Aplicar os princípios de confiança zero para uma implantação da área de trabalho virtual do Azure
Este artigo fornece etapas para aplicar os princípios de confiança zero a uma implantação da área de trabalho virtual do Azure das seguintes maneiras:
| Princípio de Confiança Zero | Definição | Atendido por |
|---|---|---|
| Verificação explícita | Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. | Verifique as identidades e os pontos de extremidade dos usuários da área de trabalho virtual do Azure e proteja o acesso aos hosts da sessão. |
| Usar o acesso de privilégio mínimo | Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. |
|
| Pressupor a violação | Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. |
|
Para ver mais informações sobre como aplicar os princípios da confiança zero em um ambiente da IaaS do Azure, consulte a Visão geral da aplicação dos princípios de confiança zero à IaaS do Azure.
Arquitetura de referência
Neste artigo, usamos a seguinte arquitetura de referência para hub e Spoke a fim de demonstrar um ambiente comumente implantado e como aplicar os princípios de confiança zero à área de trabalho virtual do Azure com o acesso dos usuários pela Internet. A arquitetura de WAN Virtual do Azure também é compatível, além do acesso privado em uma rede gerenciada com o RDP Shortpath para área de trabalho virtual do Azure.
O ambiente do Azure para a área de trabalho virtual do Azure inclui:
| Componente | Descrição |
|---|---|
| Um | Serviços de armazenamento do Azure para perfis de usuário da área de trabalho virtual do Azure. |
| B | Uma VNet de hub de conectividade. |
| C | Uma VNet spoke com cargas de trabalho baseadas em máquina virtual de host da sessão da área de trabalho virtual do Azure. |
| D | Painel de controle da área de trabalho virtual do Azure. |
| E | Um plano de gerenciamento de área de trabalho virtual do Azure. |
| F | Serviços de PaaS dependentes, incluindo Microsoft Entra ID, Microsoft Defender para Nuvem, controle de acesso baseado em função (RBAC) e Azure Monitor. |
| G | Galeria de computação do Azure. |
Os usuários ou administradores que acessam o ambiente do Azure podem se originar da Internet, locais de escritório ou datacenters locais.
A arquitetura de referência se alinha à arquitetura descrita na zona de destino em escala empresarial para a Cloud Adoption Framework da área de trabalho virtual do Azure.
Arquitetura lógica
Neste diagrama, a infraestrutura do Azure para uma implantação da Área de Trabalho Virtual do Azure está contida em um locatário do Entra ID.
Os elementos da arquitetura lógica são:
Assinatura do Azure para sua área de trabalho virtual do Azure
Você pode distribuir os recursos em mais de uma assinatura, onde cada assinatura pode ter funções diferentes, como assinatura de rede ou de segurança. Isso é descrito na Cloud Adoption Framework e na zona de destino do Azure. As diferentes assinaturas também podem conter ambientes diferentes, como ambientes de produção, desenvolvimento e testes. Depende de como você deseja separar seu ambiente e do número de recursos que você tem em cada um. Uma ou mais assinaturas podem ser gerenciadas juntas usando um grupo de gerenciamento. Isso proporciona a capacidade de aplicar permissões com políticas RBAC e Azure a um grupo de assinaturas em vez de configurar cada assinatura individualmente.
Grupo de recursos da área de trabalho virtual do Azure
Um grupo de recursos da área de trabalho virtual do Azure isola cofres de chave, objetos de serviço da área de trabalho virtual do Azure e pontos de extremidade privados.
Grupo de recursos dearmazenamento
Um grupo de recursos de armazenamento isola os pontos de extremidade privados e os conjuntos de dados do serviço de arquivos do Azure.
Grupo de recursos das máquinas virtuais do host da sessão
Um grupo de recursos dedicado isola as máquinas virtuais para seus hosts de sessão, máquinas virtuais, conjunto de criptografia de disco e um grupo de segurança de aplicativo.
Grupo de recursos de VNet spoke
Um grupo de recursos dedicado isola os recursos de VNet spoke e um grupo de segurança de rede, que os especialistas em rede da sua organização podem gerenciar.
O que você encontrará neste artigo?
