Azure-säkerhetsbaslinje för Azure Virtual Desktop

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 till Azure Virtual Desktop. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för
Azure Virtual Desktop.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Virtual Desktop, och de som den globala vägledningen rekommenderas för ordagrant, har exkluderats. Information om hur Azure Virtual Desktop mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Säkerhetsbaslinje för Azure Virtual Desktop.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Du måste skapa eller använda ett befintligt virtuellt nätverk när du distribuerar virtuella datorer som ska registreras i Azure Virtual Desktop. Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras inom sitt eget virtuella nätverk och vara tillräckligt säkra med antingen en nätverkssäkerhetsgrupp eller Azure Firewall.

Använd adaptiva nätverkshärdningsfunktioner i Microsoft Defender för molnet för att rekommendera konfigurationer av nätverkssäkerhetsgrupper som begränsar portar och käll-IP-adresser med hänvisning till regler för extern nätverkstrafik.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på regler för nätverkssäkerhetsgrupper. För specifika väldefinierade program (till exempel en app med 3 nivåer) kan detta vara en mycket säker metod som "nekar som standard, tillåt efter undantag". Detta kanske inte skalas bra om du har många program och slutpunkter som interagerar med varandra. Du kan också använda Azure Firewall i situationer där central hantering krävs för ett stort antal företagssegment eller ekrar (i en nav-/ekertopologi).

För de nätverkssäkerhetsgrupper som är associerade med din virtuella dator (som ingår i Azure Virtual Desktop) undernät måste du tillåta utgående trafik till specifika slutpunkter.

Så här skapar du en nätverkssäkerhetsgrupp med säkerhetsregler: /azure/virtual-network/tutorial-filter-network-traffic

Så här distribuerar och konfigurerar du Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Ansvar: Kund

NS-2: Koppla ihop privata nätverk

Vägledning: Använd Azure ExpressRoute eller ett virtuellt privat Azure-nätverk för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet, erbjuder mer tillförlitlighet, snabbare hastigheter och kortare svarstider än vanliga Internetanslutningar.

För virtuella privata nätverk för punkt-till-plats och plats-till-plats kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av alternativ för virtuella privata nätverk och Azure ExpressRoute.

Använd peering för virtuella nätverk för att ansluta två eller flera virtuella nätverk tillsammans i Azure. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och stannar kvar i Azure-stamnätverket.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Skydda dina Azure Virtual Desktop-resurser mot attacker från externa nätverk, inklusive distribuerade överbelastningsattacker, programspecifika attacker, oönskad och potentiellt skadlig Internettrafik. Skydda dina tillgångar mot distribuerade överbelastningsattacker genom att aktivera DDoS-standardskydd på dina virtuella Azure-nätverk. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker relaterade till dina nätverksrelaterade resurser.

Azure Virtual Desktop är inte avsett att köra webbprogram och kräver inte att du konfigurerar ytterligare inställningar eller distribuerar extra nätverkstjänster för att skydda det mot externa nätverksattacker riktade mot webbprogram.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller för nätverkssäkerhetsgrupper eller en Azure Firewall som konfigurerats för dina Azure Virtual Desktop-resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel AzureVirtualDesktop) i lämpligt käll- eller målfält i en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Virtual Desktop använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Skyddet av Azure AD bör ha hög prioritet i organisationens säkerhetspraxis för molnet. Azure AD ger dig en identitetsskyddspoäng som hjälper dig att utvärdera identiteternas säkerhet i relation till Microsofts rekommendationer kring regelverk. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Azure AD stöder externa identiteter som gör att användare utan ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Virtual Desktop har stöd för Azure-hanterade identiteter för icke-mänskliga konton, till exempel tjänster eller automatisering. Vi rekommenderar att du använder funktionen Hanterad identitet i Azure i stället för att skapa ett kraftfullare mänskligt konto för att komma åt eller köra dina resurser.

Azure Virtual Desktop rekommenderar att du använder Azure Active Directory (Azure AD) för att skapa ett huvudnamn för tjänsten med begränsad behörighet på resursnivå för att konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter. I båda fallen kan Azure Key Vault användas tillsammans med hanterade Azure-identiteter, så att körningsmiljön (till exempel en Azure-funktion) kan hämta autentiseringsuppgifterna från nyckelvalvet.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Virtual Desktop använder Azure Active Directory (Azure AD) för att tillhandahålla identitets- och åtkomsthantering till Azure-resurser, molnprogram och lokala program. I det här ingår företagsidentiteter som anställda samt externa identiteter som partner, och leverantörer. På så sätt kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser både lokalt och i molnet. Anslut alla användare, program och enheter till Azure AD för sömlös säker åtkomst med bättre synlighet och kontroll.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Azure Virtual Desktop använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga.

Använd Azure AD åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton.

Dessutom kan Azure Privileged Identity Management också konfigureras för att varna när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade och isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller, till exempel administratörer, utvecklare och kritiska tjänstoperatorer. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter.

Använd Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. Den skyddade arbetsstationen kan hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer, begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Virtual Desktop är integrerat med rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, gruppera tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller frågas via verktyg som Azure CLI, Azure PowerShell eller Azure-portalen.

De behörigheter som du tilldelar resurser med Azure RBAC bör alltid begränsas till de som krävs av rollerna. Detta kompletterar JIT-metoden (just-in-time) för Privileged Identity Management (PIM), med Azure Active Directory (Azure AD) och bör granskas regelbundet.

Dessutom kan du använda inbyggda roller för att allokera behörigheter och bara skapa anpassade roller när det behövs.

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: I supportscenarier där Microsoft behöver åtkomst till kunddata har Azure Virtual Desktop stöd för Customer Lockbox för att tillhandahålla ett gränssnitt som du kan använda för att granska och godkänna eller avvisa begäranden om åtkomst till kunddata.

Ansvar: Delad

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märk upp känsliga data

Vägledning: Identifiera, klassificera och märka känsliga data så att du kan utforma lämpliga kontroller. Detta för att säkerställa att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.

Använd Azure Information Protection (och dess associerade genomsökningsverktyg) för känslig information i Office-dokument på Azure, lokalt, Office 365 och andra platser.

Du kan använda Azure SQL-Information Protection för att hjälpa till med klassificering och märkning av information som lagras i Azure SQL-databaser.

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av Azure Role Based Access Control (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering i SQL och andra databaser).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll justeras mot din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

Microsoft behandlar allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Ansvar: Kund

DP-3: Övervaka för obehörig överföring av känsliga data

Riktlinjer: Övervaka för att upptäcka obehörig överföring av data till platser som företag inte kan se och kontrollera. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.

ATP-funktioner (Advanced Threat Protection) med både Azure Storage och Azure SQL ATP kan avisera om avvikande överföring av information, vilket anger vad som kan vara obehöriga överföringar av känslig information.

Azure Information Protection (AIP) innehåller övervakningsfunktioner för information som har klassificerats och märkts.

Använd lösningar för dataförlustskydd, till exempel värdbaserade, för att framtvinga detektiv- och/eller förebyggande kontroller för att förhindra dataexfiltrering.

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out of band"-attacker (t.ex. trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Windows Virtual Desktop stöder datakryptering under överföring med transportnivåsäkerhet (TLS) v1.2 eller senare. Även om detta är valfritt i privata nätverk är det viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. All fjärrhantering, uppgifter bör utföras via SSH (Secure Shell) för Linux eller med Remote Desktop Protocol (RDP) över TLS (för Windows) i stället för ett okrypterat protokoll.

Alla föråldrade SSL-, TLS- och SSH-versioner och protokoll samt svaga chiffer bör inaktiveras. Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Microsoft

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Windows Virtual Desktop vilande data för att skydda mot "out of band"-attacker, till exempel åtkomst till underliggande lagring. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Ytterligare behörigheter kan krävas för insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på Virtual Machines. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

AM-6: Använd endast godkända program i beräkningsresurser

Vägledning: Använd Inventering av virtuella Azure-datorer för att automatisera insamlingen av information om all programvara på virtuella datorer. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar Windows-händelseloggarna till en Log Analytics-arbetsyta.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet och aktivera Microsoft Defender (formellt Azure Advanced Threat Protection) för dina Azure Virtual Desktop-resurser. Microsoft Defender för Azure Virtual Desktop innehåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Azure Virtual Desktop-resurser.

