Sdílet prostřednictvím


Aspekty zabezpečení, správy identit a přístupu (IAM) pro úlohy služby Azure Virtual Desktop

Tento článek popisuje oblast návrhu zabezpečení a IAM úloh služby Azure Virtual Desktop. Azure Virtual Desktop je spravovaná služba, která poskytuje řídicí rovinu Microsoftu pro vaši infrastrukturu virtuálních klientských počítačů. Azure Virtual Desktop používá řízení přístupu na základě role (RBAC) v Azure k řízení identit a správě přístupu. Jako vlastník úlohy můžete také použít další nulová důvěra (Zero Trust) principy, které odpovídají požadavkům vaší organizace. Mezi příklady patří explicitní princip ověření a princip přístupu s nejnižšími oprávněními .

Důležité

Tento článek je součástí řady úloh azure Well-Architected Framework služby Azure Virtual Desktop . Pokud tuto řadu neznáte, doporučujeme začít na co je úloha Služby Azure Virtual Desktop?.

Použití RBAC

Dopad: Zabezpečení, efektivita provozu

RBAC podporuje oddělení povinností pro různé týmy a jednotlivce, kteří spravují nasazení služby Azure Virtual Desktop. V rámci návrhu cílové zóny musíte rozhodnout, kdo převezme různé role. Pak musíte pro každou roli vytvořit skupinu zabezpečení, abyste zjednodušili přidávání a odebírání uživatelů do rolí a z rolí.

Azure Virtual Desktop poskytuje vlastní role Azure, které jsou navržené pro každou funkční oblast. Informace o konfiguraci těchto rolí najdete v tématu Předdefinované role pro Azure Virtual Desktop. V rámci Cloud Adoption Framework pro nasazení Azure můžete také vytvářet a definovat vlastní role Azure. Možná budete muset zkombinovat role RBAC specifické pro Azure Virtual Desktop s jinými rolemi Azure RBAC. Tento přístup poskytuje úplnou sadu oprávnění, která uživatelé potřebují pro Azure Virtual Desktop a pro další služby Azure, jako jsou virtuální počítače a sítě.

Doporučení
  • Definujte role pro týmy a jednotlivce, kteří spravují nasazení služby Azure Virtual Desktop.
  • Definujte předdefinované role Azure k oddělení odpovědností za správu fondů hostitelů, skupin aplikací a pracovních prostorů.
  • Vytvořte skupinu zabezpečení pro každou roli.

Zvýšení zabezpečení hostitelů relací

Dopad: Zabezpečení

Azure Virtual Desktop používá ke komunikaci mezi terminálovým serverem nebo hostiteli relací a klientem koncového uživatele protokol RDP (Remote Desktop Protocol).

RDP je vícekanálový protokol, který může povolit a zakázat samostatné virtuální kanály, které obsahují následující informace:

  • Data prezentace
  • Komunikace se sériovým zařízením
  • Informace o licencování
  • Vysoce šifrovaná data, jako je aktivita klávesnice a myši

Pokud chcete zlepšit zabezpečení, můžete vlastnosti protokolu RDP připojení nakonfigurovat centrálně ve službě Azure Virtual Desktop.

Doporučení
  • Omezte přístup Průzkumníka Windows skrytím mapování místních a vzdálených jednotek. Tato strategie brání uživatelům ve zjišťování citlivých informací o konfiguracích systému a uživatelích.
  • Zabraňte spuštění nežádoucího softwaru na hostitelích relací. AppLocker můžete povolit pro zvýšení zabezpečení na hostitelích relací. Tato funkce pomáhá zajistit, aby na hostiteli mohly běžet jenom aplikace, které zadáte.
  • Ochrana snímků obrazovky a vodoznaky pomáhají zabránit zachycení citlivých informací v koncových bodech klienta. Když zapnete ochranu snímků obrazovky, vzdálený obsah se automaticky zablokuje nebo skryje ve snímcích obrazovky a sdílení obrazovky. Klient Vzdálené plochy také skryje obsah před škodlivým softwarem, který zachycuje obrazovku.
  • K ochraně virtuálních počítačů použijte Microsoft Defender Antivirus. Další informace najdete v tématu Konfigurace Microsoft Defender Antivirové ochrany v prostředí infrastruktury vzdálené plochy nebo virtuální plochy.
  • Zapněte Windows Defender Řízení aplikací. Definujte zásady pro ovladače a aplikace bez ohledu na to, jestli jim důvěřujete nebo ne.
  • Odhlaste uživatele, kteří jsou neaktivní, abyste zachovali prostředky a zabránili neoprávněnému přístupu. Další informace najdete v tématu Nastavení maximální doby nečinnosti a zásad odpojení.
  • Zapněte Microsoft Defender pro cloud pro správu stavu cloudového zabezpečení (CSPM). Další informace najdete v tématu Onboarding zařízení infrastruktury virtuálních klientských počítačů (VDI) v Microsoft 365 Defender.

Aspekty návrhu pro centrální týmy platforem, identit a sítí

Dopad: Zabezpečení

Identita je základním principem návrhu služby Azure Virtual Desktop. Identita je také klíčovou oblastí návrhu, kterou byste měli považovat za prvotřídní problém v rámci procesu architektury.

