Безопасность, управление и соответствие требованиям в сценарии корпоративного уровня для виртуальных рабочих столов Windows

В этой статье рассматриваются ключевые вопросы проектирования и рекомендации по обеспечению безопасности, управлению и соответствию требованиям в архитектуре корпоративных зон корпоративного уровня в инфраструктуре внедрения для виртуальных рабочих столов Windows.

Как и в случае с любой службой ИТ, важно создать среду для масштабирования, защиты и обеспечения простой и эффективной работы в среде. Хотя служба виртуальных рабочих столов Windows выполняет большую часть работы с внешними интерфейсами, вам по-прежнему нужны механизмы контроля для защиты систем и данных. Также необходимы процессы для постоянного просмотра этих элементов управления, изменения отчетов и, при необходимости, исправления. В конце этой статьи вы узнаете о важных областях проектирования для обеспечения безопасности, управления и соответствия требованиям, а также получите четкое руководство по рекомендациям Майкрософт в каждой области.

В большинстве случаев виртуальный рабочий стол Windows развертывается в целевой зоне как часть платформы внедрения Microsoft Cloud для Azure. Корпорация Майкрософт рекомендует ознакомиться с инфраструктурой внедрения облачных технологий, чтобы убедиться в том, что в вашей среде предусмотрена правильная основа для управления безопасностью, соответствием, управлением и затратами.

Рекомендации по проектированию

  • Удостоверение: Решите средство для многофакторной проверки подлинности и условного доступа для удостоверений пользователей. Для виртуальных рабочих столов Windows, как и для большинства рабочих нагрузок в Azure, удостоверение является границей безопасности. Удостоверение пользователя — это центральный механизм доступа пользователей к настольным компьютерам, приложениям и данным компании. Рекомендуется защищать учетные данные пользователя во время входа с многофакторной проверкой подлинности и условным доступом.
  • Журналы аудита: Журналы аудита и виртуальные машины Azure критически важны для устранения неполадок при возникновении проблем, но также являются средством обеспечения безопасности для среды виртуальных рабочих столов Windows. Какие средства используются для сбора журналов безопасности или производительности на виртуальной машине? Журналы аудита для виртуальных рабочих столов Windows хранятся в Центральной рабочей области журналов Azure Monitor или в изолированной рабочей области журналов Azure Monitor, выделенной для виртуальных рабочих столов Windows? Также рассмотрите возможность использования средства Partner для анализа журналов на предмет шаблонов безопасности или других потребностей в отчетности. Какие средства используются для сбора журналов безопасности или производительности в виртуальной машине?
  • Соответствие требованиям: Почти все организации должны соответствовать государственным нормативным или отраслевым нормам. Важно проверить эти политики в соответствии с группой соответствия требованиям и получить правильные элементы управления для целевой зоны виртуальных рабочих столов Windows. Вам могут потребоваться элементы управления для конкретных политик, таких как платежная карта промышленный стандарт безопасности данных (PCI DSS) или Закон о доходе и отчетности страхования 1996 (HIPAA).
  • Определенные роли: Определенные административные, операционные и инженерные роли в организации играют значительную часть в определении повседневных операций в среде виртуальных рабочих столов Windows. Знание того, какая группа отвечает за область, поможет определить роли и конфигурацию управления доступом на основе ролей (RBAC) Azure. Обязательно ознакомьтесь с разделом Управление удостоверениями и доступом для получения дополнительных сведений. Рассмотрите возможность создания матрицы RACI, чтобы определить, кто владеет каждой обязанностью, а затем создает элементы управления в структуре группы управления облачной инфраструктуры внедрения.
  • Средства аудита безопасности: Какие средства и методы используются для непрерывного сканирования и анализа среды для аудита безопасности и уязвимостей?
  • Обновления программного обеспечения: Определите стратегию непрерывных операций для обеспечения актуальности окон и приложений.
  • Шифрование дисков: Есть ли у вас нормативные или внутренние требования к безопасности для управления и поддержания собственных ключей для шифрования неактивных виртуальных машин? Допустимы ли ключи для шифрования Azure Key Vault? Требуется ли расширенное аппаратное шифрование или шифрование гостевой ОС, например BitLocker? Как будут шифроваться данные при хранении или передаче данных?
  • Защита данных: Как будут защищаться данные на виртуальных машинах? Для защиты данных можно использовать такие средства, как Azure Information Protection . Рекомендуется использовать средства защиты от вредоносных программ.
  • Теги службы: Тег службы представляет группу префиксов IP-адресов для службы Azure. Корпорация Майкрософт управляет префиксами адресов и автоматически обновляет теги при изменении адресов, что упрощает частые обновления правил сетевой безопасности. Иногда необходимо иметь дополнительные теги в среде виртуальных рабочих столов Windows для таких областей, как "гибкое", "Аудит безопасности", "отчеты" и "оповещения".
  • Политики: Политики для управления средой виртуальных рабочих столов Windows должны быть определены в структуре платформы облачной инфраструктуры внедрения. Включает политики, относящиеся к безопасности, элементам управления RBAC, нормативным требованиям и типам ресурсов, которые могут быть развернуты.
  • Организация группы ресурсов: Упорядочите группы ресурсов, чтобы упростить управление и предотвратить случайное удаление, а также определить, кто может управлять вашей средой.

