安全性和控管
本文根據Microsoft 雲端採用架構,提供 Azure 虛擬桌面登陸區域中安全性、治理和合規性的重要設計考慮和建議。
請檢閱下列各節,以尋找 Azure 虛擬桌面登陸區域的建議安全性控制與控管。
身分識別
使用 Microsoft Entra 多重要素驗證或合作夥伴多重要素驗證工具來建立Microsoft Entra 條件式存取原則,以保護使用者對 Azure 虛擬桌面的存取。 請考慮使用者的位置、裝置和登入行為,並視需要新增 額外的控件 ,以根據其存取模式。 如需為 Azure 虛擬桌面啟用 Azure 多重要素驗證的詳細資訊,請參閱 啟用 Azure 虛擬桌面的 Azure 多重要素驗證。
將系統管理、作業和工程角色定義為 Azure RBAC 角色所需的最低許可權。 若要限制存取 Azure 虛擬桌面登陸區域內的高許可權角色,請考慮與 Azure Privileged Identity Management (PIM) 整合。 維護小組負責每個特定系統管理區域的知識,可協助您判斷 Azure 角色型存取控制 (RBAC) 角色和設定。
使用 Azure 受控識別或服務主體搭配適用於 Azure 虛擬桌面的自動化和服務憑證認證。 將最低許可權指派給自動化帳戶,並限制為 Azure 虛擬桌面登陸區域的範圍。 您可以使用 Azure 金鑰保存庫 搭配 Azure 受控識別,讓運行時間環境(例如 Azure 函式)可以從密鑰保存庫擷取自動化認證。
請確定您收集Microsoft Entra ID 和 Azure 虛擬桌面登陸區域的使用者和系統管理員活動記錄。 使用您的安全性資訊和事件管理 (SIEM) 工具監視這些記錄。 您可以從各種來源收集記錄,例如:
在指派 Azure 虛擬桌面應用程式群組的存取權時,請使用Microsoft Entra 群組,而不是個別使用者。 請考慮使用對應至組織內商務功能的現有安全組,這可讓您重複使用現有的使用者布建和取消布建程式。
網路
為您的 Azure 虛擬桌面登陸區域布建或重複使用專用虛擬網路。 規劃IP位址空間以容納會話主機的規模。 根據每個主機集區的會話主機數目下限和上限,建立基準子網大小。 將您的業務單位需求對應至主機集區。
使用網路安全組(NSG)和/或 Azure 防火牆(或第三方防火牆設備)來建立微分割。 使用 Azure 虛擬網絡 服務標籤和應用程式服務群組 (ASG) 來定義網路安全組的網路存取控制,或為您的 Azure 虛擬桌面資源設定 Azure 防火牆。 確認 Proxy 會略過會話主機對必要 URL 的連出存取權(如果在會話主機內使用)和 Azure 防火牆(或第三方防火牆設備)。
根據您的應用程式和企業分割策略,透過安全組規則或大規模 Azure 防火牆(或第三方防火牆設備)限制會話主機與內部資源之間的流量。
針對 Azure 防火牆(或第三方防火牆設備)啟用 Azure DDoS 標準保護,以協助保護您的 Azure 虛擬桌面登陸區域。
如果您使用 Proxy 從工作階段主機輸出因特網存取:
- 在與 Azure 虛擬桌面工作階段主機和用戶端相同的地理位置中設定 Proxy 伺服器(如果使用雲端 Proxy 提供者)。
- 請勿使用 TLS 檢查。 在 Azure 虛擬桌面中,流量預設會在 傳輸 中加密。
- 避免需要使用者驗證的 Proxy 設定。 工作階段主機上的 Azure 虛擬桌面元件會在作業系統的內容中執行,因此不支援需要驗證的 Proxy 伺服器。 您必須啟用全系統 Proxy,才能在會話主機上設定主機層級 Proxy。
確認您的終端使用者可存取 Azure 虛擬桌面用戶端 URL。 如果您的使用者的裝置上使用 Proxy 代理程式/組態,請確定您也略過 Azure 虛擬桌面用戶端 URL。
使用 Just-In-Time 存取 進行管理,並針對會話主機進行疑難解答。 避免將直接 RDP 存取權授與會話主機。 AVD 會話主機會使用反向連線傳輸來建立遠端會話。
使用 適用於雲端的 Microsoft Defender 中的自適性網路強化功能來尋找網路安全組設定,以限制埠和來源IP,並參考外部網路流量規則。
使用 Azure 監視器或合作夥伴監視解決方案收集您的 Azure 防火牆(或第三方防火牆設備)記錄。 您也應該使用Microsoft Sentinel 或類似的服務,依 SIEM 監視記錄。
只針對 FSLogix 配置檔容器所使用的 Azure 檔案使用私人端點。
設定 RDP Shortpath 以補充反向連線傳輸。
工作階段主機
在 Azure 虛擬桌面會話主機的 Active Directory 中建立專用組織單位(s) (OU)。 將專用組策略套用至您的工作階段主機,以管理控制項,例如:
