Tillämpa Nolltillit principer på en Azure Virtual Desktop-distribution

Den här artikeln innehåller steg för att tillämpa principerna för Nolltillit på en Azure Virtual Desktop-distribution på följande sätt:

Nolltillit princip	Definition	Uppfylld av
Verifiera explicit	Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter.	Verifiera identiteter och slutpunkter för Azure Virtual Desktop-användare och säker åtkomst till sessionsvärdar.
Använd minst privilegierad åtkomst	Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.	Begränsa åtkomsten till sessionsvärdar och deras data. Lagring: Skydda data i alla tre lägena: vilande data, data under överföring, data som används. Virtuella nätverk (VNets): Ange tillåtna nätverkstrafikflöden mellan virtuella hubbar och ekernätverk med Azure Firewall. Virtuella datorer: Använd rollbaserad åtkomstkontroll (RBAC).
Anta intrång	Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.	Isolera komponenterna i en Azure Virtual Desktop-distribution. Lagring: Använd Defender för Lagring för automatisk hotidentifiering och skydd. Virtuella nätverk: Förhindra trafikflöden mellan arbetsbelastningar med Azure Firewall. Virtuella datorer: Använd dubbel kryptering för kryptering från slutpunkt till slutpunkt, aktivera kryptering på värden, säkert underhåll för virtuella datorer och Microsoft Defender för servrar för hotidentifiering. Azure Virtual Desktop: Använd säkerhets-, styrnings-, hanterings- och övervakningsfunktioner i Azure Virtual Desktop för att förbättra skyddet och samla in sessionsvärdanalyser.

Mer information om hur du tillämpar principerna för Nolltillit i en Azure IaaS-miljö finns i översikten Tillämpa Nolltillit principer på Azure IaaS.

Referensarkitektur

I den här artikeln använder vi följande referensarkitektur för Hub and Spoke för att demonstrera en vanlig distribuerad miljö och hur du tillämpar principerna för Nolltillit för Azure Virtual Desktop med användarnas åtkomst via Internet. Azure Virtual WAN-arkitektur stöds också utöver privat åtkomst via ett hanterat nätverk med RDP Shortpath för Azure Virtual Desktop.

Azure-miljön för Azure Virtual Desktop innehåller:

Komponent	beskrivning
A	Användarprofiler för Azure Storage Services för Azure Virtual Desktop.
F	Ett VNet för anslutningshubben.
C	Ett virtuellt ekernätverk med Azure Virtual Desktop-session som värd för virtuella datorbaserade arbetsbelastningar.
D	Ett Azure Virtual Desktop-kontrollplan.
E	Ett Azure Virtual Desktop-hanteringsplan.
F	Beroende PaaS-tjänster, inklusive Microsoft Entra-ID, Microsoft Defender för molnet, rollbaserad åtkomstkontroll (RBAC) och Azure Monitor.
G	Azure Compute Gallery.

Användare eller administratörer som har åtkomst till Azure-miljön kan komma från Internet, kontorsplatser eller lokala datacenter.

Referensarkitekturen överensstämmer med arkitekturen som beskrivs i landningszonen I företagsskala för Azure Virtual Desktop Cloud Adoption Framework.

Logisk arkitektur

I det här diagrammet finns Azure-infrastrukturen för en Azure Virtual Desktop-distribution i en Microsoft Entra-ID-klientorganisation.

Elementen i den logiska arkitekturen är:

• Azure-prenumeration för azure virtual desktop

  Du kan distribuera resurserna i mer än en prenumeration, där varje prenumeration kan ha olika roller, till exempel nätverksprenumeration eller säkerhetsprenumeration. Detta beskrivs i Cloud Adoption Framework och Azure Landing Zone. De olika prenumerationerna kan också innehålla olika miljöer, till exempel produktions-, utvecklings- och testmiljöer. Det beror på hur du vill separera din miljö och hur många resurser du har i var och en. En eller flera prenumerationer kan hanteras tillsammans med hjälp av en hanteringsgrupp. Detta ger dig möjlighet att tillämpa behörigheter med RBAC- och Azure-principer på en grupp med prenumerationer i stället för att konfigurera varje prenumeration individuellt.

• Azure Virtual Desktop-resursgrupp

  En Azure Virtual Desktop-resursgrupp isolerar Key Vaults, Azure Virtual Desktop-tjänstobjekt och privata slutpunkter.

• Lagringsresursgrupp

  En lagringsresursgrupp isolerar privata Slutpunkter och datauppsättningar för Azure Files-tjänsten.

• Resursgrupp för sessionsvärd för virtuella datorer

  En dedikerad resursgrupp isolerar de virtuella datorerna för sina sessionsvärdar virtuella datorer, diskkrypteringsuppsättningar och en programsäkerhetsgrupp.

• Eker-VNet-resursgrupp

  En dedikerad resursgrupp isolerar de virtuella ekerresurserna och en nätverkssäkerhetsgrupp, som nätverksspecialister i din organisation kan hantera.

Vad finns i den här artikeln?

