Habilitar os serviços de segurança para uma implantação da Área de Trabalho Virtual do Azure
Como engenheiro do sistema líder e administrador do Azure com a tarefa de avaliar a Área de Trabalho Virtual do Azure, você precisa entender sua arquitetura e recursos de segurança. Você também precisa ter um entendimento claro das responsabilidades da Microsoft e do cliente.
Arquitetura da Área de Trabalho Virtual do Azure
O Azure Virtual Desktop é um serviço de virtualização de aplicações e de ambiente de trabalho que é executado no Azure. O serviço:
- Fornece infraestrutura de virtualização como um serviço gerenciado.
- Habilita o gerenciamento de máquinas virtuais (VMs) implantadas na sua assinatura do Azure.
- Utiliza o ID do Microsoft Entra para gerir os serviços de identidade.
- Inclui o suporte para ferramentas existentes, como o Microsoft Endpoint Manager.
O diagrama a seguir mostra os componentes de uma arquitetura típica de implantação empresarial.
A Área de Trabalho Virtual do Azure é implantada em um espaço de trabalho hierárquico. Em uma implantação tradicional de infraestrutura de área de trabalho virtual local (VDI), o cliente é responsável por todos os aspectos de segurança. Com a Área de Trabalho Virtual do Azure, essas responsabilidades são compartilhadas entre o cliente e a Microsoft.
A Microsoft ajuda a proteger os datacenters físicos, a rede física e os hosts físicos nos quais o Azure é executado. A Microsoft também é responsável por proteger o plano de controle de virtualização, que inclui os serviços da Área de Trabalho Virtual do Azure em execução no Azure.
Quando você usa a Área de Trabalho Virtual do Azure, é importante entender que a Microsoft já ajudou a proteger alguns serviços. Todos os clientes precisam configurar outras áreas para se adequarem às necessidades de segurança da sua organização. No entanto, se necessário, a Microsoft pode fornecer orientações de práticas recomendadas aos seus clientes para os serviços pelos quais são responsáveis.
Serviços gerenciados pela Microsoft
A Microsoft gerencia os serviços da Área de Trabalho Virtual do Azure descritos na tabela a seguir.
| Serviço | Descrição |
|---|---|
| Excel Web Access | O serviço permite que os usuários da Área de Trabalho Virtual do Azure acessem as áreas de trabalho virtuais e os aplicativos remotos por meio de um navegador compatível com HTMLv5. |
| Gateway | Esse serviço conecta clientes remotos a um gateway e estabelece uma conexão de um VM de volta para o mesmo gateway. |
| Corretor | O serviço Corretor fornece balanceamento de carga e reconexão às áreas de trabalho virtuais e aplicativos remotos nas sessões de usuários existentes. |
| Diagnóstico | O serviço diagnóstico do Ambiente de Trabalho Remoto regista eventos de ações na implementação do Azure Virtual Desktop como um êxito ou uma falha. Essas informações são úteis para solucionar erros. |
| Serviços de infraestrutura do Azure | A Microsoft gerencia os serviços de rede, armazenamento e computação da infraestrutura do Azure. |
Gerenciamento de usuários
O cliente gerencia os seguintes componentes para uma implantação com êxito da Área de Trabalho Virtual do Azure.
| Componente | Descrição |
|---|---|
| Gerenciamento de perfis do usuário | O FSLogix e os Arquivos do Azure fornecem uma experiência rápida e completa aos usuários através de perfis de usuários em contêineres. |
| Acesso de host do usuário | Na criação de um pool de host, o tipo de balanceamento de carga é definido como profundidade ou largura. |
| Políticas de dimensionamento e escala de VM | Os componentes de dimensionamento de VM incluem VMs habilitadas para GPU. |
| Políticas de escala | Os pools de host de sessão integrados a conjuntos de escala de máquina virtual do Azure gerenciam um grupo de VMs com carga balanceada. |
| Políticas de rede | O cliente define e atribui Grupos de Segurança de Rede (NSGs) para filtrar o tráfego da rede. |
Credenciais seguras da Área de Trabalho Virtual do Azure
O Azure Virtual Desktop requer integração com o Microsoft Entra ID. Permite a incorporação de capacidades de identidade e acesso do Microsoft Entra ID.
Esta integração com o ID do Microsoft Entra é fundamental num modelo de segurança de Confiança Zero em camadas. O modelo de segurança Confiança Zero remove o conceito de "jardim murado". Este modelo pressupõe que todos os serviços, utilizadores, aplicações e sistemas estão abertos à Internet. Essa abordagem se concentra na construção de autenticação, autorização e criptografia fortes, ao mesmo tempo em que fornece melhor agilidade operacional.
Os processos e componentes de segurança contribuem para esta arquitetura iaaS (identidade como serviço) do Microsoft Entra. Considere:
- Usar políticas estáticas e dinâmicas de Acesso Condicional.
- Usar a autenticação que é aperfeiçoada com autenticação de vários fatores.
- Inscreva-se no Microsoft Defender para Nuvem ou no Microsoft Defender para sua avaliação de vulnerabilidade integrada.
- Usar serviços e políticas de gerenciamento de credenciais fortes.
Os seguintes métodos de balanceamento de carga estão disponíveis na Área de Trabalho Virtual do Azure. O balanceamento de carga em amplitude e em profundidade permitem a personalização das pools de hosts da Área de Trabalho Virtual do Azure para atender às suas necessidades de implantação.
- A amplitude é a configuração padrão que distribui uniformemente as sessões do usuário em todos os hosts de sessão em um pool de hosts. O método de balanceamento de carga permite distribuir conexões de usuário para otimizar para esse cenário. Este método é ideal para organizações que desejam fornecer a melhor experiência para usuários conectados a seu ambiente de trabalho virtual compartilhado.
- A primeira profundidade conecta novas sessões de usuário a um host de várias sessões até atingir o máximo de conexões. Esse método permite que você sature um host de sessão por vez para otimizar cenários de redução. O balanceamento de carga em profundidade geralmente é usado para reduzir custos e permitir um controle mais granular sobre o número de máquinas virtuais alocadas para um pool de hosts.
Vários clientes da Área de Trabalho Remota e os dispositivos de SO dos parceiros mais populares incluem suporte para a Área de Trabalho Virtual do Azure. A Área de Trabalho do Windows e o Cliente do Microsoft Store são dois clientes de Área de Trabalho Remota que incluem esse suporte. Você pode:
- Acesse uma área de trabalho completa em várias sessões do Windows 10 Enterprise, no Windows Server 2012 R2 e versões mais recentes, assim como no Windows 7 Enterprise (área de trabalho completa) para haver compatibilidade com versões anteriores.
- Acesse apenas o aplicativo de um grupo de aplicativos pré-configurado em um pool de hosts. Utilize o ID do Microsoft Entra e os controlos de acesso baseado em funções para fornecer autorização detalhada.
Observação
A Área de Trabalho Virtual do Azure requer os Serviços de Domínio Active Directory (AD DS). Um anfitrião de sessão associado a um domínio do AD DS tira partido das funcionalidades de segurança do Microsoft Entra. Esses recursos incluem acesso condicional, autenticação de vários fatores e Gráfico de Segurança Inteligente.