Azure 虚拟桌面的安全建议
Azure 虚拟桌面是一种托管虚拟桌面服务,其中包括用于保护组织安全的许多安全功能。 Azure 虚拟桌面的体系结构包含许多组件,构成将用户连接到其桌面和应用的服务。
Azure 虚拟桌面具有许多内置高级安全功能,例如反向连接,该功能无需打开入站网络端口,这可降低允许从任何位置访问远程桌面所涉及的风险。 该服务还受益于 Azure 的许多其他安全功能,例如多重身份验证和条件访问。 本文介绍管理员为确保 Azure 虚拟桌面部署的安全可以采取的步骤,无论是为组织中的用户还是外部用户提供桌面和应用。
共担安全责任
在 Azure 虚拟桌面之前,本地虚拟化解决方案(如远程桌面服务)需要授予用户对网关、代理、Web 访问等角色的访问权限。 这些角色必须是完全冗余的,并能够处理高峰容量。 管理员会将这些角色作为 Windows Server 操作系统的一部分进行安装,并且它们必须加入域,且特定端口可供公共连接访问。 为了保证部署安全,管理员必须不断地确保基础结构中的所有内容保持最新状态。
但在大多数云服务中,Microsoft 与客户或合作伙伴之间存在着一组共担的安全责任。 对于 Azure 虚拟桌面,大多数组件都由 Microsoft 管理,但会话主机和一些支持服务和组件由客户管理或合作伙伴管理。 若要详细了解 Azure 虚拟桌面的 Microsoft 托管组件,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
虽然某些组件已针对你的环境进行了安全配置,但你还需要自行配置其他方面,以满足组织或客户的安全需求。 下面是你在 Azure 虚拟桌面部署中负责其安全性的组件:
| 组件 | 职责 |
|---|---|
| 标识 | 客户或合作伙伴 |
| 用户设备(移动和电脑) | 客户或合作伙伴 |
| 应用安全 | 客户或合作伙伴 |
| 会话主机操作系统 | 客户或合作伙伴 |
| 部署配置 | 客户或合作伙伴 |
| 网络控制措施 | 客户或合作伙伴 |
| 虚拟化控制平面 | Microsoft |
| 物理主机 | Microsoft |
| 物理网络 | Microsoft |
| 物理数据中心 | Microsoft |
安全边界
安全边界利用不同的信任级别分隔安全域的代码和数据。 例如,内核模式和用户模式之间通常存在安全边界。 大多数 Microsoft 软件和服务都依赖于多个安全边界来隔离网络上的设备、虚拟机 (VM) 和设备上的应用程序。 下表列出了 Windows 的每个安全边界以及它们对总体安全性的作用。
| 安全边界 | 描述 |
|---|---|
| 网络边界 | 未经授权的网络终结点无法访问或篡改客户设备上的代码和数据。 |
| 内核边界 | 非管理用户模式进程无法访问或篡改内核代码和数据。 管理员到内核不是安全边界。 |
| 进程边界 | 未经授权的用户模式进程无法访问或篡改其他进程的代码和数据。 |
| AppContainer 沙盒边界 | 基于 AppContainer 的沙盒进程无法访问或篡改基于容器功能的沙盒之外的代码和数据。 |
| 用户边界 | 用户无法在未经授权的情况下访问或篡改其他用户的代码和数据。 |
| 会话边界 | 用户会话无法在未经授权的情况下访问或篡改其他用户会话。 |
| Web 浏览器边界 | 未经授权的网站不能违反同源策略,也不能访问或篡改 Microsoft Edge Web 浏览器沙盒的本机代码和数据。 |
| 虚拟机边界 | 未经授权的 Hyper-V 来宾虚拟机无法访问或篡改其他来宾虚拟机的代码和数据;这包括 Hyper-V 独立容器。 |
| 虚拟安全模式 (VSM) 边界 | 在 VSM 可信进程或 enclave 外部运行的代码无法访问或篡改受信任进程中的数据和代码。 |
针对 Azure 虚拟桌面场景的建议安全边界
还需要根据具体情况对安全边界做出一些选择。 例如,如果组织中的某个用户需要使用本地管理员特权才能安装应用,则你需要为他们提供个人桌面,而不是共享的会话主机。 我们不建议在多会话共用场景中为用户提供本地管理员特权,因为这些用户可以跨越会话或 NTFS 数据权限的安全边界,关闭多会话 VM,或执行可能中断服务或导致数据丢失的其他操作。
同一组织中的用户(例如拥有不需要管理员特权的应用的知识型员工)非常适合使用多会话会话主机(例如 Windows 11 企业版多会话)。 由于多个用户可以共享单个 VM,因此这些会话主机可降低组织成本,仅产生每个用户使用 VM 的开销成本。 通过使用用户配置文件管理产品(如 FSLogix),可以为用户分配主机池中的任何 VM,而不会发现任何服务中断。 借助此功能,还可以通过在非高峰期执行关闭 VM 等操作来优化成本。
如果你的情况要求不同组织的用户连接到你的部署,则建议你为标识服务(如 Active Directory 和 Microsoft Entra ID)使用单独的租户。 还建议让这些用户使用单独的订阅来托管 Azure 资源(如 Azure 虚拟桌面)和 VM。
在许多情况下,使用多会话是一种降低成本的可接受方法,但是否建议这样做取决于同时访问共享多会话实例的用户之间的信任级别。 通常,属于同一组织的用户具有足够且一致同意的信任关系。 例如,员工相互协作并可以访问彼此个人信息的部门或工作组是具有高度信任级别的组织。
Windows 使用安全边界和控件来确保用户进程和数据在会话之间隔离。 但是,Windows 仍然提供对用户正在处理的实例的访问权限。
多会话部署将受益于安全深度策略,该策略增加了更多的安全边界,防止组织内外的用户未经授权访问其他用户的个人信息。 发生未经授权的数据访问是由于系统管理员在配置过程中出错(例如未公开的安全漏洞或尚未修补的已知漏洞)。
我们不建议为效力于不同公司或竞争对手公司的用户授予对同一多会话环境的访问权限。 这些场景具有若干安全边界,这些边界可能会被攻击或滥用,例如网络、内核、进程、用户或会话。 单个安全漏洞可能会导致未经授权的数据和凭据被盗、个人信息泄漏、标识盗用和其他问题。 虚拟化环境提供商负责提供设计良好的系统,这些系统具有多个强大的安全边界,并根据需要启用额外的安全功能。
下表汇总了我们对于每个方案的建议。
| 信任级别方案 | 建议的解决方案 |
|---|---|
| 一个组织中具有标准特权的用户 | 使用 Windows Enterprise 多会话操作系统 (OS)。 |
| 用户需要管理权限 | 使用个人主机池并向每个用户分配其自己的会话主机。 |
| 来自不同组织连接的用户 | 单独的 Azure 租户和 Azure 订阅 |