Návrh identity pro Azure Virtual Desktop

Azure Virtual Desktop podporuje různé typy identit pro přístup k podnikovým prostředkům a aplikacím. Jako vlastník úlohy si můžete vybrat z různých typů zprostředkovatelů identity podle potřeb vaší firmy a organizace. Projděte si oblasti návrhu identit v této části a vyhodnoťte, co je pro vaši úlohu nejlepší.

Návrh identity Souhrn
identita Active Directory Domain Services (AD DS) Uživatelé musí být zjistitelní prostřednictvím ID Microsoft Entra, aby měli přístup ke službě Azure Virtual Desktop. V důsledku toho se uživatelské identity, které existují pouze ve službě AD DS, nepodporují. Nepodporují se ani samostatná nasazení Active Directory s Active Directory Federation Services (AD FS) (AD FS).
Hybridní identita Azure Virtual Desktop podporuje hybridní identity prostřednictvím ID Microsoft Entra, včetně identit federovaných pomocí služby AD FS. Tyto identity uživatelů můžete spravovat ve službě AD DS a synchronizovat je s ID Microsoft Entra pomocí nástroje Microsoft Entra Connect. Id Microsoft Entra můžete také použít ke správě těchto identit a jejich synchronizaci se službou AD DS.
Výhradně cloudová identita Azure Virtual Desktop podporuje výhradně cloudové identity, pokud používáte virtuální počítače, které jsou připojené pomocí ID Microsoft Entra. Tito uživatelé se vytvářejí a spravují přímo ve Microsoft Entra ID.

Důležité

Azure Virtual Desktop nepodporuje účty business-to-business, účty Microsoft ani externí identity.

Další informace o výběru a implementaci identity a strategie ověřování najdete v tématu Podporované identity a metody ověřování.

Doporučení
  • Vytvořte vyhrazený uživatelský účet s nejmenšími oprávněními. Při nasazování hostitelů relací použijte tento účet k připojení hostitelů relací k Microsoft Entra Doménové služby nebo doméně služby AD DS.
  • Vyžadovat vícefaktorové ověřování Pokud chcete zlepšit zabezpečení celého nasazení, vynucujte ve službě Azure Virtual Desktop vícefaktorové ověřování pro všechny uživatele a správce. Další informace najdete v tématu Vynucení vícefaktorového ověřování Microsoft Entra ID pro službu Azure Virtual Desktop pomocí podmíněného přístupu.
  • Zapněte podmíněný přístup Microsoft Entra ID. Při použití podmíněného přístupu můžete před udělením přístupu uživatelům k prostředí Služby Azure Virtual Desktop řídit rizika. Při rozhodování o tom, kterým uživatelům udělit přístup, byste měli také zvážit, kdo je každý uživatel, jak se přihlašuje a jaké zařízení používá.

Návrh zabezpečené sítě pro Azure Virtual Desktop

Bez bezpečnostních opatření sítě mohou útočníci získat přístup k vašim prostředkům. K ochraně vašich prostředků je důležité nastavit kontrolu síťového provozu. Správné ovládací prvky zabezpečení sítě vám můžou pomoct odhalit a zastavit útočníky, kteří získají přístup do vašich cloudových nasazení.

Doporučení
  • Použijte hvězdicovou architekturu. Je důležité rozlišovat mezi sdílenými službami a aplikačními službami Azure Virtual Desktop. Hvězdicová architektura představuje dobrý přístup k zabezpečení. Prostředky specifické pro úlohy byste měli udržovat ve vlastní virtuální síti, která je oddělená od sdílených služeb v centru. Mezi příklady sdílených služeb patří správa a služby DNS (Domain Name System).
  • Použijte skupiny zabezpečení sítě. Skupiny zabezpečení sítě můžete použít k filtrování síťového provozu do a z úloh služby Azure Virtual Desktop. Značky služeb a pravidla skupin zabezpečení sítě poskytují způsob, jak povolit nebo zakázat přístup k aplikaci Azure Virtual Desktop. Můžete například povolit přístup k portům aplikace Azure Virtual Desktop z místních rozsahů IP adres a odepřít přístup z veřejného internetu. Další informace najdete v tématu Skupiny zabezpečení sítě. Pokud chcete nasadit Službu Azure Virtual Desktop a zpřístupnit ji uživatelům, musíte povolit konkrétní adresy URL, ke kterým budou mít hostované virtuální počítače relace kdykoli přístup. Seznam těchto adres URL najdete v tématu Požadované adresy URL pro Azure Virtual Desktop.
  • Izolujte fondy hostitelů umístěním každého fondu hostitelů do samostatné virtuální sítě. Použijte skupiny zabezpečení sítě s adresami URL, které Azure Virtual Desktop vyžaduje pro každou podsíť.
  • Vynucovat zabezpečení sítě a aplikací. Řízení zabezpečení sítě a aplikací jsou základní bezpečnostní opatření pro každou úlohu Služby Azure Virtual Desktop. Hostitelská síť a aplikace relace služby Azure Virtual Desktop vyžadují důkladnou kontrolu zabezpečení a základní kontroly.
  • Vyhněte se přímému přístupu RDP k hostitelům relací ve vašem prostředí zakázáním nebo blokováním portu RDP. Pokud potřebujete přímý přístup RDP pro účely správy nebo řešení potíží, připojte se k hostitelům relací pomocí služby Azure Bastion.
  • Pomocí Azure Private Link se službou Azure Virtual Desktop zachovejte provoz v síti Microsoftu a pomozte zlepšit zabezpečení. Když vytvoříte privátní koncový bod, provoz mezi vaší virtuální sítí a službou zůstane v síti Microsoftu. Službu už nemusíte zveřejňovat na veřejném internetu. Můžete také použít virtuální privátní síť (VPN) nebo Azure ExpressRoute, aby se uživatelé s klientem Vzdálené plochy mohli připojit k vaší virtuální síti.
  • K ochraně služby Azure Virtual Desktop použijte Azure Firewall. Hostitelé relací služby Azure Virtual Desktop běží ve vaší virtuální síti a podléhají ovládacím prvkům zabezpečení virtuální sítě. Pokud vaše aplikace nebo uživatelé potřebují odchozí přístup k internetu, doporučujeme použít Azure Firewall k jejich ochraně a uzamčení prostředí.

