Stosowanie zasad zero trust do wdrożenia usługi Azure Virtual Desktop

Ten artykuł zawiera kroki stosowania zasad zerowego zaufania do wdrożenia usługi Azure Virtual Desktop w następujący sposób:

Zasada zerowego zaufania	Definicja	Met by
Jawną weryfikację	Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.	Sprawdź tożsamości i punkty końcowe użytkowników usługi Azure Virtual Desktop oraz bezpieczny dostęp do hostów sesji.
Używanie dostępu z jak najmniejszą liczbą uprawnień	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.	Ogranicz dostęp do hostów sesji i ich danych. Magazyn: Ochrona danych we wszystkich trzech trybach: dane magazynowane, dane przesyłane, używane dane. Sieci wirtualne : określ dozwolone przepływy ruchu sieciowego między sieciami wirtualnymi piasty i szprych za pomocą usługi Azure Firewall. Maszyny wirtualne: użyj kontroli dostępu opartej na rolach (RBAC).
Zakładanie naruszeń zabezpieczeń	Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.	Izolowanie składników wdrożenia usługi Azure Virtual Desktop. Magazyn: użyj usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony. Sieci wirtualne: zapobieganie przepływom ruchu między obciążeniami za pomocą usługi Azure Firewall. Maszyny wirtualne: użyj podwójnego szyfrowania na potrzeby kompleksowego szyfrowania, włącz szyfrowanie na hoście, bezpieczną konserwację maszyn wirtualnych i usługę Microsoft Defender dla serwerów na potrzeby wykrywania zagrożeń. Azure Virtual Desktop: korzystanie z funkcji zabezpieczeń, ładu, zarządzania i monitorowania usługi Azure Virtual Desktop w celu poprawy obrony i zbierania analiz hosta sesji.

Aby uzyskać więcej informacji na temat stosowania zasad zero trust w środowisku IaaS platformy Azure, zobacz Omówienie zasad Zastosuj zero trust do usługi Azure IaaS.

Architektura odwołań

W tym artykule użyjemy następującej architektury referencyjnej dla centrum i szprychy, aby zademonstrować często wdrożone środowisko i sposób stosowania zasad zerowego zaufania dla usługi Azure Virtual Desktop z dostępem użytkowników przez Internet. Architektura usługi Azure Virtual WAN jest również obsługiwana oprócz dostępu prywatnego za pośrednictwem sieci zarządzanej za pomocą protokołu RDP Shortpath dla usługi Azure Virtual Desktop.

Środowisko platformy Azure dla usługi Azure Virtual Desktop obejmuje:

Składnik	opis
A	Usługi Azure Storage dla profilów użytkowników usługi Azure Virtual Desktop.
B	Sieć wirtualna koncentratora łączności.
C	Sieć wirtualna będące szprychą z obciążeniami opartymi na maszynach wirtualnych hostem sesji usługi Azure Virtual Desktop.
D	Płaszczyzna sterowania usługi Azure Virtual Desktop.
E	Płaszczyzna zarządzania usługą Azure Virtual Desktop.
F	Zależne usługi PaaS, w tym Microsoft Entra ID, Microsoft Defender dla Chmury, kontrola dostępu oparta na rolach (RBAC) i Azure Monitor.
G	Galeria zasobów obliczeniowych platformy Azure.

Użytkownicy lub administratorzy, którzy uzyskują dostęp do środowiska platformy Azure, mogą pochodzić z Internetu, lokalizacji biura lub lokalnych centrów danych.

Architektura referencyjna jest zgodna z architekturą opisaną w strefie docelowej w skali przedsiębiorstwa dla przewodnika Azure Virtual Desktop Cloud Adoption Framework.

Architektura logiczna

Na tym diagramie infrastruktura platformy Azure dla wdrożenia usługi Azure Virtual Desktop znajduje się w dzierżawie entra ID.

Elementy architektury logicznej to:

• Subskrypcja platformy Azure dla usługi Azure Virtual Desktop

  Zasoby można dystrybuować w więcej niż jednej subskrypcji, w której każda subskrypcja może przechowywać różne role, takie jak subskrypcja sieciowa lub subskrypcja zabezpieczeń. Opisano to w przewodniku Cloud Adoption Framework i strefie docelowej platformy Azure. Różne subskrypcje mogą również przechowywać różne środowiska, takie jak środowiska produkcyjne, programistyczne i testowe. Zależy to od tego, jak chcesz oddzielić środowisko i liczbę zasobów w każdym z nich. Co najmniej jedna subskrypcja może być zarządzana razem przy użyciu grupy zarządzania. Dzięki temu można stosować uprawnienia z kontrolą dostępu opartą na rolach i zasadami platformy Azure do grupy subskrypcji zamiast konfigurować poszczególne subskrypcje osobno.

