Zabezpieczenia i nadzór

Ten artykuł zawiera kluczowe zagadnienia dotyczące projektowania i zalecenia dotyczące zabezpieczeń, ładu i zgodności w strefach docelowych usługi Azure Virtual Desktop zgodnie z platformą Cloud Adoption Framework firmy Microsoft.

Zapoznaj się z poniższymi sekcjami, aby znaleźć zalecane mechanizmy kontroli zabezpieczeń i ład dla strefy docelowej usługi Azure Virtual Desktop.

Tożsamość

• Zabezpieczanie dostępu użytkowników do usługi Azure Virtual Desktop przez ustanowienie zasad dostępu warunkowego firmy Microsoft za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft lub narzędzia do uwierzytelniania wieloskładnikowego partnera. Rozważ lokalizacje użytkowników, urządzenia i zachowania logowania oraz dodaj dodatkowe mechanizmy kontroli zgodnie z potrzebami na podstawie wzorców dostępu. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego platformy Azure dla usługi Azure Virtual Desktop, zobacz Włączanie uwierzytelniania wieloskładnikowego platformy Azure dla usługi Azure Virtual Desktop.

• Przypisz najmniejsze uprawnienia wymagane przez zdefiniowanie ról administracyjnych, operacyjnych i inżynieryjnych do ról RBAC platformy Azure. Aby ograniczyć dostęp do ról o wysokim poziomie uprawnień w strefie docelowej usługi Azure Virtual Desktop, rozważ integrację z usługą Azure Privileged Identity Management (PIM). Utrzymywanie wiedzy o tym, który zespół jest odpowiedzialny za poszczególne obszary administracyjne, pomaga określić role i konfigurację kontroli dostępu na podstawie ról (RBAC) platformy Azure.

• Użyj tożsamości zarządzanej platformy Azure lub jednostki usługi z poświadczeniami certyfikatu na potrzeby automatyzacji i usług dla usługi Azure Virtual Desktop. Przypisz najmniejsze uprawnienia do konta automatyzacji i zakresu ograniczone do stref docelowych usługi Azure Virtual Desktop. Usługi Azure Key Vault można używać z tożsamościami zarządzanymi platformy Azure, aby środowiska uruchomieniowe (takie jak funkcja platformy Azure) mogły pobierać poświadczenia automatyzacji z magazynu kluczy.

• Upewnij się, że zbierasz rejestrowanie aktywności użytkowników i administratorów dla identyfikatorów Entra firmy Microsoft i stref docelowych usługi Azure Virtual Desktop. Monitoruj te dzienniki za pomocą narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Dzienniki można zbierać z różnych źródeł, takich jak:

  • Dziennik aktywności platformy Azure
  • Dziennik aktywności firmy Microsoft Entra
  • Tożsamość Microsoft Entra
  • Hosty sesji
  • Dzienniki usługi Key Vault

• Użyj grup Entra firmy Microsoft, a nie poszczególnych użytkowników podczas przypisywania dostępu do grup aplikacji usługi Azure Virtual Desktop. Rozważ użycie istniejących grup zabezpieczeń mapujących na funkcje biznesowe w organizacji, co umożliwia ponowne użycie istniejących procesów aprowizacji użytkowników i anulowania aprowizacji.

Sieć

• Aprowizuj lub ponownie użyj dedykowanej sieci wirtualnej dla stref docelowych usługi Azure Virtual Desktop. Zaplanuj przestrzeń adresów IP, aby uwzględnić skalę hostów sesji. Określ rozmiar podsieci bazowej na podstawie minimalnej i maksymalnej liczby hostów sesji na pulę hostów. Mapowanie wymagań jednostki biznesowej na pule hostów.

• Użyj sieciowych grup zabezpieczeń i/lub usługi Azure Firewall (lub urządzenia zapory innej firmy), aby ustanowić mikrosegmentację. Użyj tagów usługi azure Virtual Network i grup usług aplikacji (ASG), aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub w usłudze Azure Firewall skonfigurowanej dla zasobów usługi Azure Virtual Desktop. Sprawdź, czy wychodzący dostęp hosta sesji do wymaganych adresów URL jest pomijany przez serwer proxy (jeśli jest używany w hostach sesji) i usługę Azure Firewall (lub urządzenie zapory innej firmy).

• Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz ruch między hostami sesji i zasobami wewnętrznymi za pomocą reguł grupy zabezpieczeń lub usługi Azure Firewall (lub urządzenia zapory innej firmy) na dużą skalę.

• Włącz standardową ochronę usługi Azure DDoS dla usługi Azure Firewall (lub urządzenia zapory innej firmy), aby ułatwić zabezpieczanie stref docelowych usługi Azure Virtual Desktop.

• Jeśli używasz serwera proxy do wychodzącego dostępu do Internetu z hostów sesji:

  • Skonfiguruj serwery proxy w tej samej lokalizacji geograficznej co hosty i klienci sesji usługi Azure Virtual Desktop (w przypadku korzystania z dostawców serwera proxy w chmurze).
  • Nie używaj inspekcji protokołu TLS. W usłudze Azure Virtual Desktop ruch jest domyślnie szyfrowany podczas przesyłania .
  • Unikaj konfiguracji serwera proxy, która wymaga uwierzytelniania użytkownika. Składniki usługi Azure Virtual Desktop na hoście sesji są uruchamiane w kontekście systemu operacyjnego, dzięki czemu nie obsługują serwerów proxy, które wymagają uwierzytelniania. Serwer proxy dla całego systemu musi być włączony, aby skonfigurować serwer proxy na poziomie hosta na hoście sesji.

• Sprawdź, czy użytkownicy końcowi mają dostęp do adresów URL klienta usługi Azure Virtual Desktop. Jeśli agent/konfiguracja serwera proxy jest używany na urządzeniach użytkowników, upewnij się, że pominięto również adresy URL klienta usługi Azure Virtual Desktop.

• Użyj dostępu just in time do administrowania hostami sesji i rozwiązywania problemów. Unikaj udzielania bezpośredniego dostępu RDP do hostów sesji. Hosty sesji USŁUGI AVD używają transportu Reverse Connect do ustanawiania sesji zdalnych.

• Użyj funkcji adaptacyjnego wzmacniania zabezpieczeń sieci w Microsoft Defender dla Chmury, aby znaleźć konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP z odwołaniem do zewnętrznych reguł ruchu sieciowego.

• Zbierz dzienniki usługi Azure Firewall (lub urządzenia zapory innej firmy) za pomocą usługi Azure Monitor lub rozwiązania do monitorowania partnera. Dzienniki należy również monitorować za pomocą rozwiązania SIEM, korzystając z usługi Microsoft Sentinel lub podobnej usługi.

• Używaj tylko prywatnego punktu końcowego dla usługi Azure Files, które są używane dla kontenerów profilu FSLogix.

• Skonfiguruj krótką ścieżkę RDP w celu uzupełnienia transportu odwrotnego połączenia.

Hosty sesji

• Utwórz dedykowane jednostki organizacyjne (OU) w usłudze Active Directory dla hostów sesji usługi Azure Virtual Desktop. Zastosuj dedykowane zasady grupy do hostów sesji, aby zarządzać kontrolkami, takimi jak:

  • Włącz ochronę przechwytywania ekranu, aby uniemożliwić przechwytywanie poufnych informacji o ekranie w punktach końcowych klienta.
  • Ustaw maksymalne zasady czasu nieaktywnego/rozłączenia i blokady ekranu.
  • Ukryj mapowania dysków lokalnych i zdalnych w Eksploratorze Windows.
  • Opcjonalnie parametry konfiguracji dla kontenerów profilów FSLogix i FSLogix Cloud Cache.

• Kontrolowanie przekierowywania urządzeń dla hostów sesji. Często wyłączone urządzenia obejmują dostęp do lokalnego dysku twardego i ograniczenia portu USB lub portu. Ograniczenie przekierowania aparatu i drukowania zdalnego może pomóc w ochronie danych organizacji. Wyłącz przekierowywanie schowka, aby uniemożliwić kopiowanie zawartości zdalnej do punktów końcowych.

