Zabezpečení a zásady správného řízení

Tento článek obsahuje klíčové aspekty návrhu a doporučení pro zabezpečení, zásady správného řízení a dodržování předpisů v cílových zónách Azure Virtual Desktopu v souladu s architekturou přechodu na cloud od Microsoftu.

V následujících částech najdete doporučené kontrolní mechanismy zabezpečení a zásady správného řízení pro cílovou zónu služby Azure Virtual Desktop.

Identita

• Zabezpečení přístupu uživatelů k Azure Virtual Desktopu vytvořením zásad podmíněného přístupu Microsoft Entra pomocí vícefaktorového ověřování Microsoft Entra nebo partnerského vícefaktorového ověřovacího nástroje. Zvažte umístění, zařízení a chování uživatelů a podle potřeby přidejte další ovládací prvky na základě jejich vzorů přístupu. Další informace o povolení vícefaktorového ověřování Azure pro Azure Virtual Desktop najdete v tématu Povolení vícefaktorového ověřování Azure pro Azure Virtual Desktop.

• Přiřaďte nejnižší požadovaná oprávnění definováním rolí správy, provozu a inženýrství k rolím Azure RBAC. Pokud chcete omezit přístup k rolím s vysokými oprávněními v cílové zóně Azure Virtual Desktopu, zvažte integraci se službou Azure Privileged Identity Management (PIM). Udržování znalostí o tom, který tým zodpovídá za každou konkrétní oblast správy, vám pomůže určit role a konfiguraci řízení přístupu na základě role v Azure (RBAC).

• Použijte spravovanou identitu Azure nebo instanční objekt s přihlašovacími údaji certifikátu pro automatizaci a služby pro Azure Virtual Desktop. Přiřaďte účtu Automation nejnižší oprávnění a rozsah omezený na cílové zóny Azure Virtual Desktopu. Službu Azure Key Vault můžete použít se spravovanými identitami Azure, aby prostředí runtime (jako je funkce Azure) mohly načítat přihlašovací údaje pro automatizaci z trezoru klíčů.

• Ujistěte se, že shromažďujete protokolování aktivit uživatelů a správců pro cílové zóny Microsoft Entra ID a Azure Virtual Desktop. Tyto protokoly můžete monitorovat pomocí nástroje SIEM (Security Information and Event Management). Protokoly můžete shromažďovat z různých zdrojů, například:

  • Protokol aktivit Azure
  • Protokol aktivit Microsoft Entra
  • Microsoft Entra ID
  • Hostitelé relací
  • Protokoly služby Key Vault

• Při přiřazování přístupu ke skupinám aplikací služby Azure Virtual Desktop používejte skupiny Microsoft Entra místo jednotlivých uživatelů. Zvažte použití existujících skupin zabezpečení, které se mapují na obchodní funkce ve vaší organizaci, což vám umožní opakovaně používat stávající procesy zřizování a rušení zřizování uživatelů.

Sítě

• Zřízení nebo opětovné použití vyhrazené virtuální sítě pro cílové zóny Azure Virtual Desktopu Naplánujte adresní prostor IP adres tak, aby vyhovoval škále hostitelů relací. Na základě minimálního a maximálního počtu hostitelů relací na fond hostitelů nastavte velikost základní podsítě. Namapujte požadavky obchodní jednotky na fondy hostitelů.

• K vytvoření mikrosegmentace použijte skupiny zabezpečení sítě (NSG) a/nebo Azure Firewall (nebo zařízení brány firewall třetích stran). Pomocí značek služeb Azure Virtual Network a skupin aplikačních služeb (ASG) můžete definovat řízení přístupu k síti ve skupinách zabezpečení sítě nebo bráně Azure Firewall nakonfigurované pro prostředky služby Azure Virtual Desktop. Ověřte, že je odchozí přístup hostitele relace k požadovaným adresám URL vynechán proxy serverem (pokud se používá v rámci hostitelů relací) a bránou Azure Firewall (nebo zařízením brány firewall třetích stran).

• Na základě strategie segmentace aplikací a podnikových segmentací omezte provoz mezi hostiteli relací a interními prostředky prostřednictvím pravidel skupiny zabezpečení nebo brány Azure Firewall (nebo zařízení brány firewall třetích stran) ve velkém měřítku.

• Povolte standardní ochranu Azure DDoS pro službu Azure Firewall (nebo zařízení brány firewall třetí strany), která pomáhá zabezpečit cílové zóny služby Azure Virtual Desktop.

