Considérations relatives à la sécurité et à la gestion des identités et des accès (IAM) pour les charges de travail Azure Virtual Desktop
Cet article décrit le domaine de conception de la sécurité et de l’IAM d’une charge de travail Azure Virtual Desktop. Azure Virtual Desktop est un service managé qui fournit un plan de contrôle Microsoft pour votre infrastructure de bureau virtuel. Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle (RBAC) Azure pour contrôler les identités et gérer l’accès. En tant que propriétaire de charge de travail, vous pouvez également appliquer d’autres principes Confiance nulle adaptés aux besoins de votre organisation. Les exemples incluent le principe de vérification explicite et le principe d’accès le moins privilégié .
Important
Cet article fait partie de la série de charges de travail Azure Virtual Desktop Azure Well-Architected Framework . Si vous n’êtes pas familiarisé avec cette série, nous vous recommandons de commencer par Qu’est-ce qu’une charge de travail Azure Virtual Desktop ?.
Utiliser RBAC
Impact : Sécurité, Excellence opérationnelle
RBAC prend en charge la séparation des tâches pour les différentes équipes et personnes qui gèrent le déploiement d’Azure Virtual Desktop. Dans le cadre de la conception de votre zone d’atterrissage, vous devez décider qui assume les différents rôles. Vous créez ensuite un groupe de sécurité pour chaque rôle afin de simplifier l’ajout et la suppression d’utilisateurs dans les rôles.
Azure Virtual Desktop fournit des rôles Azure personnalisés conçus pour chaque zone fonctionnelle. Pour plus d’informations sur la configuration de ces rôles, consultez Rôles intégrés pour Azure Virtual Desktop. Vous pouvez également créer et définir des rôles personnalisés Azure dans le cadre du Cloud Adoption Framework pour le déploiement Azure. Vous devrez peut-être combiner des rôles RBAC spécifiques à Azure Virtual Desktop avec d’autres rôles RBAC Azure. Cette approche fournit l’ensemble complet d’autorisations dont les utilisateurs ont besoin pour Azure Virtual Desktop et pour d’autres services Azure tels que les machines virtuelles et la mise en réseau.
Recommandations
- Définissez des rôles pour les équipes et les personnes qui gèrent les déploiements Azure Virtual Desktop.
- Définissez des rôles intégrés Azure pour séparer les responsabilités de gestion pour les pools d’hôtes, les groupes d’applications et les espaces de travail.
- Créez un groupe de sécurité pour chaque rôle.
Améliorer la sécurité de vos hôtes de session
Impact : Sécurité
Azure Virtual Desktop utilise le protocole RDP (Remote Desktop Protocol) pour la communication entre le serveur Terminal Server ou les hôtes de session et le client de l’utilisateur final.
RDP est un protocole multicanal qui peut autoriser et refuser des canaux virtuels distincts qui contiennent les informations suivantes :
- Données de présentation
- Communications d’appareil série
- Informations de licence
- Données hautement chiffrées, telles que l’activité du clavier et de la souris
Pour améliorer la sécurité, vous pouvez configurer les propriétés RDP de votre connexion de manière centralisée dans Azure Virtual Desktop.
Recommandations
- Limitez l’accès de l’Explorateur Windows en masquant les mappages de lecteurs locaux et distants. Cette stratégie empêche les utilisateurs de découvrir des informations sensibles sur les configurations système et les utilisateurs.
- Empêchez l’exécution de logiciels indésirables sur les hôtes de session. Vous pouvez activer AppLocker pour une sécurité supplémentaire sur les hôtes de session. Cette fonctionnalité permet de s’assurer que seules les applications que vous spécifiez peuvent s’exécuter sur l’hôte.
- Utilisez la protection de capture d’écran et le filigrane pour empêcher la capture d’informations sensibles sur les points de terminaison clients. Lorsque vous activez la protection de capture d’écran, le contenu distant est automatiquement bloqué ou masqué dans les captures d’écran et le partage d’écran. Le client Bureau à distance masque également le contenu des logiciels malveillants qui capturent l’écran.
- Utilisez Microsoft Defender Antivirus pour protéger vos machines virtuelles. Pour plus d’informations, consultez Configurer Microsoft Defender Antivirus sur un environnement de bureau à distance ou d’infrastructure de bureau virtuel.
- Activez Windows Defender Contrôle d’application. Définissez des stratégies pour vos pilotes et applications, que vous leur fiiez ou non.
- Déconnectez les utilisateurs lorsqu’ils sont inactifs pour préserver les ressources et empêcher tout accès non autorisé. Pour plus d’informations, consultez Établir des stratégies de temps d’inactivité et de déconnexion maximales.
- Activez Microsoft Defender cloud pour la gestion de la posture de sécurité cloud (CSPM). Pour plus d’informations, consultez Intégrer des appareils d’infrastructure de bureau virtuel (VDI) non persistants dans Microsoft 365 Defender.
Considérations relatives à la conception pour les équipes de plateforme centrale, d’identité et de mise en réseau
Impact : Sécurité
L’identité est un principe de conception fondamental pour Azure Virtual Desktop. L’identité est également un domaine de conception clé que vous devez traiter comme une préoccupation de première classe dans votre processus architectural.
Conception des identités pour Azure Virtual Desktop
Azure Virtual Desktop prend en charge différents types d’identités pour accéder aux ressources et applications d’entreprise. En tant que propriétaire de charge de travail, vous pouvez choisir parmi différents types de fournisseurs d’identité en fonction des besoins de votre entreprise et de votre organisation. Passez en revue les domaines de conception d’identité de cette section pour évaluer ce qui convient le mieux à votre charge de travail.
Conception d’identité | Résumé |
---|---|
identité services de domaine Active Directory (AD DS) | Les utilisateurs doivent être détectables via Microsoft Entra ID pour accéder à Azure Virtual Desktop. Par conséquent, les identités utilisateur qui existent uniquement dans AD DS ne sont pas prises en charge. Les déploiements Active Directory autonomes avec Services ADFS (AD FS) ne sont pas non plus pris en charge. |
Identité hybride | Azure Virtual Desktop prend en charge les identités hybrides via Microsoft Entra ID, y compris les identités fédérées à l’aide d’AD FS. Vous pouvez gérer ces identités utilisateur dans AD DS et les synchroniser avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Vous pouvez également utiliser Microsoft Entra ID pour gérer ces identités et les synchroniser avec AD DS. |
Identité cloud uniquement | Azure Virtual Desktop prend en charge les identités cloud uniquement lorsque vous utilisez des machines virtuelles jointes à l’aide de l’ID de Microsoft Entra. Ces utilisateurs sont créés et gérés directement dans Microsoft Entra ID. |
Important
Azure Virtual Desktop ne prend pas en charge les comptes interentreprises, les comptes Microsoft ou les identités externes.
Pour plus d’informations sur la sélection et l’implémentation d’une stratégie d’identité et d’authentification, consultez Identités et méthodes d’authentification prises en charge.
Recommandations
- Créez un compte d’utilisateur dédié avec le moins de privilèges. Lorsque vous déployez des hôtes de session, utilisez ce compte pour joindre les hôtes de session à un domaine Microsoft Entra Domain Services ou AD DS.
- Exiger l’authentification multifacteur. Pour améliorer la sécurité de l’ensemble de votre déploiement, appliquez l’authentification multifacteur pour tous les utilisateurs et administrateurs dans Azure Virtual Desktop. Pour en savoir plus, consultez Appliquer l’authentification multifacteur d’ID Microsoft Entra pour Azure Virtual Desktop à l’aide de l’accès conditionnel.
- Activez l’accès conditionnel Microsoft Entra ID. Lorsque vous utilisez l’accès conditionnel, vous pouvez gérer les risques avant d’accorder aux utilisateurs l’accès à votre environnement Azure Virtual Desktop. Dans le processus de décision des utilisateurs auxquels accorder l’accès, vous devez également prendre en compte qui est chaque utilisateur, comment il se connecte et quel appareil il utilise.
Conception de réseau sécurisée pour Azure Virtual Desktop
Sans mesures de sécurité réseau en place, les attaquants peuvent accéder à vos ressources. Pour protéger vos ressources, il est important de placer des contrôles sur le trafic réseau. Des contrôles de sécurité réseau appropriés peuvent vous aider à détecter et à arrêter les attaquants qui accèdent à vos déploiements cloud.
Recommandations
- Utilisez une architecture hub-spoke. Il est essentiel de faire la distinction entre les services partagés et les services d’application Azure Virtual Desktop. Une architecture hub-spoke est une bonne approche de la sécurité. Vous devez conserver les ressources spécifiques à la charge de travail dans leur propre réseau virtuel distinct des services partagés dans le hub. Les services de gestion et DNS (Domain Name System) sont des exemples de services partagés.
- Utiliser les groupes de sécurité réseau. Vous pouvez utiliser des groupes de sécurité réseau pour filtrer le trafic réseau à destination et en provenance de votre charge de travail Azure Virtual Desktop. Les étiquettes de service et les règles de groupe de sécurité réseau vous permettent d’autoriser ou de refuser l’accès à votre application Azure Virtual Desktop. Pour instance, vous pouvez autoriser l’accès aux ports d’application Azure Virtual Desktop à partir de plages d’adresses IP locales, et vous pouvez refuser l’accès à partir de l’Internet public. Pour plus d’informations, consultez Groupes de sécurité réseau. Pour déployer Azure Virtual Desktop et le mettre à la disposition de vos utilisateurs, vous devez autoriser les URL spécifiques auxquelles vos machines virtuelles hôtes de session peuvent accéder à tout moment. Pour obtenir la liste de ces URL, consultez URL requises pour Azure Virtual Desktop.
- Isolez vos pools d’hôtes en plaçant chaque pool d’hôtes dans un réseau virtuel distinct. Utilisez des groupes de sécurité réseau avec les URL requises par Azure Virtual Desktop pour chaque sous-réseau.
- Appliquer la sécurité du réseau et des applications. Les contrôles de sécurité réseau et d’application sont des mesures de sécurité de base pour chaque charge de travail Azure Virtual Desktop. Le réseau et l’application hôte de session Azure Virtual Desktop nécessitent un examen rigoureux de la sécurité et des contrôles de base.
- Évitez l’accès RDP direct aux hôtes de session dans votre environnement en désactivant ou en bloquant le port RDP. Si vous avez besoin d’un accès RDP direct à des fins d’administration ou de résolution des problèmes, utilisez Azure Bastion pour vous connecter aux hôtes de session.
- Utilisez Azure Private Link avec Azure Virtual Desktop pour conserver le trafic au sein du réseau Microsoft et améliorer la sécurité. Lorsque vous créez un point de terminaison privé, le trafic entre votre réseau virtuel et le service reste sur le réseau Microsoft. Vous n’avez plus besoin d’exposer votre service à l’Internet public. Vous pouvez également utiliser un réseau privé virtuel (VPN) ou Azure ExpressRoute afin que les utilisateurs disposant d’un client Bureau à distance puissent se connecter à votre réseau virtuel.
- Utilisez Pare-feu Azure pour protéger Azure Virtual Desktop. Les hôtes de session Azure Virtual Desktop s’exécutent dans votre réseau virtuel et sont soumis aux contrôles de sécurité du réseau virtuel. Si vos applications ou utilisateurs ont besoin d’un accès Internet sortant, nous vous recommandons d’utiliser Pare-feu Azure pour les protéger et verrouiller votre environnement.
