Zabezpečení a zásady správného řízení

Tento článek obsahuje klíčové aspekty návrhu a doporučení pro zabezpečení, zásady správného řízení a dodržování předpisů v cílových zónách Azure Virtual Desktopu v souladu s architekturou přechodu na cloud od Microsoftu.

V následujících částech najdete doporučené kontrolní mechanismy zabezpečení a zásady správného řízení pro cílovou zónu služby Azure Virtual Desktop.

Identita

• Zabezpečení přístupu uživatelů k Azure Virtual Desktopu vytvořením zásad podmíněného přístupu Microsoft Entra pomocí vícefaktorového ověřování Microsoft Entra nebo partnerského vícefaktorového ověřovacího nástroje. Zvažte umístění, zařízení a chování uživatelů a podle potřeby přidejte další ovládací prvky na základě jejich vzorů přístupu. Další informace o povolení vícefaktorového ověřování Azure pro Azure Virtual Desktop najdete v tématu Povolení vícefaktorového ověřování Azure pro Azure Virtual Desktop.

• Přiřaďte nejnižší požadovaná oprávnění definováním rolí správy, provozu a inženýrství k rolím Azure RBAC. Pokud chcete omezit přístup k rolím s vysokými oprávněními v cílové zóně Azure Virtual Desktopu, zvažte integraci se službou Azure Privileged Identity Management (PIM). Udržování znalostí o tom, který tým zodpovídá za každou konkrétní oblast správy, vám pomůže určit role a konfiguraci řízení přístupu na základě role v Azure (RBAC).

• Použijte Azure Managed Identity nebo služební účet s přihlašovacími údaji certifikátu pro automatizaci a služby pro Azure Virtual Desktop. Přiřaďte účtu Automation nejnižší oprávnění a rozsah omezený na cílové zóny Azure Virtual Desktopu. Službu Azure Key Vault můžete použít se spravovanými identitami Azure, aby prostředí runtime (jako je funkce Azure) mohly načítat přihlašovací údaje pro automatizaci z trezoru klíčů.

• Ujistěte se, že shromažďujete protokolování aktivit uživatelů a správců pro cílové zóny Microsoft Entra ID a Azure Virtual Desktop. Tyto protokoly můžete monitorovat pomocí nástroje SIEM (Security Information and Event Management). Protokoly můžete shromažďovat z různých zdrojů, například:

  • Protokol aktivit Azure
  • Protokol aktivit Microsoft Entra
  • Microsoft Entra ID
  • Session hosts
  • Protokoly trezoru klíčů

• Při přiřazování přístupu ke skupinám aplikací služby Azure Virtual Desktop používejte skupiny Microsoft Entra místo jednotlivých uživatelů. Zvažte použití existujících skupin zabezpečení, které se mapují na obchodní funkce ve vaší organizaci, což vám umožní využít stávající procesy přiřazování a odebírání uživatelů.

Síťování

• Zřízení nebo opětovné použití vyhrazené virtuální sítě pro cílové zóny Azure Virtual Desktopu Naplánujte adresní prostor IP adres tak, aby vyhovoval škále hostitelů relací. Nastavte velikost základní podsítě na základě minimálního a maximálního počtu hostitelů relací v poolu hostitelů. Namapujte požadavky obchodní jednotky na fondy hostitelů.

• K mikrosegmentaci použijte skupiny zabezpečení sítě (NSG) a/nebo Azure Firewall (nebo firewallové zařízení třetí strany). Pomocí značek služeb Azure Virtual Network a skupin aplikačních služeb (ASG) můžete definovat řízení přístupu k síti ve skupinách zabezpečení sítě nebo bráně Azure Firewall nakonfigurované pro prostředky služby Azure Virtual Desktop. Ověřte, že je odchozí přístup hostitele relace k požadovaným adresám URL vynechán proxy serverem (pokud se používá v rámci hostitelů relací) a bránou Azure Firewall (nebo zařízením brány firewall třetích stran).

• Na základě strategie segmentace podniků omezte provoz mezi hosty relací a interními prostředky prostřednictvím pravidel zabezpečovací skupiny nebo služby Azure Firewall (nebo zařízení firewall třetích stran) ve velkém měřítku.

• Povolte standardní ochranu Azure DDoS pro službu Azure Firewall (nebo zařízení brány firewall třetí strany), která pomáhá zabezpečit cílové zóny služby Azure Virtual Desktop.

