Compartilhar via

Considerações sobre gerenciamento de segurança e identidade e acesso (IAM) para cargas de trabalho da Área de Trabalho Virtual do Azure

  • Artigo

Este artigo discute a área de design de segurança e IAM de uma carga de trabalho da Área de Trabalho Virtual do Azure. A Área de Trabalho Virtual do Azure é um serviço gerenciado que fornece um plano de controle da Microsoft para sua infraestrutura de área de trabalho virtual. A Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure para controlar identidades e gerenciar o acesso. Como proprietário de uma carga de trabalho, você também pode aplicar outros princípios de Confiança Zero apropriados para seus requisitos organizacionais. Os exemplos incluem o princípio verificar explicitamente e o princípio de acesso com menos privilégios .

Importante

Este artigo faz parte da série de cargas de trabalho da Área de Trabalho virtual do Azure Well-Architected Framework . Se você não estiver familiarizado com essa série, recomendamos que você comece com O que é uma carga de trabalho da Área de Trabalho Virtual do Azure?.

Usar RBAC

Impacto: Segurança, Excelência Operacional

O RBAC dá suporte à separação de tarefas para as várias equipes e indivíduos que gerenciam a implantação da Área de Trabalho Virtual do Azure. Como parte do design da zona de destino, você precisa decidir quem assume as várias funções. Em seguida, você precisa criar um grupo de segurança para cada função para simplificar a adição e a remoção de usuários de e para funções.

A Área de Trabalho Virtual do Azure fornece funções personalizadas do Azure projetadas para cada área funcional. Para obter informações sobre como essas funções são configuradas, consulte Funções internas para Área de Trabalho Virtual do Azure. Você também pode criar e definir funções personalizadas do Azure como parte do Cloud Adoption Framework para implantação do Azure. Talvez seja necessário combinar funções RBAC específicas da Área de Trabalho Virtual do Azure com outras funções RBAC do Azure. Essa abordagem fornece o conjunto completo de permissões que os usuários precisam para a Área de Trabalho Virtual do Azure e para outros serviços do Azure, como VMs (máquinas virtuais) e rede.

Recomendações
  • Defina funções para as equipes e indivíduos que gerenciam implantações da Área de Trabalho Virtual do Azure.
  • Defina funções internas do Azure para separar as responsabilidades de gerenciamento para pools de hosts, grupos de aplicativos e workspaces.
  • Crie um grupo de segurança para cada função.

Aprimorar a segurança dos hosts de sessão

Impacto: Segurança

A Área de Trabalho Virtual do Azure usa o RDP (Protocolo de Área de Trabalho Remota) para comunicação entre o servidor terminal ou os hosts de sessão e o cliente do usuário final.

O RDP é um protocolo multicanal que pode permitir e negar canais virtuais separados que carregam as seguintes informações:

  • Dados da apresentação
  • Comunicações de dispositivo serial
  • Informações de licenciamento
  • Dados altamente criptografados, como atividade de teclado e mouse

Para melhorar a segurança, você pode configurar as propriedades RDP da conexão centralmente na Área de Trabalho Virtual do Azure.

Recomendações
  • Restrinja o acesso ao Windows Explorer ocultando os mapeamentos de unidade locais e remotas. Essa estratégia impede que os usuários descubram informações confidenciais sobre configurações e usuários do sistema.
  • Impedir que um software indesejado seja executado em hosts de sessão. Você pode habilitar o AppLocker para segurança extra em hosts de sessão. Esse recurso ajuda a garantir que apenas os aplicativos especificados possam ser executados no host.
  • Use proteção de captura de tela e marca d'água para ajudar a impedir que informações confidenciais sejam capturadas em pontos de extremidade do cliente. Quando você ativa a proteção contra captura de tela, o conteúdo remoto é automaticamente bloqueado ou oculto em capturas de tela e compartilhamento de tela. O cliente da Área de Trabalho Remota também oculta o conteúdo de software mal-intencionado que captura a tela.
  • Use Microsoft Defender Antivírus para ajudar a proteger suas VMs. Para obter mais informações, consulte Configurar Microsoft Defender Antivírus em um ambiente de área de trabalho remota ou de infraestrutura de área de trabalho virtual.
  • Ative Windows Defender Controle de Aplicativos. Defina políticas para seus drivers e aplicativos, confiando ou não neles.
  • Desconscreva os usuários quando estiverem inativos para preservar os recursos e impedir o acesso não autorizado. Para obter mais informações, consulte Estabelecer políticas máximas de tempo inativo e desconexão.
  • Ative Microsoft Defender para o CSPM (gerenciamento de postura de segurança de nuvem) da Nuvem. Para obter mais informações, consulte Integrar dispositivos de VDI (infraestrutura de área de trabalho virtual) não persistente no Microsoft 365 Defender.

