Sicherheit und Governance

Dieser Artikel bietet zentrale Entwurfsaspekte und Empfehlungen für Sicherheit, Governance und Compliance in Azure Virtual Desktop-Zielzonen gemäß dem Cloud Adoption Framework von Microsoft.

In den folgenden Abschnitten finden Sie empfohlene Sicherheitskontrollen und Governance für Ihre Azure Virtual Desktop-Zielzone.

Identität

• Sichern Sie den Benutzerzugriff auf Azure Virtual Desktop, indem Sie eine Microsoft Entra-Richtlinie für bedingten Zugriff mit Microsoft Entra-Multi-Faktor-Authentifizierung oder einem Multi-Faktor-Authentifizierungstool eines Partners einrichten. Berücksichtigen Sie die Speicherorte, Geräte und das Anmeldeverhalten Ihrer Benutzer und fügen Sie bei Bedarf zusätzliche Kontrollen auf der Grundlage ihrer Zugriffsmuster hinzu. Weitere Informationen zur Aktivierung der Azure-Multi-Faktor-Authentifizierung für Azure Virtual Desktop finden Sie unter Aktivieren der Azure-Multi-Faktor-Authentifizierung für Azure Virtual Desktop.

• Weisen Sie die am wenigsten erforderlichen Rechte zu, indem Sie Azure RBAC-Rollen für Verwaltung, Betrieb und Technik definieren. Um den Zugriff auf Rollen mit hohen Rechten innerhalb Ihrer Azure Virtual Desktop-Zielzone zu beschränken, sollten Sie die Integration mit Azure Privileged Identity Management (PIM) in Betracht ziehen. Wenn Sie wissen, welches Team für einen bestimmten Verwaltungsbereich zuständig ist, können Sie die Rollen und die Konfiguration der rollenbasierten Zugriffssteuerung (RBAC) von Azure festlegen.

• Verwenden Sie Azure Managed Identity oder Dienstprinzipal mit Zertifikatsanmeldeinformationen für die Automatisierung und Dienste für Azure Virtual Desktop. Weisen Sie dem Automatisierungskonto die geringsten Rechte zu und beschränken Sie den Geltungsbereich auf Azure Virtual Desktop-Zielzonen. Sie können Azure Key Vault mit von Azure verwalteten Identitäten verwenden, damit Runtimeumgebungen (z. B. eine Azure-Funktion) Automatisierungsanmeldeinformationen aus dem Schlüsseltresor abrufen kann.

• Stellen Sie sicher, dass Sie Benutzer- und Administratoraktivitätsprotokolle für Microsoft Entra ID und Azure Virtual Desktop-Zielzonen sammeln. Überwachen Sie diese Protokolle mit Ihrem SIEM-Tool (Security Information & Event Management). Sie können Protokolle aus verschiedenen Quellen sammeln, z. B.:

  • Azure-Aktivitätsprotokoll
  • Microsoft Entra-Aktivitätsprotokoll
  • Microsoft Entra ID
  • Sitzungshosts
  • Key Vault-Protokolle

• Verwenden Sie Microsoft Entra-Gruppen anstelle einzelner Benutzer, wenn Sie den Zugriff auf Azure Virtual Desktop-Anwendungsgruppen zuweisen. Ziehen Sie die Verwendung bestehender Sicherheitsgruppen in Betracht, die den Geschäftsfunktionen in Ihrer Organisation zugeordnet sind, sodass Sie bestehende Prozesse zur Bereitstellung und Aufhebung von Benutzern wiederverwenden können.

Netzwerk

• Stellen Sie ein dediziertes virtuelles Netzwerk für Ihre Azure Virtual Desktop-Zielzone(n) bereit oder verwenden Sie es wieder. Planen Sie den IP-Adressraum so, dass er der Größe Ihrer Sitzungshosts entspricht. Legen Sie Ihre Basis-Subnetzgröße auf der Grundlage der minimalen und maximalen Anzahl von Sitzungshosts pro Hostpool fest. Ordnen Sie die Anforderungen Ihrer Geschäftseinheit Ihren Hostpools zu.

• Verwenden Sie Netzwerksicherheitsgruppen (NSGs) und/oder Azure Firewall (oder eine Firewall-Appliance eines Drittanbieters), um eine Mikro-Segmentierung einzurichten. Verwenden Sie Azure Virtual Network-Diensttags und Anwendungsdienstgruppen (ASGs), um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder einer Azure Firewall zu definieren, die für Ihre Azure Virtual Desktop-Ressourcen konfiguriert sind. Stellen Sie sicher, dass der ausgehende Zugriff des Sitzungshosts auf die erforderlichen URLs durch Proxy (falls innerhalb des Sitzungshosts verwendet) und Azure Firewall (oder eine Firewall-Appliance eines Drittanbieters) umgangen wird.

