为 Azure 虚拟桌面部署应用零信任原则

  • 4 分钟

本单元逐步讲解在 Azure 虚拟桌面参考体系结构中应用零信任原则的步骤。

步骤 1:使用零信任保护你的身份

将零信任原则应用于 Azure 虚拟桌面中使用的身份,请执行以下操作:

  • Azure 虚拟桌面支持不同类型的身份使用零信任保护标识中的信息,确保所选标识类型遵循零信任原则。
  • 创建具有最小权限的专用用户帐户,以在会话主机部署期间将会话主机加入 Microsoft Entra 域服务或 AD DS 域。

步骤 2:使用零信任保护你的终结点

终结点是用户访问 Azure 虚拟桌面环境和会话主机虚拟机的设备。 使用终结点集成概述中的说明,并使用 Microsoft Defender for Endpoint 和 Microsoft Endpoint Manager 来确保终结点符合安全性和合规性要求。

步骤 3:将零信任原则应用于 Azure 虚拟桌面存储资源

为 Azure 虚拟桌面部署中使用的存储资源实施“将零信任原则应用于 Azure 中的存储”中的步骤。 这些步骤可以:

  • 保护静态、传输和使用中的 Azure 虚拟桌面数据。
  • 用最少的权限验证用户并控制对存储数据的访问。
  • 为存储帐户实施专用终结点。
  • 逻辑上分离关键数据与网络控制。 例如,用于不同主机池和其他用途(例如,使用 MSIX 应用附加文件共享)的单独存储帐户。
  • 使用 Defender for Storage 实现自动威胁防护。

步骤 4:将零信任原则应用于中心和分支 Azure 虚拟桌面 VNet

中心 VNet 是多个分支虚拟网络的中心连接点。 为用于筛选来自会话主机的出站流量的中心 VNet,实现将零信任原则应用于 Azure 中心虚拟网络的步骤。

分支 VNet 隔离 Azure 虚拟桌面工作负载,并包含会话主机虚拟机。 为包含会话主机/虚拟机的分支 VNet 实现将零信任原则应用于 Azure 分支虚拟网络的步骤。

使用 NSG 在单独的 VNet上隔离不同的主机池,并为每个子网提供 Azure 虚拟桌面所需的 URL。 部署专用终结点时,会根据角色将其放置在 VNet 中的相应子网中。

Azure 防火墙或网络虚拟设备 (NVA) 防火墙可用于控制和限制 Azure 虚拟桌面会话主机的出站流量。 使用此处的 Azure 防火墙说明来保护会话主机。 使用链接到主机池子网的用户定义路由 (UDR) 强制流量通过防火墙。 查看配置防火墙所需的 Azure 虚拟桌面 URL 的完整列表。 Azure 防火墙提供 Azure 虚拟桌面 FQDN 标记以简化该配置。

步骤 5:将零信任原则应用于 Azure 虚拟桌面会话主机

会话主机是在分支 VNet 中运行的虚拟机。 针对为会话主机创建的虚拟机,实现将零信任原则应用于 Azure 中的虚拟机中的步骤。

如果主机池Active Directory 域服务 (AD DS) 上的组策略进行管理,则其应具有单独的组织单位 (OU)。

Microsoft Defender for Endpoint 是一个企业终结点安全平台,专门用于帮助企业网络防御、检测、调查和响应高级威胁。 你可将 Microsoft Defender for Endpoint 用于会话主机。 有关详细信息,请参阅虚拟桌面基础结构 (VDI) 设备

步骤 6:使用 Azure 虚拟桌面部署安全、治理和合规性

使用 Azure 虚拟桌面服务,可以通过创建专用终结点来使用 Azure 专用链接以专用方式连接到资源。

Azure 虚拟桌面具有内置的高级安全功能来保护会话主机。 但是,请参阅以下文章,以提升 Azure 虚拟桌面环境和会话主机的安全防御:

此外,请参阅根据 Microsoft 的云采用框架针对 Azure 虚拟桌面登录区域的安全性、治理和合规性的关键设计注意事项和建议。

步骤 7:将安全管理和监视部署到 Azure 虚拟桌面

管理和持续监视对于保证避免 Azure 虚拟桌面环境发生恶意行为非常重要。 使用 Azure 虚拟桌面见解记录数据并报告诊断和使用情况数据。

请参阅以下其他文章: