Použití principů nulová důvěra (Zero Trust) pro nasazení služby Azure Virtual Desktop

Tento článek obsahuje postup použití principů nulová důvěra (Zero Trust) na nasazení služby Azure Virtual Desktop následujícími způsoby:

princip nulová důvěra (Zero Trust) Definice Met by
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. Ověřte identity a koncové body uživatelů služby Azure Virtual Desktop a zabezpečený přístup k hostitelům relací.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
  • Omezte přístup k hostitelům relací a jejich datům.
  • Úložiště: Ochrana dat ve všech třech režimech: neaktivní uložená data, přenášená data a data, která se používají.
  • Virtuální sítě: Zadejte povolené toky síťového provozu mezi hvězdicovými virtuálními sítěmi pomocí služby Azure Firewall.
  • Virtuální počítače: Použijte řízení přístupu na základě role (RBAC).
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.
  • Izolujte komponenty nasazení služby Azure Virtual Desktop.
  • Úložiště: K automatizované detekci a ochraně před hrozbami použijte Defender for Storage.
  • Virtuální sítě: Zabránění tokům provozu mezi úlohami pomocí služby Azure Firewall
  • Virtuální počítače: Pro komplexní šifrování používejte dvojité šifrování, povolte šifrování na hostiteli, zabezpečenou údržbu virtuálních počítačů a Microsoft Defender for Servers pro detekci hrozeb.
  • Azure Virtual Desktop: Pomocí funkcí zabezpečení, zásad správného řízení, správy a monitorování Služby Azure Virtual Desktop můžete zlepšit ochranu a shromažďovat analýzy hostitelů relací.

Další informace o použití principů nulová důvěra (Zero Trust) v prostředí Azure IaaS najdete v přehledu Použití principů nulová důvěra (Zero Trust) v Azure IaaS.

Referenční architektura

V tomto článku používáme následující referenční architekturu centra a paprsku k předvedení běžně nasazeného prostředí a způsobu použití principů nulová důvěra (Zero Trust) pro Azure Virtual Desktop s přístupem uživatelů přes internet. Kromě privátního přístupu přes spravovanou síť pomocí zkratky RDP pro Azure Virtual Desktop se podporuje také architektura Azure Virtual WAN.

Diagram of the reference architecture for Azure Virtual Desktop.

Prostředí Azure pro Azure Virtual Desktop zahrnuje:

Komponenta Popis
A Služby Azure Storage pro profily uživatelů služby Azure Virtual Desktop
T Virtuální síť centra připojení.
C Paprsková virtuální síť s relacemi Azure Virtual Desktopu hostuje úlohy založené na virtuálních počítačích.
D Řídicí rovina služby Azure Virtual Desktop.
E Rovina správy služby Azure Virtual Desktop.
F Závislé služby PaaS, včetně Microsoft Entra ID, Microsoft Defenderu pro cloud, řízení přístupu na základě role (RBAC) a Azure Monitoru
G Galerie výpočetních prostředků Azure

Uživatelé nebo správci, kteří přistupují k prostředí Azure, můžou pocházet z internetu, umístění kanceláře nebo místních datacenter.

Referenční architektura odpovídá architektuře popsané v cílové zóně na podnikové úrovni pro architekturu přechodu na cloud Azure Virtual Desktop .

Logická architektura

V tomto diagramu je infrastruktura Azure pro nasazení služby Azure Virtual Desktop obsažená v jednom tenantovi Microsoft Entra.

Diagram of the components of Azure Virtual Desktop in a Microsoft Entra tenant.

Prvky logické architektury jsou:

  • Předplatné Azure pro službu Azure Virtual Desktop

    Prostředky můžete distribuovat ve více než jednom předplatném, kde každé předplatné může obsahovat různé role, například předplatné sítě nebo předplatné zabezpečení. Toto je popsáno v rámci architektury přechodu na cloud a v cílové zóně Azure. Různá předplatná můžou obsahovat také různá prostředí, jako jsou produkční, vývojová a testovací prostředí. Záleží na tom, jak chcete oddělit prostředí a počet prostředků, které máte v každém z nich. Jedno nebo více předplatných je možné spravovat společně pomocí skupiny pro správu. Díky tomu můžete používat oprávnění s RBAC a zásadami Azure pro skupinu předplatných místo individuálního nastavení jednotlivých předplatných.

  • Skupina prostředků Azure Virtual Desktopu

    Skupina prostředků Azure Virtual Desktopu izoluje trezory klíčů, objekty služby Azure Virtual Desktop a privátní koncové body.

  • Skupina prostředků úložiště

    Skupina prostředků úložiště izoluje privátní koncové body a sady dat služby Azure Files.