- 啟用螢幕擷取保護 ,以防止在用戶端端點上擷取敏感性畫面資訊。
- 設定 非使用中/中斷連線時間原則 和 屏幕鎖定上限。
- 在 Windows 檔案總管 中隱藏本機和遠端磁碟驅動器對應。
- 選擇性地為 FSLogix 配置檔容器和 FSLogix 雲端快取設定參數。
控制會話主機的裝置重新 導向。 通常停用的裝置包括本機硬碟存取和 USB 或埠限制。 限制相機重新導向和遠端列印有助於保護您的組織數據。 停用剪貼簿重新導向,以防止遠端內容複製到端點。
在您的會話主機上啟用新一代防病毒軟體 Endpoint Protection,例如 適用於端點的 Microsoft Defender。 如果您使用合作夥伴端點解決方案,請確定 適用於雲端的 Microsoft Defender 能夠驗證其狀態。 您也應該包含防毒排除 FSLogix 配置檔容器。適用於端點的 Microsoft Defender 直接與多個 Microsoft Defender 解決方案整合,包括:
啟用 威脅與漏洞管理評定。 將 適用於端點的 Microsoft Defender 威脅與漏洞管理 解決方案與 適用於雲端的 Microsoft Defender 或第三方 弱點管理 解決方案整合)。 適用於雲端的 Microsoft Defender 原生整合Qualys 弱點評估解決方案。
透過 Windows Defender 應用程控 (WDAC) 或 AppLocker 使用應用程式控制,以確保應用程式在執行前可信任。 應用程控原則也可以封鎖未簽署的腳本和 MSIS,並限制 Windows PowerShell 在限制語言模式中執行。
啟用 Gen2 Azure 虛擬機的信任啟動 ,以啟用安全開機、vTPM 和虛擬化型安全性 (VBS) 等功能。 適用於雲端的 Microsoft Defender 可以監視以受信任啟動設定的會話主機。
使用 Windows LAPS 隨機化本機系統管理員密碼,以防止傳遞哈希和橫向周遊攻擊。
確認您的會話主機是由 Azure 監視器或合作夥伴監視解決方案透過事件中樞監視。
為您的工作階段主機建立修補程式管理原則。 Microsoft Endpoint Configuration Manager 可讓 Azure 虛擬桌面會話主機自動接收更新。 您應該至少每隔 30 天修補一次基底映像。 請考慮使用 Azure Image Builder (AIB) 為 Azure 虛擬桌面基底映射建立您自己的映射管線。
如需 Azure 虛擬桌面會話主機安全性最佳做法的詳細資訊,請參閱 會話主機安全性最佳做法。
如需 Azure VM 安全性最佳做法的詳細清單,請參閱 Azure 中虛擬機的安全性建議。
資料保護
Microsoft Azure 會加密待用數據,以防止「頻外」攻擊,例如嘗試存取 基礎記憶體。 此加密可協助確保攻擊者無法輕易讀取或修改您的數據。 Microsoft啟用待用數據的兩層加密的方法包括:
- 使用客戶管理的金鑰進行磁碟加密。 使用者提供自己的金鑰進行磁碟加密。 他們可以將自己的金鑰帶到其 金鑰保存庫(稱為 BYOK – 攜帶您自己的金鑰),或在 Azure 金鑰保存庫 中產生新的金鑰,以加密所需的資源(包括會話主機磁碟)。
- 使用平台代控金鑰進行基礎結構加密。 根據預設,磁碟會自動透過平臺管理的加密密鑰進行待用加密。
- VM 主機 的加密(VM 配置給的 Azure 伺服器)。 每個虛擬機的暫存磁碟和OS/資料磁碟快取數據都會儲存在VM主機上。 啟用 VM 主機上的加密時,該數據會在待用時加密,並加密至要保存的記憶體服務。
部署資訊保護解決方案,例如 Microsoft Purview 資訊保護 或第三方解決方案,以確保機密資訊會由貴組織的技術系統安全地儲存、處理和傳輸。
使用適用於 Microsoft 365 Apps 企業版 的安全策略建議程式來改善 Office 部署安全性。 此工具會識別您可以套用至部署以取得更多安全性的原則,同時也會根據原則對安全性和生產力的影響來建議原則。
透過 內部部署的 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services,為 FSLogix 使用者配置檔所使用的 Azure 檔案儲存體 設定身分識別型驗證。 設定NTFS許可權,讓授權的使用者可以存取您的 Azure 檔案儲存體。
成本管理
