你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全和调控
本文根据 Microsoft 的云采用框架提供有关 Azure 虚拟桌面登陆区域中的安全性、治理和合规性的关键设计注意事项和建议。
查看以下部分以查找为 Azure 虚拟桌面登陆区域建议的安全控制和治理。
标识
通过使用 Microsoft Entra 多重身份验证或合作伙伴多重身份验证工具建立 Microsoft Entra 条件访问策略来保护用户对 Azure 虚拟桌面的访问。 请考虑用户的位置、设备和登录行为,并根据用户的访问模式按需添加额外的控制。 有关为 Azure 虚拟桌面启用 Azure 多重身份验证的详细信息,请参阅 为 Azure 虚拟桌面启用 Azure 多重身份验证。
将定义管理、操作和工程角色所需的最低权限分配给 Azure RBAC 角色。 若要限制对 Azure 虚拟桌面登陆区域中高权限角色的访问,请考虑与 Azure Privileged Identity Management (PIM) 集成。 了解负责每个特定管理区域的团队可帮助你确定 Azure 基于角色的访问控制 (RBAC) 角色和配置。
将 Azure 托管标识或具有证书凭据的服务主体用于 Azure 虚拟桌面的自动化和服务。 将最低权限分配给自动化帐户,范围限制为 Azure 虚拟桌面登录区域。 可以将 Azure Key Vault 与 Azure 托管标识结合使用,使运行时环境(例如 Azure 函数)可以从密钥保管库中检索自动化凭据。
确保为 Microsoft Entra ID 和 Azure 虚拟桌面登陆区域(s)收集用户和管理员活动日志记录。 使用安全信息和事件管理 (SIEM) 工具监视这些日志。 可以从各种源收集日志,例如:
在分配对 Azure 虚拟桌面应用程序组的访问权限时,请使用Microsoft Entra 组,而不是单个用户。 请考虑使用映射到组织内业务功能的现有安全组,这样就可以重复使用现有的用户预配和取消预配过程。
网络
为 Azure 虚拟桌面登陆区域预配或重复使用专用虚拟网络。 规划 IP 地址空间以适应会话主机的规模。 根据每个主机池的会话主机的最小和最大数量建立基线子网大小。 将业务部门要求映射到主机池。
使用网络安全组 (NSG) 和/或 Azure 防火墙(或第三方防火墙设备)建立微分段。 使用 Azure 虚拟网络服务标记和应用程序服务组 (ASG),在为 Azure 虚拟桌面资源配置的网络安全组或 Azure 防火墙上定义网络访问控制。 验证代理(如果在会话主机中使用)和 Azure 防火墙(或第三方防火墙设备)是否绕过会话主机对所需 URL 的传出访问。
根据应用程序和企业分段策略,通过安全组规则或 Azure 防火墙(或第三方防火墙设备)大规模限制会话主机和内部资源之间的流量。
为 Azure 防火墙(或第三方防火墙设备)启用 Azure DDoS 标准保护,用于帮助保护 Azure 虚拟桌面登陆区域。
如果使用代理从会话主机进行出站 Internet 访问:
- 在与 Azure 虚拟桌面会话主机和客户端所在的相同地理位置中配置代理服务器(如果使用的是云代理提供程序)。
- 请勿使用 TLS 检查。 在 Azure 虚拟桌面中,流量默认是在传输过程中加密的。
- 避免需要用户身份验证的代理配置。 会话主机上的 Azure 虚拟桌面组件是在其操作系统的上下文中运行,因此它们不支持需要验证身份的代理服务器。 必须启用系统范围的代理才能在会话主机上配置主机级别代理。
验证最终用户是否有权访问 Azure 虚拟桌面客户端 URL。 如果在用户的设备上使用代理/配置,请确保也绕过 Azure 虚拟桌面客户端 URL。
使用实时访问对会话主机进行管理和故障排除。 避免向会话主机授予直接 RDP 访问权限。 AVD 会话主机使用反向连接传输建立远程会话。
请使用 Microsoft Defender for Cloud 中的自适应网络强化功能,以查找根据外部网络流量规则限制端口和源 IP 的网络安全组配置。
使用 Azure Monitor 或合作伙伴监视解决方案收集 Azure 防火墙(或第三方防火墙设备)日志。 还应使用 Microsoft Sentinel 或类似服务监视 SIEM 的日志。
仅对用于 FSLogix 配置文件容器的 Azure 文件使用专用终结点。
配置 RDP 短路径 以补充反向连接传输。
会话主机
在 Active Directory 中为 Azure 虚拟桌面会话主机创建专用的组织单位 (OU)。 将专用组策略应用于会话主机以管理控制措施,例如:
