Biztonság és irányítás

Ez a cikk az Azure Virtual Desktop kezdőzónáinak biztonságával, szabályozásával és megfelelőségével kapcsolatos legfontosabb tervezési szempontokat és javaslatokat ismerteti a Microsoft felhőadaptálási keretrendszer összhangban.

Tekintse át a következő szakaszokat, és keresse meg az Azure Virtual Desktop kezdőzónájához ajánlott biztonsági vezérlőket és szabályozást.

Identitás

• A Microsoft Entra feltételes hozzáférési szabályzat Microsoft Entra többtényezős hitelesítéssel vagy partner többtényezős hitelesítési eszközzel történő létrehozásával biztonságossá teheti a felhasználók hozzáférését az Azure Virtual Desktophoz. Vegye figyelembe a felhasználók tartózkodási helyét, eszközeit és bejelentkezési viselkedését, és szükség szerint adjon hozzá további vezérlőket a hozzáférési minták alapján. Az Azure Virtual Desktop azure-beli többtényezős hitelesítésének engedélyezéséről további információt az Azure Többtényezős hitelesítés engedélyezése az Azure Virtual Desktopban című témakörben talál.

• Rendelje hozzá a rendszergazdai, üzemeltetési és mérnöki szerepkörök Azure RBAC-szerepkörökhöz való definiálásához szükséges minimális jogosultságot. Az Azure Virtual Desktop kezdőzónán belüli magas jogosultsági szerepkörökhöz való hozzáférés korlátozásához fontolja meg az Azure Privileged Identity Management (PIM) integrációját. Az azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörök és konfigurációk meghatározásában segít annak ismerete, hogy melyik csapat felel az egyes felügyeleti területekért.

• Az Azure Virtual Desktop automatizálásához és szolgáltatásaihoz használja az Azure Managed Identity vagy szolgáltatásnév tanúsítvány-hitelesítő adatait. A legkisebb jogosultság hozzárendelése az automation-fiókhoz és az Azure Virtual Desktop célzónára(ka)ra korlátozott hatókörhöz. Az Azure Key Vault azure-beli felügyelt identitásokkal is használható, így a futtatókörnyezetek (például egy Azure-függvény) lekérhetik az automatizálási hitelesítő adatokat a kulcstartóból.

• Győződjön meg arról, hogy felhasználói és rendszergazdai tevékenységnaplózást gyűjt a Microsoft Entra ID és az Azure Virtual Desktop kezdőzónáihoz. Ezeket a naplókat a Biztonsági információ és eseménykezelés (SIEM) eszközzel figyelheti. Naplókat különböző forrásokból gyűjthet, például:

  • Azure-tevékenységnapló
  • Microsoft Entra tevékenységnapló
  • Microsoft Entra ID
  • Munkamenet-gazdagépek
  • Key Vault-naplók

• Az Azure Virtual Desktop-alkalmazáscsoportokhoz való hozzáférés hozzárendeléséhez használja a Microsoft Entra-csoportokat az egyes felhasználók helyett. Fontolja meg a meglévő biztonsági csoportok használatát, amelyek a szervezet üzleti funkcióira képeznek ki megfeleltetést, így a meglévő felhasználói kiépítési és kiépítési folyamatokat újra felhasználhatja.

Hálózat

• Dedikált virtuális hálózat kiépítése vagy újrafelhasználása az Azure Virtual Desktop kezdőzónáihoz. Tervezze meg az IP-címtartományt a munkamenet-gazdagépek méretarányának megfelelően. Állítsa be az alapszintű alhálózat méretét a munkamenet-gazdagépek állomáskészletenkénti minimális és maximális száma alapján. Az üzleti egység követelményeinek leképezése a gazdagépkészletekhez.

• A mikroszegmentálás létrehozásához használja a hálózati biztonsági csoportokat (NSG-ket) és/vagy az Azure Firewallt (vagy külső tűzfalberendezést). Az Azure Virtual Network szolgáltatáscímkéi és alkalmazásszolgáltatás-csoportjai (ASG-k) használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Virtual Desktop-erőforrásokhoz konfigurált Azure Firewallon. Ellenőrizze, hogy a munkamenet-gazdagép kimenő hozzáférését a szükséges URL-címekhez proxy (ha a munkamenet-gazdagépeken belül használják) és az Azure Firewall (vagy külső tűzfalberendezés) megkerüli-e.

• Az alkalmazások és a vállalati szegmentálási stratégia alapján a munkamenet-gazdagépek és a belső erőforrások közötti forgalmat a biztonsági csoport szabályai vagy az Azure Firewall (vagy egy külső tűzfalberendezés) nagy léptékben korlátozhatja.

• Engedélyezze az Azure DDoS standard védelmét az Azure Firewallhoz (vagy egy külső tűzfalberendezéshez) az Azure Virtual Desktop célzóna(ka)jának biztonságossá tételéhez.

• Ha proxyt használ a munkamenet-gazdagépekről érkező kimenő internet-hozzáféréshez:

  • Konfigurálja a proxykiszolgálókat ugyanabban a földrajzi helyen, mint az Azure Virtual Desktop munkamenet-gazdagépei és ügyfelei (ha felhőproxy-szolgáltatókat használ).
  • Ne használjon TLS-ellenőrzést. Az Azure Virtual Desktopban a forgalom alapértelmezés szerint átvitel közben van titkosítva.
  • Kerülje a felhasználói hitelesítést igénylő proxykonfigurációt. A munkamenetgazda Azure Virtual Desktop-összetevői az operációs rendszerük környezetében futnak, így nem támogatják a hitelesítést igénylő proxykiszolgálókat. A rendszerszintű proxyt engedélyezni kell ahhoz, hogy konfigurálhassa a gazdagépszintű proxyt a munkamenet-gazdagépen.

• Ellenőrizze, hogy a végfelhasználók hozzáférnek-e az Azure Virtual Desktop-ügyfél URL-címéhez. Ha proxyügynököt/konfigurációt használ a felhasználók eszközein, győződjön meg arról, hogy az Azure Virtual Desktop-ügyfél URL-címeit is megkerüli.

• Az igény szerinti hozzáférés használata a munkamenet-gazdagépek felügyeletéhez és hibaelhárításához. Kerülje a munkamenet-gazdagépekhez való közvetlen RDP-hozzáférést. Az AVD-munkamenet-gazdagépek fordított Csatlakozás átvitelt használnak a távoli munkamenetek létrehozásához.

• A Felhőhöz készült Microsoft Defender adaptív hálózatmegerősítési funkcióival olyan hálózati biztonsági csoportok konfigurációit keresheti meg, amelyek korlátozzák a portokat és a forrás IP-címeket a külső hálózati forgalmi szabályokra való hivatkozással.

• Az Azure Monitor vagy egy partnermonitorozási megoldás segítségével gyűjtse össze az Azure Firewall (vagy külső tűzfalberendezés) naplóit. A naplókat SIEM-sel is monitoroznia kell az Azure Sentinel vagy egy hasonló szolgáltatás használatával.

• Csak az FSLogix-profiltárolókhoz használt Azure-fájlokhoz használjon privát végpontot.

• Konfigurálja az RDP Shortpathot a fordított kapcsolat átvitelének kiegészítéséhez.

Munkamenet-gazdagépek

• Hozzon létre egy dedikált szervezeti egységet (OU) az Active Directoryban az Azure Virtual Desktop-munkamenet-gazdagépek számára. Dedikált csoportházirend alkalmazása a munkamenet-gazdagépekre az olyan vezérlők kezeléséhez, mint például:

  • Engedélyezze a képernyőrögzítés védelmét , hogy megakadályozza a bizalmas képernyőadatok rögzítését az ügyfélvégpontokon.
  • Állítsa be a maximális inaktív/leválasztási időszabályzatokat és a képernyőzárolásokat.
  • Helyi és távoli meghajtóleképezések elrejtése a Windows Intézőben.
  • Opcionálisan az FSLogix-profiltárolók és az FSLogix Cloud Cache konfigurációs paraméterei.

• A munkamenet-gazdagépek eszközátirányításának vezérlése. A gyakran letiltott eszközök közé tartoznak a helyi merevlemez-hozzáférés, valamint az USB- vagy portkorlátozások. A kamera átirányításának és a távoli nyomtatásnak a korlátozása segíthet a szervezet adatainak védelmében. Tiltsa le a vágólap átirányítását, hogy megakadályozza a távoli tartalom végpontokra másolását.

