ゼロトラストの標準を Azure バーチャル デスクトップ導入に適用する
この記事では、Azure バーチャル デスクトップ デプロイにゼロ トラストの標準を次の方法で適用するステップについて解釈します。
ゼロ トラストの標準 | 定義 | 以下により適合 |
---|---|---|
明示的に検証する | 常に利用可能なすべてのデータポイントに基づいて認証および承認してください。 | Azure バーチャル デスクトップ ユーザーの ID とエンドポイントを確認し、セッション ホスト バーチャル デスクトップへのアクセスをセキュリティで保護します。 |
最小限の特権アクセスを使用する | ジャスト・イン・タイムおよびジャスト・エナフ・アクセス(JIT/JEA)、リスクベースのアダプティブ・ポリシー、データ保護により、ユーザー・アクセスを制限します。 |
|
侵害を前提とする | 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を得て、脅威検出を促進し、防御を強化します。 |
|
Azure IaaS 環境全体でゼロ トラストの原則を適用する方法の詳細については、「Azure IaaS にゼロ トラスト原則を適用する」の概要を参照してください。
参照アーキテクチャ
この記事では、ハブ アンド スポークの次の参照アーキテクチャを使用して、一般的にデプロイされる環境と、ユーザーがインターネット経由でアクセスできる Azure バーチャル デスクトップ のゼロ トラストの標準を適用する方法を示します。 Azure バーチャル WAN アーキテクチャは、Azure バーチャル デスクトップ 用の RDP Shortpath を使用したマネージド ネットワーク経由のプライベート アクセスに加えてサポートされています。
Azure バーチャル デスクトップ (クラシック) の環境 - Azure
コンポーネント | 説明 |
---|---|
A | Azure バーチャル デスクトップユーザー プロファイル用の Azure ストレージ サービス。 |
B | VNet ハブに接続します。 |
C | Azure バーチャル デスクトップ セッション ホストバーチャルマシン ベースのワークロードを含むスポーク VNet。 |
D | Azure バーチャル デスクトップ のコントロール プレーン |
E | Azure バーチャル デスクトップ 管理プレーン。 |
F | Microsoft Entra ID、Microsoft Defender for Cloud、ロールベースのアクセス制御 (RBAC)、Azure Monitor などのPaaS はサービスに依存します。 |
G | Azure Compute ギャラリー。 |
Azure 変数にアクセスするユーザーまたは管理者は、インターネット、オフィスの場所、またはオンプレミスのデータセンターから作成できます。
リファレンスアーキテクチャは、Azure バーチャル デスクトップのエンタープライズランディングゾーン クラウド採用フレームワークで解釈されているアーキテクチャと一致しています。
論理アーキテクチャ
この図では、Azure Virtual Desktop デプロイ用の Azure インフラストラクチャは Microsoft Entra ID テナント内に含まれています。
論理アーキテクチャの组成は次のとおりです。
Azure バーチャル デスクトップ の Azure サブスクリプション
リソースは複数のサブスクリプションに分散でき、各サブスクリプションはネットワーク サブスクリプションやセキュリティ サブスクリプションなど、異なるロールを持つことができます。 これについては、クラウド導入フレームワークと Azure ランディング ゾーンで解釈されています。 サブスクリプションが異なれば、運用環境、開発環境、テスト環境など、異なる環境を保持することもできます。 これは、環境を分離する方法と、それぞれにあるリソースの数によって異なります。 管理グループを使用して、1 つ以上のサブスクリプションをまとめて管理します。 RBAC と Azure Policy のアクセス許可を、各サブスクリプションを個別に設定するのではなく、サブスクリプションのグループに適用できます。
Azure バーチャル デスクトップのリソース
Azure バーチャル デスクトップ リソース グループは、Key Vault、Azure バーチャル デスクトップ サービス オブジェクト、プライベート エンドポイントを分離します。
ストレージ リソース グループ
ストレージ リソース グループでは、Azure Files サービスのプライベート エンドポイントとデータセットを分離できます。
セッションホストバーチャルマシンリソースグループ
専用リソース グループは、セッション ホストのバーチャルマシン、ディスク暗号化セット、およびアプリケーション セキュリティ グループのバーチャルマシンを分離します。
スポークVNetリソースグループ
専用のリソース グループは、スポーク VNet リソースと、組織内のネットワーク スペシャリストが管理できるネットワーク セキュリティ グループを分離します。
この記事の内容は?