• Grupa zasobów usługi Azure Virtual Desktop

  Grupa zasobów usługi Azure Virtual Desktop izoluje magazyny kluczy, obiekty usługi Azure Virtual Desktop i prywatne punkty końcowe.

• Grupa zasobów magazynu

  Grupa zasobów magazynu izoluje prywatne punkty końcowe i zestawy danych usługi Azure Files.

• Grupa zasobów hostów sesji

  Dedykowana grupa zasobów izoluje maszyny wirtualne dla ich sesji hostów maszyn wirtualnych, zestawu szyfrowania dysków i grupy zabezpieczeń aplikacji.

• Grupa zasobów sieci wirtualnej będącej szprychą

  Dedykowana grupa zasobów izoluje zasoby sieci wirtualnej będącej szprychą i sieciową grupę zabezpieczeń, którą mogą zarządzać specjaliści ds. sieci w organizacji.

Co znajduje się w tym artykule?

W tym artykule przedstawiono procedurę stosowania zasad zero trust w architekturze referencyjnej usługi Azure Virtual Desktop.

Krok	Zadanie	Stosowane zasady zerowego zaufania
1	Zabezpieczanie tożsamości przy użyciu zera zaufania.	Jawną weryfikację
2	Zabezpieczanie punktów końcowych za pomocą relacji Zero Trust.	Jawną weryfikację
3	Stosowanie zasad Zero Trust do zasobów magazynu usługi Azure Virtual Desktop.	Weryfikowanie jawnie Użyj najmniej uprzywilejowanego dostępu Zakładanie naruszeń zabezpieczeń
100	Stosowanie zasad Zero Trust do sieci wirtualnych usługi Azure Virtual Desktop będącej piastą i szprychą.	Weryfikowanie jawnie Użyj najmniej uprzywilejowanego dostępu Zakładanie naruszeń zabezpieczeń
5	Zastosuj zasady Zero Trust do hosta sesji usługi Azure Virtual Desktop.	Weryfikowanie jawnie Użyj najmniej uprzywilejowanego dostępu Zakładanie naruszeń zabezpieczeń
6	Wdrażanie zabezpieczeń, ładu i zgodności w usłudze Azure Virtual Desktop.	Zakładanie naruszeń zabezpieczeń
7	Wdrażanie bezpiecznego zarządzania i monitorowania w usłudze Azure Virtual Desktop.	Zakładanie naruszeń zabezpieczeń

Krok 1. Zabezpieczanie tożsamości za pomocą rozwiązania Zero Trust

Aby zastosować zasady Zero Trust do tożsamości używanych w usłudze Azure Virtual Desktop:

• Usługa Azure Virtual Desktop obsługuje różne typy tożsamości. Skorzystaj z informacji w temacie Zabezpieczanie tożsamości z zerowym zaufaniem , aby upewnić się, że wybrane typy tożsamości są zgodne z zasadami zero trust.
• Utwórz dedykowane konto użytkownika z najmniejszymi uprawnieniami do dołączania hostów sesji do domeny microsoft Entra Domain Services lub AD DS podczas wdrażania hosta sesji.

Krok 2. Zabezpieczanie punktów końcowych za pomocą rozwiązania Zero Trust

Punkty końcowe to urządzenia, za pomocą których użytkownicy uzyskują dostęp do środowiska usługi Azure Virtual Desktop i maszyn wirtualnych hosta sesji. Skorzystaj z instrukcji w przeglądzie integracji punktu końcowego i użyj Ochrona punktu końcowego w usłudze Microsoft Defender i programu Microsoft Endpoint Manager, aby upewnić się, że punkty końcowe są zgodne z wymaganiami dotyczącymi zabezpieczeń i zgodności.

Krok 3. Stosowanie zasad zero trust do zasobów magazynu usługi Azure Virtual Desktop

Zaimplementuj kroki opisane w artykule Stosowanie zasad zerowego zaufania do usługi Storage na platformie Azure na potrzeby zasobów magazynu używanych we wdrożeniu usługi Azure Virtual Desktop. Te kroki zapewniają:

• Zabezpieczanie danych usługi Azure Virtual Desktop magazynowanych, przesyłanych i używanych.
• Zweryfikuj użytkowników i kontroluj dostęp do danych magazynu z najmniejszymi uprawnieniami.
• Zaimplementuj prywatne punkty końcowe dla kont magazynu.
• Logicznie oddzielaj dane krytyczne za pomocą kontrolek sieci. Na przykład oddzielne konta magazynu dla różnych pul hostów i innych celów, takich jak dołączanie udziałów plików przez aplikację MSIX.
• Usługa Defender for Storage umożliwia automatyczną ochronę przed zagrożeniami.

