Compartilhar via


Aplicar os princípios de confiança zero para uma implantação da área de trabalho virtual do Azure

Este artigo fornece etapas para aplicar os princípios de confiança zero a uma implantação da área de trabalho virtual do Azure das seguintes maneiras:

Princípio de Confiança Zero Definição Atendido por
Verificação explícita Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. Verifique as identidades e os pontos de extremidade dos usuários da área de trabalho virtual do Azure e proteja o acesso aos hosts da sessão.
Usar o acesso de privilégio mínimo Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.
  • Limite o acesso aos hosts da sessão e seus dados.
  • Armazenamento: proteja os dados nos três modos: dados inativos, dados em trânsito, dados em uso.
  • Redes virtuais (VNets): especifique fluxos de tráfego de rede permitidos entre VNets de hub e spoke com o Firewall do Azure.
  • Máquinas virtuais: use o controle de acesso baseado em função (RBAC).
Pressupor a violação Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
  • Isole os componentes de uma implantação da área de trabalho virtual do Azure.
  • Armazenamento: use o Defender para Armazenamento a fim de automatizar a detecção e proteção contra ameaças.
  • VNets: impeça fluxos de tráfego entre cargas de trabalho com o Firewall do Azure.
  • Máquinas virtuais: use criptografia dupla para criptografia de ponta a ponta e habilite a criptografia no host, manutenção segura para máquinas virtuais e Microsoft Defender para servidores para detecção de ameaças.
  • Área de trabalho virtual do Azure: use os recursos de segurança, governança, gerenciamento e monitoramento da área de trabalho virtual do Azure para melhorar as defesas e coletar análises de host da sessão.

Para ver mais informações sobre como aplicar os princípios da confiança zero em um ambiente da IaaS do Azure, consulte a Visão geral da aplicação dos princípios de confiança zero à IaaS do Azure.

Arquitetura de referência

Neste artigo, usamos a seguinte arquitetura de referência para hub e Spoke a fim de demonstrar um ambiente comumente implantado e como aplicar os princípios de confiança zero à área de trabalho virtual do Azure com o acesso dos usuários pela Internet. A arquitetura de WAN Virtual do Azure também é compatível, além do acesso privado em uma rede gerenciada com o RDP Shortpath para área de trabalho virtual do Azure.

Diagrama da arquitetura de referência da Área de Trabalho Virtual do Azure.

O ambiente do Azure para a área de trabalho virtual do Azure inclui:

Componente Descrição
Um Serviços de armazenamento do Azure para perfis de usuário da área de trabalho virtual do Azure.
B Uma VNet de hub de conectividade.
C Uma VNet spoke com cargas de trabalho baseadas em máquina virtual de host da sessão da área de trabalho virtual do Azure.
D Painel de controle da área de trabalho virtual do Azure.
E Um plano de gerenciamento de área de trabalho virtual do Azure.
F Serviços de PaaS dependentes, incluindo Microsoft Entra ID, Microsoft Defender para Nuvem, controle de acesso baseado em função (RBAC) e Azure Monitor.
G Galeria de computação do Azure.

Os usuários ou administradores que acessam o ambiente do Azure podem se originar da Internet, locais de escritório ou datacenters locais.

A arquitetura de referência se alinha à arquitetura descrita na zona de destino em escala empresarial para a Cloud Adoption Framework da área de trabalho virtual do Azure.

Arquitetura lógica

Neste diagrama, a infraestrutura do Azure para uma implantação da Área de Trabalho Virtual do Azure está contida em um locatário do Microsoft Entra ID.

Diagrama dos componentes da Área de Trabalho Virtual do Azure em um locatário do Microsoft Entra ID.

Os elementos da arquitetura lógica são:

  • Assinatura do Azure para sua área de trabalho virtual do Azure

    Você pode distribuir os recursos em mais de uma assinatura, onde cada assinatura pode ter funções diferentes, como assinatura de rede ou de segurança. Isso é descrito na Cloud Adoption Framework e na zona de destino do Azure. As diferentes assinaturas também podem conter ambientes diferentes, como ambientes de produção, desenvolvimento e testes. Depende de como você deseja separar seu ambiente e do número de recursos que você tem em cada um. Uma ou mais assinaturas podem ser gerenciadas juntas usando um grupo de gerenciamento. Isso proporciona a capacidade de aplicar permissões com políticas RBAC e Azure a um grupo de assinaturas em vez de configurar cada assinatura individualmente.

  • Grupo de recursos da área de trabalho virtual do Azure

    Um grupo de recursos da área de trabalho virtual do Azure isola cofres de chave, objetos de serviço da área de trabalho virtual do Azure e pontos de extremidade privados.