  • Skupina prostředků hostitelů relací virtuálních počítačů

    Vyhrazená skupina prostředků izoluje virtuální počítače pro své relace hostitelem virtuálních počítačů, sady šifrování disků a skupiny zabezpečení aplikace.

  • Skupina prostředků paprskové virtuální sítě

    Vyhrazená skupina prostředků izoluje paprskové prostředky virtuální sítě a skupinu zabezpečení sítě, kterou můžou spravovat specialisté na sítě ve vaší organizaci.

Co je v tomto článku?

Tento článek vás provede postupem použití principů nulová důvěra (Zero Trust) v referenční architektuře Azure Virtual Desktopu.

Krok Úloha nulová důvěra (Zero Trust) použité zásady
0 Zabezpečení identit pomocí nulová důvěra (Zero Trust) Explicitní ověření
2 Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust) Explicitní ověření
3 Použití principů nulová důvěra (Zero Trust) na prostředky úložiště Služby Azure Virtual Desktop Explicitní ověření
Použití nejméně privilegovaného přístupu
Předpokládat porušení zabezpečení
4 Použijte principy nulová důvěra (Zero Trust) pro hvězdicové virtuální sítě Azure Virtual Desktopu. Explicitní ověření
Použití nejméně privilegovaného přístupu
Předpokládat porušení zabezpečení
5 Použití principů nulová důvěra (Zero Trust) na hostitele relace služby Azure Virtual Desktop Explicitní ověření
Použití nejméně privilegovaného přístupu
Předpokládat porušení zabezpečení
6 Nasaďte do služby Azure Virtual Desktop zabezpečení, zásady správného řízení a dodržování předpisů. Předpokládat porušení zabezpečení
7 Nasaďte zabezpečenou správu a monitorování do Služby Azure Virtual Desktop. Předpokládat porušení zabezpečení

Krok 1: Zabezpečení identit pomocí nulová důvěra (Zero Trust)

Použití principů nulová důvěra (Zero Trust) pro identity používané ve službě Azure Virtual Desktop:

  • Azure Virtual Desktop podporuje různé typy identit. Informace v zabezpečení identity s nulová důvěra (Zero Trust) použijte k zajištění toho, aby zvolené typy identit dodržovaly nulová důvěra (Zero Trust) principy.
  • Vytvořte vyhrazený uživatelský účet s nejnižšími oprávněními pro připojení hostitelů relací ke službě Microsoft Entra Domain Services nebo doméně SLUŽBY AD DS během nasazování hostitele relace.

Krok 2: Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust)

Koncové body jsou zařízení, přes která uživatelé přistupují k prostředí služby Azure Virtual Desktop a k hostitelským virtuálním počítačům relace. Postupujte podle pokynů v přehledu integrace koncového bodu a použijte Microsoft Defender for Endpoint a Microsoft Endpoint Manager, abyste zajistili, že vaše koncové body vyhovují vašim požadavkům na zabezpečení a dodržování předpisů.

Krok 3: Použití principů nulová důvěra (Zero Trust) na prostředky úložiště Služby Azure Virtual Desktop

Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro úložiště v Azure pro prostředky úložiště používané v nasazení služby Azure Virtual Desktop. Tímto postupem zajistíte následující:

  • Zabezpečte neaktivní uložená data služby Azure Virtual Desktop, přenášená a užitá.
  • Ověřte uživatele a kontrolujte přístup k datům úložiště s nejnižšími oprávněními.
  • Implementujte privátní koncové body pro účty úložiště.
  • Logicky oddělte důležitá data pomocí síťových ovládacích prvků. Například samostatné účty úložiště pro různé fondy hostitelů a jiné účely, jako je připojení sdílených složek aplikace MSIX.
  • K automatizované ochraně před hrozbami použijte Defender for Storage.

Poznámka:

V některých návrzích je azure NetApp files zvolenou službou úložiště pro profily FSLogix pro Azure Virtual Desktop prostřednictvím sdílené složky SMB. Azure NetApp Files poskytuje integrované funkce zabezpečení, které zahrnují delegované podsítě a srovnávací testy zabezpečení.

Krok 4: Použití principů nulová důvěra (Zero Trust) pro hvězdicové virtuální sítě Azure Virtual Desktopu

Virtuální síť centra je centrálním bodem připojení pro více paprskových virtuálních sítí. Implementujte kroky v části Použití principů nulová důvěra (Zero Trust) pro virtuální síť centra v Azure pro virtuální síť centra, která se používá k filtrování odchozího provozu z hostitelů relací.

Paprsková virtuální síť izoluje úlohu Služby Azure Virtual Desktop a obsahuje virtuální počítače hostitele relace. Implementujte kroky uvedené v tématu Použití principů nulová důvěra (Zero Trust) pro paprskovou virtuální síť v Azure pro paprskovou virtuální síť, která obsahuje hostitele relace nebo virtuální počítače.

