Considerações sobre segurança e gestão de identidades e acessos (IAM) para cargas de trabalho do Azure Virtual Desktop
Este artigo aborda a área de design de segurança e IAM de uma carga de trabalho do Azure Virtual Desktop. O Azure Virtual Desktop é um serviço gerido que fornece um plano de controlo da Microsoft para a sua infraestrutura de ambiente de trabalho virtual. O Azure Virtual Desktop utiliza o controlo de acesso baseado em funções (RBAC) do Azure para controlar identidades e gerir o acesso. Enquanto proprietário da carga de trabalho, também pode aplicar outros princípios de Confiança Zero adequados aos requisitos organizacionais. Os exemplos incluem o princípio verificar explicitamente e o princípio de acesso com menos privilégios .
Importante
Este artigo faz parte da série de cargas de trabalho do Azure Well-Architected Framework do Azure Virtual Desktop . Se não estiver familiarizado com esta série, recomendamos que comece com O que é uma carga de trabalho do Azure Virtual Desktop?.
Utilizar RBAC
Impacto: Segurança, Excelência Operacional
O RBAC suporta a separação de deveres para as várias equipas e indivíduos que gerem a implementação do Azure Virtual Desktop. Como parte da estrutura da zona de destino, tem de decidir quem assume as várias funções. Em seguida, tem de criar um grupo de segurança para cada função para simplificar a adição e remoção de utilizadores de e para funções.
O Azure Virtual Desktop fornece funções personalizadas do Azure concebidas para cada área funcional. Para obter informações sobre como estas funções são configuradas, veja Funções incorporadas para o Azure Virtual Desktop. Também pode criar e definir funções personalizadas do Azure como parte do Cloud Adoption Framework para a implementação do Azure. Poderá ter de combinar funções RBAC específicas do Azure Virtual Desktop com outras funções RBAC do Azure. Esta abordagem fornece o conjunto completo de permissões de que os utilizadores precisam para o Azure Virtual Desktop e para outros serviços do Azure, como máquinas virtuais (VMs) e redes.
Recomendações
- Definir funções para as equipas e indivíduos que gerem implementações do Azure Virtual Desktop.
- Defina funções incorporadas do Azure para separar as responsabilidades de gestão dos conjuntos de anfitriões, grupos de aplicações e áreas de trabalho.
- Crie um grupo de segurança para cada função.
Melhorar a segurança dos anfitriões de sessão
Impacto: Segurança
O Azure Virtual Desktop utiliza o Protocolo RDP (Remote Desktop Protocol) para comunicação entre o servidor de terminal ou os anfitriões de sessão e o cliente do utilizador final.
O RDP é um protocolo multicanal que pode permitir e negar canais virtuais separados que transportam as seguintes informações:
- Dados da apresentação
- Comunicações de dispositivos em série
- Informações de licenciamento
- Dados altamente encriptados, como a atividade do teclado e do rato
Para melhorar a segurança, pode configurar as propriedades RDP da ligação centralmente no Azure Virtual Desktop.
Recomendações
- Restrinja o acesso ao Explorador do Windows ao ocultar mapeamentos de unidades locais e remotas. Esta estratégia impede os utilizadores de detetarem informações confidenciais sobre as configurações do sistema e os utilizadores.
- Impedir a execução de software indesejado em anfitriões de sessão. Pode ativar o AppLocker para obter segurança adicional nos anfitriões de sessão. Esta funcionalidade ajuda a garantir que apenas as aplicações que especificar podem ser executadas no anfitrião.
- Utilize a proteção de captura de ecrã e a marca d'água para ajudar a impedir que informações confidenciais sejam capturadas em pontos finais do cliente. Quando ativa a proteção de captura de ecrã, o conteúdo remoto é automaticamente bloqueado ou oculto em capturas de ecrã e partilha de ecrã. O cliente de Ambiente de Trabalho Remoto também oculta conteúdo de software malicioso que captura o ecrã.
- Utilize Microsoft Defender Antivírus para ajudar a proteger as suas VMs. Para obter mais informações, veja Configure Microsoft Defender Antivirus on a remote desktop or virtual desktop infrastructure environment (Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual).
- Ative Windows Defender Controlo de Aplicações. Defina políticas para os seus controladores e aplicações, quer confie ou não nos mesmos.
- Termine a sessão dos utilizadores quando estiverem inativos para preservar recursos e impedir o acesso não autorizado. Para obter mais informações, veja Estabelecer o máximo de políticas de tempo inativo e de desligamento.
- Ative Microsoft Defender para a Cloud para a gestão da postura de segurança da cloud (CSPM). Para obter mais informações, veja Integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes no Microsoft 365 Defender.
Considerações de conceção para as equipas centrais de plataforma, identidade e rede
Impacto: Segurança
A identidade é um princípio de design fundamental para o Azure Virtual Desktop. A identidade também é uma área de design fundamental que deve tratar como uma preocupação de primeira classe no seu processo de arquitetura.
