Sicurezza e governance
Questo articolo fornisce considerazioni chiave sulla progettazione e consigli per la sicurezza, la governance e la conformità nelle zone di destinazione di Desktop virtuale Azure in conformità con Cloud Adoption Framework di Microsoft.
Esaminare le sezioni seguenti per trovare i controlli di sicurezza e la governance consigliati per la zona di destinazione di Desktop virtuale Azure.
Identità
Proteggere l'accesso utente a Desktop virtuale Azure stabilendo i criteri di accesso condizionale di Microsoft Entra con l'autenticazione a più fattori Di Microsoft Entra o uno strumento di autenticazione a più fattori partner. Prendere in considerazione le posizioni, i dispositivi e i comportamenti di accesso degli utenti e aggiungere controlli aggiuntivi in base alle esigenze in base ai modelli di accesso. Per altre informazioni sull'abilitazione dell'autenticazione a più fattori di Azure per Desktop virtuale Azure, vedere Abilitare l'autenticazione a più fattori di Azure per Desktop virtuale Azure.
Assegnare i privilegi minimi necessari definendo ruoli amministrativi, operativi e di progettazione ai ruoli controllo degli accessi in base al ruolo di Azure. Per limitare l'accesso ai ruoli con privilegi elevati all'interno della zona di destinazione di Desktop virtuale Azure, prendere in considerazione l'integrazione con Azure Privileged Identity Management (PIM). La conoscenza del team responsabile di ogni particolare area amministrativa consente di determinare i ruoli e la configurazione del controllo degli accessi in base al ruolo di Azure.
Usare l'identità gestita di Azure o l'entità servizio con le credenziali del certificato per automazione e servizi per Desktop virtuale Azure. Assegnare privilegi minimi all'account di automazione e all'ambito limitato alle zone di destinazione di Desktop virtuale Azure. È possibile usare Azure Key Vault con identità gestite di Azure in modo che gli ambienti di runtime (ad esempio una funzione di Azure) possano recuperare le credenziali di automazione dall'insieme di credenziali delle chiavi.
Assicurarsi di raccogliere la registrazione delle attività degli utenti e degli amministratori per l'ID Microsoft Entra e le zone di destinazione di Desktop virtuale Azure. Monitorare questi log con lo strumento SIEM (Security Information and Event Management). È possibile raccogliere log da varie origini, ad esempio:
Usare i gruppi di Microsoft Entra anziché i singoli utenti quando si assegna l'accesso ai gruppi di applicazioni Desktop virtuale Azure. Prendere in considerazione l'uso di gruppi di sicurezza esistenti che eseguono il mapping alle funzioni aziendali all'interno dell'organizzazione, che consente di riutilizzare i processi di provisioning e deprovisioning degli utenti esistenti.
Rete
Effettuare il provisioning o riutilizzare una rete virtuale dedicata per le zone di destinazione di Desktop virtuale Azure. Pianificare lo spazio degli indirizzi IP per adattarsi alla scalabilità degli host di sessione. Stabilire le dimensioni della subnet di base in base al numero minimo e massimo di host di sessione per pool di host. Eseguire il mapping dei requisiti delle business unit ai pool di host.
Usare gruppi di sicurezza di rete (NSG) e/o Firewall di Azure (o appliance firewall di terze parti) per stabilire la micro-segmentazione. Usare i tag del servizio di Azure Rete virtuale e i gruppi di servizi applicazioni per definire i controlli di accesso di rete nei gruppi di sicurezza di rete o un Firewall di Azure configurato per le risorse di Desktop virtuale Azure. Verificare che l'accesso in uscita dell'host sessione agli URL richiesti venga ignorato dal proxy (se usato negli host sessione) e Firewall di Azure (o appliance firewall di terze parti).
In base alle applicazioni e alla strategia di segmentazione aziendale, limitare il traffico tra gli host di sessione e le risorse interne tramite regole del gruppo di sicurezza o Firewall di Azure (o un'appliance firewall di terze parti) su larga scala.
Abilitare la protezione standard DDoS di Azure per Firewall di Azure (o un'appliance firewall di terze parti) per proteggere le zone di destinazione di Desktop virtuale Azure.
Se si usa il proxy per l'accesso Internet in uscita dagli host di sessione:
- Configurare i server proxy nella stessa area geografica degli host e dei client di sessione di Desktop virtuale Azure (se si usano provider proxy cloud).
- Non usare l'ispezione TLS. In Desktop virtuale Azure il traffico viene crittografato in transito per impostazione predefinita.