Izolujte různé fondy hostitelů v samostatných virtuálních sítích pomocí skupiny zabezpečení sítě s požadovanou adresou URL potřebnou pro Azure Virtual Desktop pro každou podsíť. Při nasazování privátních koncových bodů je umístíte do příslušné podsítě ve virtuální síti na základě jejich role.

Bránu firewall Azure nebo bránu firewall síťového virtuálního zařízení (NVA) je možné použít k řízení a omezení odchozího provozu hostitelů relací služby Azure Virtual Desktop. Pokyny pro azure Firewall použijte k ochraně hostitelů relací. Vynuťte provoz přes bránu firewall s trasami definovanými uživatelem propojenými s podsítí fondu hostitelů. Projděte si úplný seznam požadovaných adres URL služby Azure Virtual Desktop ke konfiguraci brány firewall. Azure Firewall poskytuje značku plně kvalifikovaného názvu domény služby Azure Virtual Desktop pro zjednodušení této konfigurace.

Krok 5: Použití principů nulová důvěra (Zero Trust) u hostitelů relací služby Azure Virtual Desktop

Hostitelé relací jsou virtuální počítače, které běží uvnitř paprskové virtuální sítě. Implementujte kroky v tématu Použití principů nulová důvěra (Zero Trust) pro virtuální počítače v Azure pro virtuální počítače vytvořené pro hostitele relací.

Fondy hostitelů by měly mít oddělené organizační jednotky (OU), pokud jsou spravované zásadami skupiny ve službě Doména služby Active Directory Services (AD DS).

Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Microsoft Defender for Endpoint můžete použít pro hostitele relací. Další informace najdete v tématu Zařízení infrastruktury virtuálních klientských počítačů (VDI).

Krok 6: Nasazení zabezpečení, zásad správného řízení a dodržování předpisů do služby Azure Virtual Desktop

Služba Azure Virtual Desktop umožňuje používat Službu Azure Private Link k privátnímu připojení k vašim prostředkům vytvořením privátních koncových bodů.

Azure Virtual Desktop má integrované pokročilé funkce zabezpečení pro ochranu hostitelů relací. V následujících článcích se ale dozvíte, jak zlepšit ochranu zabezpečení prostředí Azure Virtual Desktopu a hostitelů relací:

Kromě toho se podívejte na klíčové aspekty návrhu a doporučení týkající se zabezpečení, zásad správného řízení a dodržování předpisů v cílových zónách Azure Virtual Desktopu v souladu s architekturou přechodu na cloud od Microsoftu.

Krok 7: Nasazení zabezpečené správy a monitorování do služby Azure Virtual Desktop

Správa a průběžné monitorování jsou důležité, aby se zajistilo, že vaše prostředí Služby Azure Virtual Desktop se nebude zabývat škodlivým chováním. Pomocí služby Azure Virtual Desktop Přehledy můžete protokolovat data a hlásit diagnostická data a data o využití.

Podívejte se na tyto další články:

Zabezpečení nasazení služby Azure Virtual Desktop

Školení Zabezpečení nasazení služby Azure Virtual Desktop
Přečtěte si o možnostech zabezpečení Microsoftu, které pomáhají zabezpečit vaše aplikace a data v nasazení služby Microsoft Azure Virtual Desktop.

Ochrana nasazení služby Azure Virtual Desktop pomocí Azure

Školení Ochrana nasazení služby Azure Virtual Desktop pomocí Azure
Nasaďte Azure Firewall, směrujte veškerý síťový provoz přes Azure Firewall a nakonfigurujte pravidla. Směrování odchozího síťového provozu z fondu hostitelů Služby Azure Virtual Desktop do služby prostřednictvím služby Azure Firewall

Správa přístupu a zabezpečení pro Azure Virtual Desktop

Školení Správa přístupu a zabezpečení pro Azure Virtual Desktop
Naučte se plánovat a implementovat role Azure pro Azure Virtual Desktop a implementovat zásady podmíněného přístupu pro vzdálená připojení. Tento studijní program je v souladu se zkouškou AZ-140: Konfigurace a provoz služby Microsoft Azure Virtual Desktop.

Návrh pro identity a profily uživatelů

Školení Návrh pro identity a profily uživatelů
Vaši uživatelé vyžadují přístup k těmto aplikacím místně i v cloudu. Ke vzdálenému přístupu k aplikacím a plochám Windows z jiného zařízení s Windows používáte klienta Vzdálené plochy pro Windows.

Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
Zabezpečení v Azure

Další kroky

Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:

Odkazy

Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.