Stosowanie zasad zero trust do wdrożenia usługi Azure Virtual Desktop

Ukończone

W tej lekcji przedstawiono procedurę stosowania zasad zero trust w architekturze referencyjnej usługi Azure Virtual Desktop.

Krok 1. Zabezpieczanie tożsamości za pomocą rozwiązania Zero Trust

Aby zastosować zasady Zero Trust do tożsamości używanych w usłudze Azure Virtual Desktop:

• Usługa Azure Virtual Desktop obsługuje różne typy tożsamości. Skorzystaj z informacji w temacie Zabezpieczanie tożsamości z zerowym zaufaniem , aby upewnić się, że wybrane typy tożsamości są zgodne z zasadami zero trust.
• Utwórz dedykowane konto użytkownika z najmniejszymi uprawnieniami do dołączania hostów sesji do domeny microsoft Entra Domain Services lub AD DS podczas wdrażania hosta sesji.

Krok 2. Zabezpieczanie punktów końcowych za pomocą rozwiązania Zero Trust

Punkty końcowe to urządzenia, za pomocą których użytkownicy uzyskują dostęp do środowiska usługi Azure Virtual Desktop i maszyn wirtualnych hosta sesji. Skorzystaj z instrukcji w przeglądzie integracji punktu końcowego i użyj Ochrona punktu końcowego w usłudze Microsoft Defender i programu Microsoft Endpoint Manager, aby upewnić się, że punkty końcowe są zgodne z wymaganiami dotyczącymi zabezpieczeń i zgodności.

Krok 3. Stosowanie zasad zero trust do zasobów magazynu usługi Azure Virtual Desktop

Zaimplementuj kroki opisane w artykule Stosowanie zasad zerowego zaufania do usługi Storage na platformie Azure na potrzeby zasobów magazynu używanych we wdrożeniu usługi Azure Virtual Desktop. Te kroki zapewniają:

• Zabezpieczanie danych usługi Azure Virtual Desktop magazynowanych, przesyłanych i używanych.
• Zweryfikuj użytkowników i kontroluj dostęp do danych magazynu z najmniejszymi uprawnieniami.
• Zaimplementuj prywatne punkty końcowe dla kont magazynu.
• Logicznie oddzielaj dane krytyczne za pomocą kontrolek sieci. Na przykład oddzielne konta magazynu dla różnych pul hostów i innych celów, takich jak dołączanie udziałów plików przez aplikację MSIX.
• Usługa Defender for Storage umożliwia automatyczną ochronę przed zagrożeniami.

Krok 4. Stosowanie zasad zero trust do sieci wirtualnych usługi Azure Virtual Desktop

Sieć wirtualna piasty to centralny punkt łączności dla wielu sieci wirtualnych szprych. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do sieci wirtualnej koncentratora na platformie Azure dla sieci wirtualnej piasty używanej do filtrowania ruchu wychodzącego z hostów sesji.

Sieć wirtualna będące szprychą izoluje obciążenie usługi Azure Virtual Desktop i zawiera maszyny wirtualne hosta sesji. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do sieci wirtualnej będącej szprychą na platformie Azure , która zawiera hosta sesji/maszyny wirtualne.

Izolowanie różnych pul hostów w oddzielnych sieciach wirtualnych przy użyciu sieciowej grupy zabezpieczeń z wymaganym adresem URL wymaganym dla usługi Azure Virtual Desktop dla każdej podsieci. Podczas wdrażania prywatnych punktów końcowych umieść je w odpowiedniej podsieci w sieci wirtualnej na podstawie ich roli.

Zapora usługi Azure Firewall lub zapora wirtualnego urządzenia sieciowego (WUS) może służyć do kontrolowania i ograniczania ruchu wychodzącego hostów sesji usługi Azure Virtual Desktop. Aby chronić hosty sesji, skorzystaj z instrukcji podanych tutaj dla usługi Azure Firewall. Wymuś ruch przez zaporę za pomocą tras zdefiniowanych przez użytkownika (UDR) połączonych z podsiecią puli hostów. Przejrzyj pełną listę wymaganych adresów URL usługi Azure Virtual Desktop, aby skonfigurować zaporę. Usługa Azure Firewall udostępnia tag FQDN usługi Azure Virtual Desktop, aby uprościć tę konfigurację.

Krok 5. Stosowanie zasad zero trust do hostów sesji usługi Azure Virtual Desktop

Hosty sesji to maszyny wirtualne uruchamiane wewnątrz sieci wirtualnej będącej szprychą. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do maszyn wirtualnych na platformie Azure dla maszyn wirtualnych tworzonych dla hostów sesji.

Pule hostów powinny mieć oddzielne jednostki organizacyjne (OU), jeśli są zarządzane przez zasady grupy w usługach domena usługi Active Directory Services (AD DS).

Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktu końcowego przedsiębiorstwa zaprojektowana w celu ułatwienia sieciom przedsiębiorstwa zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia. Można użyć Ochrona punktu końcowego w usłudze Microsoft Defender dla hostów sesji. Aby uzyskać więcej informacji, zobacz Urządzenia infrastruktury pulpitu wirtualnego (VDI).

Krok 6. Wdrażanie zabezpieczeń, ładu i zgodności z usługą Azure Virtual Desktop

Usługa Azure Virtual Desktop umożliwia korzystanie z usługi Azure Private Link w celu prywatnego łączenia się z zasobami przez utworzenie prywatnych punktów końcowych.

Usługa Azure Virtual Desktop ma wbudowane zaawansowane funkcje zabezpieczeń w celu ochrony hostów sesji. Zobacz jednak następujące artykuły, aby poprawić zabezpieczenia środowiska usługi Azure Virtual Desktop i hostów sesji:

• Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Virtual Desktop
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Virtual Desktop

Ponadto zapoznaj się z kluczowymi zagadnieniami projektowymi i zaleceniami dotyczącymi zabezpieczeń, ładu i zgodności w strefach docelowych usługi Azure Virtual Desktop zgodnie z platformą Cloud Adoption Framework firmy Microsoft.

Krok 7. Wdrażanie bezpiecznego zarządzania i monitorowania w usłudze Azure Virtual Desktop

Zarządzanie i ciągłe monitorowanie są ważne, aby upewnić się, że środowisko usługi Azure Virtual Desktop nie angażuje się w złośliwe zachowanie. Użyj usługi Azure Virtual Desktop Insights , aby rejestrować dane i zgłaszać dane diagnostyczne i dane użycia.

Zobacz następujące dodatkowe artykuły:

• Zapoznaj się z zaleceniami usługi Azure Advisor dla usługi Azure Virtual Desktop.
• Użyj usługi Microsoft Intune do szczegółowego zarządzania zasadami.
• Przejrzyj i ustaw właściwości protokołu RDP, aby uzyskać szczegółowe ustawienia na poziomie puli hostów.