この記事では、Azure バーチャル デスクトップ 参照アーキテクチャ全体にゼロ トラストの標準を適用するステップについて解釈します。
ステップ | タスク | 適用されるゼロトラストの原則 |
---|---|---|
1 | ゼロ トラストで ID を保護します。 | 明示的に検証する |
2 | ゼロ トラストを使用してエンドポイントをセキュリティで保護する。 | 明示的に検証する |
3 | Azure バーチャル デスクトップのストレージ リソースにゼロ トラスト原則を適用します。 | 明示的に検証する 最小限の特権アクセスを使用する 侵害を前提とする |
4 | Azure のスポークバーチャルネットワークにゼロ トラスト標準を適用する | 明示的に検証する 最小限の特権アクセスを使用する 侵害を前提とする |
5 | Azure バーチャル デスクトップのデプロイにゼロ トラスト標準を適用する。 | 明示的に検証する 最小限の特権アクセスを使用する 侵害を前提とする |
6 | Azure バーチャル デスクトップ インフラストラクチャのためのセキュリティ、ガバナンス、コンプライアンス | 侵害を前提とする |
7 | Azure バーチャル デスクトップ のエンタープライズ規模の管理と監視 | 侵害を前提とする |
ステップ 1:ゼロ トラストで ID を保護します。
Azure バーチャル デスクトップ で使用される ID にゼロ トラスト標準を適用するには:
- Azure バーチャル デスクトップでは、さまざまな種類の ID がサポートされています。 「ゼロ トラストを使用した ID のセキュリティ保護」の情報を使用して、選択した ID の種類がゼロ トラスト標準に準拠していることを確認します。
- セッション ホストの展開中に、セッション ホストを Microsoft Entra ドメイン サービス または AD DS do メイン に参加させる特権を最小限にして専用ユーザー アカウントを作成します。
ステップ 2:ゼロトラストでエンドポイントを保護する
エンドポイントは、ユーザーが Azure バーチャル デスクトップ 環境とセッション ホストバーチャルマシンにアクセスする際に使用されるデバイスです。 エンドポイント統合の概要のステップを使用し、Microsoft Defender for Endpoint と Microsoft エンドポイント マネージャー を使用して、エンドポイントがセキュリティとコンプライアンスの要件に準拠していることを確認します。
ステップ 3:Azure バーチャル デスクトップ ストレージ リソースにゼロ トラスト標準を適用する
Azure バーチャル デスクトップ デプロイで使用されているストレージ リソースに対して、Azure のストレージにゼロ トラスト標準を適用する方法に関するページのステップを実装します。 これらのステップにより、次のことが保証されます。
- 保存中、転送中、使用中の Azure バーチャル デスクトップ データをセキュリティで保護します。
- ユーザーを検証し、最小限の権限でストレージデータへのアクセスを制御します。
- ストレージ アカウントのプライベート エンドポイントを構成します。
- ネットワーク制御で重要なデータを論理的に分離します。 たとえば、ホスト プールごとに個別のストレージ アカウントを使用する場合や、MSIX アプリの添付ファイル共有を使用するなどの目的があります。
- Defender for Storage を使用して、脅威からの保護を自動化します。
Note
一部の設計では、Azure NetApp ファイルは、S MB (メガバイト) 共有を介した Azure バーチャル デスクトップ の FSLogix プロファイルに最適なストレージ サービスです。 Azure NetApp Files には、委任されたサブネットやセキュリティ ベンチマークなどの組み込みのセキュリティ機能が用意されています。
ステップ 4:ハブ アンド スポークの Azure バーチャル デスクトップ VNet にゼロ トラスト標準を適用する
VNet ハブは、複数のスポークバーチャルネットワークの中央接続ポイントです。 セッション ホストからの送信トラフィックをフィルター処理するために使用するハブ VNet について、「ゼロ トラスト標準を Azure のハブバーチャルネットワークに適用する」のステップを実装します。
スポーク VNet は、Azure バーチャル デスクトップードを分離し、セッション ホストバーチャルマシンを含みます。 セッション ホスト/バーチャルマシンを含むスポーク VNet の Azure のスポークバーチャルネットワークにゼロ トラスト標準を適用するステップを実装します。
NSG を使用して、サブネットごとに Azure バーチャル デスクトップ に必要な URL を使用して、個別の VNet 上の異なるホスト プールを分離します。 プライベート エンドポイントをデプロイするときは、そのロールに基づいて VNet 内の適切なサブネットに配置します。
Azure Firewall またはネットワークバーチャルアプライアンス (NVA) ファイアウォールを使用して、送信トラフィックのAzure バーチャル デスクトップセッション ホストを制御および制限できます。 セッション ホストを保護するには、Azure ファイアウォール のステップを使用します。 ホスト プール サブネットにリンクされているユーザー定義ルート (UDR) を使用して、トラフィックをファイアウォール経由で強制的に通過させます。 ファイアウォールを構成するために必要な Azure バーチャル デスクトップ URL の 完全な一覧を確認します。 Azure ファイアウォール には、この構成を簡略化するための Azure バーチャル デスクトップFQDN タグ が用意されています。
ステップ 5:Azure バーチャル デスクトップ セッション ホストにゼロ トラスト標準を適用する
セセッション ホストは、スポーク VNet 内で実行されるバーチャルマシンです。 セッション ホスト用に作成されるバーチャルマシンに対して、Azure のバーチャルマシンに ゼロ トラスト 標準を適用する方法に関するページのステップを実装します。