Uwaga

W niektórych projektach usługa Azure NetApp files jest usługą magazynu wybraną dla profilów FSLogix dla usługi Azure Virtual Desktop za pośrednictwem udziału SMB. Usługa Azure NetApp Files udostępnia wbudowane funkcje zabezpieczeń, które obejmują delegowane podsieci i testy porównawcze zabezpieczeń.

Krok 4. Stosowanie zasad zero trust do sieci wirtualnych usługi Azure Virtual Desktop

Sieć wirtualna piasty to centralny punkt łączności dla wielu sieci wirtualnych szprych. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do sieci wirtualnej koncentratora na platformie Azure dla sieci wirtualnej piasty używanej do filtrowania ruchu wychodzącego z hostów sesji.

Sieć wirtualna będące szprychą izoluje obciążenie usługi Azure Virtual Desktop i zawiera maszyny wirtualne hosta sesji. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do sieci wirtualnej będącej szprychą na platformie Azure , która zawiera hosta sesji/maszyny wirtualne.

Izolowanie różnych pul hostów w oddzielnych sieciach wirtualnych przy użyciu sieciowej grupy zabezpieczeń z wymaganym adresem URL wymaganym dla usługi Azure Virtual Desktop dla każdej podsieci. Podczas wdrażania prywatnych punktów końcowych umieść je w odpowiedniej podsieci w sieci wirtualnej na podstawie ich roli.

Zapora usługi Azure Firewall lub zapora wirtualnego urządzenia sieciowego (WUS) może służyć do kontrolowania i ograniczania ruchu wychodzącego hostów sesji usługi Azure Virtual Desktop. Aby chronić hosty sesji, skorzystaj z instrukcji podanych tutaj dla usługi Azure Firewall. Wymuś ruch przez zaporę za pomocą tras zdefiniowanych przez użytkownika (UDR) połączonych z podsiecią puli hostów. Przejrzyj pełną listę wymaganych adresów URL usługi Azure Virtual Desktop, aby skonfigurować zaporę. Usługa Azure Firewall udostępnia tag FQDN usługi Azure Virtual Desktop, aby uprościć tę konfigurację.

Krok 5. Stosowanie zasad zero trust do hostów sesji usługi Azure Virtual Desktop

Hosty sesji to maszyny wirtualne uruchamiane wewnątrz sieci wirtualnej będącej szprychą. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do maszyn wirtualnych na platformie Azure dla maszyn wirtualnych tworzonych dla hostów sesji.

Pule hostów powinny mieć oddzielne jednostki organizacyjne (OU), jeśli są zarządzane przez zasady grupy w usługach domena usługi Active Directory Services (AD DS).

Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktu końcowego przedsiębiorstwa zaprojektowana w celu ułatwienia sieciom przedsiębiorstwa zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia. Można użyć Ochrona punktu końcowego w usłudze Microsoft Defender dla hostów sesji. Aby uzyskać więcej informacji, zobacz Urządzenia infrastruktury pulpitu wirtualnego (VDI).

Krok 6. Wdrażanie zabezpieczeń, ładu i zgodności w usłudze Azure Virtual Desktop

Usługa Azure Virtual Desktop umożliwia używanie usługi Azure Private Link do prywatnego łączenia się z zasobami przez utworzenie prywatnych punktów końcowych.

Usługa Azure Virtual Desktop ma wbudowane zaawansowane funkcje zabezpieczeń w celu ochrony hostów sesji. Zobacz jednak następujące artykuły, aby poprawić zabezpieczenia środowiska usługi Azure Virtual Desktop i hostów sesji:

• Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Virtual Desktop
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Virtual Desktop

Ponadto zapoznaj się z kluczowymi zagadnieniami projektowymi i zaleceniami dotyczącymi zabezpieczeń, ładu i zgodności w strefach docelowych usługi Azure Virtual Desktop zgodnie z platformą Cloud Adoption Framework firmy Microsoft.

