Standardní hodnoty zabezpečení Azure pro Azure Virtual Desktop

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Virtual Desktop. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro
Azure Virtual Desktop.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Azure Virtual Desktop a ty, pro které se doporučuje doslovné doslovné pokyny, byly vyloučeny. Pokud chcete zjistit, jak se Azure Virtual Desktop kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Virtual Desktop.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování virtuálních počítačů, které se mají zaregistrovat do Služby Azure Virtual Desktop, musíte vytvořit nebo použít existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který odpovídá obchodním rizikům. Každý systém, který by mohl mít vyšší riziko pro organizaci, by měl být izolovaný ve své vlastní virtuální síti a dostatečně zabezpečený se skupinou zabezpečení sítě nebo Azure Firewall.

Pomocí funkcí adaptivního posílení zabezpečení sítě v programu Microsoft Defender for Cloud doporučte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy s odkazem na pravidla externího síťového provozu.

Na základě strategie segmentace aplikací a podniků omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací (například 3vrstvé aplikace) to může být vysoce zabezpečený přístup k odepření, povolení výjimkou ve výchozím nastavení. To se nemusí dobře škálovat, pokud máte mnoho aplikací a koncových bodů, které vzájemně spolupracují. Můžete také použít Azure Firewall za okolností, kdy centrální správa vyžaduje velký počet podnikových segmentů nebo paprsků (v hvězdicové topologii).

Pro skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači (které jsou součástí podsítí Služby Azure Virtual Desktop) musíte povolit odchozí provoz do konkrétních koncových bodů.

Vytvoření skupiny zabezpečení sítě s pravidly zabezpečení: /azure/virtual-network/tutorial-filter-network-network-traffic

Postup nasazení a konfigurace Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití virtuální privátní sítě Azure ExpressRoute nebo virtuální privátní sítě Azure k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí Připojení ExpressRoute neprocházejí přes veřejný internet, nabízejí větší spolehlivost, rychlejší a nižší latenci než typická připojení k internetu.

Pro virtuální privátní sítě typu point-to-site a site-to-site můžete k virtuální síti připojit místní zařízení nebo sítě pomocí jakékoli kombinace možností virtuální privátní sítě a Azure ExpressRoute.

Partnerský vztah virtuálních sítí můžete použít k propojení dvou nebo více virtuálních sítí v Azure. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a zůstává v páteřní síti Azure.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Použití Azure Firewall k ochraně aplikací a služeb před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte své prostředky Azure Virtual Desktopu před útoky před externími sítěmi, včetně distribuovaných útoků dosazování služeb, útoků specifických pro aplikace, nevyžádaných a potenciálně škodlivých internetových přenosů. Chraňte své prostředky před distribuovanými útoky na odepření služby tím, že ve virtuálních sítích Azure povolíte ochranu před útoky DDoS Standard. Pomocí programu Microsoft Defender for Cloud můžete zjistit rizika chybné konfigurace související s vašimi síťovými prostředky.

Azure Virtual Desktop není určen ke spouštění webových aplikací a nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasadíte další síťové služby, které by ji chránily před útoky na externí síť, které cílí na webové aplikace.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro prostředky Azure Virtual Desktopu Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureVirtualDesktop) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Virtual Desktop používá jako výchozí službu pro správu identit a přístupu službu Azure Active Directory (Azure AD). Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Azure Virtual Machine (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení služby Azure AD by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje bezpečnostní skóre identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučeným osvědčeným postupům od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí externí identity.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Virtual Desktop podporuje spravované identity Azure pro účty, které nejsou lidské, jako jsou služby nebo automatizace. Místo vytvoření výkonnějšího lidského účtu pro přístup k prostředkům nebo spuštění prostředků se doporučuje použít funkci spravované identity Azure.

Azure Virtual Desktop doporučuje použít Azure Active Directory (Azure AD) k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku ke konfiguraci instančních objektů s přihlašovacími údaji certifikátu a návrat k tajným klíčům klienta. V obou případech je možné azure Key Vault použít ve spojení se spravovanými identitami Azure, aby prostředí runtime (například funkce Azure) mohl načíst přihlašovací údaje z trezoru klíčů.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Virtual Desktop používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. Díky tomu je možné použít jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí a v cloudu. Připojte všechny uživatele, aplikace a zařízení k Azure AD pro zajištění bezproblémového zabezpečeného přístupu s lepší viditelností a kontrolou.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Virtual Desktop používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, kontrolu uživatelských účtů a přiřazení přístupu pravidelně, aby se zajistilo, že jsou účty a jejich přístup platné.

Pomocí Azure AD kontrol přístupu zkontrolujte členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty.

Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala také na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené a izolované pracovní stanice jsou zásadně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion.

K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune. Zabezpečenou pracovní stanici je možné centrálně spravovat a vynucovat zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru, omezeného logického přístupu a přístupu k síti.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Virtual Desktop je integrovaný s řízením přístupu na základě role Azure (Azure RBAC) ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, seskupit instanční objekty a spravované identity. Pro určité prostředky existují předdefinované role, které je možné inventarizovat nebo dotazovat pomocí nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal.

Oprávnění, která přiřadíte k prostředkům pomocí Azure RBAC, by měla být vždy omezena na ty, které role vyžadují. To doplňuje přístup podle potřeby (JIT) Privileged Identity Management (PIM) s Azure Active Directory (Azure AD) a měl by se pravidelně kontrolovat.

Kromě toho použijte předdefinované role k přidělení oprávnění a vytváření vlastních rolí pouze v případě potřeby.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Ve scénářích podpory, ve kterých Microsoft potřebuje získat přístup k zákaznickým datům, azure Virtual Desktop podporuje Customer Lockbox a poskytuje rozhraní, které vám umožní kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků.

Odpovědnost: Sdílené

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označení citlivých dat

Pokyny: Zjišťování, klasifikace a označování citlivých dat, abyste mohli navrhnout příslušné ovládací prvky. Tím zajistíte, aby se citlivé informace bezpečně ukládaly, zpracovávaly a přenášely prostřednictvím technologických systémů organizace.

Pro citlivé informace v dokumentech Office v Azure, místních Office 365, Office 365 a dalších umístěních použijte Azure Information Protection (a přidružený nástroj pro kontrolu).

Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí Access Control na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování v SQL a dalších databázích).

Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Microsoft považuje veškerý obsah zákazníka za citlivý a chrání před ztrátou a expozicí zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Odpovědnost: Zákazník

DP-3: Monitorování neautorizovaného přenosu citlivých dat

Pokyny: Monitorujte neautorizovaný přenos dat do umístění mimo dohled a kontrolu podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.

Funkce Advanced Threat Protection (ATP) se službou Azure Storage i Azure SQL ATP můžou upozorňovat na neobvyklý přenos informací, což značí, co může být neoprávněným přenosem citlivých informací.

Azure Information Protection (AIP) nabízí funkce monitorování důvěrných a označených informací.

Pomocí řešení ochrany před únikem informací, jako jsou hostitelské řešení, vynucujte detektivy nebo preventivní ovládací prvky, abyste zabránili exfiltraci dat.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Aby bylo možné doplnit řízení přístupu, měla by být přenášená data chráněná před útoky "mimo pásmo" (např. zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst ani upravovat.

Windows Virtual Desktop podporuje šifrování přenášených dat pomocí protokolu TLS (Transport Layer Security) verze 1.2 nebo vyšší. I když je to volitelné v privátních sítích, je důležité pro provoz na externích a veřejných sítích. V případě provozu HTTP se ujistěte, že všechny klienty, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Veškerá vzdálená správa, úlohy by se měly provádět přes zabezpečené prostředí (SSH) pro Linux nebo s protokolem RDP (Remote Desktop Protocol) přes protokol TLS (pro Windows) místo nešifrovaného protokolu.

Všechny zastaralé verze a protokoly SSL, TLS a SSH a slabé šifry by měly být zakázány. Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Microsoft

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Windows Virtual Desktop šifruje neaktivní uložená data, aby se chránila před útoky "mimo pásmo", jako je například přístup k podkladovému úložišti. To pomáhá zajistit, aby útočníci nemohli snadno číst nebo upravovat data.

Odpovědnost: Microsoft

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Aby bylo možné zobrazit úlohy a služby, může se vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí služby Azure Virtual Machine Inventory můžete automatizovat shromažďování informací o softwaru na Virtual Machines. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datu instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Použití inventáře virtuálních počítačů Azure k automatizaci shromažďování informací o veškerém softwaru na virtuálních počítačích Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datu instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Systému Windows do pracovního prostoru služby Log Analytics.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Využijte Microsoft Defender pro cloudovou integrovanou funkci detekce hrozeb a povolte Microsoft Defender (formálně Azure Advanced Threat Protection) pro prostředky Azure Virtual Desktopu. Microsoft Defender for Azure Virtual Desktop poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům azure Virtual Desktopu nebo jejich zneužití.

Přeposílejte všechny protokoly z Azure Virtual Desktopu do řešení správy událostí zabezpečení (SIEM), které se dá použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních výstrah, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojem dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které je možné zobrazit ve Azure AD generování sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro správu událostí a informací o zabezpečení (SIEM) nebo monitorovacích nástrojů pro další sofistikované případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivit přihlašování uživatelů.

  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.

  • Rizikové přihlášení – Rizikový přihlášení je indikátor pokusu o přihlášení, který mohl provést někdo, kdo není oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření a zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Ochrany před internetovými útoky v Microsoft Defenderu pro cloud shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datové prostředky (DATABÁZE SQL a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Azure Virtual Desktop nevytváří ani nezpracovává protokoly dotazů DNS (Domain Name Service). Prostředky, které jsou zaregistrované ve službě, ale můžou vytvářet protokoly toků.

Povolte a shromážděte protokoly prostředků a toků skupiny zabezpečení sítě, Azure Firewall protokoly a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru Služby Log Analytics služby Azure Monitor a pak použít Traffic Analytics k poskytování přehledů.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky povolené, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky Azure Virtual Desktopu kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo k monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Odpovědnost: Sdílené

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované ukládání a analýza protokolování pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, nástroje používané ke zpracování a přístupu k datům a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data ke službě Microsoft Sentinel nebo správě událostí zabezpečení třetích stran (SIEM). Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

K vytvoření konfigurace zabezpečení operačního systému požadované vaší organizací můžete použít vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k pravidelnému posouzení a nápravě rizik konfigurace u výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších. Kromě toho můžete pomocí šablon Azure Resource Manager, vlastních imagí operačního systému nebo Azure Automation State Configuration udržovat konfiguraci zabezpečení operačního systému vyžadovaného vaší organizací. Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation State Configuration můžou pomoct při plnění a údržbě požadavků na zabezpečení.

Azure Marketplace image virtuálních počítačů publikované společností Microsoft jsou spravovány a spravovány Společností Microsoft.

Microsoft Defender for Cloud může také kontrolovat ohrožení zabezpečení v imagi kontejneru a provádět průběžné monitorování konfigurace Dockeru v kontejnerech s srovnávacím testem Dockeru služby Center Internet Security. Stránku doporučení microsoft defenderu pro cloud můžete použít k zobrazení doporučení a nápravě problémů.

Odpovědnost: Zákazník

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Azure Virtual Desktop umožňuje zákazníkům spravovat image operačního systému. Pomocí řízení přístupu na základě role Azure (Azure RBAC) se ujistěte, že k vašim vlastním imagím mají přístup jenom autorizovaní uživatelé. Použijte Azure Shared Image Gallery můžete sdílet image různým uživatelům, instančním objektům nebo skupinám Active Directory ve vaší organizaci. Uložte image kontejnerů v Azure Container Registry a pomocí RBAC zajistěte, aby měli přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Azure Virtual Desktop umožňuje nasadit vlastní virtuální počítače a zaregistrovat je do služby a mít databázi SQL spuštěnou v prostředí.

Azure Virtual Desktop může použít řešení třetích stran k provádění posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích. Při provádění vzdálených kontrol nepoužívejte jediný trvalý účet správce. Zvažte implementaci metodologie zřizování JIT pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.

Při posuzování ohrožení zabezpečení na virtuálních počítačích Azure (a sql serverech) postupujte podle doporučení z Microsoft Defenderu pro cloud. Microsoft Defender for Cloud má integrovanou kontrolu ohrožení zabezpečení pro virtuální počítač, image kontejnerů a databázi SQL.