使用 Azure 標籤 來組織建立、管理及部署 Azure 虛擬桌面資源的成本。 若要識別 Azure 虛擬桌面的相關計算成本,請標記您的所有主機集區和虛擬機。 標記 Azure 檔案儲存體 或 Azure NetApp Files 資源,以追蹤與 FSLogix 使用者配置檔容器、自定義 OS 映像和 MSIX 應用程式連結相關聯的記憶體成本(如果使用的話)。
定義要跨所有 Azure 虛擬桌面資源設定的最小建議標籤。 您可以在部署期間或布建之後設定 Azure 標籤。 請考慮使用 Azure 原則 內建定義來強制執行標記規則。
在 Microsoft 成本管理 中設定預算,以主動管理 Azure 使用量成本。 超過您建立的預算閾值時,會觸發通知。
建立成本管理警示 ,以監視 Azure 虛擬桌面登陸區域的 Azure 使用量和費用。
設定 [ 連線上的啟動 VM] 功能 ,以節省成本,方法是只允許使用者在需要 VM 時開啟其 VM。
資源一致性
使用 Intune 進行 Azure 虛擬桌面個人工作階段主機 ,以套用現有或建立新的設定,並使用合規性原則和條件式存取保護您的 VM。 Intune 管理無須依賴也不會干擾相同虛擬機器上的 Azure 虛擬桌面管理。
使用 Intune 管理多會話會話主機可讓您在 Intune 系統管理中心管理 Windows 10 或 Windows 11 企業版 多會話遠端桌面,就像您可以管理共用的 Windows 10 或 Windows 11 用戶端裝置一樣。 管理這類虛擬機時,可以使用以裝置為目標的裝置型設定或以使用者為目標的使用者型組態。
使用 Azure 原則 計算機設定,稽核和設定會話主機操作系統的強化。 使用 Windows 安全性基準作為保護 Windows 作業系統的起點。
使用 Azure 原則 內建定義來設定 Azure 虛擬桌面資源的診斷設定,例如工作區、應用程式群組和主機集區。
檢閱 Azure 虛擬桌面 的安全性最佳做法,作為您環境內安全性的起點。
法規遵循
幾乎所有的組織都必須遵守各種政府或產業法規政策。 請檢閱您的合規性小組的任何此類原則,並針對特定 Azure 虛擬桌面登陸區域實作正確的控件。 例如,如果您的組織遵循其架構,您應該考慮特定原則的控制措施,例如支付卡產業數據安全性標準(PCI DSS)或 1996 年健康保險可移植性和責任法案。
如有必要,請使用 適用於雲端的 Microsoft Defender 將額外的合規性標準套用至 Azure 虛擬桌面登陸區域。 適用於雲端的 Microsoft Defender 可透過其法規合規性儀錶板,協助您簡化符合法規合規性需求的程式。 您可以將內建或自定義的相容性標準新增至儀錶板。 您可以新增的內建法規標準包括:
- PCI-DSS v3.2.1:2018
- SOC TSP
- NIST SP 800-53 R4
- NIST SP 800 171 R2
- UK OFFICIAL 與 UK NHS
- 加拿大聯邦 PBMM
- Azure CIS 1.1.0
- HIPAA/HITRUST
- SWIFT CSP CSCF v2020
- ISO 27001:2013
- 紐西蘭 ISM 受限
- CMMC 第 3 級
- Azure CIS 1.3.0
- NIST SP 800-53 R5
- FedRAMP H
- FedRAMP M
如果您的組織系結於數據落地需求,請考慮將 Azure 虛擬桌面資源(工作區、應用程式群組和主機集區)的部署限制在下列地理位置:
- 美國
- 歐洲
- 英國
- Canada
限制這些地理位置的部署可協助您確保 Azure 虛擬桌面元數據會儲存在 Azure 虛擬桌面資源地理位置的區域,因為您的會話主機可以部署到全球以容納您的使用者基底。
使用組策略和裝置管理工具,例如 Intune 和 Microsoft Endpoint Configuration Manager,為您的會話主機維護完整的安全性和合規性做法。
在 適用於雲端的 Microsoft Defender 中設定警示和自動化回應,以確保 Azure 虛擬桌面登陸區域的整體合規性。
檢閱 Microsoft安全分數 ,以測量下列產品的整體組織安全性狀態:
- Microsoft 365 (含 Exchange Online)
- Microsoft Entra ID
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於雲端應用程式的 Defender
- Microsoft Teams
檢閱 適用於雲端的 Microsoft Defender 安全分數,以改善 Azure 虛擬登陸區域的整體安全性合規性。
建議的安全性最佳做法和基準
下一步
瞭解 Azure 虛擬桌面企業級案例的平臺自動化和 DevOps。