Den här artikeln går igenom stegen för att tillämpa principerna för Nolltillit i referensarkitekturen för Azure Virtual Desktop.

Steg	Aktivitet	Nolltillit principer som tillämpas
1	Skydda dina identiteter med Nolltillit.	Verifiera explicit
2	Skydda dina slutpunkter med Nolltillit.	Verifiera explicit
3	Tillämpa Nolltillit principer på Azure Virtual Desktop-lagringsresurser.	Verifiera explicit Använd minst privilegierad åtkomst Anta intrång
4	Tillämpa Nolltillit principer på virtuella hubb- och ekernätverk i Azure Virtual Desktop.	Verifiera explicit Använd minst privilegierad åtkomst Anta intrång
5	Tillämpa Nolltillit principer på Azure Virtual Desktop-sessionsvärden.	Verifiera explicit Använd minst privilegierad åtkomst Anta intrång
6	Distribuera säkerhet, styrning och efterlevnad till Azure Virtual Desktop.	Anta intrång
7	Distribuera säker hantering och övervakning till Azure Virtual Desktop.	Anta intrång

Steg 1: Skydda dina identiteter med Nolltillit

Så här tillämpar du Nolltillit principer på de identiteter som används i Azure Virtual Desktop:

• Azure Virtual Desktop stöder olika typer av identiteter. Använd informationen i Skydda identitet med Nolltillit för att säkerställa att dina valda identitetstyper följer Nolltillit principer.
• Skapa ett dedikerat användarkonto med minst behörighet att ansluta sessionsvärdar till en Microsoft Entra Domain Services- eller AD DS-domän under distributionen av sessionsvärden.

Steg 2: Skydda dina slutpunkter med Nolltillit

Slutpunkter är de enheter genom vilka användare får åtkomst till Azure Virtual Desktop-miljön och sessionsvärd för virtuella datorer. Använd anvisningarna i översikten över slutpunktsintegrering och använd Microsoft Defender för Endpoint och Microsoft Endpoint Manager för att se till att dina slutpunkter följer dina säkerhets- och efterlevnadskrav.

Steg 3: Tillämpa Nolltillit principer på Azure Virtual Desktop-lagringsresurser

Implementera stegen i Tillämpa Nolltillit principer på Lagring i Azure för de lagringsresurser som används i din Azure Virtual Desktop-distribution. Dessa steg säkerställer att du:

• Skydda dina Azure Virtual Desktop-data i vila, under överföring och i bruk.
• Verifiera användare och kontrollera åtkomsten till lagringsdata med minsta möjliga behörighet.
• Implementera privata slutpunkter för lagringskonton.
• Logiskt avgränsa kritiska data med nätverkskontroller. Till exempel separata lagringskonton för olika värdpooler och andra syften, till exempel med MSIX-appens bifoga filresurser.
• Använd Defender för Storage för automatiserat skydd mot hot.

Kommentar

I vissa utföranden är Azure NetApp-filer den lagringstjänst som du väljer för FSLogix-profiler för Azure Virtual Desktop via en SMB-resurs. Azure NetApp Files innehåller inbyggda säkerhetsfunktioner som innehåller delegerade undernät och säkerhetsmått.

Steg 4: Tillämpa Nolltillit principer på virtuella hubb- och ekernätverk i Azure Virtual Desktop

Ett virtuellt navnätverk är en central anslutningspunkt för flera virtuella ekernätverk. Implementera stegen i Tillämpa Nolltillit principer på ett virtuellt hubbnätverk i Azure för det virtuella hubbnätverket som används för att filtrera utgående trafik från dina sessionsvärdar.

Ett virtuellt ekernätverk isolerar Azure Virtual Desktop-arbetsbelastningen och innehåller sessionsvärdens virtuella datorer. Implementera stegen i Tillämpa Nolltillit principer på virtuella ekernätverk i Azure för det virtuella ekernätverket som innehåller sessionsvärden/de virtuella datorerna.

Isolera olika värdpooler på separata virtuella nätverk med hjälp av NSG med den url som krävs för Azure Virtual Desktop för varje undernät. När du distribuerar de privata slutpunkterna placerar du dem i lämpligt undernät i det virtuella nätverket baserat på deras roll.

Azure Firewall eller en nva-brandvägg (network virtual appliance) kan användas för att styra och begränsa utgående trafik för Azure Virtual Desktop-sessionsvärdar. Använd anvisningarna här för Azure Firewall för att skydda sessionsvärdar. Tvinga trafiken genom brandväggen med användardefinierade vägar (UDR) länkade till värdpoolens undernät. Granska den fullständiga listan över nödvändiga Azure Virtual Desktop-URL:er för att konfigurera brandväggen. Azure Firewall tillhandahåller en FQDN-tagg för Azure Virtual Desktop för att förenkla den här konfigurationen.

Steg 5: Tillämpa Nolltillit principer på Azure Virtual Desktop-sessionsvärdar

Sessionsvärdar är virtuella datorer som körs i ett virtuellt ekernätverk. Implementera stegen i Tillämpa Nolltillit principer på virtuella datorer i Azure för de virtuella datorer som skapas för dina sessionsvärdar.