• Pokud používáte proxy server pro odchozí přístup k internetu z hostitelů relací:

  • Nakonfigurujte proxy servery ve stejné zeměpisné oblasti jako hostitelé a klienti relace služby Azure Virtual Desktop (pokud používáte poskytovatele cloudových proxy serverů).
  • Nepoužívejte kontrolu protokolu TLS. Ve službě Azure Virtual Desktop se provoz ve výchozím nastavení šifruje .
  • Vyhněte se konfiguraci proxy serveru, která vyžaduje ověření uživatele. Komponenty Služby Azure Virtual Desktop na hostiteli relace běží v kontextu operačního systému, takže nepodporují proxy servery, které vyžadují ověření. Proxy server na úrovni systému musí být povolený, abyste na hostiteli relace nakonfigurovali proxy server na úrovni hostitele.

• Ověřte, že koncoví uživatelé mají přístup k adresám URL klienta služby Azure Virtual Desktop. Pokud se na zařízeních uživatelů používá proxy agent nebo konfigurace, nezapomeňte vynechat také adresy URL klientů služby Azure Virtual Desktop.

• Pro správu a řešení potíží s hostiteli relací použijte přístup za běhu. Vyhněte se udělení přímého přístupu RDP hostitelům relací. Hostitelé relací AVD používají k navázání vzdálených relací přenos reverzní Připojení.

• Pomocí funkcí adaptivního posílení zabezpečení sítě v programu Microsoft Defender for Cloud vyhledejte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy s odkazem na pravidla externího síťového provozu.

• Shromážděte protokoly brány Azure Firewall (nebo zařízení brány firewall třetích stran) pomocí služby Azure Monitor nebo partnerského řešení pro monitorování. Protokoly byste měli monitorovat také pomocí SIEM, pomocí Azure Sentinelu nebo podobné služby.

• Pro soubory Azure, které se používají pro kontejnery profilů FSLogix, použijte pouze privátní koncový bod.

• Nakonfigurujte krátkou cestu RDP tak, aby doplňovala přenos zpětného připojení.

Hostitelé relací

• Vytvořte vyhrazenou organizační jednotku (OU) ve službě Active Directory pro hostitele relací služby Azure Virtual Desktop. Použití vyhrazených zásad skupiny u hostitelů relací ke správě ovládacích prvků, jako jsou:

  • Povolte ochranu zachytávání obrazovky, abyste zabránili zachycení citlivých informací na obrazovce v koncových bodech klienta.
  • Nastavte maximální zásady doby nečinnosti nebo odpojení a zámky obrazovky.
  • Skryjte mapování místních a vzdálených jednotek v Průzkumníku Windows.
  • Volitelně můžete konfigurační parametry pro kontejnery profilů FSLogix a cloudovou mezipaměť FSLogix.

• Řízení přesměrování zařízení pro hostitele relací Běžně zakázaná zařízení zahrnují přístup k místnímu pevnému disku a omezení portů USB nebo portu. Omezení přesměrování fotoaparátu a vzdáleného tisku může pomoct chránit data vaší organizace. Zakažte přesměrování schránky, abyste zabránili kopírování vzdáleného obsahu do koncových bodů.

• Povolte v hostitelích relací antivirovou ochranu příští generace, jako je Microsoft Defender for Endpoint . Pokud používáte partnerské řešení koncového bodu, ujistěte se, že microsoft Defender for Cloud dokáže ověřit jeho stav. Měli byste také zahrnout vyloučení antivirového softwaru FSLogix Profile Container. Microsoft Defender for Endpoint se přímo integruje s několika řešeními Microsoft Defenderu, mezi které patří:

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Intune

• Povolte posouzení hrozeb a správa ohrožení zabezpečení. Integrujte řešení Microsoft Defenderu for Endpoint pro hrozbu a správa ohrožení zabezpečení s Programem Microsoft Defender for Cloud nebo řešením správa ohrožení zabezpečení třetí strany). Microsoft Defender pro cloud se nativně integruje s řešením posouzení ohrožení zabezpečení Qualys.

• Pomocí řízení aplikací v programu Windows Defender (WDAC) nebo AppLockeru zajistěte, aby byly aplikace před spuštěním důvěryhodné. Zásady řízení aplikací můžou také blokovat nepodepsané skripty a rozhraní MSI a omezit spouštění prostředí Windows PowerShell v režimu omezeného jazyka.

• Povolte důvěryhodné spuštění pro virtuální počítače Azure Gen2 a povolte funkce, jako je zabezpečené spouštění, virtuální počítač vTPM a zabezpečení založené na virtualizaci (VBS). Microsoft Defender pro cloud může monitorovat hostitele relací nakonfigurované s důvěryhodným spuštěním.

• Randomizace hesel místního správce pomocí systému Windows LAPS k ochraně před útoky pass-the-hash a lateral traversal.

• Ověřte, že hostitelé relací monitorují Azure Monitor nebo partnerské řešení pro monitorování prostřednictvím služby Event Hubs.

• Vytvořte strategii správy oprav pro hostitele relací. Microsoft Endpoint Configuration Manager umožňuje hostitelům relací služby Azure Virtual Desktop přijímat aktualizace automaticky. Základní image byste měli opravovat alespoň jednou každých 30 dnů. Zvažte použití Azure Image Builderu (AIB) k vytvoření vlastního kanálu image pro základní image Služby Azure Virtual Desktop.

Další informace o osvědčených postupech pro zabezpečení hostitele relací služby Azure Virtual Desktop najdete v tématu Osvědčené postupy zabezpečení hostitele relací.

Podrobný seznamosvědčených

Ochrana dat

• Microsoft Azure šifruje neaktivní uložená data a chrání je před útoky mimo pásmo, jako jsou například pokusy o přístup k podkladovému úložišti. Toto šifrování pomáhá zajistit, aby útočníci nemohli snadno číst ani upravovat vaše data. Přístup Microsoftu k povolení dvou vrstev šifrování neaktivních uložených dat zahrnuje:

  • Šifrování disků pomocí klíčů spravovaných zákazníkem Uživatelé poskytují vlastní klíč pro šifrování disků. Můžou si do služby Key Vault přinést vlastní klíče (postup byok – Přineste si vlastní klíč) nebo vygenerovat nové klíče ve službě Azure Key Vault pro šifrování požadovaných prostředků (včetně disků hostitele relace).
  • Šifrování infrastruktury pomocí klíčů spravovaných platformou Ve výchozím nastavení se disky automaticky šifrují v klidovém stavu prostřednictvím šifrovacích klíčů spravovaných platformou.
  • Šifrování na hostiteli virtuálního počítače (server Azure, ke kterému je váš virtuální počítač přidělený). Dočasné disky virtuálního počítače a data mezipaměti operačního systému/datového disku jsou uloženy na hostiteli virtuálního počítače. Pokud je povolené šifrování na hostiteli virtuálního počítače, šifrují se neaktivní uložená data a toky zašifrované do služby Storage, která se má zachovat.

• Nasaďte řešení ochrany informací, jako je Microsoft Purview Information Protection nebo řešení třetí strany, které zajišťuje, aby se citlivé informace bezpečně ukládaly, zpracovávaly a přenášely pomocí technologických systémů vaší organizace.

• Ke zlepšení zabezpečení nasazení Office použijte Poradce pro zásady zabezpečení pro Microsoft 365 Apps pro velké organizace. Tento nástroj identifikuje zásady, které můžete použít pro vaše nasazení, aby se zajistilo vyšší zabezpečení, a také doporučuje zásady na základě jejich účinků na zabezpečení a produktivitu.

• Nakonfigurujte ověřování na základě identity pro azure Files používané pro profily uživatelů FSLogix prostřednictvím služeb místní Active Directory Domain Services (AD DS) a Microsoft Entra Domain Services. Nakonfigurujte oprávnění NTFS, aby autorizovaní uživatelé mohli přistupovat k vašim souborům Azure.

Správa nákladů

• Pomocí značek Azure uspořádejte náklady na vytváření, správu a nasazování prostředků Služby Azure Virtual Desktop. Pokud chcete identifikovat související náklady na výpočetní prostředky služby Azure Virtual Desktop, označte všechny fondy hostitelů a virtuální počítače. Označte prostředky Azure Files nebo Azure NetApp Files a sledujte náklady na úložiště přidružené ke kontejnerům profilů uživatelů FSLogix, vlastním imagím operačního systému a připojení aplikace MSIX (pokud se používá).

• Definujte minimální navrhované značky, které se mají nastavit ve všech prostředcích služby Azure Virtual Desktop. Značky Azure můžete nastavit během nasazení nebo po zřízení. Zvažte použití předdefinovaných definic Azure Policy k vynucení pravidel označování.

• Nastavte rozpočty ve službě Microsoft Cost Management a proaktivně spravujte náklady na využití Azure. Při překročení prahových hodnot rozpočtu, které jste vytvořili, se aktivují oznámení.

• Vytvořte upozornění služby Cost Management pro monitorování využití Azure a útraty v cílové zóně služby Azure Virtual Desktop.

• Nakonfigurujte funkci Spustit virtuální počítač na Připojení, aby ušetřili náklady tím, že koncovým uživatelům umožníte zapnout virtuální počítače jenom v případě, že je potřebují.