• Pokud používáte proxy server pro odchozí přístup k internetu z hostitelů relací:

  • Nakonfigurujte proxy servery ve stejné zeměpisné oblasti jako hostitelé a klienti relace služby Azure Virtual Desktop (pokud používáte poskytovatele cloudových proxy serverů).
  • Nepoužívejte kontrolu protokolu TLS. Ve službě Azure Virtual Desktop se provoz ve výchozím nastavení šifruje .
  • Vyhněte se konfiguraci proxy serveru, která vyžaduje ověření uživatele. Komponenty Služby Azure Virtual Desktop na hostiteli relace běží v kontextu operačního systému, takže nepodporují proxy servery, které vyžadují ověření. Proxy server na úrovni systému musí být povolený, abyste na hostiteli relace nakonfigurovali hostitelský proxy server.

• Ověřte, že koncoví uživatelé mají přístup k adresám URL klienta služby Azure Virtual Desktop. Pokud se na zařízeních uživatelů používá proxy agent nebo konfigurace, nezapomeňte vynechat také adresy URL klientů služby Azure Virtual Desktop.

• Pro správu a řešení potíží s hostiteli relací použijte přístup Just-in-Time. Vyhněte se udělení přímého přístupu RDP hostitelům relací. Hostitelé relací AVD používají technologii zpětného připojení k navázání vzdálených relací.

• Pomocí funkcí adaptivního posílení zabezpečení sítě v programu Microsoft Defender for Cloud vyhledejte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy s odkazem na pravidla externího síťového provozu.

• Sbírejte protokoly z brány firewall Azure (nebo zařízení firewall třetí strany) pomocí Azure Monitor nebo partnerského monitorovacího řešení. Monitorování protokolů byste měli provádět také pomocí SIEM s využitím Microsoft Sentinelu nebo podobné služby.

• Pro soubory Azure, které se používají pro kontejnery profilů FSLogix, použijte pouze privátní koncový bod.

• Nakonfigurujte krátkou cestu RDP tak, aby doplňovala přenos zpětného připojení.

Hostitelé relací

• Vytvořte vyhrazenou organizační jednotku (OU) ve službě Active Directory pro hostitele relací služby Azure Virtual Desktop. Použijte vyhrazené zásady skupiny u hostitelů relací ke správě ovládacích prvků, jako jsou:

  • Povolte ochranu zachytávání obrazovky , abyste zabránili zachycení citlivých informací na obrazovce v koncových bodech klienta.
  • Nastavte maximální zásady doby nečinnosti nebo odpojení a zámky obrazovky.
  • Skryjte přiřazení místních a vzdálených diskových jednotek v Průzkumníku Windows.
  • Konfigurační parametry pro kontejnery profilů FSLogix a cloudovou mezipaměť FSLogix jsou volitelné.

• Ovládání přesměrování zařízení pro hostitele relací Běžně zakázaná zařízení zahrnují přístup k místnímu pevnému disku a omezení portů USB nebo portu. Omezení přesměrování fotoaparátu a vzdáleného tisku může pomoct chránit data vaší organizace. Zakažte přesměrování schránky, abyste zabránili kopírování vzdáleného obsahu do koncových zařízení.

• Povolte na svých hostitelích relací antivirovou ochranu příští generace, jako je Microsoft Defender for Endpoint. Pokud používáte partnerské řešení koncového bodu, ujistěte se, že microsoft Defender for Cloud dokáže ověřit jeho stav. Měli byste také zahrnout vyloučení antivirového softwaru FSLogix Profile Container. Microsoft Defender for Endpoint se přímo integruje s několika řešeními Microsoft Defenderu, mezi které patří:

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Intune

• Povolte posouzení správy hrozeb a zranitelností. Integrujte řešení správy hrozeb a ohrožení zabezpečení v programu Microsoft Defender for Endpoint s Microsoft Defenderem pro cloud nebo řešením pro správu ohrožení zabezpečení třetí strany). Microsoft Defender pro cloud se nativně integruje s řešením posouzení ohrožení zabezpečení Qualys.

• Pomocí řízení aplikací v programu Windows Defender (WDAC) nebo AppLockeru zajistěte, aby byly aplikace před spuštěním důvěryhodné. Zásady řízení aplikací můžou také blokovat nepodepsané skripty a rozhraní MSI a omezit spouštění prostředí Windows PowerShell v režimu omezeného jazyka.

• Aktivujte důvěryhodné spuštění pro virtuální počítače Azure Gen2 a umožněte tak funkce jako Secure Boot, vTPM a zabezpečení založené na virtualizaci (VBS). Microsoft Defender pro Cloud může monitorovat hostitele relací nakonfigurované s funkcí důvěryhodného spuštění.

• Randomizujte hesla místního správce pomocí systému Windows LAPS k ochraně před útoky typu pass-the-hash a lateral traversal.

• Ověřte, že hostitelé relací jsou monitorováni Azure Monitor nebo partnerským řešením pro monitorování prostřednictvím služby Event Hubs.

• Vytvořte strategii správy oprav pro hostitele relací. Microsoft Endpoint Configuration Manager umožňuje hostitelům relací služby Azure Virtual Desktop přijímat aktualizace automaticky. Základní image byste měli opravovat alespoň jednou každých 30 dnů. Zvažte použití Azure Image Builderu (AIB) k vytvoření vlastního kanálu pro vytváření image pro základní image Azure Virtual Desktop.

Další informace o osvědčených postupech pro zabezpečení hostitele relací služby Azure Virtual Desktop najdete v tématu Osvědčené postupy zabezpečení hostitele relací.

Pro podrobný seznam osvědčených postupů pro zabezpečení virtuálních počítačů Azure si přečtěte Doporučení zabezpečení pro virtuální počítače v Azure.

Ochrana dat

• Microsoft Azure šifruje neaktivní uložená data a chrání je před útoky mimo pásmo, jako jsou například pokusy o přístup k podkladovému úložišti. Toto šifrování pomáhá zajistit, aby útočníci nemohli snadno číst ani upravovat vaše data. Přístup Microsoftu k povolení dvou vrstev šifrování neaktivních uložených dat zahrnuje:

  • Šifrování disků pomocí klíčů spravovaných zákazníkem Uživatelé poskytují vlastní klíč pro šifrování disků. Můžou si do služby Key Vault přinést vlastní klíče (postup byok – Přineste si vlastní klíč) nebo vygenerovat nové klíče ve službě Azure Key Vault pro šifrování požadovaných prostředků (včetně disků hostitele relace).
  • Šifrování infrastruktury pomocí klíčů spravovaných platformou Ve výchozím nastavení se disky automaticky šifrují v klidovém stavu prostřednictvím šifrovacích klíčů spravovaných platformou.
  • Šifrování na hostiteli virtuálního počítače (server Azure, ke kterému je váš virtuální počítač přidělený). Dočasné disky virtuálního počítače a data mezipaměti operačního systému/datového disku jsou uloženy na hostiteli virtuálního počítače. Pokud je povoleno šifrování na hostiteli virtuálního počítače, data jsou šifrována v klidu a zašifrovaně proudí do úložišťové služby, aby byla uchována.

• Nasaďte řešení ochrany informací, jako je Microsoft Purview Information Protection nebo řešení třetí strany, které zajišťuje bezpečné ukládání, zpracování a přenos citlivých informací technologickými systémy vaší organizace.

• Ke zlepšení zabezpečení nasazení Office použijte Poradce pro zásady zabezpečení pro Microsoft 365 Apps pro velké organizace . Tento nástroj identifikuje zásady, které můžete použít pro vaše nasazení, aby se zajistilo vyšší zabezpečení, a také doporučuje zásady na základě jejich účinků na zabezpečení a produktivitu.

• Nakonfigurujte ověřování na základě identity pro azure Files používané pro profily uživatelů FSLogix prostřednictvím místní služby Active Directory Domain Services (AD DS) a služby Microsoft Entra Domain Services. Nakonfigurujte oprávnění NTFS , aby autorizovaní uživatelé mohli přistupovat k vašim souborům Azure.

Správa nákladů

• Pomocí značek Azure uspořádejte náklady na vytváření, správu a nasazování prostředků Služby Azure Virtual Desktop. Pokud chcete identifikovat související náklady na výpočetní prostředky služby Azure Virtual Desktop, označte všechny fondy hostitelů a virtuální počítače. Označte prostředky Azure Files nebo Azure NetApp Files, abyste mohli sledovat náklady na úložiště spojené s kontejnery uživatelských profilů FSLogix, vlastními obrazy operačního systému a připojením aplikací MSIX (pokud se používá).

• Definujte minimální navrhované značky , které se mají nastavit ve všech prostředcích služby Azure Virtual Desktop. Značky Azure můžete nastavit během nasazení nebo po zřízení. Zvažte použití předdefinovaných definic Azure Policy k vynucení pravidel označování.

• Nastavte rozpočty ve službě Microsoft Cost Management a proaktivně spravujte náklady na využití Azure. Při překročení prahových hodnot rozpočtu, které jste vytvořili, se aktivují oznámení.

• Vytvořte upozornění služby Cost Management pro sledování využití a útrat Azure v rámci cílové zóny služby Azure Virtual Desktop.

• Nakonfigurujte funkci Start VM on Connect tak, aby ušetřili náklady tím, že koncovým uživatelům umožníte zapnout své virtuální počítače jenom v případě, že je potřebují.

