Zalecenia dotyczące zabezpieczeń usługi Azure Virtual Desktop
Azure Virtual Desktop to zarządzana usługa pulpitu wirtualnego, która obejmuje wiele funkcji zabezpieczeń umożliwiających zapewnienie bezpieczeństwa organizacji. Architektura usługi Azure Virtual Desktop składa się z wielu składników tworzących usługę łączącą użytkowników z pulpitami i aplikacjami.
Usługa Azure Virtual Desktop ma wiele wbudowanych zaawansowanych funkcji zabezpieczeń, takich jak odwrotne łączenie, w przypadku gdy nie trzeba otwierać portów sieciowych dla ruchu przychodzącego, co zmniejsza ryzyko związane z dostępem pulpitów zdalnych z dowolnego miejsca. Usługa korzysta również z wielu innych funkcji zabezpieczeń platformy Azure, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. W tym artykule opisano kroki, które można wykonać jako administrator, aby zapewnić bezpieczeństwo wdrożeń usługi Azure Virtual Desktop, niezależnie od tego, czy udostępniasz pulpity i aplikacje użytkownikom w organizacji, czy użytkownikom zewnętrznym.
Wspólna odpowiedzialność za bezpieczeństwo
Przed usługą Azure Virtual Desktop lokalne rozwiązania wirtualizacji, takie jak usługi pulpitu zdalnego, wymagają udzielenia użytkownikom dostępu do ról, takich jak Brama, Broker, Dostęp internetowy itd. Te role musiały być w pełni nadmiarowe i mogły obsługiwać szczytową pojemność. Administratorzy zainstalują te role w ramach systemu operacyjnego Windows Server i musieli zostać przyłączone do domeny z określonymi portami dostępnymi dla połączeń publicznych. Aby zapewnić bezpieczeństwo wdrożeń, administratorzy musieli stale upewnić się, że wszystko w infrastrukturze zostało utrzymane i aktualne.
Jednak w większości usług w chmurze istnieje wspólny zestaw obowiązków dotyczących zabezpieczeń między firmą Microsoft a klientem lub partnerem. W przypadku usługi Azure Virtual Desktop większość składników jest zarządzanych przez firmę Microsoft, ale hosty sesji i niektóre usługi i składniki pomocnicze są zarządzane przez klienta lub zarządzane przez partnera. Aby dowiedzieć się więcej na temat składników zarządzanych przez firmę Microsoft usługi Azure Virtual Desktop, zobacz Architektura i odporność usługi Azure Virtual Desktop.
Chociaż niektóre składniki są już zabezpieczone dla środowiska, należy skonfigurować inne obszary, aby dopasować je do potrzeb organizacji lub klientów w zakresie zabezpieczeń. Poniżej przedstawiono składniki, które są odpowiedzialne za zabezpieczenia we wdrożeniu usługi Azure Virtual Desktop:
| Składnik | Odpowiedzialność |
|---|---|
| Tożsamość | Klient lub partner |
| Urządzenia użytkownika (urządzenia przenośne i komputery) | Klient lub partner |
| Zabezpieczenia aplikacji | Klient lub partner |
| System operacyjny hosta sesji | Klient lub partner |
| Konfiguracja wdrożenia | Klient lub partner |
| Formanty sieciowe | Klient lub partner |
| Płaszczyzna sterowania wirtualizacji | Microsoft |
| Fizyczne hosty | Microsoft |
| Sieć fizyczna | Microsoft |
| Fizyczne centrum danych | Microsoft |
Granice zabezpieczeń
Granice zabezpieczeń oddzielają kod i dane domen zabezpieczeń o różnych poziomach zaufania. Zazwyczaj istnieje granica zabezpieczeń między trybem jądra a trybem użytkownika. Większość oprogramowania i usług firmy Microsoft zależy od wielu granic zabezpieczeń, aby odizolować urządzenia od sieci, maszyn wirtualnych i aplikacji na urządzeniach. W poniższej tabeli wymieniono każdą granicę zabezpieczeń dla systemu Windows i ich działania w celu zapewnienia ogólnych zabezpieczeń.
| Granica zabezpieczeń | Opis |
|---|---|
| Granica sieci | Nieautoryzowany punkt końcowy sieci nie może uzyskać dostępu lub manipulować kodem i danymi na urządzeniu klienta. |
| Granica jądra | Proces trybu użytkownika innego niż administracyjny nie może uzyskać dostępu do kodu jądra i danych ani nie może go modyfikować. Administrator-jądro nie jest granicą zabezpieczeń. |
| Granica procesu | Nieautoryzowany proces trybu użytkownika nie może uzyskać dostępu do kodu i danych innego procesu ani manipulować nimi. |
| Granica piaskownicy appContainer | Proces piaskownicy opartej na usłudze AppContainer nie może uzyskać dostępu do kodu i danych poza piaskownicą ani nie może modyfikować ich w oparciu o możliwości kontenera. |
| Granica użytkownika | Użytkownik nie może uzyskać dostępu lub manipulować kodem i danymi innego użytkownika bez autoryzacji. |
| Granica sesji | Sesja użytkownika nie może uzyskać dostępu do innej sesji użytkownika ani manipulować bez autoryzacji. |
| Granica przeglądarki internetowej | Nieautoryzowana witryna internetowa nie może naruszać zasad tego samego źródła ani nie może uzyskać do niej dostępu ani manipulować kodem natywnym i danymi piaskownicy przeglądarki internetowej Microsoft Edge. |
| Granica maszyny wirtualnej | Nieautoryzowana maszyna wirtualna gościa funkcji Hyper-V nie może uzyskać dostępu ani manipulować kodem i danymi innej maszyny wirtualnej gościa; Obejmuje to kontenery izolowane funkcji Hyper-V. |
| Granica wirtualnego trybu bezpiecznego (VSM) | Kod działający poza zaufanym procesem lub enklawą programu VSM nie może uzyskać dostępu do danych i kodu ani go modyfikować w ramach zaufanego procesu. |
Zalecane granice zabezpieczeń dla scenariuszy usługi Azure Virtual Desktop
Należy również dokonać pewnych wyborów dotyczących granic zabezpieczeń na podstawie wielkości liter. Jeśli na przykład użytkownik w organizacji potrzebuje uprawnień administratora lokalnego do instalowania aplikacji, musisz nadać im pulpit osobisty zamiast hosta sesji udostępnionej. Nie zalecamy nadawania użytkownikom uprawnień administratora lokalnego w scenariuszach obejmujących wiele sesji, ponieważ ci użytkownicy mogą przekraczać granice zabezpieczeń dla sesji lub uprawnień danych NTFS, zamknąć maszyny wirtualne z wieloma sesjami lub wykonywać inne czynności, które mogą przerwać usługę lub spowodować utratę danych.