Considerações de design para a plataforma central, identidade e equipes de rede

Impacto: Segurança

A identidade é um princípio de design fundamental para a Área de Trabalho Virtual do Azure. A identidade também é uma área de design fundamental que você deve tratar como uma preocupação de primeira classe em seu processo arquitetônico.

Design de identidade para a Área de Trabalho Virtual do Azure

A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades para acessar recursos e aplicativos corporativos. Como proprietário de uma carga de trabalho, você pode selecionar entre vários tipos de provedores de identidade de acordo com suas necessidades empresariais e organizacionais. Examine as áreas de design de identidade nesta seção para avaliar o que é melhor para sua carga de trabalho.

Design de identidade Resumo
identidade do Active Directory Domain Services (AD DS) Os usuários devem ser detectáveis por meio de Microsoft Entra ID para acessar a Área de Trabalho Virtual do Azure. Como resultado, não há suporte para identidades de usuário que existem apenas no AD DS. Implantações autônomas do Active Directory com Serviços de Federação do Active Directory (AD FS) (AD FS) também não têm suporte.
Identidade híbrida A Área de Trabalho Virtual do Azure dá suporte a identidades híbridas por meio de Microsoft Entra ID, incluindo identidades federadas usando o AD FS. Você pode gerenciar essas identidades de usuário no AD DS e sincronizá-las com Microsoft Entra ID usando Microsoft Entra Connect. Você também pode usar Microsoft Entra ID para gerenciar essas identidades e sincronizá-las com o AD DS.
Identidade somente em nuvem A Área de Trabalho Virtual do Azure dá suporte a identidades somente na nuvem quando você usa VMs ingressadas usando Microsoft Entra ID. Esses usuários são criados e gerenciados diretamente em Microsoft Entra ID.

Importante

A Área de Trabalho Virtual do Azure não dá suporte a contas de negócios para empresas, contas da Microsoft ou identidades externas.

Para obter mais informações sobre como selecionar e implementar uma estratégia de identidade e autenticação, consulte Identidades com suporte e métodos de autenticação.

Recomendações
  • Crie uma conta de usuário dedicada com privilégios mínimos. Ao implantar hosts de sessão, use essa conta para ingressar os hosts de sessão em um domínio Microsoft Entra Domain Services ou do AD DS.
  • Exigir autenticação multifator. Para melhorar a segurança de toda a implantação, imponha a autenticação multifator para todos os usuários e administradores na Área de Trabalho Virtual do Azure. Para saber mais, confira Impor Microsoft Entra autenticação multifator de ID para a Área de Trabalho Virtual do Azure usando o Acesso Condicional.
  • Ative Microsoft Entra acesso condicional à ID. Ao usar o Acesso Condicional, você pode gerenciar riscos antes de conceder aos usuários acesso ao ambiente da Área de Trabalho Virtual do Azure. No processo de decidir a quais usuários conceder acesso, você também deve considerar quem é cada usuário, como ele entra e qual dispositivo está usando.

Proteger o design de rede para a Área de Trabalho Virtual do Azure

Sem medidas de segurança de rede em vigor, os invasores podem obter acesso aos seus ativos. Para proteger seus recursos, é importante colocar controles no tráfego de rede. Os controles de segurança de rede adequados podem ajudá-lo a detectar e parar invasores que obtêm entrada em suas implantações de nuvem.

Recomendações
  • Use uma arquitetura hub-spoke. É fundamental diferenciar entre serviços compartilhados e serviços de aplicativos da Área de Trabalho Virtual do Azure. Uma arquitetura hub-spoke é uma boa abordagem para a segurança. Você deve manter recursos específicos da carga de trabalho em sua própria rede virtual separada dos serviços compartilhados no hub. Exemplos de serviços compartilhados incluem serviços de gerenciamento e DNS (Sistema de Nomes de Domínio).
  • Use grupos de segurança de rede. Você pode usar grupos de segurança de rede para filtrar o tráfego de rede de e para a carga de trabalho da Área de Trabalho Virtual do Azure. As marcas de serviço e as regras de grupo de segurança de rede fornecem uma maneira de permitir ou negar acesso ao aplicativo da Área de Trabalho Virtual do Azure. Por exemplo, você pode permitir o acesso às portas do aplicativo da Área de Trabalho Virtual do Azure de intervalos de endereços IP locais e negar o acesso da Internet pública. Para saber mais, confira Grupos de segurança de rede. Para implantar a Área de Trabalho Virtual do Azure e disponibilizá-la aos usuários, você deve permitir URLs específicas que suas VMs de host de sessão podem acessar a qualquer momento. Para obter uma lista dessas URLs, consulte URLs necessárias para a Área de Trabalho Virtual do Azure.
  • Isole seus pools de host colocando cada pool de hosts em uma rede virtual separada. Use grupos de segurança de rede com as URLs que a Área de Trabalho Virtual do Azure exige para cada sub-rede.
  • Impor a segurança de rede e de aplicativo. Os controles de segurança de rede e de aplicativo são medidas de segurança de linha de base para cada carga de trabalho da Área de Trabalho Virtual do Azure. A rede e o aplicativo de host da sessão da Área de Trabalho Virtual do Azure exigem controles rigorosos de revisão de segurança e linha de base.
  • Evite o acesso RDP direto aos hosts da sessão em seu ambiente desabilitando ou bloqueando a porta RDP. Se você precisar de acesso RDP direto para fins administrativos ou solução de problemas, use o Azure Bastion para se conectar aos hosts da sessão.
  • Use Link Privado do Azure com a Área de Trabalho Virtual do Azure para manter o tráfego dentro da rede da Microsoft e ajudar a melhorar a segurança. Quando você cria um ponto de extremidade privado, o tráfego entre sua rede virtual e o serviço permanece na rede da Microsoft. Você não precisa mais expor seu serviço à Internet pública. Você também pode usar uma VPN (rede virtual privada) ou o Azure ExpressRoute para que os usuários com um cliente de Área de Trabalho Remota possam se conectar à sua rede virtual.
  • Use Firewall do Azure para ajudar a proteger a Área de Trabalho Virtual do Azure. Os hosts de sessão da Área de Trabalho Virtual do Azure são executados em sua rede virtual e estão sujeitos aos controles de segurança de rede virtual. Se seus aplicativos ou usuários precisarem de acesso à Internet de saída, recomendamos que você use Firewall do Azure para ajudar a protegê-los e bloquear seu ambiente.