• Schränken Sie den Datenverkehr zwischen Ihren Sitzungshosts und internen Ressourcen auf der Grundlage Ihrer Anwendungen und Unternehmenssegmentierungsstrategie durch Sicherheitsgruppenregeln oder Azure Firewall (oder eine Firewall-Appliance eines Drittanbieters) in großem Umfang ein.

• Aktivieren Sie den Azure DDoS-Standardschutz für Azure Firewall (oder eine Firewall-Appliance eines Drittanbieters), um Ihre Azure Virtual Desktop-Zielzone(n) zu schützen.

• Wenn Sie einen Proxy für den ausgehenden Internetzugang von Ihren Sitzungshosts verwenden:

  • Konfigurieren Sie Proxyserver in derselben Geografie wie Azure Virtual Desktop-Sitzungshosts und -Clients (bei Verwendung von Cloud-Proxy-Anbietern).
  • Verwenden Sie keine TLS-Inspektion. In Azure Virtual Desktop wird der Datenverkehr während der Übertragung standardmäßig verschlüsselt.
  • Vermeiden Sie die Proxykonfiguration, die die Benutzerauthentifizierung erfordert. Azure Virtual Desktop-Komponenten auf dem Sitzungshost werden im Kontext des zugehörigen Betriebssystems ausgeführt, sodass sie keine Proxyserver unterstützen, die eine Authentifizierung erfordern. Der systemweite Proxy muss aktiviert sein, damit Sie den Proxy auf Host-Ebene auf Ihrem Sitzungshost konfigurieren können.

• Überprüfen Sie, ob Ihre Endbenutzer Zugriff auf die Azure Virtual Desktop-Client-URLs haben. Wenn der Proxy-Agent/die Proxy-Konfiguration auf den Geräten Ihrer Benutzer verwendet wird, stellen Sie sicher, dass Sie auch die Azure Virtual Desktop-Client-URLs umgehen.

• Nutzen Sie den Just-In-Time-Zugang für die Verwaltung und Fehlerbehebung Ihrer Sitzungshosts. Vermeiden Sie es, Sitzungshosts direkten RDP-Zugriff zu gewähren. AVD-Sitzungshosts verwenden den Reverse Connect-Transport, um Remotesitzungen aufzubauen.

• Verwenden Sie die Features zur adaptiven Netzwerkhärtung in Microsoft Defender für Cloud, um Netzwerksicherheitsgruppen-Konfigurationen zu finden, die Ports und Quell-IP-Adressen gemäß externer Regeln für den Netzwerk-Datenverkehr einschränken.

• Erfassen Sie die Protokolle Ihrer Azure Firewall (oder Firewall-Appliance eines Drittanbieters) mit Azure Monitor oder einer Überwachungslösung eines Partners. Sie sollten die Protokolle auch per SIEM überwachen, indem Sie Azure Sentinel oder einen ähnlichen Dienst verwenden.

• Verwenden Sie einen privaten Endpunkt nur für Azure-Dateien, die für FSLogix-Profilcontainer verwendet werden.

• Konfigurieren Sie das RDP-Shortpath, um den Reverse Connect-Transport zu ergänzen.

Sitzungshosts

• Erstellen Sie eine dedizierte Organisationseinheit (OU) im Active Directory für die Azure Virtual Desktop-Sitzungshosts. Wenden Sie die spezielle Gruppenrichtlinie auf Ihre Sitzungshosts an, um Kontrollen wie diese zu verwalten:

  • Aktivieren Sie den Bildschirmaufnahmeschutz, um zu verhindern, dass vertrauliche Bildschirminformationen auf Clientendpunkten aufgezeichnet werden.
  • Legen Sie Richtlinien für maximale Inaktivitäts-/Trennungszeiten und Bildschirmsperren fest.
  • Ausblenden von lokalen und Remotelaufwerkzuordnungen in Windows Explorer.
  • Optional können Konfigurationsparameter für FSLogix-Profilcontainer und FSLogix-Cloudcache verwendet werden.

• Steuern Sie die Geräteumleitung für Ihre Sitzungshosts. Zu den üblicherweise deaktivierten Geräten gehören der lokale Festplattenzugriff und USB- oder Porteinschränkungen. Das Einschränken der Kameraumleitung und von Remotedruckvorgängen kann zum Schutz der Daten Ihrer Organisation beitragen. Deaktivieren Sie die Umleitung der Zwischenablage, um zu verhindern, dass Remoteinhalte auf Endpunkte kopiert werden.

• Aktivieren Sie auf Ihren Sitzungshosts Antiviren-Endpoint Protection der nächsten Generation wie Microsoft Defender für Endpoint. Wenn Sie eine Endpunktlösung eines Partners verwenden, stellen Sie sicher, dass Microsoft Defender für Cloud in der Lage ist, deren Status zu überprüfen. Sie sollten auch Antiviren-Ausschlüsse in FSLogix Profile Container aufnehmen. Microsoft Defender für Endpunkt lässt sich direkt mit mehreren Microsoft Defender-Lösungen integrieren, darunter:

  • Microsoft Defender für Cloud
  • Microsoft Sentinel
  • Intune

• Aktivieren von Bewertungen des Bedrohungs- und Sicherheitsrisikomanagements. Integrieren Sie die Bedrohungs- und Schwachstellenmanagementlösung von Microsoft Defender für Endpunkt mit Microsoft Defender für Cloud oder einer Schwachstellenmanagementlösung eines Drittanbieters). Microsoft Defender für Cloud lässt sich nativ in die Qualys-Lösung zur Schwachstellenbewertung integrieren.

• Verwenden Sie die Anwendungskontrolle durch Windows Defender Application Control (WDAC) oder AppLocker, um sicherzustellen, dass die Anwendungen vor der Ausführung vertrauenswürdig sind. Anwendungssteuerungsrichtlinien können auch nicht signierte Skripts und MSIs blockieren und die Ausführung von Windows PowerShell im Modus mit eingeschränkter Sprache einschränken.

• Aktivieren Sie den vertrauenswürdigen Start für virtuelle Azure-Computer der Generation 2, um Funktionen wie Secure Boot, vTPM und virtualisierungsbasierte Sicherheit (VBS) zu aktivieren. Microsoft Defender für Cloud kann Sitzungshosts überwachen, die mit dem vertrauenswürdigen Start konfiguriert sind.

• Zufällige Lokale Administratorkennwörter mithilfe von Windows LAPS- zum Schutz vor Pass-the-Hash- und lateralen Traversalangriffen.

• Überprüfen Sie, ob Ihre Sitzungshosts von Azure Monitor oder einer Überwachungslösung eines Partners über Event Hubs überwacht werden.

• Erstellen Sie eine Patch-Management-Strategie für Ihre Sitzungshosts. Microsoft Endpoint Configuration Manager ermöglicht Azure Virtual Desktop-Sitzungshosts automatisch Updates zu empfangen. Sie sollten die Basis-Images mindestens einmal alle 30 Tage patchen. Erwägen Sie die Verwendung von Azure Image Builder (AIB), um Ihre eigene Imaging-Pipeline für das Azure Virtual Desktop-Basis-Image zu erstellen.

Weitere Informationen zu bewährten Methoden für die Sicherheit von Azure Virtual Desktop-Sitzungshosts finden Sie unter Bewährte Sicherheitsmethoden für den Sitzungshost.

Eine ausführliche Liste der bewährten Methoden für die Sicherheit von Azure-VMs finden Sie unter Sicherheitsempfehlungen für virtuelle Computer in Azure.

Datenschutz

• Microsoft Azure verschlüsselt die Daten im Ruhezustand, um sie vor „Out-of-Band“-Angriffen zu schützen, z. B. vor Versuchen, auf den zugrunde liegenden Speicher zuzugreifen. Diese Verschlüsselung hindert Angreifer am Lesen oder Ändern Ihrer Daten. Der Ansatz von Microsoft zum Aktivieren zweier Verschlüsselungsebenen für ruhende Daten beinhaltet:

  • Datenträgerverschlüsselung mithilfe kundenseitig verwalteter Schlüssel. Benutzer stellen ihre eigenen Schlüssel für die Datenträgerverschlüsselung bereit. Sie können ihre eigenen Schlüssel in ihren Key Vault einbringen (eine Praxis, die als BYOK – Bring Your Own Key – bekannt ist) oder neue Schlüssel in Azure Key Vault generieren, um die gewünschten Ressourcen zu verschlüsseln (einschließlich Sitzungshost-Disks).
  • Infrastrukturverschlüsselung mithilfe plattformseitig verwalteter Schlüssel. Standardmäßig werden Datenträger automatisch im Ruhezustand durch plattformseitig verwalteten Verschlüsselungsschlüsseln verschlüsselt.
  • Verschlüsselung auf dem VM-Host (Azure-Server, dem Ihr VM zugewiesen ist). Die temporäre Festplatte und die Betriebssystem-/Datenträger-Cache-Daten jedes virtuellen Computers werden auf dem VM-Host gespeichert. Wenn die Verschlüsselung auf dem VM-Host aktiviert ist, werden die Daten im Ruhezustand verschlüsselt und fließen verschlüsselt zum Speicherdienst, um dort gespeichert zu werden.

• Setzen Sie eine Informationsschutzlösung wie Microsoft Purview Information Protection oder eine Lösung eines Drittanbieters ein, die sicherstellt, dass vertrauliche Informationen von den Technologiesystemen Ihrer Organisation sicher gespeichert, verarbeitet und übertragen werden.

• Verwenden Sie den Sicherheitsrichtlinienratgeber für Microsoft 365-Apps for Enterprise, um die Sicherheit der Office-Bereitstellung zu verbessern. Dieses Tool identifiziert Richtlinien, die Sie für mehr Sicherheit auf Ihre Bereitstellung anwenden können, und empfiehlt außerdem Richtlinien auf der Grundlage ihrer Auswirkungen auf Ihre Sicherheit und Produktivität.

• Konfigurieren Sie die identitätsbasierte Authentifizierung für Azure Files, die für FSLogix-Benutzerprofile über lokale Active Directory Domain Services (AD DS) und Microsoft Entra Domain Services verwendet werden. Konfigurieren Sie NTFS-Berechtigungen, damit autorisierte Benutzer auf Ihre Azure Files zugreifen können.

Kostenverwaltung

• Verwenden Sie Azure-Tags, um Kosten zum Erstellen, Verwalten und Bereitstellen von Azure Virtual Desktop-Ressourcen zu organisieren. Um die zugeordneten Berechnungskosten von Azure Virtual Desktop zu identifizieren, markieren Sie alle Ihre Hostpools und virtuellen Computer. Markieren Sie Azure Files- oder Azure NetApp Files-Ressourcen, um die Speicherkosten zu verfolgen, die mit FSLogix-Benutzerprofilcontainern, benutzerdefinierten Betriebssystemimages und MSIX-App-Anhängen (falls verwendet) verknüpft sind.

• Definieren Sie die minimal vorgeschlagenen Tags, die für alle Ihre Azure Virtual Desktop-Ressourcen festgelegt werden sollen. Sie können Azure-Tags während der Bereitstellung oder nach dem Provisioning setzen. Erwägen Sie die Verwendung von in Azure Policy integrierten Definitionen zur Durchsetzung von Tagging-Regeln.

• Legen Sie Budget(s) in Azure Cost Management fest, um Azure-Nutzungskosten proaktiv zu verwalten. Bei Überschreitung der erstellten Budgetschwellenwerte werden Benachrichtigungen ausgelöst.

• Erstellen Sie Azure Cost Management-Warnungen, um Azure-Nutzung und -Ausgaben in der Azure Virtual Desktop-Zielzone zu überwachen.

• Konfigurieren Sie das Feature „VM bei Verbindung starten“, um Kosten zu sparen, indem Sie Endbenutzern erlauben, ihre virtuellen Computer (VMs) nur dann zu aktivieren, wenn sie sie benötigen.

• Bereitstellung von Skalierungslösungen für gepoolte Sitzungshosts über Azure Automation oder die Autoscale-Funktion (Vorschau)

Ressourcenkonsistenz

• Verwenden Sie Intune für persönliche Azure Virtual Desktop-Sitzungshosts, um vorhandene oder neue Konfigurationen anzuwenden oder neue Konfigurationen anzuwenden und Ihre VMs mit Compliancerichtlinien und bedingtem Zugriff zu sichern. Die Intune-Verwaltung ist nicht abhängig von der Azure Virtual Desktop-Verwaltung desselben virtuellen Computers oder beeinträchtigt diese.

• Die Verwaltung von Sitzungshosts mit mehreren Sitzungen mit Intune ermöglicht Ihnen die Verwaltung von Windows 10 oder Windows 11 Enterprise-Remotedesktops mit mehreren Sitzungen im Intune Admin Center, genau wie Sie ein freigegebenes Windows 10- oder Windows 11-Clientgerät verwalten können. Bei der Verwaltung solcher virtuellen Computer (VMs) können sowohl gerätebasierte Konfigurationen für Geräte als auch benutzerbasierte Konfigurationen für Benutzer verwendet werden.

• Überprüfen und konfigurieren Sie die Härtung des Betriebssystems Ihrer Sitzungshosts mit Hilfe der Azure Policy-Gastkonfiguration. Verwenden Sie die Windows-Sicherheitsgrundlagen als Startpunkt für die Sicherung Ihres Windows-Betriebssystems.

• Verwenden Sie integrierte Azure Policy-Definitionen, um die Diagnoseeinstellungen für Azure Virtual Desktop-Ressourcen wie Arbeitsbereiche, Anwendungsgruppen und Hostpools zu konfigurieren.

Überprüfen Sie die bewährten Methoden für die Sicherheit von Azure Virtual Desktop als Startpunkt für die Sicherheit innerhalb Ihrer Umgebung.

Kompatibilität

Nahezu alle Organisationen müssen verschiedene staatliche oder branchenspezifische Vorschriften einhalten. Überprüfen Sie all diese Richtlinien mit Ihrem Complianceteam und implementieren Sie die richtigen Kontrollmechanismen für Ihre bestimmten Azure Virtual Desktop-Zielzone. So sollten Sie beispielsweise Kontrollen für bestimmte Richtlinien wie den Payment Card Industry Data Security Standard (PCI-DSS) oder den Health Insurance Portability and Accountability Act of 1996 (HIPAA) in Betracht ziehen, wenn Ihre Organisation deren Rahmenwerke befolgt.

• Verwenden Sie Microsoft Defender für Cloud, um zusätzliche Compliancestandards für Azure Virtual Desktop-Zielzonen anzuwenden, falls erforderlich. Mit Microsoft Defender für Cloud kann Ihr Prozess zur Einhaltung gesetzlicher Anforderungen optimiert werden, indem das Dashboard für die Einhaltung gesetzlicher Bestimmungen verwendet wird. Sie können dem Dashboard integrierte oder benutzerdefinierte Konformitätsstandards hinzufügen. Zu den bereits eingebauten Regulierungsstandards, die Sie hinzufügen können, gehören:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL und UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Durch New Zealand ISM eingeschränkt
  • CMMC Level 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Wenn Ihre Organisation an die Anforderungen der Datenresidenz gebunden ist, sollten Sie die Bereitstellung von Azure Virtual Desktop-Ressourcen (Arbeitsbereiche, Anwendungsgruppen und Hostpools) auf die folgenden Regionen beschränken:

  • USA
  • Europa
  • United Kingdom
  • Canada

  Durch die Beschränkung der Bereitstellung auf diese Regionen können Sie sicherstellen, dass Azure Virtual Desktop-Metadaten in der Region der Azure Virtual Desktop-Ressourcengeografie gespeichert werden, da Ihre Sitzungshosts weltweit bereitgestellt werden können, um Ihre Benutzerbasis zu berücksichtigen.

• Verwenden Sie Gruppenrichtlinien und Geräteverwaltungstools wie Intune und Microsoft Endpoint Configuration Manager, um eine umfassende Sicherheit und Compliance für Ihre Sitzungshosts sicherzustellen.

• Konfigurieren Sie Warnungen und automatische Reaktionen in Microsoft Defender für Cloud, um die allgemeine Konformität von Azure Virtual Desktop-Zielzonen sicherzustellen.

• Prüfen Sie den Microsoft Secure Score, um die allgemeine Sicherheitslage der Organisation für die folgenden Produkte zu messen:

  • Microsoft 365 (einschließlich Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Defender-für-Cloud-Apps
  • Microsoft Teams

• Überprüfen Sie Microsoft Defender für Cloud Secure Score, um die allgemeine Sicherheitskonformität Ihrer Azure Virtual-Zielzonen zu verbessern.

Empfohlene bewährte Sicherheitsmethoden und -baselines

• Empfohlene Sicherheitspraktiken für Azure Virtual Desktop
• Sicherheitsbasis für Azure Virtual Desktop basierend auf Azure Security Benchmark
• Anwenden von Zero Trust-Prinzipien auf eine Azure Virtual Desktop-Bereitstellung

Nächste Schritte

Erfahren Sie mehr über Plattformautomatisierung und DevOps für ein unternehmensweites Azure Virtual Desktop-Szenario.

Plattformautomatisierung und DevOps