Chiffrer les données en transit
Impact : Sécurité
Le chiffrement en transit s’applique à l’état des données qui passent d’un emplacement à un autre. Vous pouvez chiffrer les données en transit de plusieurs façons, en fonction de la nature de la connexion. Pour plus d’informations, consultez Chiffrement des données en transit.
Azure Virtual Desktop utilise le protocole TLS (Transport Layer Security) version 1.2 pour toutes les connexions initiées à partir de clients et d’hôtes de session vers les composants d’infrastructure Azure Virtual Desktop. Azure Virtual Desktop utilise les mêmes chiffrements TLS 1.2 qu’Azure Front Door. Il est important de s’assurer que les ordinateurs clients et les hôtes de session peuvent utiliser ces chiffrements. Pour le transport de connexion inversée, le client et l’hôte de session se connectent à la passerelle Azure Virtual Desktop. Le client et l’hôte de session établissent ensuite une connexion TCP (Transmission Control Protocol). Ensuite, le client et l’hôte de session valident le certificat de passerelle Azure Virtual Desktop. RDP est utilisé pour établir le transport de base. RDP établit ensuite une connexion TLS imbriquée entre le client et l’hôte de session à l’aide des certificats d’hôte de session.
Pour plus d’informations sur la connectivité réseau, consultez Présentation de la connectivité réseau Azure Virtual Desktop.
Recommandations
- Comprendre comment Azure Virtual Desktop chiffre les données en transit.
- Assurez-vous que les ordinateurs clients et vos hôtes de session peuvent utiliser les chiffrements TLS 1.2 utilisés par Azure Front Door.
Utiliser l’informatique confidentielle pour chiffrer les données utilisées
Impact : sécurité, efficacité des performances
Utilisez l’informatique confidentielle pour protéger les données utilisées lorsque vous travaillez dans des secteurs réglementés tels que le secteur public, les services financiers et les instituts de santé.
Vous pouvez utiliser des machines virtuelles confidentielles pour Azure Virtual Desktop. Les machines virtuelles confidentielles augmentent la confidentialité et la sécurité des données en protégeant les données en cours d’utilisation. Les séries de machines virtuelles confidentielles Azure DCasv5 et ECasv5 fournissent un environnement d’exécution approuvé (TEE) basé sur le matériel. Cet environnement offre des fonctionnalités de sécurité SECURE Encrypted Virtualization-Secure SEV-SNP (Advanced Micro Devices) Secure Encrypted. Ces fonctionnalités renforcent les protections des invités pour refuser à l’hyperviseur et à d’autres codes de gestion de l’hôte l’accès à la mémoire et à l’état de la machine virtuelle. Ils permettent également de se protéger contre l’accès des opérateurs et de chiffrer les données en cours d’utilisation.
Les machines virtuelles confidentielles prennent en charge les versions 22H1, 22H2 et futures de Windows 11. La prise en charge des machines virtuelles confidentielles pour Windows 10 est planifiée. Le chiffrement de disque de système d’exploitation confidentiel est disponible pour les machines virtuelles confidentielles. En outre, la surveillance de l’intégrité est disponible lors du provisionnement du pool d’hôtes Azure Virtual Desktop pour les machines virtuelles confidentielles.
Pour plus d’informations, consultez les ressources suivantes :
- Qu’est-ce que l’informatique confidentielle ?
- Machines virtuelles d’informatique confidentielle Azure
Recommandations
- Utilisez l’informatique confidentielle pour protéger les données en cours d’utilisation.
- Utilisez les séries de machines virtuelles confidentielles Azure DCasv5 et ECasv5 pour créer un TEE basé sur le matériel.
Ressources de sécurité Azure Virtual Desktop associées
Étapes suivantes
Maintenant que vous avez examiné les meilleures pratiques pour la sécurisation d’Azure Virtual Desktop, examinez les procédures de gestion opérationnelle pour atteindre l’excellence métier.
Utilisez l’outil d’évaluation pour évaluer vos choix de conception.