Aplicar os princípios de confiança zero para uma implantação da área de trabalho virtual do Azure

  • 4 minutos

Essa unidade percorre as etapas para aplicar os princípios de Confiança Zero na arquitetura de referência da Área de Trabalho Virtual do Azure.

Etapa 1: proteger identidades com confiança zero

Para aplicar princípios de confiança zero às identidades usadas na área de trabalho virtual do Azure:

  • A área de trabalho virtual do Azure dá suporte a diferentes tipos de identidades. Use as informações em Proteger a identidade com confiança zero para garantir que os tipos de identidade escolhidos sigam os princípios de confiança zero.
  • Crie uma conta de usuário dedicada com privilégios mínimos para ingressar hosts de sessão em um domínio do Microsoft Entra Domain Services ou do AD DS durante a implantação do host da sessão.

Etapa 2: proteger pontos de extremidade com confiança zero

Os pontos de extremidade são os dispositivos por meio dos quais os usuários acessam o ambiente de área de trabalho virtual do Azure e as máquinas virtuais de host da sessão. Use as instruções na Visão geral da integração de pontos de extremidade e use o Microsoft Defender para Ponto de Extremidade e o Microsoft Endpoint Manager para garantir que seus pontos de extremidade atendam aos requisitos de segurança e conformidade.

Etapa 3: aplicar os princípios de confiança zero aos recursos de armazenamento da área de trabalho virtual do Azure

Implemente as etapas em Aplicar princípios de confiança zero ao armazenamento no Azure para os recursos de armazenamento que estão sendo usados em sua implantação da área de trabalho virtual do Azure. Essas etapas garantem que você:

  • Proteja seus dados inativos, em trânsito e em uso da área de trabalho virtual do Azure.
  • Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios.
  • Implemente pontos de extremidade privados para as contas de armazenamento.
  • Separe logicamente os dados críticos com controles de rede. Como contas de armazenamento separadas para pools de hosts diferentes e outras finalidades, como com compartilhamentos de arquivos com anexação de aplicativo MSIX.
  • Use o Defender para Armazenamento a fim de automatizar a proteção contra ameaças.

Etapa 4: aplicar os princípios de confiança zero a VNets de hub e spoke da área de trabalho virtual do Azure

Uma VNet de hub é um ponto central de conectividade para várias redes virtuais spoke. Implemente as etapas em Aplicar princípios de confiança zero a uma rede virtual de hub no Azure para a VNet de hub que está sendo usada para filtrar o tráfego de saída dos hosts da sessão.

Uma VNet spoke isola a carga de trabalho da área de trabalho virtual do Azure e contém as máquinas virtuais do host da sessão. Implemente as etapas em Aplicar princípios de confiança zero à rede virtual spoke no Azure para a VNet spoke que contém o host da sessão/máquinas virtuais.

Isole pools de hosts diferentes em VNets separadas usando NSG com a URL necessária para a área de trabalho virtual do Azure para cada sub-rede. Ao implantar os pontos de extremidade privados, coloque-os na sub-rede apropriada na VNet com base em sua função.

O Firewall do Azure ou um firewall de solução de virtualização de rede (NVA) pode ser usado para controlar e restringir o tráfego de saída dos hosts da sessão da área de trabalho virtual do Azure. Use as instruções aqui do Firewall do Azure para proteger hosts da sessão. Força o tráfego através do firewall com Rotas definidas pelo usuário (UDRs) vinculadas à sub-rede do pool de host. Verifique a lista completa de URLs da área de trabalho virtual do Azure necessárias para configurar seu firewall. O Firewall do Azure fornece uma marca de FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração.

Etapa 5: aplicar os princípios de confiança zero aos hosts da sessão da área de trabalho virtual do Azure

Os hosts da sessão são máquinas virtuais executadas dentro de uma VNet spoke. Implemente as etapas em Aplicar princípios de confiança zero a máquinas virtuais no Azure para as máquinas virtuais que estão sendo criadas para os hosts da sessão.

Os pools de host devem ter unidades organizacionais (UOs) separadas se forem gerenciados por políticas de grupo nos Active Directory Domain Services (AD DS).

O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. Você pode usar o Microsoft Defender para Ponto de Extremidade para hosts de sessão. Para obter mais informações, confira dispositivos de infraestrutura de área de trabalho virtual (VDI).

Etapa 6: Implantar segurança, governança e conformidade com a Área de Trabalho Virtual do Azure

O serviço de Área de Trabalho Virtual do Azure permite que você use o Link Privado do Azure para se conectar aos seus recursos de forma privada criando pontos de extremidade privados.

A área de trabalho virtual do Azure tem recursos de segurança avançados internos para proteger hosts da sessão. No entanto, consulte os seguintes artigos para melhorar as defesas de segurança do seu ambiente de área de trabalho virtual do Azure e hosts da sessão:

Além disso, veja as principais considerações e recomendações de design para segurança, governança e conformidade nas zonas de destino da área de trabalho virtual do Azure, de acordo com a Cloud Adoption Framework da Microsoft.

Etapa 7: implantar o gerenciamento e o monitoramento seguros na área de trabalho virtual do Azure

O gerenciamento e o monitoramento contínuo são importantes para garantir que seu ambiente de área de trabalho virtual do Azure não esteja envolvido em comportamento mal-intencionado. Use os Insights da área de trabalho virtual do Azure para registrar dados e relatar dados de uso e diagnóstico.

Veja estes artigos adicionais: