Azure 虛擬桌面中的安全性建議
Azure 虛擬桌面是受控虛擬桌面服務,其中包含許多安全性功能,可保護您組織安全。 Azure 虛擬桌面的架構包含許多元件,其組成將使用者連線到其桌面和應用程式的服務。
Azure 虛擬桌面有許多內建的進階安全性功能,例如不需要開啟任何輸入網路連接埠的反向連線,這可降低可從任何地方存取遠端桌面的風險。 此服務也受益於 Azure 的其他許多安全性功能,例如多重要素驗證和條件式存取。 本文說明您可以用系統管理員身分採取的步驟,以確保 Azure 虛擬桌面部署的安全,不論您為組織中的使用者或外部使用者提供桌面和應用程式。
共同安全性責任
在 Azure 虛擬桌面之前,遠端桌面服務等內部部署虛擬化解決方案需要為使用者授與閘道、訊息代理程式、Web 存取等角色的存取權。 這些角色必須完全備援,而且能夠處理尖峰容量。 系統管理員會將這些角色安裝為 Windows Server 作業系統的一部分,而且它們必須加入網域,且特定連接埠可供公用連線存取。 為了保持部署安全,系統管理員必須持續確保基礎結構中的所有項目都受到維護且為最新。
不過,在大部分的雲端服務中,Microsoft 與客戶或合作夥伴之間有一組共用的安全性責任。 對於 Azure 虛擬桌面,大部分元件都是 Microsoft 管理的,但工作階段主機和一些支援服務和元件是由客戶管理或合作夥伴管理的。 若要深入了解 Azure 虛擬桌面的 Microsoft 管理元件,請參閱 Azure 虛擬桌面服務架構和復原。
雖然某些元件已為您的環境提供保護,但您必須自行設定其他區域,以符合組織或客戶的安全性需求。 下列是您針對在 Azure 虛擬桌面部署中的安全性所負責的元件:
| 元件 | 責任 |
|---|---|
| 身分識別 | 客戶或合作夥伴 |
| 使用者裝置 (行動裝置與電腦) | 客戶或合作夥伴 |
| 應用程式安全性 | 客戶或合作夥伴 |
| 工作階段主機作業系統 | 客戶或合作夥伴 |
| 部署組態 | 客戶或合作夥伴 |
| 網路控制 | 客戶或合作夥伴 |
| 虛擬化控制平面 | Microsoft |
| 實體主機 | Microsoft |
| 實體網路 | Microsoft |
| 實體資料中心 | Microsoft |
安全性界限
安全性界限會使用不同層級的信任來區隔安全性網域的程式碼和資料。 例如,核心模式與使用者模式之間通常會有安全性界限。 大部分的 Microsoft 軟體和服務相依於多個安全性界限,以隔離裝置上的網路、虛擬機器 (VM) 和裝置上的應用程式。 下表列出 Windows 的每個安全性界限,以及它們針對整體安全性執行的動作。
| 安全性界限 | 說明 |
|---|---|
| 網路界限 | 未經授權的網路端點無法存取或竄改客戶裝置上的程式碼和資料。 |
| 核心界限 | 非系統管理使用者模式程序無法存取或竄改核心程式碼和資料。 系統管理員到核心不是安全性界限。 |
| 處理程序界限 | 未經授權的使用者模式程序無法存取或竄改另一個程序的程式碼和資料。 |
| AppContainer 沙箱界限 | 以 AppContainer 為基礎的沙箱程序無法存取或竄改以容器功能為基礎的沙箱外部程式碼和資料。 |
| 使用者界限 | 使用者未經授權無法存取或竄改另一個使用者的程式碼和資料。 |
| 工作階段界限 | 在未經授權的情況下,使用者工作階段無法存取或竄改另一個使用者工作階段。 |
| 網頁瀏覽器界限 | 未經授權的網站不能違反相同來源原則,亦無法存取或竄改 Microsoft Edge 網頁瀏覽器沙箱的原生程式碼和資料。 |
| 虛擬機器界限 | 未經授權的 Hyper-V 客體虛擬機器無法存取或竄改另一個客體虛擬機器的程式碼和資料,包括 Hyper-V 隔離容器。 |
| 虛擬安全模式 (VSM) 界限 | 在 VSM 信任程序或記憶體保護區外部執行的程式碼無法存取或竄改信任程序內的資料和程式碼。 |
Azure 虛擬桌面案例建議的安全性界限
您也必須以案例為基礎,針對安全性界限進行特定選擇。 例如,如果組織中的使用者需要本機系統管理權限才能安裝應用程式,您必須提供其個人桌面,而不是共用工作階段主機。 不建議在多重工作階段集區案例中提供使用者本機系統管理員權限,因為這些使用者可以跨工作階段或 NTFS 資料權限的安全性界限、關閉多重工作階段 VM,或執行可能會中斷服務或造成資料損失的其他動作。
來自相同組織的使用者,例如知識工作者其擁有的應用程式不需要系統管理員權限,是多重工作階段之工作階段主機 (例如 Windows 11 企業版的多重工作階段) 的絕佳候選項目。 這些工作階段主機可降低貴組織的成本,因為多個使用者可以共用單一 VM,而只有單一使用者需要負擔虛擬機器的費用。 使用 FSLogix 等使用者設定檔管理產品,使用者可在主機集區中獲指派任何 VM,而不會注意到任何服務中斷。 透過在離峰時段關閉 VM 之類的動作,此功能也可讓您將成本最佳化。
如果您的情況需要來自不同組織的使用者連接至您的部署,建議您具有 Active Directory 和 Microsoft Entra ID 等身分識別服務的個別租用戶。 我們也建議您為這些使用者提供個別的訂用帳戶來裝載 Azure 資源,例如 Azure 虛擬桌面和 VM。
在許多情況下,使用多重工作階段是降低成本的可接受方式,但我們是否建議則取決於同時存取共用多重工作階段執行個體的使用者之間的信任層級。 一般而言,屬於相同組織的使用者具有足夠且已同意的信任關係。 例如,人員共同作業且可以彼此存取個人資訊的部門或工作群組,是具有高信任層級的組織。
Windows 會使用安全性界限和控制項,以確保在工作階段之間隔離使用者程序和資料。 不過,Windows 仍會提供使用者正在處理的執行個體的存取權。
多工作階段部署會受益於深度安全性策略,其會新增更多安全性界限,以防範組織內外的使用者取得其他使用者個人資訊未經授權的存取權。 發生未經授權的資料存取是因為系統管理員在組態程序中發生錯誤,例如未揭露的安全性弱點或尚未修補的已知弱點。
我們不建議將相同多工作階段環境的存取權授與於不同公司或競爭公司工作的使用者。 這些案例有數個可攻擊或濫用的安全性界限,例如網路、核心、程序、使用者或工作階段。 單一安全性弱點可能會導致未經授權的資料和認證竊取、個人資訊外洩、身分識別竊取和其他問題。 虛擬化環境提供者會負責提供設計良好的系統,並盡可能啟用多個強大的安全性界限和額外的安全性功能。
下表摘要說明每個案例的建議。
| 信任層級案例 | 建議的解決方案 |
|---|---|
| 使用者來自具有標準權限的一個組織 | 使用 Windows 企業版多重工作階段作業系統 (OS)。 |
| 使用者需要系統管理權限 | 使用個人主機集區,並指派每個使用者自己的工作階段主機。 |
| 使用者來自不同組織連線 | 個別的 Azure 租用戶和 Azure 訂用帳戶 |