- 启用屏幕捕获保护,防止在客户端终结点上捕获敏感的屏幕信息。
- 设置最大非活动/断开连接时间策略和屏幕锁定。
- 在 Windows 资源管理器中隐藏本地和远程驱动器映射。
- (可选)FSLogix 配置文件容器和 FSLogix 云缓存的配置参数。
控制会话主机的设备重定向。 通常禁用的设备包括本地硬盘访问以及 USB 或端口限制。 限制相机重定向和远程打印可帮助保护组织的数据。 禁用剪贴板重定向可防止远程内容复制到终结点。
在会话主机上启用下一代防病毒 Endpoint Protection,例如 Microsoft Defender for Endpoint。 如果使用合作伙伴终结点解决方案,请确保 Microsoft Defender for Cloud 能够验证它的状态。 还应包括防病毒排除项 FSLogix 配置文件容器。Microsoft Defender for Endpoint 直接与多个 Microsoft Defender 解决方案集成,包括:
启用威胁和漏洞管理评估。 将 Microsoft Defender for Endpoint 的威胁和漏洞管理解决方案与 Microsoft Defender for Cloud 或第三方漏洞管理解决方案集成。 Microsoft Defender for Cloud 与 Qualys 漏洞评估解决方案本机集成。
通过 Windows Defender 应用程序控制 (WDAC) 或 AppLocker 使用应用程序控制以确保应用程序在执行前可信。 应用程序控制策略还可以阻止未签名的脚本和 MSI,并限制 Windows PowerShell 在受约束的语言模式下运行。
为 Gen2 Azure 虚拟机启用受信任启动,以支持安全启动、vTPM 和基于虚拟化的安全性 (VBS) 等功能。 Microsoft Defender for Cloud 可以监视配置了受信任启动的会话主机。
使用 Windows LAPS 随机化本地管理员密码,以防止传递哈希和横向遍历攻击。
通过事件中心验证会话主机是由 Azure Monitor 还是合作伙伴监控解决方案监视的。
为会话主机建立修补程序管理策略。 Microsoft Endpoint Configuration Manager 使 Azure 虚拟桌面会话主机能够自动接收更新。 每 30 天应至少修补一次基础映像。 请考虑使用 Azure 映像生成器 (AIB) 为 Azure 虚拟桌面基础映像建立你自己的映像管道。
有关 Azure 虚拟桌面会话主机安全性最佳做法的详细信息,请参阅会话主机安全最佳做法。
有关 Azure VM 安全性最佳做法的详细列表,请参阅 Azure 中虚拟机的安全建议。
数据保护
Microsoft Azure 可以加密静态数据以防止它遭到“带外”攻击,例如尝试访问基础存储。 此加密可帮助确保攻击者无法轻易读取或修改数据。 Microsoft 为静态数据启用双重加密的方法包括:
- 使用客户管理的密钥进行磁盘加密。 用户提供自己的密钥用于磁盘加密。 用户可以将他们自己的密钥带到他们的 Key Vault 中(这一做法称为 BYOK - 创建自己的密钥),或在 Azure Key Vault 中生成新密钥来加密所需的资源(包括会话主机磁盘)。
- 使用平台管理的密钥进行基础结构加密。 默认情况下,通过平台管理的加密密钥自动对磁盘进行静态加密。
- VM 主机(VM 分配到的 Azure 服务器)处的加密。 每台虚拟机的临时磁盘和 OS/数据磁盘缓存数据都存储在 VM 主机上。 启用 VM 主机处的加密后,该数据将静态加密,已加密的数据将流向存储服务以持久保存。
部署信息保护解决方案(如Microsoft Purview 信息保护或第三方解决方案),确保敏感信息由组织的技术系统安全地存储、处理和传输。
为了改进 Office 部署安全性,请使用适用于 Microsoft 365 企业应用版的安全策略顾问。 此工具标识可应用于部署以提高安全性的策略,并根据策略对安全性和工作效率的影响来建议策略。
通过本地 Active Directory域服务(AD DS)和Microsoft Entra 域服务为 FSLogix 用户配置文件使用的Azure 文件存储配置基于标识的身份验证。 配置 NTFS 权限,使授权用户可以访问你的 Azure 文件存储。
成本管理
使用 Azure 标记来整理创建、管理和部署 Azure 虚拟桌面资源的成本。 若要确定 Azure 虚拟桌面的相关计算成本,请标记所有主机池和虚拟机。 标记 Azure 文件存储或 Azure NetApp 文件资源以跟踪与 FSLogix 用户配置文件容器、自定义 OS 映像和 MSIX 应用附加(如果使用)关联的存储成本。
