Zero Trust-principes toepassen op een Azure Virtual Desktop-implementatie
Dit artikel bevat stappen voor het toepassen van de principes van Zero Trust op een Azure Virtual Desktop-implementatie op de volgende manieren:
| Zero Trust-principe | Definitie | Ontmoet door |
|---|---|---|
| Expliciet verifiëren | Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. | Controleer de identiteiten en eindpunten van Azure Virtual Desktop-gebruikers en beveilig de toegang tot sessiehosts. |
| Toegang met minimale bevoegdheden gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. |
|
| Stel dat er sprake is van een schending | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. |
|
Zie het overzicht Zero Trust toepassen op Azure IaaS voor meer informatie over het toepassen van de principes van Zero Trust in een Azure IaaS-omgeving.
Referentiearchitectuur
In dit artikel gebruiken we de volgende referentiearchitectuur voor Hub en Spoke om een algemeen geïmplementeerde omgeving te demonstreren en hoe we de principes van Zero Trust voor Azure Virtual Desktop met toegang van gebruikers via internet kunnen toepassen. Azure Virtual WAN-architectuur wordt ook ondersteund naast privétoegang via een beheerd netwerk met RDP Shortpath voor Azure Virtual Desktop.
De Azure-omgeving voor Azure Virtual Desktop omvat:
| Onderdeel | Beschrijving |
|---|---|
| A | Gebruikersprofielen voor Azure Storage Services voor Azure Virtual Desktop. |
| B | Een connectiviteitshub-VNet. |
| E | Een spoke-VNet met Azure Virtual Desktop-sessie host op virtuele machines gebaseerde workloads. |
| D | Een besturingsvlak van Azure Virtual Desktop. |
| E | Een Beheervlak van Azure Virtual Desktop. |
| F | Afhankelijke PaaS-services, waaronder Microsoft Entra-id, Microsoft Defender voor Cloud, op rollen gebaseerd toegangsbeheer (RBAC) en Azure Monitor. |
| G | Azure Compute Gallery. |
Gebruikers of beheerders die toegang hebben tot de Azure-omgeving, kunnen afkomstig zijn van internet, kantoorlocaties of on-premises datacenters.
De referentiearchitectuur is afgestemd op de architectuur die wordt beschreven in de landingszone op ondernemingsniveau voor Azure Virtual Desktop Cloud Adoption Framework.
Logische architectuur
In dit diagram bevindt de Azure-infrastructuur voor een Azure Virtual Desktop-implementatie zich in een Microsoft Entra ID-tenant.
De elementen van de logische architectuur zijn:
Azure-abonnement voor uw Azure Virtual Desktop
U kunt de resources in meer dan één abonnement distribueren, waarbij elk abonnement verschillende rollen kan hebben, zoals netwerkabonnement of beveiligingsabonnement. Dit wordt beschreven in Cloud Adoption Framework en Azure Landing Zone. De verschillende abonnementen kunnen ook verschillende omgevingen bevatten, zoals productie-, ontwikkelings- en testomgevingen. Het hangt af van hoe u uw omgeving wilt scheiden en het aantal resources dat u in elke omgeving hebt. Een of meer abonnementen kunnen samen worden beheerd met behulp van een beheergroep. Hiermee kunt u machtigingen met RBAC- en Azure-beleid toepassen op een groep abonnementen in plaats van elk abonnement afzonderlijk in te stellen.
Azure Virtual Desktop-resourcegroep
Een Azure Virtual Desktop-resourcegroep isoleert Key Vaults, Azure Virtual Desktop-serviceobjecten en privé-eindpunten.
Opslagresourcegroep
Een opslagresourcegroep isoleert privé-eindpunten en gegevenssets van de Azure Files-service.
Resourcegroep voor virtuele machines van sessiehost
Een toegewezen resourcegroep isoleert de virtuele machines voor hun sessiehosts virtuele machines, schijfversleutelingsset en een toepassingsbeveiligingsgroep.
Spoke-VNet-resourcegroep
Een toegewezen resourcegroep isoleert de spoke-VNet-resources en een netwerkbeveiligingsgroep, die netwerkspecialisten in uw organisatie kunnen beheren.
Wat staat er in dit artikel?
In dit artikel worden de stappen beschreven voor het toepassen van de principes van Zero Trust in de referentiearchitectuur van Azure Virtual Desktop.
