Použití principů nulová důvěra (Zero Trust) pro nasazení služby Azure Virtual Desktop
Tento článek obsahuje postup použití principů nulová důvěra (Zero Trust) na nasazení služby Azure Virtual Desktop následujícími způsoby:
| princip nulová důvěra (Zero Trust) | Definice | Met by |
|---|---|---|
| Explicitní ověření | Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. | Ověřte identity a koncové body uživatelů služby Azure Virtual Desktop a zabezpečený přístup k hostitelům relací. |
| Použití nejméně privilegovaného přístupu | Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. |
|
| Předpokládat porušení zabezpečení | Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. |
|
Další informace o použití principů nulová důvěra (Zero Trust) v prostředí Azure IaaS najdete v přehledu Použití principů nulová důvěra (Zero Trust) v Azure IaaS.
Referenční architektura
V tomto článku používáme následující referenční architekturu centra a paprsku k předvedení běžně nasazeného prostředí a způsobu použití principů nulová důvěra (Zero Trust) pro Azure Virtual Desktop s přístupem uživatelů přes internet. Kromě privátního přístupu přes spravovanou síť pomocí zkratky RDP pro Azure Virtual Desktop se podporuje také architektura Azure Virtual WAN.
Prostředí Azure pro Azure Virtual Desktop zahrnuje:
| Komponenta | Popis |
|---|---|
| A | Služby Azure Storage pro profily uživatelů služby Azure Virtual Desktop |
| T | Virtuální síť centra připojení. |
| C | Paprsková virtuální síť s relacemi Azure Virtual Desktopu hostuje úlohy založené na virtuálních počítačích. |
| D | Řídicí rovina služby Azure Virtual Desktop. |
| E | Rovina správy služby Azure Virtual Desktop. |
| F | Závislé služby PaaS, včetně Microsoft Entra ID, Microsoft Defenderu pro cloud, řízení přístupu na základě role (RBAC) a Azure Monitoru |
| G | Galerie výpočetních prostředků Azure |
Uživatelé nebo správci, kteří přistupují k prostředí Azure, můžou pocházet z internetu, umístění kanceláře nebo místních datacenter.
Referenční architektura odpovídá architektuře popsané v cílové zóně na podnikové úrovni pro architekturu přechodu na cloud Azure Virtual Desktop .
Logická architektura
V tomto diagramu je infrastruktura Azure pro nasazení služby Azure Virtual Desktop obsažená v tenantovi Microsoft Entra ID.
Prvky logické architektury jsou:
Předplatné Azure pro službu Azure Virtual Desktop
Prostředky můžete distribuovat ve více než jednom předplatném, kde každé předplatné může obsahovat různé role, například předplatné sítě nebo předplatné zabezpečení. Toto je popsáno v rámci architektury přechodu na cloud a v cílové zóně Azure. Různá předplatná můžou obsahovat také různá prostředí, jako jsou produkční, vývojová a testovací prostředí. Záleží na tom, jak chcete oddělit prostředí a počet prostředků, které máte v každém z nich. Jedno nebo více předplatných je možné spravovat společně pomocí skupiny pro správu. Díky tomu můžete používat oprávnění s RBAC a zásadami Azure pro skupinu předplatných místo individuálního nastavení jednotlivých předplatných.
Skupina prostředků Azure Virtual Desktopu
Skupina prostředků Azure Virtual Desktopu izoluje trezory klíčů, objekty služby Azure Virtual Desktop a privátní koncové body.
Skupina prostředků úložiště
Skupina prostředků úložiště izoluje privátní koncové body a sady dat služby Azure Files.
Skupina prostředků hostitelů relací virtuálních počítačů
Vyhrazená skupina prostředků izoluje virtuální počítače pro své relace hostitelem virtuálních počítačů, sady šifrování disků a skupiny zabezpečení aplikace.
Skupina prostředků paprskové virtuální sítě
Vyhrazená skupina prostředků izoluje paprskové prostředky virtuální sítě a skupinu zabezpečení sítě, kterou můžou spravovat specialisté na sítě ve vaší organizaci.
Co je v tomto článku?
Tento článek vás provede postupem použití principů nulová důvěra (Zero Trust) v referenční architektuře Azure Virtual Desktopu.
| Krok | Úloha | nulová důvěra (Zero Trust) použité zásady |
|---|---|---|
| 0 | Zabezpečení identit pomocí nulová důvěra (Zero Trust) | Explicitní ověření |
| 2 | Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust) | Explicitní ověření |
| 3 | Použití principů nulová důvěra (Zero Trust) na prostředky úložiště Služby Azure Virtual Desktop | Explicitní ověření Použití nejméně privilegovaného přístupu Předpokládat porušení zabezpečení |
| 4 | Použijte principy nulová důvěra (Zero Trust) pro hvězdicové virtuální sítě Azure Virtual Desktopu. | Explicitní ověření Použití nejméně privilegovaného přístupu Předpokládat porušení zabezpečení |
| 5 | Použití principů nulová důvěra (Zero Trust) na hostitele relace služby Azure Virtual Desktop | Explicitní ověření Použití nejméně privilegovaného přístupu Předpokládat porušení zabezpečení |
| 6 | Nasaďte do služby Azure Virtual Desktop zabezpečení, zásady správného řízení a dodržování předpisů. | Předpokládat porušení zabezpečení |
| 7 | Nasaďte zabezpečenou správu a monitorování do Služby Azure Virtual Desktop. | Předpokládat porušení zabezpečení |
Krok 1: Zabezpečení identit pomocí nulová důvěra (Zero Trust)
Použití principů nulová důvěra (Zero Trust) pro identity používané ve službě Azure Virtual Desktop:
- Azure Virtual Desktop podporuje různé typy identit. Informace v zabezpečení identity s nulová důvěra (Zero Trust) použijte k zajištění toho, aby zvolené typy identit dodržovaly nulová důvěra (Zero Trust) principy.
- Vytvořte vyhrazený uživatelský účet s nejnižšími oprávněními pro připojení hostitelů relací ke službě Microsoft Entra Domain Services nebo doméně SLUŽBY AD DS během nasazování hostitele relace.
Krok 2: Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust)
Koncové body jsou zařízení, přes která uživatelé přistupují k prostředí služby Azure Virtual Desktop a k hostitelským virtuálním počítačům relace. Postupujte podle pokynů v přehledu integrace koncového bodu a použijte Microsoft Defender for Endpoint a Microsoft Endpoint Manager, abyste zajistili, že vaše koncové body vyhovují vašim požadavkům na zabezpečení a dodržování předpisů.
Krok 3: Použití principů nulová důvěra (Zero Trust) na prostředky úložiště Služby Azure Virtual Desktop
Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro úložiště v Azure pro prostředky úložiště používané v nasazení služby Azure Virtual Desktop. Tímto postupem zajistíte následující:
- Zabezpečte neaktivní uložená data služby Azure Virtual Desktop, přenášená a užitá.
- Ověřte uživatele a kontrolujte přístup k datům úložiště s nejnižšími oprávněními.
- Implementujte privátní koncové body pro účty úložiště.
- Logicky oddělte důležitá data pomocí síťových ovládacích prvků. Například samostatné účty úložiště pro různé fondy hostitelů a jiné účely, jako je připojení sdílených složek aplikace MSIX.
- K automatizované ochraně před hrozbami použijte Defender for Storage.
Poznámka:
V některých návrzích je azure NetApp files zvolenou službou úložiště pro profily FSLogix pro Azure Virtual Desktop prostřednictvím sdílené složky SMB. Azure NetApp Files poskytuje integrované funkce zabezpečení, které zahrnují delegované podsítě a srovnávací testy zabezpečení.
Krok 4: Použití principů nulová důvěra (Zero Trust) pro hvězdicové virtuální sítě Azure Virtual Desktopu
Virtuální síť centra je centrálním bodem připojení pro více paprskových virtuálních sítí. Implementujte kroky v části Použití principů nulová důvěra (Zero Trust) pro virtuální síť centra v Azure pro virtuální síť centra, která se používá k filtrování odchozího provozu z hostitelů relací.
Paprsková virtuální síť izoluje úlohu Služby Azure Virtual Desktop a obsahuje virtuální počítače hostitele relace. Implementujte kroky uvedené v tématu Použití principů nulová důvěra (Zero Trust) pro paprskovou virtuální síť v Azure pro paprskovou virtuální síť, která obsahuje hostitele relace nebo virtuální počítače.
Izolujte různé fondy hostitelů v samostatných virtuálních sítích pomocí skupiny zabezpečení sítě s požadovanou adresou URL potřebnou pro Azure Virtual Desktop pro každou podsíť. Při nasazování privátních koncových bodů je umístíte do příslušné podsítě ve virtuální síti na základě jejich role.
Bránu firewall Azure nebo bránu firewall síťového virtuálního zařízení (NVA) je možné použít k řízení a omezení odchozího provozu hostitelů relací služby Azure Virtual Desktop. Pokyny pro azure Firewall použijte k ochraně hostitelů relací. Vynuťte provoz přes bránu firewall s trasami definovanými uživatelem propojenými s podsítí fondu hostitelů. Projděte si úplný seznam požadovaných adres URL služby Azure Virtual Desktop ke konfiguraci brány firewall. Azure Firewall poskytuje značku plně kvalifikovaného názvu domény služby Azure Virtual Desktop pro zjednodušení této konfigurace.
Krok 5: Použití principů nulová důvěra (Zero Trust) u hostitelů relací služby Azure Virtual Desktop
Hostitelé relací jsou virtuální počítače, které běží uvnitř paprskové virtuální sítě. Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro virtuální počítače v Azure pro virtuální počítače vytvořené pro hostitele relací.