Użytkownicy z tej samej organizacji, tacy jak pracownicy wiedzy z aplikacjami, którzy nie wymagają uprawnień administratora, są doskonałymi kandydatami do hostów sesji wielosesyjnej, takich jak wiele sesji systemu Windows 11 Enterprise. Te hosty sesji obniżają koszty organizacji, ponieważ wielu użytkowników może współdzielić jedną maszynę wirtualną tylko z kosztami obciążenia maszyny wirtualnej na użytkownika. Dzięki produktom do zarządzania profilami użytkowników, takimi jak FSLogix, użytkownicy mogą mieć przypisaną dowolną maszynę wirtualną w puli hostów bez konieczności zauważenia żadnych przerw w działaniu usługi. Ta funkcja umożliwia również optymalizowanie kosztów przez wykonywanie takich czynności, jak zamykanie maszyn wirtualnych poza godzinami szczytu.
Jeśli twoja sytuacja wymaga od użytkowników z różnych organizacji nawiązania połączenia z wdrożeniem, zalecamy posiadanie oddzielnej dzierżawy dla usług tożsamości, takich jak Active Directory i Microsoft Entra ID. Zalecamy również posiadanie oddzielnej subskrypcji dla tych użytkowników do hostowania zasobów platformy Azure, takich jak usługa Azure Virtual Desktop i maszyny wirtualne.
W wielu przypadkach użycie wielu sesji jest akceptowalnym sposobem obniżenia kosztów, ale to, czy zalecamy, zależy to od poziomu zaufania między użytkownikami z równoczesnym dostępem do współużytkowanego wystąpienia wielu sesji. Zazwyczaj użytkownicy należący do tej samej organizacji mają wystarczającą i uzgodnioną relację zaufania. Na przykład dział lub grupa robocza, w której ludzie współpracują i mogą uzyskiwać dostęp do danych osobowych, jest organizacją o wysokim poziomie zaufania.
System Windows używa granic zabezpieczeń i mechanizmów kontroli w celu zapewnienia, że procesy użytkownika i dane są izolowane między sesjami. Jednak system Windows nadal zapewnia dostęp do wystąpienia, nad którymi pracuje użytkownik.
Wdrożenia obejmujące wiele sesji korzystają ze strategii zabezpieczeń w głębi systemu, która zwiększa granice zabezpieczeń, które uniemożliwiają użytkownikom w organizacji i poza organizacją uzyskanie nieautoryzowanego dostępu do danych osobowych innych użytkowników. Nieautoryzowany dostęp do danych występuje z powodu błędu w procesie konfiguracji przez administratora systemu, takiego jak nieujawniona luka w zabezpieczeniach lub znana luka w zabezpieczeniach, która nie została jeszcze poprawiona.
Nie zalecamy udzielania użytkownikom, którzy pracują dla różnych lub konkurencyjnych firm dostępu do tego samego środowiska wielosesyjnego. Te scenariusze mają kilka granic zabezpieczeń, które mogą być atakowane lub nadużywane, takie jak sieć, jądro, proces, użytkownik lub sesje. Jedna luka w zabezpieczeniach może spowodować nieautoryzowane dane i kradzież poświadczeń, wycieki informacji osobistych, kradzież tożsamości i inne problemy. Dostawcy zwirtualizowanych środowisk są odpowiedzialni za oferowanie dobrze zaprojektowanych systemów z wieloma silnymi granicami zabezpieczeń i dodatkowymi funkcjami bezpieczeństwa, które są dostępne wszędzie tam, gdzie to możliwe.
Tabela zawiera podsumowanie naszych zaleceń dotyczących każdego scenariusza.
| Scenariusz poziomu zaufania | Zalecane rozwiązanie |
|---|---|
| Użytkownicy z jednej organizacji z uprawnieniami standardowymi | Użyj wielosesyjnego systemu operacyjnego (OS) systemu operacyjnego Windows Enterprise. |
| Użytkownicy wymagają uprawnień administracyjnych | Użyj osobistej puli hostów i przypisz każdemu użytkownikowi własnego hosta sesji. |
| Użytkownicy z różnych organizacji łączących się | Oddzielna dzierżawa platformy Azure i subskrypcja platformy Azure |