ホスト プールは、Active Directory ドメイン サービス (AD DS) のグループ ポリシーによって管理される場合は、組織単位 (OU) を分離する必要があります。
Microsoft Defender for Endpoint は、企業ネットワークによる高度な脅威に対する防御、検出、調査、対応を支援するように、設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 セッション ホストにはMicrosoft Defender for Endpointを使用できます。 詳細については、バーチャル デスクトップ インフラストラクチャ (VDI) デバイスを参照してください。
ステップ 6:Azure バーチャル デスクトップ にセキュリティ、ガバナンス、コンプライアンスをデプロイする
Azure バーチャル デスクトップサービスを使用すると、Azure プライベートリンクを使用してプライベートエンドポイントを作成し、リソースにプライベートに接続できます。
Azure バーチャル デスクトップには、セッション ホストを保護するための高度なセキュリティ機能が組み込まれています。 ただし、Azure バーチャル デスクトップ 環境とセッション ホストのセキュリティ防御を強化するには、次の記事を参照してください。
この記事では、Microsoft の クラウド導入フレームワーク に合わせた Azure バーチャル デスクトップ ランディング ゾーンの セキュリティ、ガバナンス、およびコンプライアンス に関する設計上の主な考慮事項と推奨事項について解釈します。
ステップ 7:セキュリティで保護された管理と監視を Azure バーチャル デスクトップ にデプロイする
管理と継続的な監視は、Azure バーチャル デスクトップ 環境が悪意のある動作に関与しないようにするために重要です。 Azure バーチャル デスクトップ インサイトを使用して、データをログに記録し、診断データと使用状況データを報告します。
次の追加記事を参照してください。
- Azure アドバイザーからの Azure バーチャル デスクトップの推奨事項を確認してください。
- 詳細なポリシー管理には、Microsoft Intune を使用します。
- ホスト プール レベルで詳細な設定を行う場合は、RDP プロパティを確認して設定します。
おすすめのトレーニング
Azure バーチャル デスクトップ のデプロイをセキュリティで保護する
トレーニング | Azure バーチャル デスクトップ のデプロイをセキュリティで保護する |
---|---|
Microsoft Azure バーチャル デスクトップ のデプロイでアプリケーションとデータをセキュリティで保護するのに役立つ Microsoft セキュリティ機能について解釈します。 |
Azure ファイアウォール を使用して Azure バーチャル デスクトップ デプ ロイを保護する
トレーニング | Azure ファイアウォール を使用して Azure バーチャル デスクトップ デプ ロイを保護する |
---|---|
Azure ファイアウォール をデプロイして、すべてのネットワーク トラフィックを Azure ファイアウォール 経由でルーティングし、規則を構成します。 送信ネットワーク トラフィックを、Azure バーチャル デスクトップ ホスト プールから Azure ファイアウォール 経由してサービスまでルーティングします。 |
Azure バーチャル デスクトップ のアクセスとセキュリティを管理する
トレーニング | Azure バーチャル デスクトップ のアクセスとセキュリティを管理する |
---|---|
Azure バーチャル デスクトップ の Azure ロールを計画して実装し、リモート接続用の条件付きアクセス ポリシーを実装する方法について学習します。 このラーニング パスは、"試験 AZ-140: Microsoft Azure バーチャル デスクトップ の構成と運用" に対応しています。 |
ユーザー ID とプロファイルを設計する
トレーニング | ユーザー ID とプロファイルを設計する |
---|---|
ユーザーは、オンプレミスとクラウドの両方で、これらのアプリケーションにアクセスする必要があります。 Windows デスクトップ用のリモート デスクトップ クライアントを使用して、別の Windows デバイスからリモートで Windows アプリやデスクトップにアクセスします。 |
Azure のセキュリティに関する詳細なトレーニングについては、Microsoft カタログの以下のリソースを参照してください:
Azure におけるセキュリティ
次のステップ
azure にゼロ トラスト標準を適用する場合は、次の追加の記事を参照してください。
- Azure IaaS の概要
- Azure バーチャル WAN
- アマゾン ウェブ サービスの IaaS アプリケーション
- Microsoft Sentinel と Microsoft Defender XDR
テクニカルイラスト
この記事で使用されている図をダウンロードできます。 Visio ファイルを使用して、これらの図を独自の用途に合わせて変更します。
その他の技術的な図については、ここをクリックしてください。
リファレンス
この記事で紹介するさまざまなサービスやテクノロジについては、以下のリンクを参照してください。
- Azureとは - Microsoft Cloud Services
- Azure サービスとしてのインフラストラクチャ (IaaS)
- Linux および Windows 用の バーチャル マシン(VM)
- Azure ストレージ の概要 - Azure のクラウド ストレージ
- Azure バーチャル ネットワーク
- Azure セキュリティの概要
- ゼロトラスト実装ガイダンス
- Microsoft クラウド セキュリティ ベンチマークの概要
- Azure のセキュリティ ベースラインの概要
- Azure セキュリティ サービスを使用して防御の第 1 層をビルドする
- Microsoft サイバーセキュリティ リファレンス アーキテクチャ - セキュリティに関するドキュメント