- Evitare la configurazione proxy che richiede l'autenticazione utente. I componenti di Desktop virtuale Azure nell'host sessione vengono eseguiti nel contesto del sistema operativo, quindi non supportano i server proxy che richiedono l'autenticazione. Il proxy a livello di sistema deve essere abilitato per configurare il proxy a livello di host nell'host di sessione.
Verificare che gli utenti finali abbiano accesso agli URL del client Desktop virtuale Azure. Se nei dispositivi degli utenti viene usato l'agente proxy o la configurazione, assicurarsi di ignorare anche gli URL del client Desktop virtuale Azure.
Usare l'accesso JIT per l'amministrazione e la risoluzione dei problemi degli host di sessione. Evitare di concedere l'accesso RDP diretto agli host sessione. Gli host di sessione AVD usano il trasporto Reverse Connect per stabilire sessioni remote.
Usare le funzionalità di protezione avanzata adattiva della rete in Microsoft Defender per il cloud per trovare le configurazioni dei gruppi di sicurezza di rete che limitano le porte e gli INDIRIZZI IP di origine con riferimento alle regole del traffico di rete esterno.
Raccogliere i log dei Firewall di Azure (o dell'appliance firewall di terze parti) con Monitoraggio di Azure o una soluzione di monitoraggio dei partner. È anche consigliabile monitorare i log tramite SIEM, usando Microsoft Sentinel o un servizio simile.
Usare solo un endpoint privato per i file di Azure usati per i contenitori del profilo FSLogix.
Configurare il percorso shortpath RDP per integrare il trasporto di connessione inversa.
Host di sessione
Creare una o più unità organizzative dedicate in Active Directory per gli host di sessione di Desktop virtuale Azure. Applicare Criteri di gruppo dedicati agli host di sessione per gestire i controlli, ad esempio:
- Abilitare la protezione dell'acquisizione dello schermo per impedire l'acquisizione di informazioni riservate sullo schermo negli endpoint client.
- Impostare i criteri massimi di tempo di inattività/disconnessione e blocchi dello schermo.
- Nascondere i mapping delle unità locali e remote in Esplora risorse.
- Facoltativamente, i parametri di configurazione per i contenitori del profilo FSLogix e FSLogix Cloud Cache.
Controllare il reindirizzamento dei dispositivi per gli host di sessione. I dispositivi comunemente disabilitati includono l'accesso al disco rigido locale e le restrizioni relative a USB o porta. La limitazione del reindirizzamento della fotocamera e della stampa remota consente di proteggere i dati dell'organizzazione. Disabilitare il reindirizzamento degli Appunti per impedire la copia del contenuto remoto negli endpoint.
Abilitare Endpoint Protection antivirus di nuova generazione, ad esempio Microsoft Defender per endpoint sugli host di sessione. Se si usa una soluzione endpoint partner, assicurarsi che Microsoft Defender per il cloud sia in grado di verificarne lo stato. È anche consigliabile includere esclusioni antivirus FSLogix Profile Container. Microsoft Defender per endpoint si integra direttamente con più soluzioni Microsoft Defender, tra cui:
Abilitare le valutazioni gestione di minacce e vulnerabilità. Integrare la soluzione di gestione di minacce e vulnerabilità di Microsoft Defender per endpoint con Microsoft Defender per il cloud o con un gestione delle vulnerabilità di terze parti soluzione). Microsoft Defender per il cloud si integra in modo nativo con Soluzione di valutazione della vulnerabilità Qualys.
Usare il controllo delle applicazioni tramite Windows Defender Application Control (WDAC) o AppLocker per assicurarsi che le applicazioni siano attendibili prima dell'esecuzione. I criteri di controllo delle applicazioni possono anche bloccare script non firmati e msi e limitare l'esecuzione di Windows PowerShell in modalità linguaggio vincolato.
Abilitare l'avvio attendibile per le macchine virtuali di Azure gen2 per abilitare funzionalità quali avvio protetto, vTPM e sicurezza basata su virtualizzazione. Microsoft Defender per il cloud possibile monitorare gli host di sessione configurati con l'avvio attendibile.
Randomizzare le password degli amministratori locali usando Windows LAPS per proteggersi da attacchi pass-the-hash e attraversamenti laterali.
Verificare che gli host di sessione siano monitorati da Monitoraggio di Azure o da una soluzione di monitoraggio dei partner tramite Hub eventi.