Värdpooler bör ha avgränsade organisationsenheter (OUs) om de hanteras av grupprinciper på Active Directory-domän Services (AD DS).

Microsoft Defender för Endpoint är en säkerhetsplattform för företagsslutpunkter som är utformad för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och svara på avancerade hot. Du kan använda Microsoft Defender för Endpoint för sessionsvärdar. Mer information finns i VDI-enheter (Virtual Desktop Infrastructure).

Steg 6: Distribuera säkerhet, styrning och efterlevnad till Azure Virtual Desktop

Med Azure Virtual Desktop-tjänsten kan du använda Azure Private Link för att privat ansluta till dina resurser genom att skapa privata slutpunkter.

Azure Virtual Desktop har inbyggda avancerade säkerhetsfunktioner för att skydda sessionsvärdar. Se dock följande artiklar för att förbättra säkerhetsförsvaret för din Azure Virtual Desktop-miljö och sessionsvärdar:

• Metodtips för Azure Virtual Desktop-säkerhet
• Azure-säkerhetsbaslinje för Azure Virtual Desktop

Se dessutom viktiga designöverväganden och rekommendationer för säkerhet, styrning och efterlevnad i Azure Virtual Desktop-landningszoner i enlighet med Microsofts Cloud Adoption Framework.

Steg 7: Distribuera säker hantering och övervakning till Azure Virtual Desktop

Hantering och kontinuerlig övervakning är viktiga för att säkerställa att din Azure Virtual Desktop-miljö inte ägnar sig åt skadligt beteende. Använd Azure Virtual Desktop Insights för att logga data och rapportera diagnostik- och användningsdata.

Se följande ytterligare artiklar:

• Granska rekommendationer från Azure Advisor för Azure Virtual Desktop.
• Använd Microsoft Intune för detaljerad principhantering.
• Granska och ange RDP-egenskaper för detaljerade inställningar på värdpoolsnivå.

Rekommenderad utbildning

Skydda en Azure Virtual Desktop-distribution

Utbildning	Skydda en Azure Virtual Desktop-distribution
	Lär dig mer om Microsofts säkerhetsfunktioner som hjälper dig att skydda dina program och data i distributionen av Microsoft Azure Virtual Desktop.

Starta >

Skydda din Azure Virtual Desktop-distribution med hjälp av Azure

Utbildning	Skydda din Azure Virtual Desktop-distribution med hjälp av Azure
	Distribuera Azure Firewall, dirigera all nätverkstrafik via Azure Firewall och konfigurera regler. Dirigera den utgående nätverkstrafiken från Azure Virtual Desktop-värdpoolen till tjänsten via Azure Firewall.

Starta >

Hantera åtkomst och säkerhet för Azure Virtual Desktop

Utbildning	Hantera åtkomst och säkerhet för Azure Virtual Desktop
	Lär dig hur du planerar och implementerar Azure-roller för Azure Virtual Desktop och implementerar principer för villkorlig åtkomst för fjärranslutningar. Den här utbildningsvägen överensstämmer med exam AZ-140: Konfigurera och använda Microsoft Azure Virtual Desktop.

Starta >

Design för användaridentiteter och profiler

Utbildning	Design för användaridentiteter och profiler
	Användarna behöver åtkomst till dessa program både lokalt och i molnet. Du använder fjärrskrivbordsklienten för Windows Desktop för att få fjärråtkomst till Windows-appar och skrivbord från en annan Windows-enhet.

Starta >

Mer utbildning om säkerhet i Azure finns i dessa resurser i Microsoft-katalogen:
Säkerhet i Azure

Nästa steg

Se de här ytterligare artiklarna om hur du tillämpar Nolltillit principer på Azure:

• Översikt över Azure IaaS
  • Azure Storage
  • Virtuella datorer
  • Virtuella ekernätverk
  • Virtuella ekernätverk med Azure PaaS-tjänster
  • Virtuella hubbnätverk
• Azure Virtual WAN
• IaaS-program i Amazon Web Services
• Microsoft Sentinel och Microsoft Defender XDR

Tekniska illustrationer

Du kan ladda ned illustrationerna som används i den här artikeln. Använd Visio-filen för att ändra dessa illustrationer för eget bruk.

PDF | Visio

Klicka här om du vill ha fler tekniska illustrationer.

Referenser

Se länkarna nedan för att lära dig mer om de olika tjänster och tekniker som nämns i den här artikeln.

• Vad är Azure – Microsoft Cloud Services
• Azure Infrastructure as a Service (IaaS)
• Virtuella datorer (VM) för Linux och Windows
• Introduktion till Azure Storage – Molnlagring i Azure
• Azure Virtual Network
• Introduktion till säkerhet i Azure
• Nolltillit implementeringsvägledning
• Översikt över Microsofts benchmark för molnsäkerhet
• Översikt över säkerhetsbaslinjer för Azure
• Skapa det första försvarsskiktet med Azure Security Services – Azure Architecture Center
• Referensarkitekturer för Microsoft Cybersecurity – säkerhetsdokumentation