• Nasazení řešení škálování pro hostitele relací ve fondu prostřednictvím služby Azure Automation nebo funkce automatického škálování (Preview)

Konzistence prostředků

• Pomocí Intune pro hostitele osobních relací Azure Virtual Desktopu můžete použít stávající nebo vytvořit nové konfigurace a zabezpečit virtuální počítače pomocí zásad dodržování předpisů a podmíněného přístupu. Správa Intune nezávisí na správě služby Azure Virtual Desktop na stejném virtuálním počítači ani na něm neruší.

• Správa hostitelů relací s více relacemi pomocí Intune umožňuje spravovat vzdálené plochy s více relacemi Windows 10 nebo Windows 11 Enterprise v Centru pro správu Intune stejně jako můžete spravovat sdílené klientské zařízení s Windows 10 nebo Windows 11. Při správě takových virtuálních počítačů můžou používat konfiguraci založenou na zařízeních nebo uživatelskou konfiguraci cílenou na uživatele.

• Auditujte a nakonfigurujte posílení operačního systému hostitelů relací pomocí konfigurace hosta služby Azure Policy. Standardní hodnoty zabezpečení Systému Windows použijte jako výchozí bod pro zabezpečení operačního systému Windows.

• Pomocí integrovaných definic Azure Policy můžete nakonfigurovat nastavení diagnostiky pro prostředky Azure Virtual Desktopu, jako jsou pracovní prostory, skupiny aplikací a fondy hostitelů.

Projděte si osvědčené postupy zabezpečení pro Azure Virtual Desktop jako výchozí bod zabezpečení ve vašem prostředí.

Kompatibilita

Téměř všechny organizace musí dodržovat různé vládní nebo oborové regulační zásady. Projděte si všechny takové zásady s týmem dodržování předpisů a implementujte správné kontroly pro konkrétní cílovou zónu Služby Azure Virtual Desktop. Například byste měli zvážit kontroly pro konkrétní zásady, jako je standard PCI DSS (Payment Card Industry Data Security Standard) nebo zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA), pokud vaše organizace dodržuje své architektury.

• V případě potřeby použijte Microsoft Defender for Cloud k použití dalších standardů dodržování předpisů pro cílové zóny Azure Virtual Desktopu. Microsoft Defender for Cloud pomáhá zjednodušit proces splnění požadavků na dodržování právních předpisů prostřednictvím řídicího panelu dodržování právních předpisů. Na řídicí panel můžete přidat předdefinované nebo přizpůsobené standardy dodržování předpisů. Mezi již integrované regulační standardy, které můžete přidat, patří:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL a UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Nový Zéland ISM s omezeným přístupem
  • CMMC level 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Pokud je vaše organizace vázána požadavky na rezidenci dat, zvažte omezení nasazení prostředků služby Azure Virtual Desktop (pracovních prostorů, skupin aplikací a fondů hostitelů) na následující zeměpisné oblasti:

  • Spojené státy
  • Evropa
  • Spojené království
  • Kanada

  Omezení nasazení na tyto zeměpisné oblasti vám může pomoct zajistit, aby metadata služby Azure Virtual Desktop byla uložená v oblasti geografické oblasti prostředků služby Azure Virtual Desktop, protože hostitelé relací je možné nasadit po celém světě, aby se přizpůsobili uživatelské základně.

• Pomocí zásad skupiny a nástrojů pro správu zařízení, jako jsou Intune a Microsoft Endpoint Configuration Manager, můžete udržovat důkladný postup zabezpečení a dodržování předpisů pro hostitele relací.

• Nakonfigurujte upozornění a automatizované odpovědi v Programu Microsoft Defender pro cloud, abyste zajistili celkové dodržování předpisů cílových zón Služby Azure Virtual Desktop.

• Zkontrolujte skóre zabezpečení Microsoftu a změřte celkový stav zabezpečení organizace v následujících produktech:

  • Microsoft 365 (včetně Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Defender pro cloudové aplikace
  • Microsoft Teams

• Zkontrolujte skóre zabezpečení v programu Microsoft Defender for Cloud a vylepšete celkové dodržování předpisů zabezpečení virtuálních cílových zón Azure.

Doporučené osvědčené postupy a standardní hodnoty zabezpečení

• Doporučené postupy zabezpečení služby Azure Virtual Desktop
• Standardní hodnoty zabezpečení pro Azure Virtual Desktop založené na srovnávacím testu zabezpečení Azure
• Použití principů nulová důvěra (Zero Trust) pro nasazení služby Azure Virtual Desktop

Další kroky

Seznamte se s automatizací platforem a DevOps pro scénář podnikového škálování služby Azure Virtual Desktop.

Automatizace platformy a DevOps