Aplicación de principios de Confianza cero a una implementación de Azure Virtual Desktop

En este artículo se proporcionan pasos para aplicar los principios de Confianza cero a una implementación de Azure Virtual Desktop de las maneras siguientes:

Principio de Confianza cero	Definición	Forma de cumplimiento
Comprobación explícita	Autentique y autorice siempre en función de todos los puntos de datos disponibles.	Compruebe las identidades y los puntos de conexión de los usuarios de Azure Virtual Desktop y proteja el acceso a los hosts de sesión.
Uso del acceso con privilegios mínimos	Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos.	Limite el acceso a los hosts de sesión y a sus datos. Almacenamiento: proteja los datos en los tres modos: datos en reposo, datos en tránsito, datos en uso. Redes virtuales (VNet): especifique los flujos de tráfico de red permitidos entre redes virtuales radiales con Azure Firewall. Máquinas virtuales: utilice el control de acceso basado en roles (RBAC)
Dar por hecho que habrá intrusiones al sistema	Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.	Aísle los componentes de una implementación de Azure Virtual Desktop. Almacenamiento: utilice Defender para Storage para la detección y protección automatizadas de amenazas. Redes virtuales: evite flujos de tráfico entre cargas de trabajo con Azure Firewall. Máquinas virtuales: utilice el cifrado doble para el cifrado de un extremo a otro, habilite el cifrado en el host, el mantenimiento seguro de las máquinas virtuales y Microsoft Defender para servidores para la detección de amenazas. Azure Virtual Desktop: utilice las características de seguridad, gobernanza, administración y supervisión de Azure Virtual Desktop para mejorar las defensas y recopilar análisis de host de sesión.

Para más información sobre cómo aplicar los principios de Confianza cero en un entorno de IaaS de Azure, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.

Arquitectura de referencia

En este artículo, se utiliza la siguiente arquitectura de referencia radial para demostrar un entorno implementado habitualmente y cómo aplicar los principios de Confianza cero para Azure Virtual Desktop con el acceso de los usuarios a través de Internet. La arquitectura de Azure Virtual WAN también se admite además del acceso privado a través de una red administrada con RDP Shortpath para Azure Virtual Desktop.

El entorno de Azure para Azure Virtual Desktop incluye:

Componente	Descripción
Un	Servicios de Azure Storage para perfiles de usuario de Azure Virtual Desktop.
B	Una VNet del centro de conectividad.
C	Una red virtual de radio con cargas de trabajo basadas en máquinas virtuales del host de sesión de Azure Virtual Desktop.
D	Un plano de control de Azure Virtual Desktop.
E	Un plano de administración de Azure Virtual Desktop.
V	Servicios PaaS dependientes, incluido Microsoft Entra ID, Microsoft Defender for Cloud, el control de acceso basado en roles (RBAC) y Azure Monitor.
G	Azure Compute Gallery.

Los usuarios o administradores que acceden al entorno de Azure pueden originarse desde Internet, ubicaciones de oficina o centros de datos en el entorno local.

La arquitectura de referencia se alinea con la arquitectura descrita en la zona de aterrizaje de escala empresarial para Azure Virtual Desktop de Cloud Adoption Framework.

Arquitectura lógica

En este diagrama, la infraestructura de Azure para una implementación de Azure Virtual Desktop se encuentra dentro de un inquilino de Entra ID.

Los elementos de la arquitectura lógica son:

• Suscripción de Azure para Azure Virtual Desktop

  Puede distribuir los recursos en más de una suscripción, donde cada suscripción puede contener roles diferentes, como la suscripción de red o la suscripción de seguridad. Esto se describe en Cloud Adoption Framework y en la zona de aterrizaje de Azure. Las distintas suscripciones también pueden contener entornos diferentes, como entornos de producción, desarrollo y pruebas. Depende de cómo quiera separar el entorno y el número de recursos que tiene en cada uno. Una o varias suscripciones se pueden administrar conjuntamente mediante un grupo de administración. Esto le ofrece la posibilidad de aplicar permisos con RBAC y directivas de Azure a un grupo de suscripciones en lugar de configurar cada suscripción individualmente.

• Grupo de recursos de Azure Virtual Desktop

  Un grupo de recursos de Azure Virtual Desktop aísla almacenes de claves, objetos de servicio de Azure Virtual Desktop y puntos de conexión privados.

• Grupo de recursos de almacenamiento

  Un grupo de recursos de almacenamiento aísla los puntos de conexión privados y los conjuntos de datos del servicio de Azure Files.