Design de identidade para o Azure Virtual Desktop
O Azure Virtual Desktop suporta diferentes tipos de identidades para aceder a aplicações e recursos empresariais. Como proprietário da carga de trabalho, pode selecionar entre vários tipos de fornecedores de identidade de acordo com as suas necessidades empresariais e organizacionais. Reveja as áreas de design de identidade nesta secção para avaliar o que é melhor para a sua carga de trabalho.
| Design de identidade | Resumo |
|---|---|
| identidade do Active Directory Domain Services (AD DS) | Os utilizadores têm de ser detetáveis através de Microsoft Entra ID para aceder ao Azure Virtual Desktop. Como resultado, as identidades de utilizador que existem apenas no AD DS não são suportadas. As implementações autónomas do Active Directory com Serviços de Federação do Active Directory (AD FS) (AD FS) também não são suportadas. |
| Identidade híbrida | O Azure Virtual Desktop suporta identidades híbridas através de Microsoft Entra ID, incluindo identidades federadas com o AD FS. Pode gerir estas identidades de utilizador no AD DS e sincronizá-las para Microsoft Entra ID com o Microsoft Entra Connect. Também pode utilizar Microsoft Entra ID para gerir estas identidades e sincronizá-las com o AD DS. |
| Identidade apenas na cloud | O Azure Virtual Desktop suporta identidades apenas na cloud quando utiliza VMs associadas com Microsoft Entra ID. Estes utilizadores são criados e geridos diretamente no Microsoft Entra ID. |
Importante
O Azure Virtual Desktop não suporta contas empresariais, contas Microsoft ou identidades externas.
Para obter mais informações sobre como selecionar e implementar uma estratégia de identidade e autenticação, veja Supported identities and authentication methods (Identidades suportadas e métodos de autenticação).
Recomendações
- Crie uma conta de utilizador dedicada com menos privilégios. Quando implementar anfitriões de sessão, utilize esta conta para associar os anfitriões de sessão a um domínio do Microsoft Entra Domain Services ou do AD DS.
- Exigir autenticação multifator. Para melhorar a segurança de toda a implementação, imponha a autenticação multifator para todos os utilizadores e administradores no Azure Virtual Desktop. Para saber mais, veja Enforce Microsoft Entra ID multifactor authentication for Azure Virtual Desktop using Conditional Access (Impor a autenticação multifator de ID do Microsoft Entra para o Azure Virtual Desktop com o Acesso Condicional).
- Ative o Acesso Condicional Microsoft Entra ID. Quando utiliza o Acesso Condicional, pode gerir os riscos antes de conceder aos utilizadores acesso ao seu ambiente do Azure Virtual Desktop. No processo de decidir a que utilizadores devem conceder acesso, também deve considerar quem é cada utilizador, como iniciam sessão e a que dispositivo estão a utilizar.
Estrutura de rede segura para o Azure Virtual Desktop
Sem medidas de segurança de rede implementadas, os atacantes podem obter acesso aos seus recursos. Para proteger os seus recursos, é importante colocar controlos no tráfego de rede. Os controlos de segurança de rede adequados podem ajudá-lo a detetar e parar os atacantes que entram nas suas implementações na cloud.
Recomendações
- Utilize uma arquitetura hub-spoke. É fundamental diferenciar entre serviços partilhados e serviços de aplicações do Azure Virtual Desktop. Uma arquitetura hub-spoke é uma boa abordagem à segurança. Deve manter os recursos específicos da carga de trabalho na sua própria rede virtual separados dos serviços partilhados no hub. Exemplos de serviços partilhados incluem serviços de gestão e sistema de nomes de domínio (DNS).
- Utilizar grupos de segurança de rede. Pode utilizar grupos de segurança de rede para filtrar o tráfego de rede de e para a carga de trabalho do Azure Virtual Desktop. As etiquetas de serviço e as regras do grupo de segurança de rede fornecem uma forma de permitir ou negar o acesso à sua aplicação do Azure Virtual Desktop. Por exemplo, pode permitir o acesso às portas da aplicação do Azure Virtual Desktop a partir de intervalos de endereços IP no local e pode negar o acesso a partir da Internet pública. Para obter mais informações, veja Grupos de segurança de rede. Para implementar o Azure Virtual Desktop e disponibilizá-lo aos seus utilizadores, tem de permitir URLs específicos aos quais as VMs do anfitrião da sessão podem aceder em qualquer altura. Para obter uma lista destes URLs, veja URLs necessários para o Azure Virtual Desktop.
- Isole os conjuntos de anfitriões ao colocar cada conjunto de anfitriões numa rede virtual separada. Utilize grupos de segurança de rede com os URLs necessários para cada sub-rede do Azure Virtual Desktop.
- Impor segurança de rede e aplicações. Os controlos de segurança de rede e de aplicação são medidas de segurança de linha de base para cada carga de trabalho do Azure Virtual Desktop. A rede e a aplicação do anfitrião de sessões do Azure Virtual Desktop requerem rigorosos controlos de linha de base e revisão de segurança.