• Włącz program antywirusowy Programu Endpoint Protection nowej generacji, taki jak Ochrona punktu końcowego w usłudze Microsoft Defender na hostach sesji. Jeśli używasz rozwiązania punktu końcowego partnera, upewnij się, że Microsoft Defender dla Chmury jest w stanie zweryfikować jego stan. Należy również uwzględnić wykluczenia antywirusowe FSLogix Profile Container. Ochrona punktu końcowego w usłudze Microsoft Defender bezpośrednio integruje się z wieloma rozwiązaniami usługi Microsoft Defender, w tym:

  • Microsoft Defender dla Chmury
  • Microsoft Sentinel
  • Intune

• Włącz oceny Zarządzanie zagrożeniami i lukami. Integrowanie rozwiązania Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender dla Chmury lub innej firmy zarządzanie lukami w zabezpieczeniach rozwiązanie). Microsoft Defender dla Chmury natywnie integruje się z Rozwiązanie do oceny luk w zabezpieczeniach Qualys.

• Użyj kontroli aplikacji za pomocą funkcji Windows Defender Application Control (WDAC) lub AppLocker , aby upewnić się, że aplikacje są godne zaufania przed wykonaniem. Zasady kontroli aplikacji mogą również blokować niepodpisane skrypty i msI oraz ograniczać program Windows PowerShell do uruchamiania w trybie ograniczonego języka.

• Włącz zaufane uruchamianie dla maszyn wirtualnych platformy Azure gen2, aby włączyć funkcje, takie jak bezpieczny rozruch, vTPM i zabezpieczenia oparte na wirtualizacji (VBS). Microsoft Defender dla Chmury może monitorować hosty sesji skonfigurowane przy użyciu zaufanego uruchamiania.

• Losowe hasła administratora lokalnego przy użyciu systemu Windows LAPS w celu ochrony przed atakami typu pass-the-hash i atakami przechodzenia bocznego.

• Sprawdź, czy hosty sesji są monitorowane przez usługę Azure Monitor lub rozwiązanie do monitorowania partnera za pośrednictwem usługi Event Hubs.

• Ustanów strategię zarządzania poprawkami dla hostów sesji. Program Microsoft Endpoint Configuration Manager umożliwia hostom sesji usługi Azure Virtual Desktop automatyczne odbieranie aktualizacji. Należy stosować poprawki obrazów podstawowych co najmniej raz na 30 dni. Rozważ użycie narzędzia Azure Image Builder (AIB) do ustanowienia własnego potoku obrazowania dla obrazu podstawowego usługi Azure Virtual Desktop.

Aby uzyskać więcej informacji na temat najlepszych rozwiązań dotyczących zabezpieczeń hosta sesji usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń hosta sesji.

Aby uzyskać szczegółową listę najlepszych rozwiązań dotyczących zabezpieczeń maszyn wirtualnych platformy Azure, zobacz Zalecenia dotyczące zabezpieczeń maszyn wirtualnych na platformie Azure.

Ochrona danych

• Platforma Microsoft Azure szyfruje dane magazynowane, aby chronić je przed atakami poza pasmem, takimi jak próby uzyskania dostępu do magazynu bazowego. To szyfrowanie pomaga zagwarantować, że osoby atakujące nie będą mogli łatwo odczytać ani zmodyfikować danych. Podejście firmy Microsoft do włączania dwóch warstw szyfrowania danych magazynowanych obejmuje:

  • Szyfrowanie dysków przy użyciu kluczy zarządzanych przez klienta. Użytkownicy udostępniają własny klucz do szyfrowania dysków. Mogą oni przenieść własne klucze do usługi Key Vault (praktyki znanej jako BYOK — Bring Your Own Key) lub wygenerować nowe klucze w usłudze Azure Key Vault w celu zaszyfrowania żądanych zasobów (w tym dysków hosta sesji).
  • Szyfrowanie infrastruktury przy użyciu kluczy zarządzanych przez platformę. Domyślnie dyski są automatycznie szyfrowane w spoczynku za pomocą kluczy szyfrowania zarządzanych przez platformę.
  • Szyfrowanie na hoście maszyny wirtualnej (serwer platformy Azure przydzielony do maszyny wirtualnej). Na hoście maszyny wirtualnej są przechowywane dane tymczasowego dysku maszyny wirtualnej i pamięci podręcznej dysku systemu operacyjnego/danych. Po włączeniu szyfrowania na hoście maszyny wirtualnej dane są szyfrowane w stanie spoczynku i przepływy szyfrowane do usługi Storage, które mają być utrwalane.

