Appliquer les principes Confiance Zéro à un déploiement Azure Virtual Desktop

  • 4 minutes

Cette unité décrit les étapes à suivre pour appliquer les principes de confiance zéro dans l’architecture de référence Azure Virtual Desktop.

Étape 1 : sécurisez vos identités avec Confiance Zéro

Pour appliquer les principes de Confiance Zéro aux identités utilisées dans Azure Virtual Desktop :

  • Azure Virtual Desktop prend en charge différents types d'identités. Utilisez les informations de sécurisation de l'identité avec Confiance Zéro pour vous assurer que vos types d'identités choisis respectent les principes de Confiance Zéro.
  • Créez un compte d'utilisateur dédié avec des droits d'accès minimum pour joindre des hôtes de la session à un domaine Microsoft Entra Domain Services ou AD DS pendant le déploiement de l'hôte de la session.

Étape 2 : sécurisez les points de terminaison avec Confiance Zéro.

Les points de terminaison sont les appareils via lesquels les utilisateurs accèdent à l'environnement Azure Virtual Desktop et aux machines virtuelles hôtes de la session. Utilisez les instructions de la vue d'ensemble de l'intégration de point de terminaison et utilisez Microsoft Defender for Endpoint et Microsoft Endpoint Manager pour vous assurer que vos points de terminaison respectent vos exigences de sécurité et de conformité.

Étape 3 : appliquez les principes de Confiance Zéro aux ressources de stockage d'Azure Virtual Desktop

Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au stockage dans Azure pour les ressources de stockage utilisées dans votre déploiement Azure Virtual Desktop. Ces étapes permettent de s'assurer que vous :

  • sécurisez vos données au repos, en transit et en cours d'utilisation d'Azure Virtual Desktop.
  • vérifiez les utilisateurs et contrôlez l'accès aux données de stockage avec droit d'accès minimal.
  • implémentez les points de terminaison privés pour les comptes de stockage.
  • séparez de façon logique ou isolez les données critiques avec des contrôles de réseau, à savoir des comptes de stockage distincts pour différents pools d'hôtes et d'autres fins, comme avec les partages de fichiers d'attachement d'application MSIX.
  • Utilisez Defender for Storage pour une protection contre les menaces automatisée.

Étape 4 : appliquez les principes de Confiance Zéro aux réseaux virtuels réseau en étoile Azure Virtual Desktop

Un réseau virtuel Hub est un point central de connectivité pour plusieurs réseaux virtuels Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à un réseau virtuel Hub dans Azure pour le réseau virtuel Hub utilisé pour filtrer le trafic sortant à partir de vos hôtes de la session.

Un réseau virtuel Spoke isole la charge de travail Azure Virtual Desktop et contient les machines virtuelles hôtes de la session. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au réseau virtuel Spoke dans Azure pour le réseau virtuel Spoke qui contient l'hôte de la session/les machines virtuelles.

Isolez différents pools d'hôtes sur des réseaux virtuels distincts à l'aide du NSG avec l'URL requise pour Azure Virtual Desktop pour chaque sous-réseau. Lors du déploiement des points de terminaison privés, placez-les dans le sous-réseau approprié dans le réseau virtuel en fonction de leur rôle.

Pare-feu Azure ou un pare-feu d'appliance virtuelle réseau (NVA) peut être utilisé pour contrôler et restreindre le trafic sortant des hôtes de la session Azure Virtual Desktop. Utilisez les instructions ici pour Pare-feu Azure pour protéger les hôtes de la session. Forcez le trafic via le pare-feu avec des itinéraires définis par l'utilisateur (UDR) liés au sous-réseau du pool d'hôtes. Passez en revue la liste complète des URL Azure Virtual Desktop pour configurer votre pare-feu. Pare-feu Azure fournit une balise FQDN Azure Virtual Desktop pour simplifier cette configuration.

Étape 5 : appliquez les principes de Confiance Zéro aux hôtes de la session Azure Virtual Desktop

Les hôtes de la session sont des machines virtuelles qui s'exécutent à l'intérieur d'un réseau virtuel Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à des machines virtuelles dans Azure pour les machines virtuelles créées pour vos hôtes de la session.

Les pools d'hôtes doivent avoir des unités organisationnelles séparées si elles sont gérées par des stratégies de groupe sur Active Directory Domain Services (AD DS).

Microsoft Defender for Endpoint est une plateforme de sécurité des points de terminaison d'entreprise conçue pour aider pour aider les réseaux d'entreprise à prévenir, détecter et étudier les menaces avancées et à y répondre. Vous pouvez utiliser Microsoft Defender for Endpoint pour les hôtes de la session. Pour plus d’informations, consultez appareils VDI (Virtual Desktop Infrastructure).

Étape 6 : Déployer la sécurité, la gouvernance et la conformité avec Azure Virtual Desktop

Le service Azure Virtual Desktop vous permet d’utiliser Azure Private Link pour vous connecter en privé à vos ressources en créant des points de terminaison privés.

Azure Virtual Desktop dispose de fonctionnalités de sécurité avancées prédéfinies pour protéger les hôtes de la session. Toutefois, consultez les articles suivants pour améliorer les défenses de sécurité de votre environnement et hôtes de la session Azure Virtual Desktop :

En outre, consultez les principales considérations et recommandations en matière de sécurité, de gouvernance et de conformité dans les zones d'atterrissage d'Azure Virtual Desktop, conformément au Cloud Adoption Framework de Microsoft.

Étape 7 : déployez une gestion et une surveillance sécurisées pour Azure Virtual Desktop

La gestion et la surveillance continue sont importantes pour vous assurer que votre environnement Azure Virtual Desktop n'est pas impliqué dans un comportement malveillant. Utilisez Azure Virtual Desktop Insights pour journaliser les données et établir des rapports sur les diagnostics et les données d'utilisation.

Consultez ces articles supplémentaires :