Recomendaciones de seguridad
Azure Virtual Desktop es un servicio de escritorio virtual administrado que incluye muchas funcionalidades de seguridad para mantener protegida su organización. En una implementación de Azure Virtual Desktop, Microsoft administra parte de los servicios en nombre del cliente. El servicio tiene muchas características de seguridad avanzadas integradas, como la conexión inversa, que reduce el riesgo que conlleva tener acceso a los escritorios remotos desde cualquier lugar.
En este artículo se describen las medidas que puede tomar como administrador para proteger las implementaciones de Azure Virtual Desktop de sus clientes.
Responsabilidades de seguridad
La diferencia entre los servicios en la nube y las infraestructuras locales de escritorio virtual (VDIs) tradicionales es cómo controlan las responsabilidades de seguridad. Por ejemplo, en una VDI local tradicional, el cliente es responsable de todos los aspectos de seguridad. Sin embargo, en la mayoría de los servicios en la nube, estas responsabilidades se comparten entre el cliente y la empresa.
Cuando se usa Azure Virtual Desktop, es importante comprender que, aunque algunos componentes ya están protegidos en el entorno, deberá configurar otras áreas para adaptarse a las necesidades de seguridad de su organización.
Estos son los requisitos de seguridad que son su responsabilidad en la implementación de Azure Virtual Desktop:
| Requisito de seguridad | ¿Es responsabilidad del cliente? |
|---|---|
| Identidad | Sí |
| Dispositivos del usuario (móvil y PC) | Sí |
| Seguridad de la aplicación | Sí |
| Sistemas operativos (OS) host de sesión | Sí |
| Configuración de la implementación | Sí |
| Controles de red | Sí |
| Plano de control de la virtualización | No |
| Hosts físicos | No |
| Red física | No |
| Centro de datos físico | No |
Microsoft se encarga de los requisitos de seguridad que no son responsabilidad del cliente.
Procedimientos recomendados de seguridad de Azure
Azure Virtual Desktop es un servicio de Azure. Para maximizar la protección de la implementación de Azure Virtual Desktop, también debe asegurarse de proteger la infraestructura de Azure circundante y el plano de administración. Para proteger la infraestructura, considere cómo encaja Azure Virtual Desktop en el ecosistema de Azure general. Para más información sobre el ecosistema de Azure, consulte Patrones y procedimientos recomendados de seguridad en Azure.
En esta sección se describen los procedimientos recomendados para proteger el ecosistema de Azure.
Habilitación de Microsoft Defender for Cloud
Se recomienda habilitar las características de seguridad mejoradas de Microsoft Defender for Cloud para:
- Administrar vulnerabilidades.
- Evaluar el cumplimiento con marcos comunes, como PCI.
- Fortalecer la seguridad general del entorno.
Para más información, consulte Habilitación de características de seguridad mejoradas.
Mejora de la puntuación de seguridad
La puntuación de seguridad proporciona recomendaciones y procedimientos recomendados para mejorar la seguridad general. Estas recomendaciones se clasifican por orden de prioridad para ayudarle a elegir las más importantes, mientras que las opciones de corrección rápida le ayudan a abordar las posibles vulnerabilidades rápidamente. Estas recomendaciones también se actualizan con el tiempo, lo que permite mantenerse al día con las mejores formas de mantener la seguridad del entorno. Para más información, consulte Mejora de la puntuación de seguridad en Microsoft Defender for Cloud.
Procedimientos recomendados de seguridad de Azure Virtual Desktop
Azure Virtual Desktop tiene muchos controles de seguridad integrados. En esta sección, aprenderá sobre los controles de seguridad que puede usar para mantener protegidos a los usuarios y los datos.
Requerir autenticación multifactor
Al requerir la autenticación multifactor para todos los usuarios y administradores en Azure Virtual Desktop, mejora la seguridad de toda la implementación. Para más información, consulte Habilitación de Azure AD Multi-Factor Authentication para Azure Virtual Desktop.
Habilitación del acceso condicional
Al habilitar el acceso condicional, podrá administrar los riesgos antes de conceder acceso al entorno de Azure Virtual Desktop a los usuarios. A la hora de decidir a qué usuarios se concederá acceso, se recomienda considerar también quién es el usuario, cómo inicia sesión y qué dispositivo está usando.