| Stap | Taak | Zero Trust-principe(en) toegepast |
|---|---|---|
| 1 | Beveilig uw identiteiten met Zero Trust. | Expliciet verifiëren |
| 2 | Beveilig uw eindpunten met Zero Trust. | Expliciet verifiëren |
| 3 | Zero Trust-principes toepassen op Azure Virtual Desktop-opslagbronnen. | Expliciet verifiëren Toegang met minimale bevoegdheden gebruiken Stel dat er sprake is van een schending |
| 4 | Pas Zero Trust-principes toe op hub- en spoke-VNets van Azure Virtual Desktop. | Expliciet verifiëren Toegang met minimale bevoegdheden gebruiken Stel dat er sprake is van een schending |
| 5 | Pas Zero Trust-principes toe op azure Virtual Desktop-sessiehost. | Expliciet verifiëren Toegang met minimale bevoegdheden gebruiken Stel dat er sprake is van een schending |
| 6 | Implementeer beveiliging, governance en naleving in Azure Virtual Desktop. | Stel dat er sprake is van een schending |
| 7 | Veilig beheer en bewaking implementeren in Azure Virtual Desktop. | Stel dat er sprake is van een schending |
Stap 1: Uw identiteiten beveiligen met Zero Trust
Zero Trust-principes toepassen op de identiteiten die worden gebruikt in Azure Virtual Desktop:
- Azure Virtual Desktop ondersteunt verschillende typen identiteiten. Gebruik de informatie in Identiteit beveiligen met Zero Trust om ervoor te zorgen dat uw gekozen identiteitstypen voldoen aan zero Trust-principes.
- Maak een toegewezen gebruikersaccount met minimale bevoegdheden om sessiehosts toe te voegen aan een Microsoft Entra Domain Services- of AD DS-domein tijdens de implementatie van de sessiehost.
Stap 2: Uw eindpunten beveiligen met Zero Trust
Eindpunten zijn de apparaten waarmee gebruikers toegang hebben tot de Azure Virtual Desktop-omgeving en sessiehost-VM's. Gebruik de instructies in het overzicht van eindpuntintegratie en gebruik Microsoft Defender voor Eindpunt en Microsoft Endpoint Manager om ervoor te zorgen dat uw eindpunten voldoen aan uw beveiligings- en nalevingsvereisten.
Stap 3: Zero Trust-principes toepassen op Azure Virtual Desktop-opslagbronnen
Implementeer de stappen in Zero Trust-principes toepassen op Storage in Azure voor de opslagbronnen die worden gebruikt in uw Azure Virtual Desktop-implementatie. Deze stappen zorgen ervoor dat u:
- Beveilig uw Azure Virtual Desktop-gegevens in rust, in transit en in gebruik.
- Controleer gebruikers en beheer de toegang tot opslaggegevens met de minste bevoegdheden.
- Implementeer privé-eindpunten voor opslagaccounts.
- Kritieke gegevens logisch scheiden met netwerkbesturingselementen. Zoals afzonderlijke opslagaccounts voor verschillende hostgroepen en andere doeleinden, zoals bij MSIX-app bestandsshares koppelen.
- Gebruik Defender for Storage voor geautomatiseerde beveiliging tegen bedreigingen.
Notitie
In sommige ontwerpen is Azure NetApp-bestanden de opslagservice die u kunt kiezen voor FSLogix-profielen voor Azure Virtual Desktop via een SMB-share. Azure NetApp Files biedt ingebouwde beveiligingsfuncties met gedelegeerde subnetten en beveiligingsbenchmarks.
Stap 4: Zero Trust-principes toepassen op hub- en spoke-VNets van Azure Virtual Desktop
Een hub-VNet is een centraal verbindingspunt voor meerdere virtuele spoke-netwerken. Implementeer de stappen in Zero Trust-principes toepassen op een virtueel hubnetwerk in Azure voor het hub-VNet dat wordt gebruikt om uitgaand verkeer van uw sessiehosts te filteren.
Een spoke-VNet isoleert de Azure Virtual Desktop-workload en bevat de virtuele machines van de sessiehost. Implementeer de stappen in Zero Trust-principes toepassen op een virtueel spoke-netwerk in Azure voor het spoke-VNet dat de sessiehost/virtuele machines bevat.
Isoleren van verschillende hostgroepen op afzonderlijke VNets met behulp van NSG met de vereiste URL die nodig is voor Azure Virtual Desktop voor elk subnet. Wanneer u de privé-eindpunten implementeert, plaatst u deze in het juiste subnet in het VNet op basis van hun rol.
Azure Firewall of een NVA-firewall (network virtual appliance) kan worden gebruikt om uitgaand verkeer van Azure Virtual Desktop-sessiehosts te beheren en te beperken. Gebruik de instructies hier voor Azure Firewall om sessiehosts te beveiligen. Dwing het verkeer via de firewall af met door de gebruiker gedefinieerde routes (UDR's) die zijn gekoppeld aan het subnet van de hostgroep. Bekijk de volledige lijst met vereiste Azure Virtual Desktop-URL's om uw firewall te configureren. Azure Firewall biedt een FQDN-tag van Azure Virtual Desktop om deze configuratie te vereenvoudigen.
Stap 5: Zero Trust-principes toepassen op Azure Virtual Desktop-sessiehosts
Sessiehosts zijn virtuele machines die worden uitgevoerd in een spoke-VNet. Implementeer de stappen in Zero Trust-principes toepassen op virtuele machines in Azure voor de virtuele machines die worden gemaakt voor uw sessiehosts.
Hostgroepen moeten organisatie-eenheden (OE's) hebben gescheiden als ze worden beheerd door groepsbeleid op Active Directory-domein Services (AD DS).