Stabilire una strategia di gestione delle patch per gli host di sessione. Microsoft Endpoint Configuration Manager consente agli host di sessione di Desktop virtuale Azure di ricevere automaticamente gli aggiornamenti. È consigliabile applicare patch alle immagini di base almeno una volta ogni 30 giorni. Prendere in considerazione l'uso di Azure Image Builder (AIB) per stabilire la propria pipeline di creazione di immagini per l'immagine di base di Desktop virtuale Azure.
Per altre informazioni sulle procedure consigliate per la sicurezza dell'host sessione di Desktop virtuale Azure, vedere Procedure consigliate per la sicurezza degli host di sessione.
Per un elenco dettagliato delle procedure consigliate per la sicurezza delle macchine virtuali di Azure, vedere Raccomandazioni sulla sicurezza per le macchine virtuali in Azure.
Protezione dei dati
Microsoft Azure crittografa i dati inattivi per proteggerli da attacchi "fuori banda", ad esempio i tentativi di accedere all'archiviazione sottostante. Questa crittografia consente di garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati. L'approccio di Microsoft per abilitare due livelli di crittografia per i dati inattivi comporta:
- Crittografia del disco tramite chiavi gestite dal cliente. Gli utenti forniscono la propria chiave per la crittografia del disco. Possono portare le proprie chiavi nell'insieme di credenziali delle chiavi (una pratica nota come BYOK - Bring Your Own Key) o generare nuove chiavi in Azure Key Vault per crittografare le risorse desiderate (inclusi i dischi host sessione).
- Crittografia dell'infrastruttura tramite chiavi gestite dalla piattaforma. Per impostazione predefinita, i dischi vengono crittografati automaticamente inattivi tramite chiavi di crittografia gestite dalla piattaforma.
- Crittografia nell'host della macchina virtuale (server di Azure a cui è allocata la macchina virtuale). I dati temporanei del disco e del disco del sistema operativo e del disco dati di ogni macchina virtuale vengono archiviati nell'host della macchina virtuale. Quando la crittografia nell'host della macchina virtuale è abilitata, i dati vengono crittografati inattivi e vengono crittografati nel servizio di archiviazione da rendere persistenti.
Distribuire una soluzione di protezione delle informazioni come Microsoft Purview Information Protection o una soluzione di terze parti, che assicura che le informazioni riservate vengano archiviate, elaborate e trasmesse in modo sicuro dai sistemi tecnologici dell'organizzazione.
Usare Advisor criteri di sicurezza per Microsoft 365 Apps for enterprise per migliorare la sicurezza della distribuzione di Office. Questo strumento identifica i criteri che è possibile applicare alla distribuzione per una maggiore sicurezza e consiglia anche i criteri in base ai relativi effetti sulla sicurezza e sulla produttività.
Configurare l'autenticazione basata sull'identità per File di Azure usati per i profili utente FSLogix tramite Active Directory locale Domain Services (AD DS) e Microsoft Entra Domain Services. Configurare le autorizzazioni NTFS in modo che gli utenti autorizzati possano accedere alle File di Azure.
Gestione costi
Usare i tag di Azure per organizzare i costi per la creazione, la gestione e la distribuzione di risorse di Desktop virtuale Azure. Per identificare il costo di calcolo associato a Desktop virtuale Azure, contrassegnare tutti i pool di host e le macchine virtuali. Contrassegnare le risorse di File di Azure o Azure NetApp Files per tenere traccia dei costi di archiviazione associati ai contenitori dei profili utente FSLogix, alle immagini del sistema operativo personalizzate e al collegamento dell'app MSIX (se usato).
Definire i tag consigliati minimi da impostare in tutte le risorse di Desktop virtuale Azure. È possibile impostare tag di Azure durante la distribuzione o dopo il provisioning. È consigliabile usare Criteri di Azure definizioni predefinite per applicare le regole di assegnazione di tag.
Impostare budget in Gestione costi Microsoft per gestire in modo proattivo i costi di utilizzo di Azure. Quando vengono superate le soglie di budget create, vengono attivate le notifiche.
Creare avvisi di Gestione costi per monitorare l'utilizzo e la spesa di Azure rispetto all'area di destinazione di Desktop virtuale Azure.
Configurare la funzionalità Start VM on Connect per risparmiare sui costi consentendo agli utenti finali di attivare le macchine virtuali solo quando ne hanno bisogno.
Distribuire soluzioni di ridimensionamento per gli host sessione in pool tramite Automazione di Azure o funzionalità di scalabilità automatica (anteprima)
Coerenza delle risorse
Usare Intune per gli host di sessione personali di Desktop virtuale Azure per applicare configurazioni nuove o esistenti e proteggere le macchine virtuali con criteri di conformità e accesso condizionale. La gestione di Intune non dipende da né interferisce con la gestione di Desktop virtuale Azure della stessa macchina virtuale.