• Grupo de recursos de máquinas virtuales del host de sesión

  Un grupo de recursos dedicado aísla las máquinas virtuales para sus hosts de sesión Virtual Machines, conjunto de cifrado de disco y un grupo de seguridad de aplicaciones.

• Grupo de recursos de radio de red virual

  Un grupo de recursos dedicado aísla los recursos de red virtual de radio y un grupo de seguridad de red, que los especialistas en redes de su organización pueden administrar.

¿Cuál es el contenido de este artículo?

En este artículo se describen los pasos para aplicar los principios de Confianza cero en la arquitectura de referencia de Azure Virtual Desktop.

Paso	Tarea	Principios de Confianza cero aplicados
1	Proteger sus identidades con Confianza cero.	Comprobación explícita
2	Proteger sus puntos de conexión con Confianza cero	Comprobación explícita
3	Aplicación de principios de Confianza cero a recursos de almacenamiento de Azure Virtual Desktop	Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema
4	Aplicación de principios de Confianza cero a redes virtuales radiales de Azure Virtual Desktop.	Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema
5	Aplicación de principios de Confianza cero a un host de sesión de Azure Virtual Desktop	Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema
6	Implementación de seguridad, gobernanza y cumplimiento en Azure Virtual Desktop.	Dar por hecho que habrá intrusiones al sistema
7	Implementación de administración y supervisión en Azure Virtual Desktop.	Dar por hecho que habrá intrusiones al sistema

Paso 1: Proteger sus identidades con Confianza cero.

Para aplicar principios de Confianza cero a las identidades que se usen en Azure Virtual Desktop:

• Azure Virtual Desktop admite diferentes tipos de identidades. Use la información de Protección de identidades con Confianza cero para asegurarse de que los tipos de identidad elegidos se adhieren a los principios de Confianza cero.
• Cree una cuenta de usuario dedicada con privilegios mínimos para unir hosts de sesión a un dominio de Microsoft Entra Domain Services o AD DS durante la implementación del host de sesión.

Paso 2: Proteger sus puntos de conexión con Confianza cero

Los puntos de conexión son los dispositivos a través de los que los usuarios acceden al entorno de Azure Virtual Desktop y a las máquinas virtuales del host de sesión. Use las instrucciones de información general de integración de puntos de conexión y use Microsoft Defender para punto de conexión y Microsoft Endpoint Manager para asegurarse de que los puntos de conexión cumplen los requisitos de seguridad y cumplimiento.

Paso 3: Aplicación de principios de Confianza cero a recursos de almacenamiento de Azure Virtual Desktop

Implemente los pasos descritos en Aplicación de principios de Confianza cero a Storage en Azure para los recursos de almacenamiento que se usan en la implementación de Azure Virtual Desktop. Estos pasos garantizan que:

• Se protegen los datos de Azure Virtual Desktop en reposo, en tránsito y en uso.
• Se verifican los usuarios y el control de acceso a los datos de almacenamiento con privilegios mínimos
• Se configuran los puntos de conexión privados para las cuentas de almacenamiento.
• Se separan de forma lógica o se segregan de los datos críticos con controles de red. Por ejemplo, cuentas de almacenamiento independientes para distintos grupos de hosts y otros fines, como con recursos compartidos de archivos de asociación de aplicaciones MSIX.
• Utilizar Defender para Storage para la protección automatizadas de amenazas.

Nota:

En algunos diseños, Azure NetApp files es el servicio de almacenamiento que se elige para los perfiles de FSLogix para Azure Virtual Desktop a través de un recurso compartido de SMB. Azure NetApp Files proporciona características de seguridad integradas que incluyen subredes delegadas y pruebas comparativas de seguridad.

Paso 4: Aplicación de principios de Confianza cero a redes virtuales radiales de Azure Virtual Desktop

Una red virtual de centro es un punto central de conectividad para varias redes virtuales radiales. Implemente los pasos descritos en Aplicación de principios de Confianza cero a una red virtual de centro en Azure para la red virtual de centro que se usa para filtrar el tráfico saliente de los hosts de sesión.

Una red virtual radial aísla la carga de trabajo de Azure Virtual Desktop y contiene las máquinas virtuales del host de sesión. Implemente los pasos descritos en Aplicación de principios de Confianza cero a la red virtual radial en Azure para la red virtual de radio que contiene el host de sesión o las máquinas virtuales.

Aísle distintos grupos de hosts en redes virtuales independientes mediante NSG con la dirección URL necesaria para Azure Virtual Desktop para cada subred. Al implementar los puntos de conexión privados, colóquelos en la subred adecuada de la red virtual en función de su rol.