Criptografar dados em trânsito

Impacto: Segurança

A criptografia em trânsito se aplica ao estado dos dados que estão sendo movidos de um local para outro. Você pode criptografar dados em trânsito de várias maneiras, dependendo da natureza da conexão. Para obter mais informações, consulte Criptografia de dados em trânsito.

A Área de Trabalho Virtual do Azure usa o protocolo TLS versão 1.2 para todas as conexões iniciadas de clientes e hosts de sessão para os componentes de infraestrutura da Área de Trabalho Virtual do Azure. A Área de Trabalho Virtual do Azure usa as mesmas criptografias TLS 1.2 que o Azure Front Door. É importante garantir que computadores cliente e hosts de sessão possam usar essas criptografias. Para o transporte de conexão reversa, o cliente e o host da sessão se conectam ao gateway da Área de Trabalho Virtual do Azure. Em seguida, o cliente e o host da sessão estabelecem uma conexão TCP (Protocolo de Controle de Transmissão). Em seguida, o cliente e o host da sessão validam o certificado do gateway da Área de Trabalho Virtual do Azure. O RDP é usado para estabelecer o transporte base. Em seguida, o RDP estabelece uma conexão TLS aninhada entre o cliente e o host da sessão usando os certificados de host de sessão.

Para obter mais informações sobre conectividade de rede, consulte Noções básicas sobre conectividade de rede da Área de Trabalho Virtual do Azure.

Recomendações
  • Entenda como a Área de Trabalho Virtual do Azure criptografa dados em trânsito.
  • Verifique se os computadores cliente e os hosts da sessão podem usar as criptografias TLS 1.2 que o Azure Front Door usa.

Usar computação confidencial para criptografar dados em uso

Impacto: Segurança, Eficiência de Desempenho

Use a computação confidencial para proteger os dados em uso quando você opera em setores regulamentados, como governo, serviços financeiros e institutos de saúde.

Você pode usar VMs confidenciais para a Área de Trabalho Virtual do Azure. As VMs confidenciais aumentam a privacidade e a segurança dos dados protegendo os dados em uso. As séries de VM confidencial do Azure DCasv5 e ECasv5 fornecem um TEE (ambiente de execução confiável) baseado em hardware. Esse ambiente apresenta recursos de segurança DE SEV-SNP (Advanced Micro Devices) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Esses recursos endurecem as proteções de convidado para negar o hipervisor e outro acesso de código de gerenciamento de host à memória e ao estado da VM. Eles também ajudam a proteger contra o acesso do operador e criptografam dados em uso.

As VMs confidenciais dão suporte às versões 22H1, 22H2 e versões futuras do Windows 11. O suporte à VM confidencial para Windows 10 está planejado. A criptografia de disco do sistema operacional confidencial está disponível para VMs confidenciais. Além disso, o monitoramento de integridade está disponível durante o provisionamento do pool de host da Área de Trabalho Virtual do Azure para VMs confidenciais.

Para saber mais, consulte os recursos a seguir:

Recomendações
  • Use a computação confidencial para proteger os dados em uso.
  • Use as séries de VM confidencial Azure DCasv5 e ECasv5 para criar um TEE baseado em hardware.

Próximas etapas

Agora que você analisou as melhores práticas para proteger a Área de Trabalho Virtual do Azure, investigue os procedimentos de gerenciamento operacional para alcançar a excelência empresarial.

Procedimentos operacionais

Use a ferramenta de avaliação para avaliar suas opções de design.

Avaliação