Recopilación de registros de auditoría
Al habilitar la recopilación de registros de auditoría, podrá ver la actividad de los usuarios y administradores relacionada con Azure Virtual Desktop. Los siguientes son algunos ejemplos de registros de auditoría clave:
- Registro de actividad de Azure
- Registro de actividad de Azure Active Directory
- Azure Active Directory
- Hosts de sesión
- Registros de Key Vault
Uso de RemoteApps
Al elegir un modelo de implementación, puede proporcionar a los usuarios remotos acceso a escritorios virtuales completos o solo a aplicaciones determinadas. Las aplicaciones remotas, o RemoteApps, proporcionan una experiencia sin interrupciones a medida que el usuario trabaja con las aplicaciones en su escritorio virtual. RemoteApps reduce los riesgos, ya que solo permite al usuario trabajar con un subconjunto de la máquina remota que la aplicación expone.
Supervisión de uso con Azure Monitor
Supervise el uso y la disponibilidad del servicio de Azure Virtual Desktop con Azure Monitor. Considere la posibilidad de crear alertas de estado del servicio para que el servicio de Azure Virtual Desktop reciba notificaciones siempre que se produzca un evento que afecta al servicio.
Cifrado de la VM
Cifre la VM con opciones de cifrado de disco administrado para proteger los datos almacenados frente al acceso no autorizado.
Procedimientos recomendados de seguridad del host de sesión
Los hosts de sesión son máquinas virtuales que se ejecutan dentro de una suscripción a Azure y una red virtual. La seguridad general de su implementación de Azure Virtual Desktop depende de los controles de seguridad que se aplican en los hosts de la sesión. En esta sección se describen los procedimientos recomendados para proteger los hosts de la sesión.
Habilitación de Endpoint Protection
Para proteger la implementación frente a software malintencionado conocido, se recomienda habilitar Endpoint Protection en todos los hosts de la sesión. Puede usar el Antivirus de Windows Defender o un programa de terceros. Para obtener más información, consulte la Guía de implementación para el Antivirus de Windows Defender en un entorno de VDI.
En el caso de las soluciones de perfil, como FSLogix u otras soluciones que montan archivos VHD, se recomienda excluir las extensiones de archivo VHD.
Instalación de un producto de detección y respuesta de puntos de conexión
Se recomienda instalar un producto de detección y respuesta de punto de conexión (EDR) para proporcionar funcionalidades avanzadas de detección y respuesta. En el caso de los sistemas operativos de servidor con Microsoft Defender for Cloud habilitado, al instalar un producto de EDR se implementará Microsoft Defender para punto de conexión. En el caso de los sistemas operativos cliente, puede implementar Microsoft Defender para punto de conexión o un producto de terceros en esos puntos de conexión.
Habilitación de evaluaciones para administración de amenazas y vulnerabilidades
La identificación de las vulnerabilidades de software que existen en los sistemas operativos y aplicaciones es fundamental para garantizar la seguridad del entorno. Microsoft Defender for Cloud puede ayudarle a identificar las zonas problemáticas mediante la solución de administración de vulnerabilidades y amenazas de Microsoft Defender para punto de conexión. También puede usar productos de terceros si así lo desea, aunque se recomienda usar Microsoft Defender for Cloud y Microsoft Defender para punto de conexión.
Aplicación de revisiones para las vulnerabilidades de software del entorno
Una vez identificada una vulnerabilidad, debe aplicar una revisión. Esto también se aplica a entornos virtuales, incluidos los sistemas operativos en ejecución, las aplicaciones que se hayan implementado dentro de ellos y las imágenes que se usan para crear nuevas máquinas. Siga las comunicaciones de notificación sobre revisiones del proveedor y aplique las revisiones de manera oportuna. Se recomienda aplicar revisiones a las imágenes base mensualmente para garantizar que las máquinas recién implementadas son lo más seguras posible.
Establecimiento del tiempo máximo de inactividad y directivas de desconexión
Al cerrar la sesión de los usuarios cuando están inactivos, se conservan los recursos y se impide el acceso por parte de usuarios no autorizados. Se recomienda que los tiempos de espera mantengan el equilibrio entre la productividad del usuario y el uso de recursos. Para los usuarios que interactúan con aplicaciones sin estado, plantéese la posibilidad de directivas más agresivas que apaguen las máquinas y conserven los recursos. La desconexión de las aplicaciones de ejecución prolongada que continúan ejecutándose si un usuario está inactivo, como una simulación o representación de CAD, puede interrumpir el trabajo del usuario e incluso puede requerir que se reinicie el equipo.
Configuración de bloqueos de pantalla para sesiones inactivas
Para evitar los accesos no deseados al sistema, configure Azure Virtual Desktop para que bloquee la pantalla de una máquina durante el tiempo de inactividad y solicite una autenticación para desbloquearla.