• Wdróż rozwiązanie do ochrony informacji, takie jak Microsoft Purview Information Protection lub rozwiązanie innej firmy, które zapewnia, że poufne informacje są przechowywane, przetwarzane i przesyłane bezpiecznie przez systemy technologiczne organizacji.

• Użyj doradcy zasad zabezpieczeń dla Aplikacje Microsoft 365 dla przedsiębiorstw, aby zwiększyć bezpieczeństwo wdrożenia pakietu Office. To narzędzie identyfikuje zasady, które można zastosować do wdrożenia w celu zwiększenia bezpieczeństwa, a także zaleca zasady na podstawie ich wpływu na bezpieczeństwo i produktywność.

• Skonfiguruj uwierzytelnianie oparte na tożsamości dla usługi Azure Files używanej dla profilów użytkowników FSLogix za pośrednictwem usług lokalna usługa Active Directory Domain Services (AD DS) i Microsoft Entra Domain Services. Skonfiguruj uprawnienia systemu plików NTFS, aby autoryzowani użytkownicy mogli uzyskiwać dostęp do usługi Azure Files.

Zarządzanie kosztami

• Tagi platformy Azure umożliwiają organizowanie kosztów tworzenia zasobów usługi Azure Virtual Desktop, zarządzania nimi i wdrażania ich. Aby zidentyfikować skojarzony koszt obliczeniowy usługi Azure Virtual Desktop, oznacz wszystkie pule hostów i maszyny wirtualne. Tagowanie zasobów usługi Azure Files lub Azure NetApp Files w celu śledzenia kosztów magazynu skojarzonych z kontenerami profilu użytkownika FSLogix, niestandardowymi obrazami systemu operacyjnego i dołączaniem aplikacji MSIX (jeśli jest używany).

• Zdefiniuj minimalne sugerowane tagi , które mają być ustawione dla wszystkich zasobów usługi Azure Virtual Desktop. Tagi platformy Azure można ustawić podczas wdrażania lub po aprowizacji. Rozważ użycie wbudowanych definicji usługi Azure Policy, aby wymusić reguły tagowania.

• Ustaw budżety w usłudze Microsoft Cost Management , aby aktywnie zarządzać kosztami użycia platformy Azure. Po przekroczeniu utworzonych progów budżetu powiadomienia są wyzwalane.

• Utwórz alerty usługi Cost Management, aby monitorować użycie i wydatki platformy Azure względem strefy docelowej usługi Azure Virtual Desktop.

• Skonfiguruj funkcję Uruchamiania maszyny wirtualnej w programie Connect, aby zaoszczędzić koszty, zezwalając użytkownikom końcowym na włączanie maszyn wirtualnych tylko wtedy, gdy ich potrzebują.

• Wdrażanie rozwiązań skalowania dla hostów sesji w puli za pomocą usługi Azure Automation lub funkcji autoskalowania (wersja zapoznawcza)

Spójność zasobów

• Użyj usługi Intune dla hostów sesji osobistych usługi Azure Virtual Desktop, aby zastosować istniejące lub utworzyć nowe konfiguracje i zabezpieczyć maszyny wirtualne przy użyciu zasad zgodności i dostępu warunkowego. Zarządzanie usługą Intune nie zależy od zarządzania tą samą maszyną wirtualną ani nie zakłóca zarządzania nią.

• Zarządzanie hostami sesji wielosesyjnej za pomocą usługi Intune umożliwia zarządzanie pulpitami zdalnymi z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise w centrum administracyjnym usługi Intune, podobnie jak zarządzanie udostępnionym urządzeniem klienckim z systemem Windows 10 lub Windows 11. Podczas zarządzania takimi maszynami wirtualnymi można użyć konfiguracji opartej na urządzeniach lub konfiguracji opartej na użytkownikach przeznaczonej dla użytkowników.

• Przeprowadź inspekcję i skonfiguruj wzmocnienie zabezpieczeń systemu operacyjnego hostów sesji przy użyciu konfiguracji maszyny usługi Azure Policy. Użyj punktów odniesienia zabezpieczeń systemu Windows jako punktu wyjścia do zabezpieczania systemu operacyjnego Windows.