Krok 7. Wdrażanie bezpiecznego zarządzania i monitorowania w usłudze Azure Virtual Desktop

Zarządzanie i ciągłe monitorowanie są ważne, aby upewnić się, że środowisko usługi Azure Virtual Desktop nie angażuje się w złośliwe zachowanie. Użyj Szczegółowe informacje usługi Azure Virtual Desktop do rejestrowania danych diagnostycznych i danych użycia raportów.

Zobacz następujące dodatkowe artykuły:

• Zapoznaj się z zaleceniami usługi Azure Advisor dla usługi Azure Virtual Desktop.
• Usługa Microsoft Intune służy do szczegółowego zarządzania zasadami lub zarządzania zasadami grupy.
• Przejrzyj i ustaw właściwości protokołu RDP, aby uzyskać szczegółowe ustawienia na poziomie puli hostów.

Zalecane szkolenie

Zabezpieczanie wdrożenia usługi Azure Virtual Desktop

Szkolenia	Zabezpieczanie wdrożenia usługi Azure Virtual Desktop
	Dowiedz się więcej o funkcjach zabezpieczeń firmy Microsoft, które pomagają zapewnić bezpieczeństwo aplikacji i danych we wdrożeniu usługi Microsoft Azure Virtual Desktop.

Uruchomić >

Ochrona wdrożenia usługi Azure Virtual Desktop przy użyciu platformy Azure

Szkolenia	Ochrona wdrożenia usługi Azure Virtual Desktop przy użyciu platformy Azure
	Wdrażanie usługi Azure Firewall, kierowanie całego ruchu sieciowego przez usługę Azure Firewall i konfigurowanie reguł. Kierowanie ruchu sieciowego wychodzącego z puli hostów usługi Azure Virtual Desktop do usługi za pośrednictwem usługi Azure Firewall.

Uruchomić >

Zarządzanie dostępem i zabezpieczeniami usługi Azure Virtual Desktop

Szkolenia	Zarządzanie dostępem i zabezpieczeniami usługi Azure Virtual Desktop
	Dowiedz się, jak planować i implementować role platformy Azure dla usługi Azure Virtual Desktop oraz implementować zasady dostępu warunkowego dla połączeń zdalnych. Ta ścieżka szkoleniowa jest zgodna z egzaminem AZ-140: Konfigurowanie i obsługa usługi Microsoft Azure Virtual Desktop.

Uruchomić >

Projektowanie pod kątem tożsamości i profilów użytkowników

Szkolenia	Projektowanie pod kątem tożsamości i profilów użytkowników
	Użytkownicy muszą mieć dostęp do tych aplikacji zarówno lokalnie, jak i w chmurze. Klient pulpitu zdalnego dla pulpitu zdalnego dla systemu Windows umożliwia zdalny dostęp do aplikacji i pulpitów z systemem Windows z innego urządzenia z systemem Windows.

Uruchomić >

Aby uzyskać więcej szkoleń dotyczących zabezpieczeń na platformie Azure, zobacz następujące zasoby w katalogu firmy Microsoft:
Zabezpieczenia na platformie Azure

Następne kroki

Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do platformy Azure:

• Omówienie usługi IaaS platformy Azure
  • Magazyn platformy Azure
  • Maszyny wirtualne
  • Sieci wirtualne będące szprychami
  • Sieci wirtualne będące szprychami z usługami PaaS platformy Azure
  • Sieci wirtualne koncentratora
• Azure Virtual WAN
• Aplikacje IaaS w usługach Amazon Web Services
• Microsoft Sentinel i Microsoft Defender XDR

Ilustracje techniczne

Ilustracje używane w tym artykule można pobrać. Użyj pliku programu Visio, aby zmodyfikować te ilustracje do własnego użytku.

Pdf | Visio

Aby uzyskać dodatkowe ilustracje techniczne, kliknij tutaj.

Informacje

Skorzystaj z poniższych linków, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.

• Co to jest platforma Azure — Microsoft Cloud Services
• Infrastruktura jako usługa platformy Azure (IaaS)
• Maszyny wirtualne dla systemów Linux i Windows
• Wprowadzenie do usługi Azure Storage — magazyn w chmurze na platformie Azure
• Azure Virtual Network
• Wprowadzenie do zabezpieczeń platformy Azure
• Wskazówki dotyczące implementacji zero trust
• Omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
• Omówienie punktów odniesienia zabezpieczeń dla platformy Azure
• Tworzenie pierwszej warstwy obrony za pomocą usług zabezpieczeń platformy Azure — Centrum architektury platformy Azure
• Architektury referencyjne cyberbezpieczeństwa firmy Microsoft — dokumentacja dotycząca zabezpieczeń