إرشادات الأمان للتطبيقات عبر المؤسسة
عند استضافة التطبيقات أو بثها على سطح مكتب Azure الظاهري، فإنك تصل إلى مجموعة كبيرة من المستخدمين داخل مؤسستك وخارجها. ونتيجة لذلك، من المهم للغاية معرفة كيفية الحفاظ على أمان النشر حتى تتمكن من الحفاظ على أمان مؤسستك وعملائك. سيعطيك هذا الدليل فهما أساسيا لمخاوف السلامة المحتملة وكيفية معالجتها.
المسؤولية المشتركة
قبل Azure Virtual Desktop، تتطلب حلول المحاكاة الافتراضية المحلية مثل خدمات سطح المكتب البعيد منح المستخدمين حق الوصول إلى أدوار مثل Gateway وBroker وWeb Access وما إلى ذلك. ويجب أن تكون هذه الأدوار زائدة تماما عن الحاجة وقادرة على التعامل مع القدرة القصوى. سيقوم المسؤولون بتثبيت هذه الأدوار كجزء من نظام تشغيل Windows Server ، ويجب أن يكونوا مرتبطين بالمجال بمنافذ محددة يمكن الوصول إليها من قبل الاتصالات العامة. للحفاظ على أمان عمليات النشر ، كان على المسؤولين التأكد باستمرار من الحفاظ على كل شيء في البنية التحتية وتحديثه.
وفي الوقت نفسه، يدير Azure Virtual Desktop أجزاء من الخدمات نيابة عن العميل. وعلى وجه التحديد، تستضيف Microsoft أجزاء البنية الأساسية وتديرها كجزء من الخدمة. لم يعد الشركاء والعملاء مضطرين إلى إدارة البنية الأساسية المطلوبة يدويا للسماح للمستخدمين بالوصول إلى الأجهزة الظاهرية لاستضافة الجلسة (VMs). تحتوي الخدمة أيضا على قدرات أمان متقدمة مدمجة مثل الاتصال العكسي ، مما يقلل من المخاطر التي ينطوي عليها السماح للمستخدمين بالوصول إلى أجهزة الكمبيوتر المكتبية البعيدة الخاصة بهم من أي مكان.
للحفاظ على مرونة الخدمة، تتم استضافة مضيفي الجلسات في اشتراك Azure الخاص بالشريك أو العملاء. يتيح ذلك للعملاء دمج الخدمة مع خدمات Azure الأخرى ويتيح لهم توصيل البنية التحتية للشبكة المحلية باستخدام ExpressRoute أو شبكة خاصة ظاهرية (VPN).
مثل العديد من الخدمات السحابية ، هناك مجموعة مشتركة من مسؤوليات الأمان بينك وبين Microsoft. عند استخدام Azure Virtual Desktop، من المهم أن تفهم أنه على الرغم من أن بعض أجزاء الخدمة مؤمنة لك، إلا أن هناك أجزاء أخرى ستحتاج إلى تكوينها بنفسك وفقا لاحتياجات أمان مؤسستك.
ستحتاج إلى تكوين الأمان في المناطق التالية:
- أجهزة المستخدم النهائي
- أمان التطبيق
- أنظمة تشغيل مضيف الجلسة
- تكوين التوزيع
- عناصر التحكم في الشبكة
لمزيد من المعلومات حول كيفية تكوين كل منطقة من هذه المناطق، راجع أفضل ممارسات الأمان لدينا.
النظام الأساسي المشترك لأمان Microsoft
يمكنك حماية أحمال العمل باستخدام ميزات الأمان وعناصر التحكم من سطح المكتب الظاهري Microsoft 365 وAzure وAzure.
عندما يتصل المستخدم بالخدمة عبر الإنترنت، يقوم Azure Active Directory (Azure AD) بمصادقة بيانات اعتماد المستخدم، مما يتيح ميزات الحماية مثل الوصول المشروطوالمصادقة متعددة العوامل. تقلل هذه الميزات بشكل كبير من خطر اختراق هويات المستخدمين.
يحتوي Azure Virtual Desktop على ميزات مثل عكس الاتصال التي تسمح للمستخدمين بالوصول إلى مضيف الجلسة دون الحاجة إلى فتح المنافذ الواردة. تم تصميم هذه الميزة مع وضع قابلية التوسع والخدمة في الاعتبار ، لذلك يجب ألا تحد من قدرتك على توسيع مضيفي الجلسات أيضا. يمكنك أيضا استخدام GPOs الموجودة مع هذه الميزة لتطبيق أمان إضافي مع دعم الأجهزة الظاهرية المنضمة إلى Active Directory أو، بالنسبة لمضيفات جلسات العمل Windows 10 التي قد تتضمن سيناريوهات Azure Active Directory Join إدارة نقاط النهاية من Microsoft.
الدفاع في العمق
يتطلب مشهد التهديدات اليوم تصميمات مع وضع النهج الأمنية في الاعتبار. من الناحية المثالية ، ستحتاج إلى إنشاء سلسلة من آليات الأمان وعناصر التحكم في جميع أنحاء شبكة الكمبيوتر الخاصة بك لحماية بياناتك وشبكتك من التعرض للاختراق أو الهجوم. هذا النوع من التصميم الأمني هو ما تسميه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) "الدفاع في العمق". لمعرفة المزيد عن الدفاع بعمق ، انتقل إلى موقع CISA على الويب.
أنظمة تشغيل مضيف الجلسة
يدعم Azure Virtual Desktop أنظمة التشغيل التالية:
- Windows 7
- Windows 10 Enterprise
- Windows Server 2012 R2 و 2016 و 2019 و 2022
- Windows 10 Enterprise متعدد الجلسات
Windows 10 Enterprise متعدد الجلسات هو نظام تشغيل حصري من Azure يعمل كمضيف جلسة عمل لسطح المكتب البعيد (RDSH) يسمح بجلسات تفاعلية متزامنة متعددة، تماما مثل خادم Windows. توفر البيئة Windows 10 للمستخدمين تجربة مألوفة ومتسقة. كما يؤدي ترخيص Windows لكل مستخدم للخدمة إلى خفض التكاليف بالنسبة للمؤسسة ككل لأن تكنولوجيا المعلومات لا تحتاج إلى الاستمرار في شراء تراخيص الوصول إلى عميل RDS (CALs). وبسبب هذه الفوائد، Windows 10 Enterprise متعدد الجلسات هو نظام التشغيل الأكثر انتشارا لمضيفي الجلسات في Azure Virtual Desktop.
الحدود الأمنية
تفصل حدود الأمان التعليمات البرمجية وبيانات نطاقات الأمان بمستويات مختلفة من الثقة. على سبيل المثال، عادة ما يكون هناك حد أمان بين وضع kernel ووضع المستخدم. تعتمد معظم برامج Microsoft وخدماتها على حدود أمان متعددة لعزل الأجهزة على الشبكات والأجهزة الظاهرية والتطبيقات الموجودة على الأجهزة. يسرد الجدول التالي كل حد أمان Windows وما يفعلونه للأمان العام.
| الحدود الأمنية | ماذا تفعل الحدود |
|---|---|
| حدود الشبكة | لا يمكن لنقطة نهاية الشبكة غير المصرح بها الوصول إلى التعليمات البرمجية والبيانات الموجودة على جهاز العميل أو العبث بها. |
| حدود النواة | لا يمكن لعملية وضع المستخدم غير الإداري الوصول إلى رمز kernel والبيانات أو العبث بها. المسؤول إلى النواة ليس حدا أمنيا. |
| حدود العملية | لا يمكن لعملية وضع المستخدم غير المصرح بها الوصول إلى التعليمات البرمجية والبيانات الخاصة بعملية أخرى أو العبث بها. |
| حدود وضع الحماية AppContainer | لا يمكن لعملية وضع الحماية المستندة إلى AppContainer الوصول إلى التعليمات البرمجية والبيانات أو العبث بها خارج وضع الحماية استنادا إلى إمكانات الحاوية. |
| حدود المستخدم | لا يمكن للمستخدم الوصول إلى رمز وبيانات مستخدم آخر أو العبث بها دون الحصول على إذن. |
| حدود الجلسة | لا يمكن لجلسة عمل المستخدم الوصول إلى جلسة مستخدم أخرى أو العبث بها دون الحصول على إذن. |
| حدود مستعرض الويب | لا يمكن لموقع ويب غير مصرح به انتهاك سياسة الأصل نفسه، كما لا يمكنه الوصول إلى الرمز الأصلي وبيانات وضع الحماية لمتصفح الويب Microsoft Edge أو العبث بها. |
| حدود الجهاز الظاهري | لا يمكن للجهاز الظاهري لضيف Hyper-V غير المصرح به الوصول إلى رمز وبيانات جهاز افتراضي ضيف آخر أو العبث به ؛ وهذا يشمل حاويات Hyper-V المعزولة. |
| حدود الوضع الآمن الظاهري (VSM) | لا يمكن للتعليمات البرمجية التي تعمل خارج عملية VSM الموثوق بها أو الجيب الوصول إلى البيانات والتعليمات البرمجية أو العبث بها داخل العملية الموثوق بها. |
ميزات الأمان
تعتمد ميزات الأمان على حدود الأمان لتعزيز الحماية ضد تهديدات محددة. ومع ذلك ، في بعض الحالات ، يمكن أن تكون هناك قيود حسب التصميم تمنع ميزة الأمان من حماية النشر بالكامل.
يدعم Azure Virtual Desktop معظم ميزات الأمان المتوفرة في Windows. قد تتطلب ميزات الأمان التي تعتمد على ميزات الأجهزة، مثل (v)TPM أو المحاكاة الافتراضية المتداخلة، بيان دعم منفصل من فريق Azure Virtual Desktop.
لمعرفة المزيد حول دعم ميزات الأمان وخدمتها، راجع معايير خدمة أمان Microsoft للحصول على Windows.
حدود الأمان الموصى بها لسيناريوهات سطح المكتب الظاهري ل Azure
ستحتاج أيضا إلى اتخاذ خيارات معينة حول حدود الأمان على أساس كل حالة على حدة. على سبيل المثال، إذا كان مستخدم في مؤسستك يحتاج إلى امتيازات إدارية محلية لتثبيت التطبيقات، فستحتاج إلى منحه سطح مكتب شخصي بدلا من RDSH مشترك. لا نوصي بمنح المستخدمين امتيازات المسؤول المحلي في السيناريوهات المجمعة متعددة الجلسات لأن هؤلاء المستخدمين يمكنهم عبور حدود الأمان للجلسات أو أذونات بيانات NTFS أو إيقاف تشغيل الأجهزة الظاهرية متعددة الجلسات أو القيام بأشياء أخرى قد تؤدي إلى مقاطعة الخدمة أو التسبب في فقدان البيانات.
يعد المستخدمون من نفس المؤسسة، مثل العاملين في مجال المعرفة الذين لديهم تطبيقات لا تتطلب امتيازات المسؤول، مرشحين رائعين لمضيفي جلسات سطح المكتب البعيد متعددة الجلسات مثل Windows 10 Enterprise جلسات عمل متعددة. تعمل مضيفات الجلسات هذه على تقليل التكاليف التي تتحملها مؤسستك لأن العديد من المستخدمين يمكنهم مشاركة جهاز ظاهري واحد، مع التكاليف العامة لنظام تشغيل واحد فقط. باستخدام تقنية الملف الشخصي مثل FSLogix ، يمكن تعيين المستخدمين لأي جهاز ظاهري في تجمع مضيف دون ملاحظة أي انقطاع في الخدمة. تتيح لك هذه الميزة أيضا تحسين التكاليف من خلال القيام بأشياء مثل إيقاف تشغيل الأجهزة الظاهرية خلال ساعات خارج أوقات الذروة.
إذا كان موقفك يتطلب مستخدمين من مؤسسات مختلفة للاتصال بالنشر، فإننا نوصي بأن يكون لديك مستأجر منفصل لخدمات الهوية مثل Active Directory وAzure AD. نوصي أيضا بأن يكون لديك اشتراك منفصل لاستضافة موارد Azure مثل Azure Virtual Desktop والأجهزة الظاهرية.
يسرد الجدول التالي توصياتنا لكل سيناريو.
| سيناريو مستوى الثقة | الحل المقترح |
|---|---|
| المستخدمون من مؤسسة واحدة يتمتعون بامتيازات قياسية | Windows 10 Enterprise متعدد الجلسات |
| يحتاج المستخدمون إلى امتيازات إدارية | أجهزة الكمبيوتر المكتبية الشخصية (VDI) |
| مستخدمون من مؤسسات مختلفة يتصلون | اشتراك Azure منفصل |
دعونا نلقي نظرة على توصياتنا لبعض السيناريوهات على سبيل المثال.