Establecimiento del acceso de administrador en capas
Se recomienda no conceder a los usuarios acceso de administrador para escritorios virtuales. Si necesita paquetes de software, se recomienda que estén disponibles a través de utilidades de administración de configuración, como Microsoft Intune. En un entorno de varias sesiones, se recomienda impedir que los usuarios instalen software directamente.
Cuáles usuarios que deben tener acceso a qué recursos
Considere a los hosts de sesión como una extensión de la implementación de escritorio existente. Se recomienda controlar el acceso a los recursos de red del mismo modo que lo haría con otros equipos de escritorio del entorno, como la segmentación y filtrado de la red. De forma predeterminada, los hosts de sesión pueden conectarse a cualquier recurso de Internet. Hay varias maneras de limitar el tráfico, incluido el uso de Azure Firewall, dispositivos virtuales de red o servidores proxy. Si necesita limitar el tráfico, asegúrese de agregar las reglas adecuadas para que Azure Virtual Desktop pueda funcionar correctamente.
Administración de la seguridad de Office Pro Plus
Además de proteger los hosts de sesión, es importante proteger también las aplicaciones que se ejecutan dentro de ellos. Office Pro Plus es una de las aplicaciones más comunes que se implementan en hosts de sesión. Para mejorar la seguridad de la implementación de Office, se recomienda usar el Asesor de directivas de seguridad para las aplicaciones de Microsoft 365 para empresas. Esta herramienta identifica las directivas que se pueden aplicar a la implementación para mayor seguridad. El Asesor de directivas de seguridad también recomienda directivas en función del impacto que tendrán en la seguridad y la productividad.
Otras sugerencias de seguridad para hosts de sesión
Al restringir las funcionalidades del sistema operativo, puede mejorar la seguridad de los hosts de sesión. A continuación se incluyen algunas cosas que puede realizar:
Controlar el redireccionamiento de dispositivos al redirigir las unidades, impresoras y dispositivos USB al dispositivo local de un usuario en una sesión de escritorio remoto. Se recomienda evaluar sus requisitos de seguridad y comprobar si estas características deben deshabilitarse o no.
Restringir el acceso al Explorador de Windows al ocultar las asignaciones de unidades locales y remotas. De este modo, los usuarios no pueden detectar información no deseada acerca de la configuración del sistema y de los usuarios.
Evitar el acceso directo de RDP a los hosts de sesión en su entorno. Si necesita acceso directo de RDP para administración o solución de problemas, habilite el acceso Just-in-Time para limitar la posible superficie expuesta a ataques en un host de sesión.
Conceder permisos limitados a los usuarios cuando accedan a sistemas de archivos locales y remotos. Puede restringir los permisos al garantizar que los sistemas de archivos locales y remotos usan listas de control de acceso con privilegios mínimos. De este modo, los usuarios solo pueden tener acceso a lo que necesitan y no pueden cambiar ni eliminar recursos críticos.
Impedir que el software no deseado se ejecute en los hosts de sesión. Puede habilitar el Bloqueo de aplicación para mayor seguridad en los hosts de sesión. Así, se asegura de que solo las aplicaciones que habilite se pueden ejecutar en el host.
Compatibilidad de Azure Virtual Desktop con el inicio seguro
El inicio seguro son máquinas virtuales de Azure de Gen2 con características de seguridad mejoradas cuyo fin es proteger contra amenazas de “parte inferior de la pila” a través de vectores de ataque como rootkits, kits de arranque y malware de nivel de kernel. A continuación se muestran las características de seguridad mejoradas del inicio seguro, que se admiten en su totalidad en Azure Virtual Desktop. Para más información sobre el inicio seguro, visite Inicio seguro para máquinas virtuales de Azure.
Máquinas virtuales de Azure Confidential Computing (versión preliminar)
Importante
La compatibilidad de Azure Virtual Desktop con máquinas virtuales de Azure Confidential se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
La compatibilidad de Azure Virtual Desktop con máquinas virtuales de Azure Confidential Computing (versión preliminar) garantiza que el escritorio virtual de un usuario esté cifrado en memoria, protegido en uso y respaldado por la raíz de confianza del hardware. La implementación de VM confidenciales con Azure Virtual Desktop da a los usuarios acceso a Microsoft 365 y otras aplicaciones en hosts de sesión que usan aislamiento basado en hardware, que protege el aislamiento de otras máquinas virtuales, el hipervisor y el sistema operativo host. Estos escritorios virtuales cuentan con tecnología del procesador EPYC™ de la tercera y más reciente generación (Gen 3) de Advanced Micro Devices (AMD) con la tecnología Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Las claves de cifrado de memoria se generan y protegen mediante un procesador seguro dedicado dentro de la CPU AMD que no se puede leer desde el software. Para más información, consulte Información general sobre Azure Confidential Computing.
Arranque seguro
El arranque seguro es un modo que admite el firmware de la plataforma y protege el firmware de kits de arranque y rootkits basados en malware. Este modo solo permite que los controladores y sistemas operativos firmados para iniciar la máquina.
Supervisión de la integridad de arranque mediante atestación remota
La atestación remota es una excelente forma de comprobar el estado de las máquinas virtuales. La atestación remota comprueba que los registros de arranque medido están presentes, son auténticos y se originan desde el Módulo de plataforma segura virtual (vTPM). Como comprobación de estado, proporciona certeza criptográfica de que una plataforma se ha iniciado correctamente.
vTPM
vTPM es una versión virtualizada de un Módulo de plataforma segura (TPM) de hardware, con una instancia virtual de un TPM por máquina virtual. vTPM permite la atestación remota mediante la medición de la integridad de toda la cadena de arranque de la máquina virtual (UEFI, sistema operativo, sistema y controladores).
Se recomienda habilitar vTPM para usar la atestación remota en las máquinas virtuales. Con vTPM habilitado, también puede habilitar la funcionalidad de BitLocker con Azure Disk Encryption, que proporciona cifrado de volumen completo para proteger los datos en reposo. Cualquier característica que use vTPM producirá secretos enlazados a la máquina virtual específica. Cuando los usuarios se conectan al servicio de Azure Virtual Desktop en un escenario agrupado, los usuarios se pueden redirigir a cualquier máquina virtual en el grupo hosts. En función de cómo esté diseñada la característica, puede repercutir de una forma determinada.
Nota
No se debe usar BitLocker para cifrar el disco específico donde se almacenan los datos de perfiles de FSLogix.
Seguridad basada en virtualización
La seguridad basada en virtualización (VBS) utiliza el hipervisor para crear y aislar una región segura de memoria que no es accesible para el sistema operativo. La integridad de código protegido por hipervisor (HVCI) y Credential Guard de Windows Defender usan VBS para proporcionar una mayor protección frente a vulnerabilidades.
Integridad de código protegido por hipervisor
HVCI es una mitigación del sistema eficaz que usa VBS para proteger los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado.
Credential Guard de Windows Defender
Credential Guard de Windows Defender utiliza VBS para aislar y proteger los secretos, de modo que solo el software del sistema con privilegios pueda acceder a ellos. Esto evita el acceso no autorizado a estos secretos y ataques de robo de credenciales, como los ataques Pass-the-Hash.
Virtualización anidada
Los sistemas operativos siguientes admiten la ejecución de la virtualización anidada en Azure Virtual Desktop:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Sesión múltiple de Windows 10 Enterprise
- Windows 11 Enterprise
- Sesión múltiple de Windows 11 Enterprise
Control de aplicaciones de Windows Defender
Los siguientes sistemas operativos admiten el uso de Microsoft Defender Application Control con Azure Virtual Desktop:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Sesión múltiple de Windows 10 Enterprise
- Windows 11 Enterprise
- Sesión múltiple de Windows 11 Enterprise
Nota
Al usar Windows Defender Access Control, se recomienda destinar las directivas solo al nivel de dispositivo. Aunque es posible destinar las directivas a usuarios individuales, una vez que se aplica la directiva, afecta a todos los usuarios del dispositivo por igual.
Windows Update
Windows Update ofrece una manera segura de mantener actualizados los dispositivos. Su protección de un extremo a otro evita la manipulación de intercambios de protocolos y garantiza que las actualizaciones solo incluyan contenido aprobado. Es posible que tenga que actualizar las reglas de firewall y proxy de algunos de los entornos protegidos para obtener el acceso adecuado a Windows Update. Para obtener más información, consulte Seguridad de Windows Update.
Actualizaciones de cliente en otras plataformas del sistema operativo
Las actualizaciones de software para los clientes de Escritorio remoto que puede usar para acceder a los servicios de Azure Virtual Desktop en otras plataformas del sistema operativo se protegen según las directivas de seguridad de sus respectivas plataformas. Todas las actualizaciones de cliente se entregan directamente mediante sus plataformas. Para obtener más información, consulte las páginas de la tienda correspondientes para cada aplicación:
Pasos siguientes
Para obtener información sobre cómo habilitar la autenticación multifactor, consulte Configuración de la autenticación multifactor.