Applicare i principi Zero Trust a una distribuzione di Desktop virtuale Azure

Completato

Questa unità illustra i passaggi per applicare i principi Zero Trust nell'architettura di riferimento di Desktop virtuale Azure.

Passaggio 1: Proteggere le identità con Zero Trust

Per applicare i principi Zero Trust alle identità usate in Desktop virtuale Azure:

• Desktop virtuale Azure supporta diversi tipi di identità. Usare le informazioni disponibili in Protezione dell'identità con Zero Trust per assicurarsi che i tipi di identità scelti siano conformi ai principi Zero Trust.
• Creare un account utente dedicato con privilegi minimi per aggiungere gli host di sessione a un dominio Microsoft Entra Domain Services o a un dominio Active Directory Domain Services durante la distribuzione dell'host di sessione.

Passaggio 2: Proteggere gli endpoint con Zero Trust

Gli endpoint sono i dispositivi tramite cui gli utenti accedono all'ambiente Desktop virtuale Azure e alle macchine virtuali host di sessione. Usare le istruzioni riportate nella panoramica dell'integrazione degli endpoint e usare Microsoft Defender per endpoint e Microsoft Endpoint Manager per assicurarsi che gli endpoint rispettino i requisiti di sicurezza e conformità.

Passaggio 3: Applicare i principi Zero Trust a risorse di archiviazione di Desktop virtuale Azure

Implementare i passaggi descritti in Applicare principi Zero Trust all'archiviazione in Azure per le risorse di archiviazione usate nella distribuzione di Desktop virtuale Azure. Questi passaggi assicurano di:

• Proteggere i dati di Desktop virtuale Azure inattivi, in transito e in uso.
• Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi.
• Implementare endpoint privati per gli account di archiviazione.
• Separare logicamente i dati critici con i controlli di rete. Ad esempio, account di archiviazione separati per pool di host diversi e altri scopi, ad esempio con condivisioni file di montaggio app MSIX.
• Usare Defender per l'archiviazione per la protezione automatizzata dalle minacce.

Passaggio 4: Applicare i principi Zero Trust a reti virtuali di Desktop virtuale Azure hub-spoke

Una rete virtuale hub è un punto centrale di connettività per più reti virtuali spoke. Implementare i passaggi descritti in Applicare principi Zero Trust a una rete virtuale hub in Azure per la rete virtuale hub usata per filtrare il traffico in uscita dagli host di sessione.

Una rete virtuale spoke isola il carico di lavoro di Desktop virtuale Azure e contiene le macchine virtuali host di sessione. Implementare i passaggi descritti in Applicare principi Zero Trust alla rete virtuale spoke in Azure per la rete virtuale spoke che contiene le macchine virtuali host di sessione.

Isolare pool di host diversi in reti virtuali separate usando gruppi di sicurezza di rete (NSG) con l'URL necessario per Desktop virtuale Azure per ogni subnet. Quando si distribuiscono gli endpoint privati, inserirli nella subnet appropriata nella rete virtuale in base al relativo ruolo.

È possibile usare Firewall di Azure o un firewall di appliance virtuale di rete (NVA) per controllare e limitare il traffico in uscita degli host di sessione di Desktop virtuale Azure. Usare le istruzioni qui per Firewall di Azure per proteggere gli host di sessione. Forzare il traffico attraverso il firewall con route definite dall'utente collegate alla subnet del pool di host. Esaminare l'elenco completo degli URL di Desktop virtuale Azure necessari per configurare il firewall. Firewall di Azure fornisce un tag FQDN di Desktop virtuale Azure per semplificare questa configurazione.

Passaggio 5: Applicare i principi Zero Trust agli host di sessione di Desktop virtuale Azure

Gli host di sessione sono macchine virtuali eseguite all'interno di una rete virtuale spoke. Implementare i passaggi descritti in Applicare i principi Zero Trust alle macchine virtuali in Azure per le macchine virtuali create per gli host di sessione.

I pool di host devono avere unità organizzative separate se gestite da criteri di gruppo in Active Directory Domain Services (AD DS).

Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. È possibile usare Microsoft Defender per endpoint per gli host di sessione. Per altre informazioni, vedere Dispositivi VDI (Virtual Desktop Infrastructure).

Passaggio 6: Distribuire sicurezza, governance e conformità con Desktop virtuale Azure

Il servizio Desktop virtuale Azure consente di usare collegamento privato di Azure per connettersi privatamente alle risorse creando endpoint privati.

Desktop virtuale Azure include funzionalità di sicurezza avanzate predefinite per proteggere gli host di sessione. Tuttavia, vedere gli articoli seguenti per migliorare le difese di sicurezza dell'ambiente Desktop virtuale Azure e degli host di sessione:

• Procedure consigliate per la sicurezza di Desktop virtuale Azure
• Baseline di sicurezza di Azure per Desktop virtuale Azure

Vedere anche le considerazioni e le raccomandazioni principali sulla progettazione per sicurezza, governance e conformità nelle zone di destinazione di Desktop virtuale Azure in conformità con Cloud Adoption Framework di Microsoft.

Passaggio 7: Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure

La gestione e il monitoraggio continuo sono importanti per garantire che l'ambiente Desktop virtuale Azure non sia coinvolto in comportamenti dannosi. Usare Insights di Desktop virtuale Azure per registrare i dati e creare report con i dati di diagnostica e di utilizzo.

Vedere questi articoli aggiuntivi:

• Esaminare i consigli di Azure Advisor per Desktop virtuale Azure.
• Usare Microsoft Intune per la gestione granulare dei criteri.
• Esaminare e impostare proprietà RDP per impostazioni granulari a livello di pool di host.