Рекомендации по проектированию

  • Многофакторная проверка подлинности: Многофакторная проверка подлинности для всех пользователей необходима для защиты настольных компьютеров и данных Организации. Используйте многофакторную проверку подлинности в Azure Active Directory или в партнерской многофакторной идентификации.
  • Условный доступ: Условный доступ позволяет управлять рисками при предоставлении доступа пользователям в среде виртуальных рабочих столов Windows. Прежде чем приступить к предоставлению доступа пользователю, подумайте, кто является пользователем, как он входит в систему и какое устройство используется. См. статью что такое условный доступ Azure AD? обзор условного доступа и рекомендации.
  • Включить ведение журнала: Включите ведение журнала службы виртуальных рабочих столов Windows, ведение журнала пула узлов и ведение журнала рабочей области для всех объектов виртуальных рабочих столов Windows. Дополнительные сведения см. в статье использование log Analytics для компонента диагностики. Включите ведение журнала узла виртуальных рабочих столов Windows и ведение журнала производительности, как описано в разделе "Управление и мониторинг" архитектуры "Целевая зона виртуальных рабочих столов Windows".
  • Защита конечных точек: Корпорация Майкрософт настоятельно рекомендует использовать антивирусную программу следующего поколения для создания уровня защиты и механизма реагирования на угрозы. Примером является защитник Майкрософт для конечной точки. Она интегрирована с центром безопасности Azure для обеспечения анализа данных и использования искусственного интеллекта для упреждающего обеспечения безопасности. Другие требования безопасности, такие как защита сети, фильтрация веб-содержимого, уменьшение уязвимой зоны, базовые показатели безопасности для узлов виртуальных машин и управление уязвимостями угроз, должны быть частью разработки виртуальных рабочих столов Windows. Ссылки на рекомендации по безопасности узла виртуальных рабочих столов Windows см. в следующем разделе.
  • Information Protection Майкрософт: Включите и настройте Microsoft Information Protection для обнаружения, классификации и защиты конфиденциальных данных в любом месте.
  • Управление перенаправлением устройств: Включайте только те, которые необходимы конечным пользователям. Общие устройства для отключения включают ограничения на доступ к локальным жестким дискам, USB или порты. Ограничение перенаправления камеры и удаленной печати может помочь защитить данные компании. Отключите перенаправление буфера обмена, чтобы предотвратить копирование удаленного содержимого в конечные точки.
  • Средства политики: Используйте групповые политики и средства управления устройствами, такие как Intune и Microsoft Endpoint Configuration Manager, чтобы обеспечить полную безопасность и соответствие требованиям для настольных систем.
  • Управление исправлениями: Управление исправлениями является важной частью общей стратегии безопасности вашей среды. Для поддержки безопасных систем необходима соответствующая политика развертывания. Такие средства, как Microsoft Endpoint Configuration Manager и партнерские приложения, могут помочь в управлении исправлениями и обновлении систем.
  • Снимок экрана: Функция снимка экрана, если она включена, предотвращает запись сведений экрана на конечных точках клиента. Удаленное содержимое блокируется или скрывается на снимках экрана и на экранах, а также в программном обеспечении, которое захватывает содержимое экрана. Дополнительные сведения см. в разделе Включение защиты экрана.
  • Базовый план безопасности: Используйте базовые показатели безопасности в качестве отправной точки для обеспечения безопасности операционной системы Windows. Дополнительные сведения см. в разделе базовые показатели безопасности Windows.
  • Управление приложениями: Реализуйте Управление приложениями в Защитнике Windows и AppLocker, что позволяет организациям управлять драйверами и приложениями, которые могут работать на клиентах Windows 10.
  • Центр безопасности Azure: Включите центр безопасности, чтобы обеспечить соблюдение требований безопасности и оповещений в среде.
  • Microsoft Security Score: Оценка безопасности Майкрософт предоставляет рекомендации и рекомендации по повышению уровня безопасности и защите окружающей инфраструктуры с помощью документированных рекомендаций.
  • Шифрование дисков: Включите шифрование дисков Azure для виртуальных машин. По умолчанию этот параметр настроен с помощью ключей, предоставленных Azure. Во многих случаях такая конфигурация приемлема для групп безопасности и аудиторов. Однако если у вас есть рекомендации по безопасности или нормативные требования, требующие поддержки собственных ключей, можно реализовать эту методику для виртуальных машин виртуальных рабочих столов Windows.
  • Key Vault: Включите Key Vault, чтобы защитить учетные записи субъектов безопасности и ключи шифрования.
  • Рекомендации по обеспечению безопасности: Ознакомьтесь с рекомендациями по безопасности для виртуальных рабочих столов Windows в качестве отправной точки для обеспечения безопасности в вашей среде и реализуйте ее соответствующим образом.
  • Служба виртуальных рабочих столов Windows и маршрутизация и проверка трафика в Интернете: При использовании обратных подключений, встроенных в платформу виртуальных рабочих столов Windows, виртуальным машинам не требуется общедоступный IP-адрес. Виртуальные машины безопасно обмениваются данными с URL-адресами службы виртуальных рабочих столов Windows через порт 443. Рекомендуется включить брандмауэр Azure или устройство брандмауэра партнера для ведения журнала трафика, маршрутизации и (или) проверки. Также рекомендуется наличие фильтра веб-прокси для отслеживания и ведения журнала Интернет-трафика.
  • Метаданные виртуальных рабочих столов Windows: Хороший проект группы ресурсов для виртуальных рабочих столов Windows помогает защититься от случайного удаления объектов рабочей области и пула узлов, может разделять типы компьютеров ВИРТУАЛЬНЫХ машин и разрешать администраторам из разных отделов. За пределами инфраструктуры внедрения облачных технологий для RBAC, средств управления безопасностью и размещения целевой зоны является пример структуры группы ресурсов для виртуальных рабочих столов Windows.