• Nasadit řešení škálování pro hostitele relací ve sdíleném fondu prostřednictvím služby Azure Automation nebo Automatické škálování (náhled)

Konzistence prostředků

• Pomocí Intune pro hostitele osobních relací Azure Virtual Desktopu můžete použít existující nebo vytvořit nové konfigurace a zabezpečit virtuální počítače pomocí zásad dodržování předpisů a podmíněného přístupu. Správa Intune není závislá na správě služby Azure Virtual Desktop ani ji neovlivňuje na stejném virtuálním počítači.

• Správa hostitelů s více relacemi pomocí Intune vám umožňuje spravovat vzdálené plochy s více relacemi ve Windows 10 nebo Windows 11 Enterprise v administračním centru Intune stejně jako můžete spravovat sdílené klientské zařízení s Windows 10 nebo Windows 11. Při správě takových virtuálních počítačů můžou používat konfiguraci založenou na zařízeních nebo uživatelskou konfiguraci cílenou na uživatele.

• Pomocí konfigurace zařízení Azure Policy auditujte a nakonfigurujte zabezpečení operačního systému hostitelů vaší relace. Standardní hodnoty zabezpečení Systému Windows použijte jako výchozí bod pro zabezpečení operačního systému Windows.

• Pomocí integrovaných definic Azure Policy můžete nakonfigurovat nastavení diagnostiky pro prostředky Azure Virtual Desktopu, jako jsou pracovní prostory, skupiny aplikací a fondy hostitelů.

Projděte si osvědčené postupy zabezpečení pro Azure Virtual Desktop jako výchozí bod zabezpečení ve vašem prostředí.

Kompatibilita

Téměř všechny organizace musí dodržovat různé vládní nebo oborové regulační zásady. Projděte si všechny takové zásady s týmem dodržování předpisů a implementujte správné kontroly pro konkrétní cílovou zónu Služby Azure Virtual Desktop. Například byste měli zvážit kontroly pro konkrétní zásady, jako je standard PCI DSS (Payment Card Industry Data Security Standard) nebo zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA), pokud vaše organizace dodržuje své architektury.

• V případě potřeby použijte Microsoft Defender for Cloud k použití dalších standardů dodržování předpisů pro cílové zóny Azure Virtual Desktopu. Microsoft Defender for Cloud pomáhá zjednodušit proces splnění požadavků na dodržování právních předpisů prostřednictvím řídicího panelu dodržování právních předpisů. Na řídicí panel můžete přidat předdefinované nebo přizpůsobené standardy dodržování předpisů. Mezi již integrované regulační standardy, které můžete přidat, patří:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL a britská Národní zdravotní služba
  • Kanada federální PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Nový Zéland ISM - Omezeno
  • CMMC Úroveň 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Pokud je vaše organizace vázána požadavky na rezidenci dat, zvažte omezení nasazení prostředků služby Azure Virtual Desktop (pracovních prostorů, skupin aplikací a fondů hostitelů) na následující zeměpisné oblasti:

  • Spojené státy americké
  • Evropa
  • Spojené království
  • Kanada

  Omezení nasazení na tyto geografické oblasti vám může pomoct zajistit, aby metadata služby Azure Virtual Desktop byla uložená v geografické oblasti prostředků služby Azure Virtual Desktop, protože hostitelé relací je možné nasadit po celém světě, aby se přizpůsobili vaší uživatelské komunitě.

• Pomocí zásad skupiny a nástrojů pro správu zařízení, jako jsou Intune a Microsoft Endpoint Configuration Manager, můžete udržovat důkladný postup zabezpečení a dodržování předpisů pro hostitele relací.

• Nakonfigurujte upozornění a automatizované odpovědi v Programu Microsoft Defender pro cloud, abyste zajistili celkové dodržování předpisů cílových zón Služby Azure Virtual Desktop.

• Zkontrolujte skóre zabezpečení Microsoftu a změřte celkový stav zabezpečení organizace v následujících produktech:

  • Microsoft 365 (včetně Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender for Endpoint (ochrana koncových bodů)
  • Microsoft Defender for Identity
  • Defender pro cloudové aplikace
  • Microsoft Teams

• Zkontrolujte skóre zabezpečení v programu Microsoft Defender for Cloud a vylepšete celkové dodržování předpisů zabezpečení virtuálních cílových zón Azure.

Doporučené osvědčené postupy a standardní hodnoty zabezpečení

• Doporučené postupy zabezpečení služby Azure Virtual Desktop
• Standardní hodnoty zabezpečení pro Azure Virtual Desktop založené na srovnávacím testu zabezpečení Azure
• Použití principů nulové důvěryhodnosti pro nasazení služby Azure Virtual Desktop

Další kroky

Seznamte se s automatizací platforem a DevOps pro scénář podnikového škálování služby Azure Virtual Desktop.

Automatizace platformy a DevOps