Este artigo apresenta as etapas para aplicar os princípios de confiança zero na arquitetura de referência da área de trabalho virtual do Azure.
| Etapa | Tarefa | Princípios de confiança zero aplicados |
|---|---|---|
| 1 | Proteger identidades com confiança zero. | Verificação explícita |
| 2 | Proteger pontos de extremidade com confiança zero. | Verificação explícita |
| 3 | Aplicar os princípios de confiança zero aos recursos de armazenamento da área de trabalho virtual do Azure. | Verificação explícita Usar o acesso com privilégios mínimos Pressupor a violação |
| 4 | Aplicar os princípios de confiança zero a VNets de hub e spoke da área de trabalho virtual do Azure. | Verificação explícita Usar o acesso com privilégios mínimos Pressupor a violação |
| 5 | Aplicar os princípios de confiança zero ao host da sessão da área de trabalho virtual do Azure. | Verificação explícita Usar o acesso com privilégios mínimos Pressupor a violação |
| 6 | Implantar segurança, governança e conformidade na área de trabalho virtual do Azure. | Pressupor a violação |
| 7 | Implantar o gerenciamento e o monitoramento seguros na área de trabalho virtual do Azure. | Pressupor a violação |
Etapa 1: proteger identidades com confiança zero
Para aplicar princípios de confiança zero às identidades usadas na área de trabalho virtual do Azure:
- A área de trabalho virtual do Azure dá suporte a diferentes tipos de identidades. Use as informações em Proteger a identidade com confiança zero para garantir que os tipos de identidade escolhidos sigam os princípios de confiança zero.
- Crie uma conta de usuário dedicada com privilégios mínimos para ingressar hosts de sessão em um domínio do Microsoft Entra Domain Services ou do AD DS durante a implantação do host da sessão.
Etapa 2: proteger pontos de extremidade com confiança zero
Os pontos de extremidade são os dispositivos por meio dos quais os usuários acessam o ambiente de área de trabalho virtual do Azure e as máquinas virtuais de host da sessão. Use as instruções na Visão geral da integração de pontos de extremidade e use o Microsoft Defender para Ponto de Extremidade e o Microsoft Endpoint Manager para garantir que seus pontos de extremidade atendam aos requisitos de segurança e conformidade.
Etapa 3: aplicar os princípios de confiança zero aos recursos de armazenamento da área de trabalho virtual do Azure
Implemente as etapas em Aplicar princípios de confiança zero ao armazenamento no Azure para os recursos de armazenamento que estão sendo usados em sua implantação da área de trabalho virtual do Azure. Essas etapas garantem que você:
- Proteja seus dados inativos, em trânsito e em uso da área de trabalho virtual do Azure.
- Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios.
- Implemente pontos de extremidade privados para as contas de armazenamento.
- Separe logicamente os dados críticos com controles de rede. Como contas de armazenamento separadas para pools de hosts diferentes e outras finalidades, como com compartilhamentos de arquivos com anexação de aplicativo MSIX.
- Use o Defender para Armazenamento a fim de automatizar a proteção contra ameaças.
Observação
Em alguns designs, o Azure NetApp Files é o serviço de armazenamento preferencial para perfis FSLogix para a área de trabalho virtual do Azure por meio de um compartilhamento PME. O Azure NetApp Files oferece recursos de segurança internos que incluem sub-redes delegadas e parâmetros de comparação de segurança.
Etapa 4: aplicar os princípios de confiança zero a VNets de hub e spoke da área de trabalho virtual do Azure
Uma VNet de hub é um ponto central de conectividade para várias redes virtuais spoke. Implemente as etapas em Aplicar princípios de confiança zero a uma rede virtual de hub no Azure para a VNet de hub que está sendo usada para filtrar o tráfego de saída dos hosts da sessão.
Uma VNet spoke isola a carga de trabalho da área de trabalho virtual do Azure e contém as máquinas virtuais do host da sessão. Implemente as etapas em Aplicar princípios de confiança zero à rede virtual spoke no Azure para a VNet spoke que contém o host da sessão/máquinas virtuais.
Isole pools de hosts diferentes em VNets separadas usando NSG com a URL necessária para a área de trabalho virtual do Azure para cada sub-rede. Ao implantar os pontos de extremidade privados, coloque-os na sub-rede apropriada na VNet com base em sua função.
O Firewall do Azure ou um firewall de solução de virtualização de rede (NVA) pode ser usado para controlar e restringir o tráfego de saída dos hosts da sessão da área de trabalho virtual do Azure. Use as instruções aqui do Firewall do Azure para proteger hosts da sessão. Força o tráfego através do firewall com Rotas definidas pelo usuário (UDRs) vinculadas à sub-rede do pool de host. Verifique a lista completa de URLs da área de trabalho virtual do Azure necessárias para configurar seu firewall. O Firewall do Azure fornece uma marca de FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração.
Etapa 5: aplicar os princípios de confiança zero aos hosts da sessão da área de trabalho virtual do Azure
Os hosts da sessão são máquinas virtuais executadas dentro de uma VNet spoke. Implemente as etapas em Aplicar princípios de confiança zero a máquinas virtuais no Azure para as máquinas virtuais que estão sendo criadas para os hosts da sessão.
Os pools de host devem ter unidades organizacionais (UOs) separadas se forem gerenciados por políticas de grupo nos Active Directory Domain Services (AD DS).