La gestione degli host di sessione multisessione con Intune consente di gestire desktop remoti con più sessioni di Windows 10 o Windows 11 Enterprise nell'interfaccia di amministrazione di Intune, così come è possibile gestire un dispositivo client Windows 10 o Windows 11 condiviso. Quando si gestiscono macchine virtuali di questo tipo, è possibile usare la configurazione basata su dispositivo destinata ai dispositivi o alla configurazione basata sull'utente destinata agli utenti.
Controllare e configurare la protezione avanzata del sistema operativo degli host di sessione usando Criteri di Azure configurazione del computer. Usare le baseline di sicurezza di Windows come punto di partenza per proteggere il sistema operativo Windows.
Usare Criteri di Azure definizioni predefinite per configurare le impostazioni di diagnostica per le risorse di Desktop virtuale Azure, ad esempio aree di lavoro, gruppi di applicazioni e pool di host.
Esaminare le procedure consigliate per la sicurezza per Desktop virtuale Azure come punto di partenza per la sicurezza all'interno dell'ambiente.
Conformità
Quasi tutte le organizzazioni devono rispettare vari criteri normativi governativi o del settore. Esaminare questi criteri con il team di conformità e implementare i controlli corretti per la zona di destinazione di Desktop virtuale Azure specifica. Ad esempio, è consigliabile prendere in considerazione controlli per criteri specifici, ad esempio Payment Card Industry Data Security Standard (PCI DSS) o Health Insurance Portability and Accountability Act del 1996 (HIPAA) se l'organizzazione segue i propri framework.
Usare Microsoft Defender per il cloud per applicare standard di conformità aggiuntivi alle zone di destinazione di Desktop virtuale Azure, se necessario. Microsoft Defender per il cloud consente di semplificare il processo per soddisfare i requisiti di conformità alle normative tramite il dashboard di conformità alle normative. È possibile aggiungere standard di conformità predefiniti o personalizzati al dashboard. Gli standard normativi già predefiniti che è possibile aggiungere includono:
- PCI-DSS v3.2.1:2018
- SOC TSP
- NIST SP 800-53 R4
- NIST SP 800 171 R2
- UK OFFICIAL e UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0
- HIPAA/HITRUST
- SWIFT CSP CSCF v2020
- ISO 27001:2013
- New Zealand ISM Restricted
- CMMC Level 3
- Azure CIS 1.3.0
- NIST SP 800-53 R5
- FedRAMP H
- FedRAMP M
Se l'organizzazione è vincolata da requisiti di residenza dei dati, è consigliabile limitare la distribuzione delle risorse di Desktop virtuale Azure (aree di lavoro, gruppi di applicazioni e pool di host) alle aree geografiche seguenti:
- Stati Uniti
- Europa
- Regno Unito
- Canada
La limitazione della distribuzione a queste aree geografiche consente di assicurarsi che i metadati di Desktop virtuale Azure vengano archiviati nell'area geografica delle risorse di Desktop virtuale Azure, poiché gli host di sessione possono essere distribuiti in tutto il mondo per supportare la base degli utenti.
Usare i criteri di gruppo e gli strumenti di gestione dei dispositivi come Intune e Microsoft Endpoint Configuration Manager per mantenere una pratica completa di sicurezza e conformità per gli host di sessione.
Configurare avvisi e risposte automatizzate in Microsoft Defender per il cloud per garantire la conformità complessiva delle zone di destinazione di Desktop virtuale Azure.
Esaminare Microsoft Secure Score per misurare il comportamento complessivo di sicurezza dell'organizzazione nei prodotti seguenti:
- Microsoft 365 (incluso Exchange Online)
- Microsoft Entra ID
- Microsoft Defender for Endpoint
- Microsoft Defender per identità
- Defender per app cloud
- Microsoft Teams
Esaminare Microsoft Defender per il cloud Punteggio di sicurezza per migliorare la conformità complessiva della sicurezza delle zone di destinazione virtuale di Azure.
Procedure consigliate per la sicurezza e linee di base
- Procedure di sicurezza consigliate per Desktop virtuale Azure
- Baseline di sicurezza per Desktop virtuale Azure basato su Azure Security Benchmark
- Applicare principi Zero Trust a una distribuzione di Desktop virtuale Azure
Passaggi successivi
Informazioni sull'automazione della piattaforma e DevOps per uno scenario su scala aziendale di Desktop virtuale Azure.