almacenamiento que se usan en la implementación de Azure Virtual Desktop. Estos pasos garantizan que:

  • Se protegen los datos de Azure Virtual Desktop en reposo, en tránsito y en uso.
  • Se verifican los usuarios y el control de acceso a los datos de almacenamiento con privilegios mínimos
  • Se configuran los puntos de conexión privados para las cuentas de almacenamiento.
  • Se separan de forma lógica o se segregan de los datos críticos con controles de red. Por ejemplo, cuentas de almacenamiento independientes para distintos grupos de hosts y otros fines, como con recursos compartidos de archivos de asociación de aplicaciones MSIX.
  • Utilizar Defender para Storage para la protección automatizadas de amenazas.

Paso 4: Aplicación de principios de Confianza cero a redes virtuales radiales de Azure Virtual Desktop

Una red virtual de centro es un punto central de conectividad para varias redes virtuales radiales. Implemente los pasos descritos en Aplicación de principios de Confianza cero a una red virtual de centro en Azure para la red virtual de centro que se usa para filtrar el tráfico saliente de los hosts de sesión.

Una red virtual radial aísla la carga de trabajo de Azure Virtual Desktop y contiene las máquinas virtuales del host de sesión. Implemente los pasos descritos en Aplicación de principios de Confianza cero a la red virtual radial en Azure para la red virtual de radio que contiene el host de sesión o las máquinas virtuales.

Aísle distintos grupos de hosts en redes virtuales independientes mediante NSG con la dirección URL necesaria para Azure Virtual Desktop para cada subred. Al implementar los puntos de conexión privados, colóquelos en la subred adecuada de la red virtual en función de su rol.

Azure Firewall o un servidor de seguridad de aplicación virtual de red (NVA) se pueden usar para controlar y restringir el tráfico saliente de los hosts de sesión de Azure Virtual Desktop. Use las instrucciones que se indican aquí para Que Azure Firewall proteja los hosts de sesión. Forzar el tráfico a través del firewall con rutas definidas por el usuario (UDR) vinculadas a la subred del grupo de hosts. Revise la lista completa de las direcciones URL de Azure Virtual Desktop necesarias para configurar el firewall. Azure Firewall proporciona una etiqueta FQDN de Azure Virtual Desktop para simplificar esta configuración.

Paso 5: Aplicación de principios de Confianza cero a un host de sesión de Azure Virtual Desktop

Los hosts de sesión son máquinas virtuales que se ejecutan dentro de una red virtual de radio. Implemente los pasos descritos en Aplicación de principios de Confianza cero a máquinas virtuales en Azure para las máquinas virtuales que se crean para los hosts de sesión.

Los grupos de hosts deben tener unidades organizativas (UO) separadas si se administran mediante directivas de grupo en Active Directory Domain Services (AD DS).

Microsoft Defender para punto de conexión es una plataforma de seguridad empresarial para puntos de conexión diseñada para evitar, detectar, investigar y responder a amenazas avanzadas. Puede usar Microsoft Defender para punto de conexión para hosts de sesión. Para obtener más información, consulte Dispositivos de infraestructura de escritorio virtual (VDI).

Paso 6: Implementación de seguridad, gobernanza y cumplimiento con Azure Virtual Desktop

El servicio Azure Virtual Desktop permite usar Azure Private Link para conectarse de forma privada a los recursos mediante la creación de puntos de conexión privados.

Azure Virtual Desktop tiene características de seguridad avanzada integradas para proteger los hosts de sesión. Sin embargo, consulte los siguientes artículos para mejorar las defensas de seguridad del entorno de Azure Virtual Desktop y los hosts de sesión:

Además, consulte las principales consideraciones de diseño y recomendaciones relacionadas con la seguridad, gobernanza y cumplimiento en las zonas de aterrizaje de Azure Virtual Desktop de acuerdo con Cloud Adoption Framework de Microsoft.

Paso 7: Implementación de administración y supervisión en Azure Virtual Desktop

La administración y la supervisión continua son importantes para asegurarse de que el entorno de Azure Virtual Desktop no participa en comportamientos malintencionados. Utilización de Azure Virtual Desktop Insights para registrar datos y notificar datos de diagnóstico y uso.

Consulte estos artículos adicionales: