Anwenden von Zero Trust-Prinzipien auf eine Azure Virtual Desktop-Bereitstellung

Dieser Artikel enthält Schritte zum Anwenden der Prinzipien von Zero Trust auf eine Azure Virtual Desktop-Bereitstellung auf folgende Weise:

Zero Trust-Prinzip	Definition	Erfüllt von
Explizit verifizieren	Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten.	Überprüfen Sie die Identitäten und Endpunkte von Azure Virtual Desktop-Benutzern und sichern Sie den Zugriff auf Sitzungshosts.
Geringstmögliche Zugriffsberechtigungen verwenden	Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.	Beschränken Sie den Zugriff auf Sitzungshosts und deren Daten. Speicherung: Schützen Sie Daten in allen drei Modi: ruhende Daten, Daten in Übertragung, Daten in Verwendung. Virtuelle Netzwerke (VNets): Geben Sie zulässige Netzwerkdatenverkehrsströme zwischen Hub-and-Spoke-VNets mit Azure Firewall an. Virtuelle Maschinen: Verwenden Sie eine rollenbasierte Zugriffskontrolle (RBAC).
Von einer Sicherheitsverletzung ausgehen	Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.	Isolieren Sie die Komponenten einer Azure Virtual Desktop-Bereitstellung. Speicherung: Verwenden Sie Defender for Storage für die automatisierte Erkennung und den Schutz von Bedrohungen. VNets: Verhindern Sie Datenverkehrsströme zwischen Workloads mit Azure Firewall. Virtuelle Maschinen: Verwenden Sie doppelte Verschlüsselung für die End-to-End-Verschlüsselung, aktivieren Sie die Verschlüsselung auf dem Host, sichern Sie die Wartung für virtuelle Maschinen und Microsoft Defender für Server zur Erkennung von Bedrohungen. Azure Virtual Desktop: Nutzen Sie die Sicherheits-, Governance-, Verwaltungs- und Überwachungsfunktionen von Azure Virtual Desktop, um die Abwehr zu verbessern und Sitzungshostanalysen zu erfassen.

Weitere Informationen zur Anwendung der Zero Trust-Prinzipien in einer Azure IaaS-Umgebung finden Sie in der Übersicht Zero Trust-Prinzipien auf Azure IaaS anwenden.

Referenzarchitektur

In diesem Artikel verwenden wir die folgende Referenzarchitektur für Hub and Spoke, um eine häufig bereitgestellte Umgebung zu demonstrieren und zu zeigen, wie die Prinzipien von Zero Trust für Azure Virtual Desktop beim Benutzerzugriff über das Internet angewendet werden. Die Azure Virtual WAN-Architektur wird zusätzlich zum privaten Zugriff über ein verwaltetes Netzwerk mit RDP Shortpath für Azure Virtual Desktop ebenfalls unterstützt.

Die Azure-Umgebung für Azure Virtual Desktop umfasst:

Komponente	Beschreibung
A	Azure Storage Services für Azure Virtual Desktop-Benutzerprofile.
b	Einen Konnektivitäts-Hub-VNet.
C	Ein Spoke-VNet mit Azure Virtual Desktop-Sitzung hostet auf virtuellen Maschinen basierende Arbeitslasten.
D	Eine Azure Virtual Desktop-Steuerungsebene.
E	Eine Azure Virtual Desktop-Verwaltungsebene.
F	Abhängige PaaS-Dienste, einschließlich Microsoft Entra ID, Microsoft Defender für Cloud, rollenbasierte Zugriffskontrolle (RBAC) und Azure Monitor.
G	Azure Compute-Galerie.

Benutzer oder Administratoren, die auf die Azure-Umgebung zugreifen, können über das Internet, Bürostandorte oder lokale Rechenzentren stammen.

Die Referenzarchitektur richtet sich nach der Architektur, die in Enterprise-Scale Landing Zone für Azure Virtual Desktop Cloud Adoption Framework beschrieben wird.

Logische Architektur

Die Abbildung zeigt die Azure-Infrastruktur für eine Azure Virtual Desktop-Bereitstellung in einem Entra ID-Mandanten.

Die Elemente der logischen Architektur sind:

• Azure-Abonnement für Ihren Azure Virtual Desktop

  Sie können die Ressourcen in mehr als einem Abonnement verteilen, wobei jedes Abonnement unterschiedliche Rollen innehaben kann, z. B. ein Netzwerkabonnement oder ein Sicherheitsabonnement. Dies wird in Framework zur Cloud-Einführung und Azure-Zielzone beschrieben. Die verschiedenen Abonnements können auch unterschiedliche Umgebungen enthalten, z. B. Produktions-, Entwicklungs- und Testumgebungen. Es hängt davon ab, wie Sie Ihre Umgebung trennen möchten und wie viele Ressourcen Sie in jeder Umgebung haben. Mithilfe einer Verwaltungsgruppe können ein oder mehrere Abonnements gemeinsam verwaltet werden. Dies gibt Ihnen die Möglichkeit, Berechtigungen mit RBAC- und Azure-Richtlinien auf eine Gruppe von Abonnements anzuwenden, anstatt jedes Abonnement einzeln einzurichten.

• Azure Virtual Desktop-Ressourcengruppe

  Eine Azure Virtual Desktop-Ressourcengruppe isoliert Key Vaults, Azure Virtual Desktop-Dienstobjekte und private Endpunkte.

• Speicher (Ressourcengruppe)

  Eine Speicherressourcengruppe isoliert private Endpunkte und Datensätze des Azure Files-Diensts.

• Ressourcengruppe für virtuelle Maschinen des Sitzungshosts

  Eine dedizierte Ressourcengruppe isoliert die virtuellen Maschinen für ihre Sitzungshosts, virtuelle Maschinen, Festplattenverschlüsselungssätze und eine Anwendungssicherheitsgruppe.

• Spoke VNet-Ressourcengruppe

  Eine dedizierte Ressourcengruppe isoliert die Spoke VNet-Ressourcen und eine Netzwerksicherheitsgruppe, die Netzwerkspezialisten in Ihrer Organisation verwalten können.

Was ist in diesem Artikel enthalten?

In diesem Artikel werden die Schritte zur Anwendung der Prinzipien von Zero Trust in der gesamten Azure Virtual Desktop-Referenzarchitektur beschrieben.

Schritt	Task	Es gelten die Zero Trust-Prinzipien
1	Schützen Sie Ihre Identitäten mit Zero Trust	Explizit verifizieren
2	Schützen Sie Ihre Endpunkte mit Zero Trust	Explizit verifizieren
3	Wenden Sie Zero Trust-Prinzipien auf Azure Virtual Desktop-Speicherressourcen an.	Explizit verifizieren Verwenden des Zugriffs mit den geringsten Rechten Von einer Sicherheitsverletzung ausgehen
4	Wenden Sie Zero Trust-Prinzipien auf Hub-and-Spoke-VNETs von Azure Virtual Desktop an.	Explizit verifizieren Verwenden des Zugriffs mit den geringsten Rechten Von einer Sicherheitsverletzung ausgehen
5	Wenden Sie Zero Trust-Prinzipien auf den Azure Virtual Desktop-Sitzungshost an.	Explizit verifizieren Verwenden des Zugriffs mit den geringsten Rechten Von einer Sicherheitsverletzung ausgehen
6	Stellen Sie Sicherheit, Governance und Compliance für Azure Virtual Desktop bereit.	Von einer Sicherheitsverletzung ausgehen
7	Stellen Sie sichere Verwaltung und Überwachung auf Azure Virtual Desktop bereit.	Von einer Sicherheitsverletzung ausgehen

Schritt 1: Schützen Sie Ihre Identitäten mit Zero Trust

So wenden Sie Zero Trust-Prinzipien auf die in Azure Virtual Desktop verwendeten Identitäten an:

• Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten. Verwenden Sie die Informationen unter Identität mit Zero Trust sichern, um sicherzustellen, dass die von Ihnen gewählten Identitätstypen den Zero Trust-Prinzipien entsprechen.
• Erstellen Sie ein dediziertes Benutzerkonto mit den geringsten Berechtigungen, um Sitzungshosts während der Bereitstellung des Sitzungshosts einer Microsoft Entra Domain Services- oder AD DS-Domäne hinzuzufügen.

Schritt 2: Schützen Sie Ihre Endpunkte mit Zero Trust

Endpunkte sind die Geräte, über die Benutzer auf die Azure Virtual Desktop-Umgebung und Sitzungshost-VMs zugreifen. Befolgen Sie die Anweisungen in der Übersicht über die Endpunktintegration und verwenden Sie Microsoft Defender für Endpunkt und Microsoft Endpoint Manager, um sicherzustellen, dass Ihre Endpunkte Ihren Sicherheits- und Compliance-Anforderungen entsprechen.

Schritt 3: Wenden Sie Zero Trust-Prinzipien auf Azure Virtual Desktop-Speicherressourcen an

Implementieren Sie die Schritte unter Zero Trust-Prinzipien auf Speicher in Azure anwenden für die Speicherressourcen, die in Ihrer Azure Virtual Desktop-Bereitstellung verwendet werden. Diese Schritte stellen sicher, dass Folgendes durchführen können:

• Sichern Sie Ihre Azure Virtual Desktop-Daten im Ruhezustand, bei der Übertragung und bei der Verwendung.
• Überprüfen Sie Benutzer und steuern Sie den Zugriff auf Speicherdaten mit den geringsten Berechtigungen.
• Implementieren Sie private Endpunkte für Speicherkonten.
• Trennen Sie kritische Daten mithilfe von Netzwerkkontrollen logisch. Beispielsweise separate Speicherkonten für verschiedene Hostpools und andere Zwecke, beispielsweise mit MSIX-App Dateifreigaben hier anhängen.
• Speicherung: Verwenden Sie Defender for Storage für den automatisierten Bedrohungsschutz.

Hinweis

In einigen Designs ist Azure NetApp Files der Speicherdienst der Wahl für FSLogix-Profile für Azure Virtual Desktop über eine SMB-Freigabe. Azure NetApp Files bietet integrierte Sicherheitsfunktionen, darunter delegierte Subnetze und Sicherheitsbenchmarks.

Schritt 4:Wenden Sie Zero Trust-Prinzipien auf Hub-and-Spoke-VNETs von Azure Virtual Desktop an.

Ein Hub-VNet ist ein zentraler Verbindungspunkt für virtuelle Netzwerke mit mehreren Spokes. Implementieren Sie die Schritte unter Anwenden von Zero Trust-Prinzipien auf ein virtuelles Hub-Netzwerk in Azure für das Hub-VNet, das zum Filtern ausgehenden Datenverkehrs von Ihren Sitzungshosts verwendet wird.

Ein Spoke-VNet isoliert die Azure Virtual Desktop-Arbeitslast und enthält die virtuellen Maschinen des Sitzungshosts. Implementieren Sie die Schritte unter Anwenden von Zero Trust-Prinzipien auf das virtuelle Spoke-Netzwerk in Azure für das Spoke-VNet, das den Sitzungshost/die virtuellen Maschinen enthält.

Isolieren Sie verschiedene Hostpools auf separaten VNets mithilfe von NSG mit der erforderlichen URL, die für Azure Virtual Desktop für jedes Subnetz erforderlich ist. Platzieren Sie die privaten Endpunkte bei der Bereitstellung entsprechend ihrer Rolle im entsprechenden Subnetz im VNet.

Azure Firewall oder eine Network Virtual Appliance (NVA)-Firewall können verwendet werden, um den ausgehenden Datenverkehr von Azure Virtual Desktop-Sitzungshosts zu steuern und einzuschränken. Verwenden Sie die Anweisungen hier für Azure Firewall, um Sitzungshosts zu schützen. Erzwingen Sie den Datenverkehr durch die Firewall mitBenutzerdefinierten Routen (UDRs), die mit dem Host-Pool-Subnetz verknüpft sind. Sehen Sie sich die vollständige Liste der Azure Virtual Desktop-URLs an, um Ihre Firewall zu konfigurieren. Azure Firewall stellt ein Azure Virtual Desktop FQDN-Tag bereit, um diese Konfiguration zu vereinfachen.

Schritt 5: Wenden Sie Zero Trust-Prinzipien auf die Azure Virtual Desktop-Sitzungshosts an.

Sitzungshosts sind virtuelle Maschinen, die in einem Spoke-VNet ausgeführt werden. Implementieren Sie die Schritte unter Anwenden von Zero Trust-Prinzipien auf virtuelle Maschinen in Azure für die virtuellen Maschinen, die für Ihre Sitzungshosts erstellt werden.

Hostpoolssollten getrennte Organisationseinheiten (OUs) haben, wenn sie durch Gruppenrichtlinien auf Active Directory Domain Services (AD DS) verwaltet werden.

Microsoft Defender für Endpunkt (Microsoft Defender Advanced Threat Protection, MDATP) ist eine Endpunktsicherheitsplattform für Unternehmen, die helfen soll, komplexe Bedrohungen zu vermeiden, zu erkennen, zu untersuchen und darauf zu reagieren. Sie können Microsoft Defender für Endpunkt für Sitzungshosts verwenden. Weitere Informationen finden Sie unter virtuelle Desktopinfrastrukturen (VDI)-Geräte.

Schritt 6: Stellen Sie Sicherheit, Governance und Compliance für Azure Virtual Desktop bereit

Mit dem Azure Virtual Desktop-Dienst können Sie Azure Private Link erwenden, um eine private Verbindung zu Ihren Ressourcen herzustellen, indem Sie private Endpunkte erstellen.

Azure Virtual Desktop verfügt über integrierte erweiterte Sicherheitsfunktionen zum Schutz von Sitzungshosts. Lesen Sie jedoch die folgenden Artikel, um die Sicherheitsmaßnahmen Ihrer Azure Virtual Desktop-Umgebung und Sitzungshosts zu verbessern:

• Bewährte Sicherheitsmethoden für Azure Virtual Desktop
• Azure-Sicherheitsbaseline für Azure Virtual Desktop

Sehen Sie sich außerdem die wichtigsten Designüberlegungen und -empfehlungen für Sicherheit, Governance und Compliance in Azure Virtual Desktop-Landezonen gemäß dem Cloud Adoption Framework von Microsoft an.

Schritt 7: Stellen Sie sichere Verwaltung und Überwachung auf Azure Virtual Desktop bereit.

Verwaltung und kontinuierliche Überwachung sind wichtig, um sicherzustellen, dass Ihre Azure Virtual Desktop-Umgebung kein böswilliges Verhalten zeigt. Verwenden Sie Azure Virtual Desktop Insights, um Daten zu protokollieren und Diagnose- und Nutzungsdaten zu melden.

Sehen Sie sich diese zusätzlichen Artikel an:

• Lesen Sie die Empfehlungen von Azure Advisor für Azure Virtual Desktop.
• Verwenden Sie Microsoft Intunefür eine detaillierte Richtlinienverwaltung oder Gruppenrichtlinienverwaltung.
• Überprüfen und legen Sie RDP-Eigenschaften für detaillierte Einstellungen auf Host-Pool-Ebene fest.

Empfohlenes Training

Schützen einer Azure Virtual Desktop-Bereitstellung

Training	Schützen einer Azure Virtual Desktop-Bereitstellung
	Erfahren Sie mehr über die Sicherheitsfunktionen von Microsoft, die dazu beitragen, Ihre Anwendungen und Daten in Ihrer Microsoft Azure Virtual Desktop-Bereitstellung zu schützen.

Start >

Schützen Sie Ihre Azure Virtual Desktop-Bereitstellung durch die Verwendung von Azure

Training	Schützen Sie Ihre Azure Virtual Desktop-Bereitstellung durch die Verwendung von Azure
	Stellen Sie Azure Firewall bereit, leiten Sie den gesamten Netzwerkdatenverkehr über Azure Firewall weiter, und konfigurieren Sie Regeln. Routen Sie den ausgehenden Netzwerkdatenverkehr vom Azure Virtual Desktop-Hostpool zum Dienst über Azure Firewall.

Start >

Verwalten des Zugriffs und der Sicherheit für Azure Virtual Desktop

Training	Verwalten des Zugriffs und der Sicherheit für Azure Virtual Desktop
	Erfahren Sie, wie Sie Azure-Rollen für Azure Virtual Desktop planen und implementieren und Richtlinien für bedingten Zugriff für Remoteverbindungen implementieren. Dieser Lernpfad dient der Vorbereitung auf die Prüfung AZ-140: Konfigurieren und Betreiben von Microsoft Azure Virtual Desktop.

Start >

Entwurf für Benutzeridentitäten und -profile

Training	Entwurf für Benutzeridentitäten und -profile
	Ihre Benutzer*innen benötigen Zugriff auf die Anwendungen, die sich lokal oder in der Cloud befinden. Sie verwenden den Remotedesktopclient für Windows Desktop, um remote über ein anderes Windows-Gerät auf Windows-Apps und -Desktops zuzugreifen.

Start >

Weitere Trainings zur Sicherheit in Azure finden Sie in den folgenden Ressourcen im Microsoft-Katalog:
Sicherheit in Azure

Nächste Schritte

Lesen Sie diese zusätzlichen Artikel zur Anwendung von Zero Trust-Prinzipien auf Azure:

• Azure IaaS – Übersicht
  • Azure Storage
  • Virtuelle Computer
  • Spoke virtuelle Netzwerke
  • Spoke virtuelle Netzwerke mit Azure PaaS-Diensten
  • Virtuelle Hubnetzwerke
• Azure Virtual WAN
• IaaS-Anwendungen in Amazon Web Services
• Microsoft Sentinel und Microsoft Defender XDR

Technische Illustrationen

Sie können die in diesem Artikel verwendeten Abbildungen herunterladen. Verwenden Sie die Visio-Datei, um diese Abbildungen für Ihren eigenen Gebrauch zu ändern.

PDF | Visio

Für weitere technische Illustrationen klicken Sie hier.

References

Klicken Sie auf die folgenden Links, um mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien zu erfahren.

• Was ist Azure – Microsoft Cloud Services
• Infrastructure-as-a-Service (IaaS) in Azure
• Virtuelle Computer (virtual machines, VMs) für Linux und Windows
• Einführung in Azure Storage – Cloudspeicher in Azure
• Azure Virtual Network
• Einführung in Azure-Sicherheit
• Implementierungsanleitungen für Zero Trust
• Übersicht über Microsoft Cloud Security Benchmark
• Übersicht über die Sicherheitsgrundsätze für Azure
• Aufbau der ersten Verteidigungsebene mit Azure-Sicherheitsdiensten – Azure Architecture Center
• Microsoft Cybersecurity-Referenzarchitekturen – Sicherheitsdokumentation