O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. Você pode usar o Microsoft Defender para Ponto de Extremidade para hosts de sessão. Para ver mais informações, consulte Dispositivos de Virtual Desktop Infrastructure (VDI).
Etapa 6: implantar segurança, governança e conformidade na área de trabalho virtual do Azure
O serviço de área de trabalho virtual do Azure permite que você use o link privado do Azure para se conectar de forma privada aos seus recursos, criando pontos de extremidade privados.
A área de trabalho virtual do Azure tem recursos de segurança avançados internos para proteger hosts da sessão. No entanto, consulte os seguintes artigos para melhorar as defesas de segurança do seu ambiente de área de trabalho virtual do Azure e hosts da sessão:
- Práticas recomendadas de segurança da Área de Trabalho Virtual do Azure
- Linha de base de segurança do Azure para a área de trabalho virtual do Azure
Além disso, veja as principais considerações e recomendações de design para segurança, governança e conformidade nas zonas de destino da área de trabalho virtual do Azure, de acordo com a Cloud Adoption Framework da Microsoft.
Etapa 7: implantar o gerenciamento e o monitoramento seguros na área de trabalho virtual do Azure
O gerenciamento e o monitoramento contínuo são importantes para garantir que seu ambiente de área de trabalho virtual do Azure não esteja envolvido em comportamento mal-intencionado. Use os Insights da área de trabalho virtual do Azure para registrar dados e relatar dados de uso e diagnóstico.
Veja estes artigos adicionais:
- Analise as recomendações do Assistente do Azure para a área de trabalho virtual do Azure.
- Use o Microsoft Intune para gerenciamento de políticas granulares ou gerenciamento de política de grupo.
- Analise e defina Propriedades RDP para configurações granulares em um nível de pool de host.
Treinamento recomendado
Proteger uma implantação da área de trabalho virtual do Azure
| Treinamento | Proteger uma implantação da área de trabalho virtual do Azure |
|---|---|
|
Saiba mais sobre os recursos de segurança da Microsoft que ajudam a manter seus aplicativos e dados seguros na implantação da área de trabalho virtual do Microsoft Azure. |
Proteger sua implantação da área de trabalho virtual do Azure usando o Azure
| Treinamento | Proteger sua implantação da área de trabalho virtual do Azure usando o Azure |
|---|---|
|
Implante o Firewall do Azure, trace a rota de todo o tráfego de rede pelo Firewall do Azure e configure regras. Encaminhar o tráfego de rede de saída do pool de hosts da Área de Trabalho Virtual do Azure para o serviço por meio do Firewall do Azure. |
Gerenciar o acesso e a segurança da área de trabalho virtual do Azure
| Treinamento | Gerenciar o acesso e a segurança da área de trabalho virtual do Azure |
|---|---|
|
Saiba como planejar e implementar funções do Azure para a Área de Trabalho Virtual do Azure e implementar políticas de acesso condicional para conexões remotas. Este roteiro de aprendizagem está alinhado com o exame AZ-140: configurar e operar a Área de Trabalho Virtual do Microsoft Azure. |
Design de perfis e identidades de usuário
| Treinamento | Design de perfis e identidades de usuário |
|---|---|
|
Os usuários precisam de acesso a esses aplicativos localmente e na nuvem. Você usa o cliente Área de Trabalho Remota da Área de Trabalho do Windows para acessar aplicativos e áreas de trabalho remotamente de um dispositivo Windows diferente. |
Para obter mais treinamento sobre segurança no Azure, veja estes recursos no catálogo da Microsoft:
Segurança no Azure
Próximas etapas
Consulte estes artigos adicionais para aplicar os princípios de confiança zero ao Azure:
- Visão geral da IaaS do Azure
- WAN Virtual do Azure
- Aplicativos IaaS no Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Ilustrações técnicas
Você pode fazer o download das ilustrações usadas neste artigo. Use o arquivo do Visio para modificar essas ilustrações para seu próprio uso.
Para ilustrações técnicas adicionais, clique aqui.
Referências
Consulte os links abaixo para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
- O que é o Azure — Serviços em nuvem da Microsoft
- IaaS (infraestrutura como serviço) do Azure
- Máquinas Virtuais (VMs) para Linux e Windows
- Introdução ao armazenamento do Azure — Armazenamento em nuvem no Azure
- Rede Virtual do Azure
- Introdução à segurança do Azure
- Diretrizes de implementação de Confiança Zero
- Visão geral do Microsoft Cloud Security Benchmark
- Visão geral das linhas de base de segurança do Azure
- Criar a primeira camada de defesa com os serviços de segurança do Azure — Centro de Arquitetura do Azure
- Arquiteturas de Referência de Segurança Cibernética da Microsoft — Documentação de segurança
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de