Podle potřeby exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití doporučení pro správu ohrožení zabezpečení navržených programem Microsoft Defender for Cloud můžete přejít na portál vybraného řešení a zobrazit historická data kontroly.

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Azure Virtual Desktop nepoužívá ani nevyžaduje žádný software třetích stran. Azure Virtual Desktop ale umožňuje nasadit vlastní virtuální počítače a zaregistrovat je do služby.

Pomocí nástroje Azure Automation Update Management nebo řešení jiného výrobce zajistěte, aby se na virtuálních počítačích s Windows Serverem nainstalovaly nejnovější aktualizace zabezpečení. U virtuálních počítačů s Windows se ujistěte, že služba Windows Update byla povolená a nastavená na automatickou aktualizaci.

Pro Configuration Manager použijte řešení pro správu oprav třetích stran pro software třetích stran nebo nástroj System Center Aktualizace Publisher.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Azure Virtual Desktop neposkytuje žádné specifické možnosti pro procesy detekce koncových bodů a odezvy (EDR). Prostředky zaregistrované ve službě ale můžou využívat možnosti detekce koncových bodů a odezvy.

Povolte zjišťování koncových bodů a možnosti odezvy pro servery a klienty a integrujte je s řešeními zabezpečení a správou událostí (SIEM) a procesy operací zabezpečení.

Rozšířená ochrana před internetovými útoky z programu Microsoft Defender poskytuje funkce detekce koncových bodů a reakce, které jsou součástí podnikové platformy zabezpečení koncových bodů, která brání, detekuje, prošetřuje a reaguje na pokročilé hrozby.

Odpovědnost: Zákazník

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana prostředků Azure Virtual Desktopu pomocí centrálně spravovaného a moderního řešení ochrany proti malwaru koncového bodu, které je schopné kontrolovat v reálném čase a pravidelné kontroly.

Microsoft Defender for Cloud dokáže automaticky identifikovat použití řady oblíbených antimalwarových řešení pro vaše virtuální počítače a nahlásit stav spuštěné ochrany koncových bodů a provádět doporučení.

Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarem pro virtuální počítače s Windows. K detekci malwaru nahraných do účtů Azure Storage můžete také použít detekci hrozeb v programu Microsoft Defender for Cloud pro datové služby.

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Ujistěte se, že se podpisy proti malwaru aktualizují rychle a konzistentně.

Postupujte podle doporučení v programu Microsoft Defender for Cloud: "Compute & Apps" a ujistěte se, že všechny virtuální počítače a/nebo kontejnery jsou aktuální s nejnovějšími podpisy.

Microsoft Antimalware automaticky nainstaluje nejnovější podpisy a aktualizace modulu ve výchozím nastavení.

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Ujistěte se, že zálohujete systémy a data a udržujete provozní kontinuitu po neočekávané události. Mělo by to být pokyny pro všechny cíle cíle bodu obnovení (RPO) a plánovanou dobu obnovení (RTO).

Povolte Azure Backup a nakonfigurujte zdroj záloh (např. virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky), a také požadovanou frekvenci a dobu uchovávání.

Pro vyšší úroveň redundance můžete povolit geograficky redundantní úložiště, abyste mohli replikovat zálohovaná data do sekundární oblasti a obnovit pomocí obnovení mezi oblastmi.

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Ujistěte se, že vaše zálohy chrání před útoky. To by mělo zahrnovat šifrování záloh, které chrání před ztrátou důvěrnosti.

Pro pravidelné zálohování služeb Azure se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure. Zálohování můžete zašifrovat pomocí klíče spravovaného zákazníkem. V tomto případě se ujistěte, že klíč spravovaný zákazníkem v trezoru klíčů je také v oboru zálohování.

K ochraně záloh a klíčů spravovaných zákazníkem můžete použít řízení přístupu na základě rolí v Azure Backup, Azure Key Vault nebo jiných prostředcích. Kromě toho můžete povolit pokročilé funkce zabezpečení, které před úpravou nebo odstraněním záloh vyžadují vícefaktorové ověřování.

Přehled funkcí zabezpečení v Azure Backup /azure/backup/security-overview

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Doporučujeme pravidelně ověřovat integritu dat na záložních médiích provedením procesu obnovení dat, aby se zajistilo správné fungování zálohování.

Odpovědnost: Zákazník

Další kroky