- Evite o acesso RDP direto aos anfitriões de sessão no seu ambiente ao desativar ou bloquear a porta RDP. Se precisar de acesso RDP direto para fins administrativos ou resolução de problemas, utilize o Azure Bastion para ligar a anfitriões de sessão.
- Utilize Azure Private Link com o Azure Virtual Desktop para manter o tráfego na rede da Microsoft e ajudar a melhorar a segurança. Quando cria um ponto final privado, o tráfego entre a rede virtual e o serviço permanece na rede da Microsoft. Já não precisa de expor o seu serviço à Internet pública. Também pode utilizar uma rede privada virtual (VPN) ou o Azure ExpressRoute para que os utilizadores com um cliente de Ambiente de Trabalho Remoto possam ligar-se à sua rede virtual.
- Utilize Azure Firewall para ajudar a proteger o Azure Virtual Desktop. Os anfitriões de sessões do Azure Virtual Desktop são executados na sua rede virtual e estão sujeitos aos controlos de segurança de rede virtual. Se as suas aplicações ou utilizadores precisarem de acesso à Internet de saída, recomendamos que utilize Azure Firewall para ajudar a protegê-los e bloquear o seu ambiente.
Encriptar dados em trânsito
Impacto: Segurança
A encriptação em trânsito aplica-se ao estado dos dados que estão a ser movidos de uma localização para outra. Pode encriptar dados em trânsito de várias formas, consoante a natureza da ligação. Para obter mais informações, veja Encriptação de dados em trânsito.
O Azure Virtual Desktop utiliza a versão 1.2 do Transport Layer Security (TLS) para todas as ligações iniciadas a partir de clientes e anfitriões de sessão para os componentes de infraestrutura do Azure Virtual Desktop. O Azure Virtual Desktop utiliza as mesmas cifras TLS 1.2 que o Azure Front Door. É importante garantir que os computadores cliente e os anfitriões de sessão podem utilizar estas cifras. Para o transporte de ligação inversa, o cliente e o anfitrião de sessão ligam-se ao gateway do Azure Virtual Desktop. Em seguida, o cliente e o anfitrião de sessão estabelecem uma ligação TCP (Transmission Control Protocol). Em seguida, o cliente e o anfitrião de sessão validam o certificado de gateway do Azure Virtual Desktop. O RDP é utilizado para estabelecer o transporte base. Em seguida, o RDP estabelece uma ligação TLS aninhada entre o cliente e o anfitrião de sessão com os certificados de anfitrião de sessão.
Para obter mais informações sobre a conectividade de rede, veja Compreender a conectividade de rede do Azure Virtual Desktop.
Recomendações
- Compreender como o Azure Virtual Desktop encripta dados em trânsito.
- Certifique-se de que os computadores cliente e os anfitriões de sessão podem utilizar as cifras TLS 1.2 que o Azure Front Door utiliza.
Utilizar computação confidencial para encriptar dados em utilização
Impacto: Segurança, Eficiência de Desempenho
Utilize a computação confidencial para proteger os dados em utilização quando opera em setores regulados, como administração pública, serviços financeiros e institutos de saúde.
Pode utilizar VMs confidenciais para o Azure Virtual Desktop. As VMs confidenciais aumentam a privacidade e segurança dos dados ao proteger os dados em utilização. As séries de VMs confidenciais do Azure DCasv5 e ECasv5 fornecem um ambiente de execução fidedigno (TEE) baseado em hardware. Este ambiente inclui funcionalidades de segurança de Encriptação Encriptada Segura Virtualization-Secure (SEV-SNP) de Micro Dispositivos Avançados (AMD). Estas funcionalidades endurecem as proteções de convidados para negar o acesso ao hipervisor e a outros códigos de gestão de anfitriões à memória e ao estado da VM. Também ajudam a proteger contra o acesso do operador e encriptam os dados em utilização.
As VMs confidenciais fornecem suporte para as versões 22H1, 22H2 e versões futuras do Windows 11. O suporte de VM confidencial para Windows 10 está planeado. A encriptação confidencial do disco do sistema operativo está disponível para VMs confidenciais. Além disso, a monitorização da integridade está disponível durante o aprovisionamento do conjunto de anfitriões do Azure Virtual Desktop para VMs confidenciais.
Para obter mais informações, veja os seguintes recursos:
Recomendações
- Utilize a computação confidencial para proteger os dados em utilização.
- Utilize as séries de VMs confidenciais do Azure DCasv5 e ECasv5 para criar um TEE baseado em hardware.
Recursos de segurança relacionados do Azure Virtual Desktop
Passos seguintes
Agora que analisou as melhores práticas para proteger o Azure Virtual Desktop, investigue os procedimentos de gestão operacional para alcançar a excelência empresarial.
Utilize a ferramenta de avaliação para avaliar as suas escolhas de estrutura.