  • Grupo de recursos dearmazenamento

    Um grupo de recursos de armazenamento isola os pontos de extremidade privados e os conjuntos de dados do serviço de arquivos do Azure.

  • Grupo de recursos das máquinas virtuais do host da sessão

    Um grupo de recursos dedicado isola as máquinas virtuais para seus hosts de sessão, máquinas virtuais, conjunto de criptografia de disco e um grupo de segurança de aplicativo.

  • Grupo de recursos de VNet spoke

    Um grupo de recursos dedicado isola os recursos de VNet spoke e um grupo de segurança de rede, que os especialistas em rede da sua organização podem gerenciar.

O que você encontrará neste artigo?

Este artigo apresenta as etapas para aplicar os princípios de confiança zero na arquitetura de referência da área de trabalho virtual do Azure.

Etapa Tarefa Princípios de confiança zero aplicados
1 Proteger identidades com confiança zero. Verificação explícita
2 Proteger pontos de extremidade com confiança zero. Verificação explícita
3 Aplicar os princípios de confiança zero aos recursos de armazenamento da área de trabalho virtual do Azure. Verificação explícita
Usar o acesso com privilégios mínimos
Pressupor a violação
4 Aplicar os princípios de confiança zero a VNets de hub e spoke da área de trabalho virtual do Azure. Verificação explícita
Usar o acesso com privilégios mínimos
Pressupor a violação
5 Aplicar os princípios de confiança zero ao host da sessão da área de trabalho virtual do Azure. Verificação explícita
Usar o acesso com privilégios mínimos
Pressupor a violação
6 Implantar segurança, governança e conformidade na área de trabalho virtual do Azure. Pressupor a violação
7 Implantar o gerenciamento e o monitoramento seguros na área de trabalho virtual do Azure. Pressupor a violação

Etapa 1: proteger identidades com confiança zero

Para aplicar princípios de confiança zero às identidades usadas na área de trabalho virtual do Azure:

  • A área de trabalho virtual do Azure dá suporte a diferentes tipos de identidades. Use as informações em Proteger a identidade com confiança zero para garantir que os tipos de identidade escolhidos sigam os princípios de confiança zero.
  • Crie uma conta de usuário dedicada com privilégios mínimos para ingressar hosts de sessão em um domínio do Microsoft Entra Domain Services ou do AD DS durante a implantação do host da sessão.

Etapa 2: proteger pontos de extremidade com confiança zero

Os pontos de extremidade são os dispositivos por meio dos quais os usuários acessam o ambiente de área de trabalho virtual do Azure e as máquinas virtuais de host da sessão. Use as instruções na Visão geral da integração de pontos de extremidade e use o Microsoft Defender para Ponto de Extremidade e o Microsoft Endpoint Manager para garantir que seus pontos de extremidade atendam aos requisitos de segurança e conformidade.

Etapa 3: aplicar os princípios de confiança zero aos recursos de armazenamento da área de trabalho virtual do Azure

Implemente as etapas em Aplicar princípios de confiança zero ao armazenamento no Azure para os recursos de armazenamento que estão sendo usados em sua implantação da área de trabalho virtual do Azure. Essas etapas garantem que você:

  • Proteja seus dados inativos, em trânsito e em uso da área de trabalho virtual do Azure.
  • Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios.
  • Implemente pontos de extremidade privados para as contas de armazenamento.
  • Separe logicamente os dados críticos com controles de rede. Como contas de armazenamento separadas para pools de hosts diferentes e outras finalidades, como com compartilhamentos de arquivos com anexação de aplicativo MSIX.
  • Use o Defender para Armazenamento a fim de automatizar a proteção contra ameaças.

Observação

Em alguns designs, o Azure NetApp Files é o serviço de armazenamento preferencial para perfis FSLogix para a área de trabalho virtual do Azure por meio de um compartilhamento PME. O Azure NetApp Files oferece recursos de segurança internos que incluem sub-redes delegadas e parâmetros de comparação de segurança.

Etapa 4: aplicar os princípios de confiança zero a VNets de hub e spoke da área de trabalho virtual do Azure

Uma VNet de hub é um ponto central de conectividade para várias redes virtuais spoke. Implemente as etapas em Aplicar princípios de confiança zero a uma rede virtual de hub no Azure para a VNet de hub que está sendo usada para filtrar o tráfego de saída dos hosts da sessão.

Uma VNet spoke isola a carga de trabalho da área de trabalho virtual do Azure e contém as máquinas virtuais do host da sessão. Implemente as etapas em Aplicar princípios de confiança zero à rede virtual spoke no Azure para a VNet spoke que contém o host da sessão/máquinas virtuais.

