Aplicar princípios de Zero Confiança a uma implantação da Área de Trabalho Virtual do Azure

  • 4 minutos

Esta unidade percorre as etapas para aplicar os princípios do Zero Trust na arquitetura de referência da Área de Trabalho Virtual do Azure.

Passo 1: Proteja as suas identidades com o Zero Trust

Para aplicar os princípios de Zero Trust às identidades usadas na Área de Trabalho Virtual do Azure:

  • A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades. Use as informações em Protegendo a identidade com Zero Trust para garantir que os tipos de identidade escolhidos sigam os princípios da Zero Trust.
  • Crie uma conta de usuário dedicada com menos privilégios para ingressar hosts de sessão em um domínio dos Serviços de Domínio Microsoft Entra ou AD DS durante a implantação do host de sessão.

Passo 2: Proteja os seus endpoints com Zero Trust

Os pontos de extremidade são os dispositivos através dos quais os usuários acessam o ambiente de Área de Trabalho Virtual do Azure e as máquinas virtuais de host de sessão. Use as instruções na visão geral da integração do Endpoint e use o Microsoft Defender for Endpoint e o Microsoft Endpoint Manager para garantir que seus endpoints cumpram seus requisitos de segurança e conformidade.

Etapa 3: Aplicar os princípios de Zero Confiança aos recursos de armazenamento da Área de Trabalho Virtual do Azure

Implemente as etapas em Aplicar princípios de Zero Confiança ao Armazenamento no Azure para os recursos de armazenamento que estão sendo usados em sua implantação da Área de Trabalho Virtual do Azure. Estas etapas garantem que você:

  • Proteja seus dados da Área de Trabalho Virtual do Azure em repouso, em trânsito e em uso.
  • Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios.
  • Implemente pontos de extremidade privados para contas de armazenamento.
  • Separe logicamente os dados críticos com os controles de rede. Como contas de armazenamento separadas para pools de hosts diferentes e outras finalidades, como compartilhamentos de arquivos anexados por aplicativos MSIX.
  • Use o Defender for Storage para proteção automatizada contra ameaças.

Etapa 4: Aplicar os princípios de Zero Trust às VNets de Área de Trabalho Virtual do Azure hub e spoke

Uma VNet de hub é um ponto central de conectividade para redes virtuais de raios múltiplos. Implemente as etapas em Aplicar princípios de Confiança Zero a uma rede virtual de hub no Azure para a VNet de hub que está sendo usada para filtrar o tráfego de saída de seus hosts de sessão.

Uma VNet spoke isola a carga de trabalho da Área de Trabalho Virtual do Azure e contém as máquinas virtuais do host de sessão. Implemente as etapas em Aplicar princípios de Zero Confiança à rede virtual spoke no Azure para a VNet spoke que contém o host da sessão/máquinas virtuais.

Isolar pools de hosts diferentes em VNets separadas usando NSG com a URL necessária para a Área de Trabalho Virtual do Azure para cada sub-rede. Ao implantar os pontos de extremidade privados, coloque-os na sub-rede apropriada na VNet com base em sua função.

O Firewall do Azure ou um firewall de dispositivo virtual de rede (NVA) pode ser usado para controlar e restringir o tráfego de saída dos hosts de sessão da Área de Trabalho Virtual do Azure. Use as instruções aqui para o Firewall do Azure para proteger hosts de sessão. Força o tráfego através do firewall com UDRs (User-Defined Routes) vinculados à sub-rede do pool de hosts. Reveja a lista completa de URLs de Ambiente de Trabalho Virtual do Azure necessárias para configurar a firewall. O Firewall do Azure fornece uma marca FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração.

Etapa 5: Aplicar os princípios de Zero Confiança aos hosts de sessão da Área de Trabalho Virtual do Azure

Os hosts de sessão são máquinas virtuais que são executadas dentro de uma VNet falada. Implemente as etapas em Aplicar princípios de Confiança Zero a máquinas virtuais no Azure para as máquinas virtuais que estão sendo criadas para seus hosts de sessão.

Os pools de hosts devem ter unidades organizacionais (OUs) separadas se gerenciadas por diretivas de grupo nos Serviços de Domínio Ative Directory (AD DS).

O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas. Você pode usar o Microsoft Defender for Endpoint para hosts de sessão. Para obter mais informações, consulte Dispositivos VDI (infraestrutura de área de trabalho virtual).

Etapa 6: Implantar segurança, governança e conformidade com a Área de Trabalho Virtual do Azure

O serviço de Área de Trabalho Virtual do Azure permite que você use o Azure Private Link para se conectar de forma privada aos seus recursos criando pontos de extremidade privados.

O Ambiente de Trabalho Virtual do Azure tem funcionalidades de segurança avançadas incorporadas para proteger anfitriões de sessão. No entanto, consulte os seguintes artigos para melhorar as defesas de segurança do seu ambiente de Área de Trabalho Virtual do Azure e hosts de sessão:

Além disso, consulte as principais considerações e recomendações de design para segurança, governança e conformidade nas zonas de aterrissagem da Área de Trabalho Virtual do Azure de acordo com a Estrutura de Adoção de Nuvem da Microsoft.

Etapa 7: Implantar gerenciamento e monitoramento seguros na Área de Trabalho Virtual do Azure

O gerenciamento e o monitoramento contínuo são importantes para garantir que seu ambiente de Área de Trabalho Virtual do Azure não esteja envolvido em comportamentos mal-intencionados. Use o Azure Virtual Desktop Insights para registrar dados e relatar dados de diagnóstico e uso.

Veja estes artigos adicionais:

  • Analise as recomendações do Azure Advisor para a Área de Trabalho Virtual do Azure.
  • Use o Microsoft Intune para gerenciamento granular de políticas.
  • Revise e defina as Propriedades RDP para configurações granulares em um nível de pool de hosts.