Vidarebefordra loggar från Azure Virtual Desktop till din SIEM-lösning (Security Information Event Management) som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller annan säkerhetsinformation och händelsehantering (SIEM) eller övervakningsverktyg för ytterligare avancerade användningsfall för övervakning och analys:

  • Inloggning – Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

  • Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är de resursändringar som görs i Azure AD, som att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfylld inloggning – En riskfylld inloggning är en indikator för ett inloggningsförsök som kan ha utförts av någon som inte är legitim ägare till ett användarkonto.

  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också varna om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök och inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan hotskyddsmodulen i Microsoft Defender för molnet också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du få insyn i kontoavvikelser i de enskilda resurserna.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Azure Virtual Desktop skapar eller bearbetar inte DNS-frågeloggar (Domain Name Service). Resurser som är registrerade i tjänsten kan dock skapa flödesloggar.

Aktivera och samla in resurs- och flödesloggar för nätverkssäkerhetsgrupper, Azure Firewall loggar och Web Application Firewall-loggar (WAF) för säkerhetsanalys för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar, som aktiveras automatiskt, innehåller alla skrivåtgärder (PUT, POST, DELETE) för dina Azure Virtual Desktop-resurser förutom läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Ansvar: Delad

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, de verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig och arkiveringslagring.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en händelsehantering för säkerhetsinformation från tredje part (SIEM). Många organisationer väljer att använda Microsoft Sentinel för "heta" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar med mera.

Du kan använda anpassade operativsystemavbildningar eller Azure Automation State-konfiguration för att upprätta säkerhetskonfigurationen för operativsystemet som krävs av din organisation.

Ansvar: Kund

PV-4: Upprätthålla säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att regelbundet utvärdera och åtgärda konfigurationsrisker för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar med mera. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State Configuration för att upprätthålla säkerhetskonfigurationen för det operativsystem som krävs av din organisation. Mallarna för virtuella Microsoft-datorer i kombination med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Azure Marketplace Avbildningar av virtuella datorer som publiceras av Microsoft hanteras och underhålls av Microsoft.

Microsoft Defender för molnet kan också genomsöka sårbarheter i containeravbildningen och utföra kontinuerlig övervakning av Docker-konfigurationen i containrar mot Docker-benchmark för Center Internet Security. Du kan använda rekommendationer för Microsoft Defender för molnet för att visa rekommendationer och åtgärda problem.

Ansvar: Kund

PV-5: Lagra anpassade operativsystem och containeravbildningar på ett säkert sätt

Vägledning: Med Azure Virtual Desktop kan kunder hantera operativsystemavbildningar. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar. Använd en Azure-Shared Image Gallery du kan dela dina bilder med olika användare, tjänstens huvudnamn eller Active Directory-grupper i din organisation. Lagra containeravbildningar i Azure Container Registry och använd RBAC för att säkerställa att endast behöriga användare har åtkomst.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Med Azure Virtual Desktop kan du distribuera dina egna virtuella datorer och registrera dem i tjänsten samt köra SQL-databasen i miljön.

Azure Virtual Desktop kan använda en lösning från tredje part för att utföra sårbarhetsbedömningar på nätverksenheter och webbprogram. När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt, administrativt konto. Överväg att implementera JIT-etableringsmetodik för genomsökningskontot. Autentiseringsuppgifter för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer (och SQL-servrar). Microsoft Defender för molnet har en inbyggd sårbarhetsskanner för virtuella datorer, containeravbildningar och SQL-databas.

Vid behov exporterar du genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats. När du använder rekommendationer för sårbarhetshantering som föreslås av Microsoft Defender för molnet kan du pivotera till den valda lösningens portal för att visa historiska genomsökningsdata.

Ansvar: Kund

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Azure Virtual Desktop använder eller kräver ingen programvara från tredje part. Med Azure Virtual Desktop kan du dock distribuera dina egna virtuella datorer och registrera dem i tjänsten.

Använd Azure Automation Uppdateringshantering eller en tredjepartslösning för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows Server-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och ställts in på att uppdateras automatiskt.

Använd en korrigeringshanteringslösning från tredje part för programvara från tredje part eller System Center Uppdateringar Publisher för Configuration Manager.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-1: Använd Slutpunktsidentifiering och svar (EDR)

Vägledning: Azure Virtual Desktop tillhandahåller inga specifika funktioner för processer för slutpunktsidentifiering och svar (EDR). Men resurser som är registrerade i tjänsten kan dra nytta av funktioner för slutpunktsidentifiering och svar.

Aktivera funktioner för slutpunktsidentifiering och svar för servrar och klienter och integrera dem med siem-lösningar (säkerhetsinformation och händelsehantering) och säkerhetsprocesser.

Advanced Threat Protection från Microsoft Defender tillhandahåller funktioner för slutpunktsidentifiering och svar som en del av en säkerhetsplattform för företagsslutpunkter för att förhindra, identifiera, undersöka och svara på avancerade hot.

Ansvar: Kund

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Skydda dina Azure Virtual Desktop-resurser med en centralt hanterad och modern lösning för skydd mot skadlig kod som kan användas i realtid och periodisk genomsökning.

Microsoft Defender för molnet kan automatiskt identifiera användningen av ett antal populära lösningar mot skadlig kod för dina virtuella datorer och rapportera statusen för slutpunktsskydd som körs och ge rekommendationer.

Microsoft Antimalware för Azure Cloud Services är standardprogrammet mot skadlig kod för virtuella Windows-datorer (VM). Du kan också använda hotidentifiering med Microsoft Defender för molnet för datatjänster för att identifiera skadlig kod som laddats upp till Azure Storage-konton.

Ansvar: Kund

ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras

Vägledning: Se till att signaturer mot skadlig kod uppdateras snabbt och konsekvent.

Följ rekommendationerna i Microsoft Defender för molnet: "Compute & Apps" för att säkerställa att alla virtuella datorer och/eller containrar är uppdaterade med de senaste signaturerna.

Microsoft Antimalware installerar automatiskt de senaste signaturerna och motoruppdateringarna som standard.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Se till att du säkerhetskopierar system och data för att upprätthålla affärskontinuitet efter en oväntad händelse. Detta bör vara vägledning för alla mål för mål för återställningspunkt (RPO) och mål för återställningstid (RTO).

Aktivera Azure Backup och konfigurera säkerhetskopieringskällan (till exempel virtuella Azure-datorer, SQL Server, HANA-databaser eller filresurser), samt önskad frekvens och kvarhållningsperiod.

För en högre redundansnivå kan du aktivera geo-redundant lagringsalternativ för att replikera säkerhetskopierade data till en sekundär region och återställa med återställning mellan regioner.

Ansvar: Kund

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Se till att dina säkerhetskopior skyddas mot attacker. Detta bör omfatta kryptering av säkerhetskopior för att skydda mot förlust av konfidentialitet.

För vanlig säkerhetskopiering av Azure-tjänsten krypteras säkerhetskopieringsdata automatiskt med hjälp av Plattformshanterade Azure-nycklar. Du kan välja att kryptera säkerhetskopian med hjälp av en kundhanterad nyckel. I det här fallet kontrollerar du att den här kundhanterade nyckeln i nyckelvalvet också finns i säkerhetskopieringsomfånget.

Använd rollbaserad åtkomstkontroll i Azure Backup, Azure Key Vault eller andra resurser för att skydda säkerhetskopior och kundhanterade nycklar. Dessutom kan du aktivera avancerade säkerhetsfunktioner för att kräva multifaktorautentisering innan säkerhetskopior kan ändras eller tas bort.

Översikt över säkerhetsfunktioner i Azure Backup /azure/backup/security-overview

Ansvar: Kund

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Vi rekommenderar att du regelbundet verifierar dataintegriteten på säkerhetskopieringsmedia genom att utföra en dataåterställningsprocess för att säkerställa att säkerhetskopieringen fungerar korrekt.

Ansvar: Kund

Nästa steg