Примечание

Эта структура должна дублироваться для каждого региона, развертываемого в.

    - Networking:  Generally created as part of the Cloud Adoption Framework Landing zone
    - Windows Virtual Desktop Service Objects:  Separate Windows Virtual Desktop Service Objects from Host Pool VMs.  Service objects include Workspaces, Host Pools and RemoteApp/Desktops App groups. Create a resource group for these objects.
    - Storage:  If not already created as part of Cloud Adoption Framework, create a resource group for storage accounts
    - Images:  Create a resource group for custom VM images
    - Host Pools:  Create a resource group for each host pool
    - Basic Structure
        - Subscription
            - rg-wu2-network-services
            - rg-wu2-wvd-storage
            - rg-wu2-wvd-service-objects
            - rg-wu2-wvd-images
            - rg-wu2-wvd-hostpool1
            - rg-wu2-wvd-hostpool2
            - rg-wu2-wvd-hostpool3

Безопасность операционной системы узла виртуальных рабочих столов Windows

Помимо ведения журнала уровня обслуживания для виртуальных рабочих столов Windows, администраторы должны иметь стратегию безопасности в гостевой операционной системе. Корпорация Майкрософт рекомендует следующие средства обеспечения безопасности:

Дополнительные сведения о рекомендациях виртуальных рабочих столов Windows см. в статье рекомендации по обеспечению безопасности узла сеансов. Подробный список рекомендаций по работе с виртуальными машинами Azure см. в статье рекомендации по безопасности для виртуальных машин в Azure.