Microsoft Defender voor Eindpunt is een platform voor eindpuntbeveiliging voor ondernemingen dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. U kunt Microsoft Defender voor Eindpunt gebruiken voor sessiehosts. Zie VDI-apparaten (Virtual Desktop Infrastructure) voor meer informatie.
Stap 6: Beveiliging, governance en naleving implementeren in Azure Virtual Desktop
Met de Azure Virtual Desktop-service kunt u Azure Private Link gebruiken om privé verbinding te maken met uw resources door privé-eindpunten te maken.
Azure Virtual Desktop heeft ingebouwde geavanceerde beveiligingsfuncties om sessiehosts te beveiligen. Raadpleeg echter de volgende artikelen om de beveiligingsbeveiliging van uw Azure Virtual Desktop-omgeving en sessiehosts te verbeteren:
- Best practices voor beveiliging van Azure Virtual Desktop
- Azure-beveiligingsbasislijn voor Azure Virtual Desktop
Zie bovendien de belangrijkste ontwerpoverwegingen en aanbevelingen voor beveiliging, governance en naleving in Landingszones van Azure Virtual Desktop in overeenstemming met het Cloud Adoption Framework van Microsoft.
Stap 7: Veilig beheer en bewaking implementeren in Azure Virtual Desktop
Beheer en continue bewaking zijn belangrijk om ervoor te zorgen dat uw Azure Virtual Desktop-omgeving geen schadelijk gedrag aangaat. Gebruik Azure Virtual Desktop Insights om gegevens te registreren en diagnostische en gebruiksgegevens te rapporteren.
Zie de volgende aanvullende artikelen:
- Bekijk aanbevelingen van Azure Advisor voor Azure Virtual Desktop.
- Gebruik Microsoft Intune voor gedetailleerd beleidsbeheer.
- Controleer en stel RDP-eigenschappen in voor gedetailleerde instellingen op hostgroepniveau.
Aanbevolen training
Een Azure Virtual Desktop-implementatie beveiligen
| Training | Een Azure Virtual Desktop-implementatie beveiligen |
|---|---|
|
Meer informatie over de beveiligingsmogelijkheden van Microsoft waarmee u uw toepassingen en gegevens veilig kunt houden in uw Microsoft Azure Virtual Desktop-implementatie. |
Uw Azure Virtual Desktop-implementatie beveiligen met behulp van Azure
| Training | Uw Azure Virtual Desktop-implementatie beveiligen met behulp van Azure |
|---|---|
|
Implementeer Azure Firewall, routeer al het netwerkverkeer via Azure Firewall en configureer regels. Routeer het uitgaande netwerkverkeer van de Azure Virtual Desktop-hostgroep naar de service via Azure Firewall. |
Toegang en beveiliging beheren voor Azure Virtual Desktop
| Training | Toegang en beveiliging beheren voor Azure Virtual Desktop |
|---|---|
|
Meer informatie over het plannen en implementeren van Azure-rollen voor Azure Virtual Desktop en het implementeren van beleid voor voorwaardelijke toegang voor externe verbindingen. Dit leertraject is afgestemd op het examen AZ-140: Microsoft Azure Virtual Desktop configureren en gebruiken. |
Ontwerpen voor gebruikersidentiteiten en -profielen
| Training | Ontwerpen voor gebruikersidentiteiten en -profielen |
|---|---|
|
Uw gebruikers hebben toegang nodig tot deze toepassingen zowel on-premises als in de cloud. U gebruikt de Extern bureaublad-client voor Windows Desktop voor toegang tot Windows-apps en -bureaubladen op afstand vanaf een ander Windows-apparaat. |
Zie deze resources in de Microsoft-catalogus voor meer training over beveiliging in Azure:
Beveiliging in Azure
Volgende stappen
Zie deze aanvullende artikelen voor het toepassen van Zero Trust-principes op Azure:
- Overzicht van Azure IaaS
- Azure Virtual WAN
- IaaS-toepassingen in Amazon Web Services
- Microsoft Sentinel en Microsoft Defender XDR
Technische illustraties
U kunt de illustraties downloaden die in dit artikel worden gebruikt. Gebruik het Visio-bestand om deze illustraties te wijzigen voor uw eigen gebruik.
Klik hier voor aanvullende technische illustraties.
Verwijzingen
Raadpleeg de onderstaande koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.
- Wat is Azure - Microsoft Cloud Services?
- Azure Infrastructure as a Service (IaaS)
- Virtuele machines (VM's) voor Linux en Windows
- Inleiding tot Azure Storage - Cloudopslag in Azure
- Azure Virtual Network
- Inleiding tot Azure-beveiliging
- Richtlijnen voor zero Trust-implementatie
- Overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Overzicht van beveiligingsbasislijnen voor Azure
- De eerste beveiligingslaag bouwen met Azure-beveiligingsservices - Azure Architecture Center
- Microsoft Cybersecurity Reference Architectures - Beveiligingsdocumentatie