Zero Trust-principes toepassen op een Azure Virtual Desktop-implementatie

Voltooid

In deze les worden de stappen beschreven voor het toepassen van de principes van Zero Trust in de referentiearchitectuur van Azure Virtual Desktop.

Stap 1: Uw identiteiten beveiligen met Zero Trust

Zero Trust-principes toepassen op de identiteiten die worden gebruikt in Azure Virtual Desktop:

• Azure Virtual Desktop ondersteunt verschillende typen identiteiten. Gebruik de informatie in Identiteit beveiligen met Zero Trust om ervoor te zorgen dat uw gekozen identiteitstypen voldoen aan zero Trust-principes.
• Maak een toegewezen gebruikersaccount met minimale bevoegdheden om sessiehosts toe te voegen aan een Microsoft Entra Domain Services- of AD DS-domein tijdens de implementatie van de sessiehost.

Stap 2: Uw eindpunten beveiligen met Zero Trust

Eindpunten zijn de apparaten waarmee gebruikers toegang hebben tot de Azure Virtual Desktop-omgeving en sessiehost-VM's. Gebruik de instructies in het overzicht van eindpuntintegratie en gebruik Microsoft Defender voor Eindpunt en Microsoft Endpoint Manager om ervoor te zorgen dat uw eindpunten voldoen aan uw beveiligings- en nalevingsvereisten.

Stap 3: Zero Trust-principes toepassen op Azure Virtual Desktop-opslagbronnen

Implementeer de stappen in Zero Trust-principes toepassen op Storage in Azure voor de opslagbronnen die worden gebruikt in uw Azure Virtual Desktop-implementatie. Deze stappen zorgen ervoor dat u:

• Beveilig uw Azure Virtual Desktop-gegevens in rust, in transit en in gebruik.
• Controleer gebruikers en beheer de toegang tot opslaggegevens met de minste bevoegdheden.
• Implementeer privé-eindpunten voor opslagaccounts.
• Kritieke gegevens logisch scheiden met netwerkbesturingselementen. Zoals afzonderlijke opslagaccounts voor verschillende hostgroepen en andere doeleinden, zoals bij MSIX-app bestandsshares koppelen.
• Gebruik Defender for Storage voor geautomatiseerde beveiliging tegen bedreigingen.

Stap 4: Zero Trust-principes toepassen op hub- en spoke-VNets van Azure Virtual Desktop

Een hub-VNet is een centraal verbindingspunt voor meerdere virtuele spoke-netwerken. Implementeer de stappen in Zero Trust-principes toepassen op een virtueel hubnetwerk in Azure voor het hub-VNet dat wordt gebruikt om uitgaand verkeer van uw sessiehosts te filteren.

Een spoke-VNet isoleert de Azure Virtual Desktop-workload en bevat de virtuele machines van de sessiehost. Implementeer de stappen in Zero Trust-principes toepassen op een virtueel spoke-netwerk in Azure voor het spoke-VNet dat de sessiehost/virtuele machines bevat.

Isoleren van verschillende hostgroepen op afzonderlijke VNets met behulp van NSG met de vereiste URL die nodig is voor Azure Virtual Desktop voor elk subnet. Wanneer u de privé-eindpunten implementeert, plaatst u deze in het juiste subnet in het VNet op basis van hun rol.

Azure Firewall of een NVA-firewall (network virtual appliance) kan worden gebruikt om uitgaand verkeer van Azure Virtual Desktop-sessiehosts te beheren en te beperken. Gebruik de instructies hier voor Azure Firewall om sessiehosts te beveiligen. Dwing het verkeer via de firewall af met door de gebruiker gedefinieerde routes (UDR's) die zijn gekoppeld aan het subnet van de hostgroep. Bekijk de volledige lijst met vereiste Azure Virtual Desktop-URL's om uw firewall te configureren. Azure Firewall biedt een FQDN-tag van Azure Virtual Desktop om deze configuratie te vereenvoudigen.

Stap 5: Zero Trust-principes toepassen op Azure Virtual Desktop-sessiehosts

Sessiehosts zijn virtuele machines die worden uitgevoerd in een spoke-VNet. Implementeer de stappen in Zero Trust-principes toepassen op virtuele machines in Azure voor de virtuele machines die worden gemaakt voor uw sessiehosts.

Hostgroepen moeten organisatie-eenheden (OE's) hebben gescheiden als ze worden beheerd door groepsbeleid op Active Directory-domein Services (AD DS).

Microsoft Defender voor Eindpunt is een platform voor eindpuntbeveiliging voor ondernemingen dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. U kunt Microsoft Defender voor Eindpunt gebruiken voor sessiehosts. Zie VDI-apparaten (Virtual Desktop Infrastructure) voor meer informatie.

Stap 6: Beveiliging, governance en naleving van Azure Virtual Desktop implementeren

Met de Azure Virtual Desktop-service kunt u Azure Private Link gebruiken om privé verbinding te maken met uw resources door privé-eindpunten te maken.

Azure Virtual Desktop heeft ingebouwde geavanceerde beveiligingsfuncties om sessiehosts te beveiligen. Raadpleeg echter de volgende artikelen om de beveiligingsbeveiliging van uw Azure Virtual Desktop-omgeving en sessiehosts te verbeteren:

• Best practices voor beveiliging van Azure Virtual Desktop
• Azure-beveiligingsbasislijn voor Azure Virtual Desktop

Zie bovendien de belangrijkste ontwerpoverwegingen en aanbevelingen voor beveiliging, governance en naleving in Landingszones van Azure Virtual Desktop in overeenstemming met het Cloud Adoption Framework van Microsoft.

Stap 7: Veilig beheer en bewaking implementeren in Azure Virtual Desktop

Beheer en continue bewaking zijn belangrijk om ervoor te zorgen dat uw Azure Virtual Desktop-omgeving geen schadelijk gedrag aangaat. Gebruik Azure Virtual Desktop Insights om gegevens te registreren en diagnostische en gebruiksgegevens te rapporteren.

Zie de volgende aanvullende artikelen:

• Bekijk aanbevelingen van Azure Advisor voor Azure Virtual Desktop.
• Gebruik Microsoft Intune voor gedetailleerd beleidsbeheer.
• Controleer en stel RDP-eigenschappen in voor gedetailleerde instellingen op hostgroepniveau.