Isole pools de hosts diferentes em VNets separadas usando NSG com a URL necessária para a área de trabalho virtual do Azure para cada sub-rede. Ao implantar os pontos de extremidade privados, coloque-os na sub-rede apropriada na VNet com base em sua função.

O Firewall do Azure ou um firewall de solução de virtualização de rede (NVA) pode ser usado para controlar e restringir o tráfego de saída dos hosts da sessão da área de trabalho virtual do Azure. Use as instruções aqui do Firewall do Azure para proteger hosts da sessão. Força o tráfego através do firewall com Rotas definidas pelo usuário (UDRs) vinculadas à sub-rede do pool de host. Verifique a lista completa de URLs da área de trabalho virtual do Azure necessárias para configurar seu firewall. O Firewall do Azure fornece uma marca de FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração.

Etapa 5: aplicar os princípios de confiança zero aos hosts da sessão da área de trabalho virtual do Azure

Os hosts da sessão são máquinas virtuais executadas dentro de uma VNet spoke. Implemente as etapas em Aplicar princípios de confiança zero a máquinas virtuais no Azure para as máquinas virtuais que estão sendo criadas para os hosts da sessão.

Os pools de host devem ter unidades organizacionais (UOs) separadas se forem gerenciados por políticas de grupo nos Active Directory Domain Services (AD DS).

O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. Você pode usar o Microsoft Defender para Ponto de Extremidade para hosts de sessão. Para ver mais informações, consulte Dispositivos de Virtual Desktop Infrastructure (VDI).

Etapa 6: implantar segurança, governança e conformidade na área de trabalho virtual do Azure

O serviço de área de trabalho virtual do Azure permite que você use o link privado do Azure para se conectar de forma privada aos seus recursos, criando pontos de extremidade privados.

A área de trabalho virtual do Azure tem recursos de segurança avançados internos para proteger hosts da sessão. No entanto, consulte os seguintes artigos para melhorar as defesas de segurança do seu ambiente de área de trabalho virtual do Azure e hosts da sessão:

Além disso, veja as principais considerações e recomendações de design para segurança, governança e conformidade nas zonas de destino da área de trabalho virtual do Azure, de acordo com a Cloud Adoption Framework da Microsoft.

Etapa 7: implantar o gerenciamento e o monitoramento seguros na área de trabalho virtual do Azure

O gerenciamento e o monitoramento contínuo são importantes para garantir que seu ambiente de área de trabalho virtual do Azure não esteja envolvido em comportamento mal-intencionado. Use os Insights da área de trabalho virtual do Azure para registrar dados e relatar dados de uso e diagnóstico.

Veja estes artigos adicionais:

Proteger uma implantação da área de trabalho virtual do Azure

Treinamento Proteger uma implantação da área de trabalho virtual do Azure
Saiba mais sobre os recursos de segurança da Microsoft que ajudam a manter seus aplicativos e dados seguros na implantação da área de trabalho virtual do Microsoft Azure.

Proteger sua implantação da área de trabalho virtual do Azure usando o Azure

Treinamento Proteger sua implantação da área de trabalho virtual do Azure usando o Azure
Implante o Firewall do Azure, trace a rota de todo o tráfego de rede pelo Firewall do Azure e configure regras. Encaminhar o tráfego de rede de saída do pool de hosts da Área de Trabalho Virtual do Azure para o serviço por meio do Firewall do Azure.

Gerenciar o acesso e a segurança da área de trabalho virtual do Azure

Treinamento Gerenciar o acesso e a segurança da área de trabalho virtual do Azure
Saiba como planejar e implementar funções do Azure para a Área de Trabalho Virtual do Azure e implementar políticas de acesso condicional para conexões remotas. Este roteiro de aprendizagem está alinhado com o exame AZ-140: configurar e operar a Área de Trabalho Virtual do Microsoft Azure.

Design de perfis e identidades de usuário

Treinamento Design de perfis e identidades de usuário
Os usuários precisam de acesso a esses aplicativos localmente e na nuvem. Você usa o cliente Área de Trabalho Remota da Área de Trabalho do Windows para acessar aplicativos e áreas de trabalho remotamente de um dispositivo Windows diferente.

Para obter mais treinamento sobre segurança no Azure, veja estes recursos no catálogo da Microsoft:
Segurança no Azure

Próximas etapas

Consulte estes artigos adicionais para aplicar os princípios de confiança zero ao Azure:

Ilustrações técnicas

Você pode fazer o download das ilustrações usadas neste artigo. Use o arquivo do Visio para modificar essas ilustrações para seu próprio uso.

PDF | Visio

Para ilustrações técnicas adicionais, clique aqui.

Referências

Consulte os links abaixo para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.