定义要在所有 Azure 虚拟桌面资源中设置的最小建议的标记。 可以在部署期间或预配后设置 Azure 标记。 请考虑使用 Azure Policy 内置定义来强制实施标记规则。
在Microsoft成本管理 中设置预算,以主动管理 Azure 使用情况成本。 超出所创建的预算限额时,会触发通知。
创建成本管理警报 ,以监视 Azure 虚拟桌面登陆区域的 Azure 使用情况和支出。
配置连接时启动 VM 功能,使最终用户能够仅在需要时打开他们的 VM,从而节省成本。
通过 Azure 自动化或自动缩放功能(预览版)为共用会话主机部署缩放解决方案
资源一致性
将 Intune 用于 Azure 虚拟桌面个人会话主机以应用现有配置或创建新配置,并通过合规性策略和条件访问保护 VM。 Intune 管理不依赖于同一虚拟机的 Azure 虚拟桌面管理,也不干扰其管理。
借助 Intune 管理多会话会话主机管理,可以在 Intune 管理中心管理 Windows 10 或Windows 11 企业版多会话远程桌面,就像你可以管理共享的 Windows 10 或 Windows 11 客户端设备一样。 管理此类虚拟机(VM)时,可以使用面向设备的基于设备的配置或面向用户的基于用户的配置。
使用 Azure Policy 计算机配置审核和配置会话主机操作系统的强化。 使用 Windows 安全基线来作为保护 Windows 操作系统的起点。
使用 Azure Policy 内置定义为 Azure 虚拟桌面资源(如工作区、应用程序组和主机池)配置诊断设置。
为确保环境内的安全,请首先查看 Azure 虚拟桌面的安全最佳做法。
合规性
几乎所有组织都必须遵守各种政府或行业监管政策。 与合规性团队一起审查此类政策,并对具体的 Azure 虚拟桌面登陆区域进行正确的控制。 例如,如果组织遵循支付卡行业数据安全标准 (PCI DSS) 或 1996 年的健康保险可携性和责任法案 (HIPAA) 等特定政策的框架,则应考虑针对这些政策实施控制措施。
如有必要,请使用 Microsoft Defender for Cloud 将额外的合规性标准应用于 Azure 虚拟桌面登陆区域。 Microsoft Defender for Cloud 通过其监管合规性仪表板帮助你简化满足监管合规性要求的过程。 你可以将内置或自定义的合规性标准添加到仪表板。 可以添加的内置监管标准包括:
- PCI-DSS v3.2.1:2018
- SOC TSP
- NIST SP 800-53 R4
- NIST SP 800 171 R2
- 英国官方和英国 NHS
- 加拿大联邦 PBMM
- Azure CIS 1.1.0
- HIPAA/HITRUST
- SWIFT CSP CSCF v2020
- ISO 27001:2013
- 受限于新西兰 ISM
- CMMC 级别 3
- Azure CIS 1.3.0
- NIST SP 800-53 R5
- FedRAMP H
- FedRAMP M
如果组织受到数据驻留要求的约束,请考虑将 Azure 虚拟桌面资源(工作区、应用程序组和主机池)的部署限制到以下地理位置:
- 美国
- 欧洲
- 英国
- 加拿大
将部署限制到这些地理位置有助于确保 Azure 虚拟桌面元数据存储在 Azure 虚拟桌面资源地理区域中,因为会话主机可以在全球范围内进行部署以适应你的用户群。
使用组策略和设备管理工具(如 Intune 和 Microsoft Endpoint Configuration Manager)为会话主机维护全面的安全合规做法。
在 Microsoft Defender for Cloud 中配置警报和自动响应,确保 Azure 虚拟桌面登陆区域的整体合规性。
查看 Microsoft 安全分数以衡量以下产品的整体组织安全状况:
- Microsoft 365(包括 Exchange Online)
- Microsoft Entra ID
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Identity
- Defender for Cloud Apps
- Microsoft Teams
查看 Microsoft Defender for Cloud 安全分数以提高 Azure 虚拟登陆区域的整体安全合规性。
建议的安全最佳做法和基线
后续步骤
了解 Azure 虚拟桌面企业规模方案的平台自动化和 DevOps。