Šifrování přenášených dat

Dopad: Zabezpečení

Šifrování při přenosu se vztahuje na stav dat, která se přesouvají z jednoho místa do druhého. Přenášená data můžete šifrovat několika způsoby v závislosti na povaze připojení. Další informace najdete v tématu Šifrování přenášených dat.

Azure Virtual Desktop používá protokol TLS (Transport Layer Security) verze 1.2 pro všechna připojení inicializovaná z klientů a hostitelů relací ke komponentám infrastruktury služby Azure Virtual Desktop. Azure Virtual Desktop používá stejné šifry TLS 1.2 jako Azure Front Door. Je důležité zajistit, aby klientské počítače a hostitelé relací mohli tyto šifry používat. Pro přenos zpětného připojení se klient a hostitel relace připojují k bráně služby Azure Virtual Desktop. Klient a hostitel relace pak naváže připojení TCP (Transmission Control Protocol). Dále klient a hostitel relace ověří certifikát brány služby Azure Virtual Desktop. Protokol RDP se používá k vytvoření základního přenosu. Protokol RDP pak vytvoří vnořené připojení TLS mezi klientem a hostitelem relace pomocí certifikátů hostitele relace.

Další informace o síťovém připojení najdete v tématu Principy síťového připojení služby Azure Virtual Desktop.

Doporučení
  • Seznamte se s tím, jak Azure Virtual Desktop šifruje přenášená data.
  • Ujistěte se, že klientské počítače a hostitelé relací můžou používat šifry TLS 1.2, které používá Služba Azure Front Door.

Použití důvěrného výpočetního prostředí k šifrování užitých dat

Dopad: zabezpečení, efektivita výkonu

Používejte důvěrné výpočetní prostředí k ochraně dat, která se používají, když působíte v regulovaných odvětvích, jako jsou státní správa, finanční služby a zdravotnická zařízení.

Pro Azure Virtual Desktop můžete používat důvěrné virtuální počítače. Důvěrné virtuální počítače zvyšují ochranu osobních údajů a zabezpečení dat tím, že chrání data, která se používají. Řada důvěrných virtuálních počítačů Azure DCasv5 a ECasv5 poskytuje prostředí pro důvěryhodné spouštění založené na hardwaru (TEE). Toto prostředí nabízí funkce zabezpečení se zabezpečeným šifrováním Virtualization-Secure vnořeného stránkování (SEV-SNP) pro advanced Micro Devices (AMD). Tyto funkce zpřísní ochranu hosta tak, aby odepřely hypervisoru a jinému kódu správy hostitelů přístup k paměti a stavu virtuálního počítače. Pomáhají také chránit před přístupem operátora a šifrují data, která se používají.

Důvěrné virtuální počítače poskytují podporu pro verze 22H1, 22H2 a budoucí verze Windows 11. Plánuje se podpora důvěrných virtuálních počítačů pro Windows 10. Důvěrné šifrování disku operačního systému je k dispozici pro důvěrné virtuální počítače. Monitorování integrity je také k dispozici během zřizování fondu hostitelů služby Azure Virtual Desktop pro důvěrné virtuální počítače.

Další informace naleznete v následujících zdrojích:

Doporučení
  • Používejte důvěrné výpočetní prostředí k ochraně dat, která se používají.
  • K vytvoření hardwarového prostředí TEE použijte řadu důvěrných virtuálních počítačů Azure DCasv5 a ECasv5.

Další kroky

Teď, když jste se seznámili s osvědčenými postupy pro zabezpečení služby Azure Virtual Desktop, prozkoumejte postupy provozní správy, abyste dosáhli špičkové obchodní úrovně.

Pomocí nástroje pro posouzení vyhodnoťte volby návrhu.