Fondy hostitelů by měly mít oddělené organizační jednotky (OU), pokud jsou spravované zásadami skupiny ve službě Doména služby Active Directory Services (AD DS).
Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Microsoft Defender for Endpoint můžete použít pro hostitele relací. Další informace najdete v tématu Zařízení infrastruktury virtuálních klientských počítačů (VDI).
Krok 6: Nasazení zabezpečení, zásad správného řízení a dodržování předpisů do služby Azure Virtual Desktop
Služba Azure Virtual Desktop umožňuje používat Službu Azure Private Link k privátnímu připojení k vašim prostředkům vytvořením privátních koncových bodů.
Azure Virtual Desktop má integrované pokročilé funkce zabezpečení pro ochranu hostitelů relací. V následujících článcích se ale dozvíte, jak zlepšit ochranu zabezpečení prostředí Azure Virtual Desktopu a hostitelů relací:
- Osvědčené postupy zabezpečení služby Azure Virtual Desktop
- Standardní hodnoty zabezpečení Azure pro Azure Virtual Desktop
Kromě toho se podívejte na klíčové aspekty návrhu a doporučení týkající se zabezpečení, zásad správného řízení a dodržování předpisů v cílových zónách Azure Virtual Desktopu v souladu s architekturou přechodu na cloud od Microsoftu.
Krok 7: Nasazení zabezpečené správy a monitorování do služby Azure Virtual Desktop
Správa a průběžné monitorování jsou důležité, aby se zajistilo, že vaše prostředí Služby Azure Virtual Desktop se nebude zabývat škodlivým chováním. Pomocí Azure Virtual Desktop Insights můžete protokolovat data a hlásit diagnostická data a data o využití.
Podívejte se na tyto další články:
- Projděte si doporučení azure Advisoru pro Azure Virtual Desktop.
- K podrobné správě zásad použijte Microsoft Intune .
- Zkontrolujte a nastavte vlastnosti protokolu RDP pro podrobná nastavení na úrovni fondu hostitelů.
Doporučené školení
Zabezpečení nasazení služby Azure Virtual Desktop
| Školení | Zabezpečení nasazení služby Azure Virtual Desktop |
|---|---|
|
Přečtěte si o možnostech zabezpečení Microsoftu, které pomáhají zabezpečit vaše aplikace a data v nasazení služby Microsoft Azure Virtual Desktop. |
Ochrana nasazení služby Azure Virtual Desktop pomocí Azure
| Školení | Ochrana nasazení služby Azure Virtual Desktop pomocí Azure |
|---|---|
|
Nasaďte Azure Firewall, směrujte veškerý síťový provoz přes Azure Firewall a nakonfigurujte pravidla. Směrování odchozího síťového provozu z fondu hostitelů Služby Azure Virtual Desktop do služby prostřednictvím služby Azure Firewall |
Správa přístupu a zabezpečení pro Azure Virtual Desktop
| Školení | Správa přístupu a zabezpečení pro Azure Virtual Desktop |
|---|---|
|
Naučte se plánovat a implementovat role Azure pro Azure Virtual Desktop a implementovat zásady podmíněného přístupu pro vzdálená připojení. Tento studijní program je v souladu se zkouškou AZ-140: Konfigurace a provoz služby Microsoft Azure Virtual Desktop. |
Návrh pro identity a profily uživatelů
| Školení | Návrh pro identity a profily uživatelů |
|---|---|
|
Vaši uživatelé vyžadují přístup k těmto aplikacím místně i v cloudu. Ke vzdálenému přístupu k aplikacím a plochám Windows z jiného zařízení s Windows používáte klienta Vzdálené plochy pro Windows. |
Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
Zabezpečení v Azure
Další kroky
Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:
- Přehled Azure IaaS
- Azure Virtual WAN
- Aplikace IaaS ve službě Amazon Web Services
- Microsoft Sentinel a XDR v programu Microsoft Defender
Technické ilustrace
Můžete si stáhnout ilustrace použité v tomto článku. Pomocí souboru Visia upravte tyto ilustrace pro vlastní použití.
Další technické ilustrace potřebujete kliknutím sem.
Reference
Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.
- Co je Azure – Microsoft Cloud Services
- Infrastruktura jako služba Azure (IaaS)
- Virtuální počítače pro Linux a Windows
- Seznámení se službou Azure Storage – Cloudové úložiště v Azure
- Azure Virtual Network
- Úvod do zabezpečení Azure
- nulová důvěra (Zero Trust) pokyny k implementaci
- Přehled srovnávacího testu zabezpečení cloudu Microsoftu
- Přehled standardních hodnot zabezpečení pro Azure
- Vytvoření první vrstvy obrany pomocí služeb zabezpečení Azure – Azure Architecture Center
- Referenční architektury kyberbezpečnosti Microsoftu – dokumentace k zabezpečení