• Użyj wbudowanych definicji usługi Azure Policy, aby skonfigurować ustawienia diagnostyczne dla zasobów usługi Azure Virtual Desktop, takich jak obszary robocze, grupy aplikacji i pule hostów.

Zapoznaj się z najlepszymi rozwiązaniami w zakresie zabezpieczeń usługi Azure Virtual Desktop jako punktem wyjścia dla zabezpieczeń w danym środowisku.

Zgodność

Prawie wszystkie organizacje muszą przestrzegać różnych zasad regulacyjnych instytucji rządowych lub branżowych. Przejrzyj wszelkie takie zasady wraz z zespołem ds. zgodności i zaimplementuj odpowiednie mechanizmy kontroli dla określonej strefy docelowej usługi Azure Virtual Desktop. Na przykład należy wziąć pod uwagę mechanizmy kontroli dla określonych zasad, takich jak Payment Card Industry Data Security Standard (PCI DSS) lub Health Insurance Portability and Accountability Act of 1996 (HIPAA), jeśli Organizacja przestrzega swoich struktur.

• Użyj Microsoft Defender dla Chmury, aby w razie potrzeby zastosować dodatkowe standardy zgodności do stref docelowych usługi Azure Virtual Desktop. Microsoft Defender dla Chmury pomaga usprawnić proces spełniania wymagań dotyczących zgodności z przepisami za pośrednictwem pulpitu nawigacyjnego zgodności z przepisami. Do pulpitu nawigacyjnego można dodać wbudowane lub dostosowane standardy zgodności. Już wbudowane standardy regulacyjne, które można dodać, obejmują:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL i UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Nowa Zelandia z ograniczeniami ISM
  • CmMC Poziom 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Jeśli Organizacja jest powiązana z wymaganiami dotyczącymi rezydencji danych, rozważ ograniczenie wdrażania zasobów usługi Azure Virtual Desktop (obszarów roboczych, grup aplikacji i pul hostów) do następujących lokalizacji geograficznych:

  • Stany Zjednoczone
  • Europa
  • Zjednoczone Królestwo
  • Kanada

  Ograniczenie wdrażania do tych lokalizacji geograficznych może pomóc w upewnieniu się, że metadane usługi Azure Virtual Desktop są przechowywane w regionie geograficznym zasobów usługi Azure Virtual Desktop, ponieważ hosty sesji można wdrożyć na całym świecie, aby pomieścić bazę użytkowników.

• Użyj zasad grupy i narzędzi do zarządzania urządzeniami, takich jak usługa Intune i program Microsoft Endpoint Configuration Manager, aby zachować dokładną praktykę zabezpieczeń i zgodności dla hostów sesji.

• Skonfiguruj alerty i automatyczne odpowiedzi w Microsoft Defender dla Chmury, aby zapewnić ogólną zgodność stref docelowych usługi Azure Virtual Desktop.

• Przejrzyj wskaźnik bezpieczeństwa firmy Microsoft, aby zmierzyć ogólny poziom zabezpieczeń organizacji w następujących produktach:

  • Microsoft 365 (w tym Exchange Online)
  • Microsoft Entra ID
  • Usługa Microsoft Defender dla punktu końcowego
  • Microsoft Defender for Identity
  • Defender dla aplikacji w chmurze
  • Microsoft Teams

• Przejrzyj Microsoft Defender dla Chmury wskaźnik bezpieczeństwa, aby poprawić ogólną zgodność z zabezpieczeniami wirtualnych stref docelowych platformy Azure.

Zalecane najlepsze rozwiązania dotyczące zabezpieczeń i punkty odniesienia

• Zalecane rozwiązania zabezpieczeń usługi Azure Virtual Desktop
• Punkt odniesienia zabezpieczeń dla usługi Azure Virtual Desktop oparty na testach porównawczych zabezpieczeń platformy Azure
• Stosowanie zasad zero trust do wdrożenia usługi Azure Virtual Desktop

Następne kroki

Dowiedz się więcej na temat automatyzacji platformy i metodyki DevOps dla scenariusza w skali przedsiębiorstwa usługi Azure Virtual Desktop.

Automatyzacja platformy i metodyka DevOps