• Engedélyezze a következő generációs víruskereső Endpoint Protectiont, például a Végponthoz készült Microsoft Defender a munkamenet-gazdagépeken. Ha partnervégpont-megoldást használ, győződjön meg arról, hogy Felhőhöz készült Microsoft Defender képes ellenőrizni az állapotát. A víruskereső kizárásokat is tartalmaznia kell az FSLogix-profiltárolóval. Végponthoz készült Microsoft Defender közvetlenül integrálható több Microsoft Defender-megoldással, például:

  • Felhőhöz készült Microsoft Defender
  • Microsoft Sentinel
  • Intune

• Engedélyezze Veszélyforrás- és biztonságirés-kezelés értékeléseket. Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés megoldásának integrálása Felhőhöz készült Microsoft Defender vagy külső féllel biztonságirés-kezelés megoldás). Felhőhöz készült Microsoft Defender natív integráció Qualys sebezhetőségi felmérési megoldás.

• Az alkalmazásvezérlést a Windows Defender alkalmazásvezérlő (WDAC) vagy az AppLocker használatával biztosíthatja, hogy az alkalmazások megbízhatóak legyenek a végrehajtás előtt. Az alkalmazásvezérlési szabályzatok letilthatják az aláíratlan szkripteket és az MSI-ket, és korlátozhatják a Windows PowerShell korlátozott nyelvi módban való futtatását.

• Engedélyezze a Gen2 Azure-beli virtuális gépek megbízható indítását olyan funkciók engedélyezéséhez, mint a Biztonságos rendszerindítás, a vTPM és a Virtualization-alapú biztonság (VBS). Felhőhöz készült Microsoft Defender figyelheti a megbízható indítással konfigurált munkamenet-gazdagépeket.

• A helyi rendszergazdai jelszavak véletlenszerű beállítása a Windows LAPS használatával a pass-the-hash és az lateral traversal támadások elleni védelem érdekében.

• Ellenőrizze, hogy a munkamenet-gazdagépeket az Azure Monitor vagy egy partnermonitorozási megoldás figyeli-e az Event Hubson keresztül.

• Hozzon létre egy javításkezelési stratégiát a munkamenet-gazdagépek számára. A Microsoft Endpoint Configuration Manager lehetővé teszi, hogy az Azure Virtual Desktop munkamenet-gazdagépei automatikusan fogadják a frissítéseket. Az alaprendszerképeket legalább 30 naponta legalább egyszer javítania kell. Fontolja meg az Azure Image Builder (AIB) használatát saját képalkotó folyamat létrehozásához az Azure Virtual Desktop alaprendszerképéhez.

Az Azure Virtual Desktop munkamenetgazda-biztonságának ajánlott eljárásairól további információt a munkamenet-gazdagép biztonsági ajánlott eljárásaiban talál.

Az Azure-beli virtuális gépek biztonságával kapcsolatos ajánlott eljárások részletes listáját az Azure-beli virtuális gépekre vonatkozó biztonsági javaslatokban találja.

Adatvédelem

• A Microsoft Azure titkosítja a inaktív adatokat, hogy megvédje őket a "sávon kívüli" támadásoktól, például a mögöttes tároló elérésére tett kísérletektől. Ez a titkosítás biztosítja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat. A Microsoft megközelítése, amely két titkosítási réteget tesz lehetővé az inaktív adatok számára, a következőket foglalja magában:

  • Lemeztitkosítás ügyfél által felügyelt kulcsokkal. A felhasználók saját kulcsot biztosítanak a lemeztitkosításhoz. Saját kulcsokat hozhatnak a Key Vaultba (ez a byok – Saját kulcs használata) vagy új kulcsokat hozhatnak létre az Azure Key Vaultban a kívánt erőforrások titkosításához (beleértve a munkamenet-gazdagéplemezeket is).
  • Infrastruktúra-titkosítás platform által felügyelt kulcsokkal. Alapértelmezés szerint a lemezeket a rendszer automatikusan titkosítja inaktív állapotban platform által felügyelt titkosítási kulcsokkal.
  • Titkosítás a virtuálisgép-gazdagépen (azure-kiszolgáló, amelybe a virtuális gép van lefoglalva). Minden virtuális gép ideiglenes lemez- és operációsrendszer-/adatlemez-gyorsítótáradatai a virtuálisgép-gazdagépen vannak tárolva. Ha a virtuálisgép-gazdagép titkosítása engedélyezve van, az adatok inaktív állapotban vannak titkosítva, és a Storage szolgáltatásba titkosított folyamatok maradnak.

• Helyezzen üzembe egy olyan adatvédelmi megoldást, mint a Microsoft Purview információvédelem vagy egy harmadik féltől származó megoldás, amely gondoskodik arról, hogy a vállalat technológiai rendszerei biztonságosan tárolják, dolgozzák fel és továbbítják a bizalmas információkat.

• A Nagyvállalati Microsoft 365-alkalmazások biztonsági házirend-tanácsadójának használatával javíthatja az Office központi telepítésének biztonságát. Ez az eszköz azonosítja az üzemelő példányra alkalmazható szabályzatokat a nagyobb biztonság érdekében, és a biztonságra és a hatékonyságra gyakorolt hatásuk alapján szabályzatokat is javasol.

• Az FSLogix-felhasználói profilokhoz használt Azure Files identitásalapú hitelesítésének konfigurálása helyi Active Directory Domain Services (AD DS) és Microsoft Entra Domain Services használatával. Konfigurálja az NTFS-engedélyeket , hogy a jogosult felhasználók hozzáférhessenek az Azure Fileshoz.

Költségkezelés

• Az Azure Tags használatával rendszerezheti az Azure Virtual Desktop-erőforrások létrehozásának, kezelésének és üzembe helyezésének költségeit. Az Azure Virtual Desktop társított számítási költségeinek azonosításához címkézze fel az összes gazdagépkészletet és virtuális gépet. Az Azure Files vagy az Azure NetApp Files erőforrásainak címkézésével nyomon követheti az FSLogix felhasználóiprofil-tárolókhoz, egyéni operációsrendszer-rendszerképekhez és MSIX-alkalmazások csatolásához (ha van ilyen).

• Határozza meg az összes Azure Virtual Desktop-erőforrásra vonatkozó minimális javasolt címkéket . Az Azure-címkéket az üzembe helyezés során vagy a kiépítés után is beállíthatja. Fontolja meg az Azure Policy beépített definícióinak használatát a címkézési szabályok kényszerítéséhez.

• Költségvetés(ek) beállítása a Microsoft Cost Managementben az Azure használati költségeinek proaktív kezeléséhez. Ha túllépi a létrehozott költségvetési küszöbértékeket, az értesítések aktiválódnak.

• Cost Management-riasztásokat hozhat létre az Azure-használat és -kiadások figyeléséhez az Azure Virtual Desktop kezdőzónájában.

• A virtuális gép indítása Csatlakozás szolgáltatással úgy konfigurálható, hogy költségeket takarítson meg azáltal, hogy lehetővé teszi a végfelhasználók számára, hogy csak akkor kapcsolják be a virtuális gépeiket, ha szükségük van rájuk.

• Skálázási megoldások üzembe helyezése készletezett munkamenet-gazdagépekhez az Azure Automation vagy az Automatikus méretezés funkció (előzetes verzió) használatával

Erőforrás-konzisztencia

• Az Intune for Azure Virtual Desktop személyes munkamenet-gazdagépeivel meglévő vagy új konfigurációkat alkalmazhat, és megfelelőségi szabályzattal és feltételes hozzáféréssel biztosíthatja a virtuális gépeket. Az Intune-felügyelet nem függ ugyanannak a virtuális gépnek az Azure Virtual Desktop-felügyeletétől, és nem zavarja azt.

• A több munkamenetes munkamenetek felügyelete az Intune-nal lehetővé teszi a Windows 10 vagy Windows 11 Nagyvállalati verzió több munkamenetes távoli asztalok kezelését az Intune felügyeleti központjában, ugyanúgy, mint egy megosztott Windows 10- vagy Windows 11-ügyféleszközt. Az ilyen virtuális gépek (virtuális gépek) kezelésekor használhatja az eszközökre célzott eszközalapú konfigurációt, illetve a felhasználók számára megcélzott felhasználóalapú konfigurációt is.

• Naplózhatja és konfigurálhatja a munkamenet-gazdagépek operációs rendszerének korlátozását az Azure Policy vendégkonfigurációjának használatával. A Windows operációs rendszer biztonságossá tételéhez használja a Windows biztonsági alapkonfigurációit.

• Az Azure Policy beépített definícióival konfigurálhatja az Azure Virtual Desktop-erőforrások, például munkaterületek, alkalmazáscsoportok és gazdagépkészletek diagnosztikai beállításait.

Tekintse át az Azure Virtual Desktop biztonsági ajánlott eljárásait, amelyek kiindulópontként szolgálnak a környezeten belüli biztonság szempontjából.

Megfelelőség

Szinte minden szervezetnek meg kell felelnie a különböző kormányzati vagy iparági szabályozási szabályzatoknak. Tekintse át az ilyen szabályzatokat a megfelelőségi csapattal, és implementálja az adott Azure Virtual Desktop-célzóna megfelelő vezérlőit. Például érdemes megfontolnia bizonyos szabályzatok, például a Payment Card Industry Data Security Standard (PCI DSS) vagy az 1996-os egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) ellenőrzését, ha szervezete követi a keretrendszereket.

• A Felhőhöz készült Microsoft Defender használatával szükség esetén további megfelelőségi szabványokat alkalmazhat az Azure Virtual Desktop kezdőzónáira. Felhőhöz készült Microsoft Defender a szabályozási megfelelőségi irányítópulton keresztül egyszerűsítheti a szabályozási megfelelőségi követelmények teljesítésének folyamatát. Beépített vagy testreszabott összeállítási szabványokat is hozzáadhat az irányítópulthoz. A már beépített szabályozási szabványok a következők:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL és az Egyesült Királyság Nemzeti Egészségügyi Szolgálata
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Új-Zéland isM korlátozott
  • CMMC 3. szint
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Ha a szervezetet adattárolási követelmények kötik, fontolja meg az Azure Virtual Desktop-erőforrások (munkaterületek, alkalmazáscsoportok és gazdagépkészletek) üzembe helyezésének korlátozását a következő földrajzi területekre:

  • Egyesült Államok
  • Európa
  • Egyesült Királyság
  • Kanada

  Az üzembe helyezés ezen földrajzi területekre való korlátozásával biztosítható, hogy az Azure Virtual Desktop metaadatai az Azure Virtual Desktop erőforrásföldrajzának régiójában legyenek tárolva, mivel a munkamenet-gazdagépek világszerte üzembe helyezhetők a felhasználói bázisnak megfelelően.

• A csoportházirend- és eszközfelügyeleti eszközök, például az Intune és a Microsoft Endpoint Configuration Manager használatával alapos biztonsági és megfelelőségi gyakorlatot tarthat fenn a munkamenet-gazdagépek számára.

• Riasztások és automatikus válaszok konfigurálása Felhőhöz készült Microsoft Defender az Azure Virtual Desktop kezdőzónáinak általános megfelelőségének biztosítása érdekében.

• Tekintse át a Microsoft biztonságos pontszámát a szervezet teljes biztonsági helyzetének méréséhez az alábbi termékekben:

  • Microsoft 365 (beleértve az Exchange Online-t)
  • Microsoft Entra ID
  • Microsoft Defender végponthoz
  • Microsoft Defender for Identity
  • Defender for Cloud Apps
  • Microsoft Teams

• Tekintse át Felhőhöz készült Microsoft Defender biztonsági pontszámot az Azure-beli virtuális kezdőzónák általános biztonsági megfelelőségének javítása érdekében.

Ajánlott ajánlott biztonsági eljárások és alapkonfigurációk

• Az Azure Virtual Desktop ajánlott biztonsági eljárásai
• Az Azure Virtual Desktop biztonsági alapkonfigurációja az Azure Security Benchmark alapján
• Teljes felügyelet alapelvek alkalmazása Azure Virtual Desktop-üzembe helyezésre

Következő lépések

Ismerje meg a platformautomatizálást és a DevOps-t egy nagyvállalati szintű Azure Virtual Desktop-forgatókönyvhöz.

Platformautomatizálás és DevOps