هل يجب علي مشاركة موارد الهوية لتقليل التكاليف؟
لا نوصي حاليا باستخدام نظام هوية مشترك في Azure Virtual Desktop. نوصي بأن يكون لديك موارد هوية منفصلة تقوم بنشرها في اشتراك Azure منفصل. تتضمن هذه الموارد الدلائل النشطة وأحمال عمل Azure AD والأجهزة الظاهرية. سيحتاج كل مستخدم يعمل في مؤسسة فردية إلى بنية تحتية إضافية وتكاليف صيانة مرتبطة بها ، ولكن هذا هو الحل الأكثر جدوى حاليا لأغراض أمنية.
هل يجب علي مشاركة جهاز ظاهري لمضيف جلسة عمل سطح المكتب البعيد (RD) متعدد الجلسات لتقليل التكاليف؟
يوفر مضيفو جلسات RD متعددة الجلسات التكاليف من خلال مشاركة موارد الأجهزة مثل وحدة المعالجة المركزية والذاكرة بين المستخدمين. تتيح لك مشاركة الموارد هذه التصميم لسعة الذروة، حتى إذا كان من غير المحتمل أن يحتاج جميع المستخدمين إلى أقصى قدر من الموارد في نفس الوقت. في بيئة مشتركة متعددة الجلسات، تتم مشاركة موارد الأجهزة وتخصيصها بحيث تقلل الفجوة بين الاستخدام والتكاليف.
في كثير من الحالات، يعد استخدام جلسات متعددة طريقة مقبولة لتقليل التكاليف، ولكن ما إذا كنا نوصي بذلك يعتمد على مستوى الثقة بين المستخدمين الذين لديهم حق الوصول المتزامن إلى مثيل مشترك متعدد الجلسات. عادة ما يكون لدى المستخدمين الذين ينتمون إلى نفس المؤسسة علاقة ثقة كافية ومتفق عليها. على سبيل المثال، القسم أو مجموعة العمل التي يتعاون فيها الأشخاص ويمكنهم الوصول إلى المعلومات الشخصية لبعضهم البعض هي مؤسسة ذات مستوى ثقة عال.
يستخدم Windows حدود الأمان وعناصر التحكم لضمان عزل عمليات المستخدم وبياناته بين الجلسات. ومع ذلك، لا يزال Windows يوفر الوصول إلى المثيل الذي يعمل عليه المستخدم.
سيستفيد هذا النشر من استراتيجية الأمان المتعمق التي تضيف المزيد من حدود الأمان التي تمنع المستخدمين داخل المؤسسة وخارجها من الوصول غير المصرح به إلى المعلومات الشخصية للمستخدمين الآخرين. يحدث الوصول غير المصرح به إلى البيانات بسبب خطأ في عملية التكوين من قبل مسؤول النظام، مثل ثغرة أمنية غير معلنة أو ثغرة أمنية معروفة لم يتم تصحيحها بعد.
من ناحية أخرى ، لا تدعم Microsoft منح المستخدمين الذين يعملون لدى شركات مختلفة أو منافسة إمكانية الوصول إلى نفس البيئة متعددة الجلسات. تحتوي هذه السيناريوهات على العديد من حدود الأمان التي يمكن مهاجمتها أو إساءة استخدامها، مثل الشبكة أو النواة أو العملية أو المستخدم أو الجلسات. قد تتسبب ثغرة أمنية واحدة في سرقة البيانات وبيانات الاعتماد غير المصرح بها وتسرب المعلومات الشخصية وسرقة الهوية وغيرها من المشكلات. يتحمل موفرو البيئة الافتراضية مسؤولية تقديم أنظمة مصممة تصميما جيدا مع العديد من الحدود الأمنية القوية وميزات السلامة الإضافية التي يتم تمكينها حيثما أمكن ذلك.
يتطلب الحد من هذه التهديدات المحتملة تكوينا مقاوما للأخطاء وعملية تصميم إدارة التصحيح وجداول منتظمة لنشر التصحيح. من الأفضل اتباع مبادئ الدفاع بعمق والحفاظ على البيئات منفصلة.
الخطوات التالية
ابحث عن إرشاداتنا الموصى بها لتكوين الأمان لنشر سطح المكتب الظاهري في Azure في أفضل ممارسات الأمان لدينا.