Azure Firewall o un servidor de seguridad de aplicación virtual de red (NVA) se pueden usar para controlar y restringir el tráfico saliente de los hosts de sesión de Azure Virtual Desktop. Use las instrucciones que se indican aquí para Que Azure Firewall proteja los hosts de sesión. Forzar el tráfico a través del firewall con rutas definidas por el usuario (UDR) vinculadas a la subred del grupo de hosts. Revise la lista completa de las direcciones URL de Azure Virtual Desktop necesarias para configurar el firewall. Azure Firewall proporciona una etiqueta FQDN de Azure Virtual Desktop para simplificar esta configuración.

Paso 5: Aplicación de principios de Confianza cero a un host de sesión de Azure Virtual Desktop

Los hosts de sesión son máquinas virtuales que se ejecutan dentro de una red virtual de radio. Implemente los pasos descritos en Aplicación de principios de Confianza cero a máquinas virtuales en Azure para las máquinas virtuales que se crean para los hosts de sesión.

Los grupos de hosts deben tener unidades organizativas (UO) separadas si se administran mediante directivas de grupo en Active Directory Domain Services (AD DS).

Microsoft Defender para punto de conexión es una plataforma de seguridad empresarial para puntos de conexión diseñada para evitar, detectar, investigar y responder a amenazas avanzadas. Puede usar Microsoft Defender para punto de conexión para hosts de sesión. para obtener más información, consulte Dispositivos de infraestructura de escritorio virtual (VDI).

Paso 6: Implementación de seguridad, gobernanza y cumplimiento en Azure Virtual Desktop

El servicio de Azure Virtual Desktop le permite utilizar Azure Private Link para conectarse de forma privada a los recursos remotos gracias a la creación de puntos de conexión privados.

Azure Virtual Desktop tiene características de seguridad avanzada integradas para proteger los hosts de sesión. Sin embargo, consulte los siguientes artículos para mejorar las defensas de seguridad del entorno de Azure Virtual Desktop y los hosts de sesión:

• Procedimientos recomendados de seguridad de Azure Virtual Desktop
• Línea base de seguridad de Azure para Azure Virtual Desktop

Además, consulte las principales consideraciones de diseño y recomendaciones relacionadas con la seguridad, gobernanza y cumplimiento en las zonas de aterrizaje de Azure Virtual Desktop de acuerdo con Cloud Adoption Framework de Microsoft.

Paso 7: Implementación de administración y supervisión en Azure Virtual Desktop

La administración y la supervisión continua son importantes para asegurarse de que el entorno de Azure Virtual Desktop no participa en comportamientos malintencionados. Utilización de Azure Virtual Desktop Insights para registrar datos y notificar datos de diagnóstico y uso.

Consulte estos artículos adicionales:

• Revisión de las recomendaciones de Azure Advisor para Azure Virtual Desktop.
• Utilización de Microsoft Intune para la administración de directivas granulares o la administración de directivas de grupo.
• Revise y establezca las propiedades de RDP para obtener una configuración pormenorizadas en un nivel de grupo de hosts.

Entrenamiento recomendado

Protección de una implementación de Azure Virtual Desktop

Cursos	Protección de una implementación de Azure Virtual Desktop
	Obtenga información sobre las funcionalidades de seguridad de Microsoft que ayudan a proteger las aplicaciones y los datos en la implementación de Microsoft Azure Virtual Desktop.

Inicio >

Protección de la implementación de Azure Virtual Desktop mediante Azure

Cursos	Protección de la implementación de Azure Virtual Desktop mediante Azure
	Implemente Azure Firewall, enrute todo el tráfico de red por medio de Azure Firewall y configure reglas. Enrute el tráfico de red saliente del grupo de hosts de Azure Virtual Desktop al servicio por medio de Azure Firewall.

Inicio >

Administración del acceso y la seguridad de Azure Virtual Desktop

Cursos	Administración del acceso y la seguridad de Azure Virtual Desktop
	Aprenda a planear e implementar roles de Azure para Azure Virtual Desktop y a implementar directivas de acceso condicional para conexiones remotas. Esta ruta de aprendizaje se alinea con el examen AZ-140: Configuring and Operating Microsoft Azure Virtual Desktop.

Inicio >

Diseño de identidades y perfiles de usuario

Cursos	Diseño de identidades y perfiles de usuario
	Los usuarios requieren acceso a esas aplicaciones tanto en el entorno local como en la nube. Usar el cliente de Escritorio remoto para escritorio de Windows con el objetivo de acceder a aplicaciones y escritorios de Windows de forma remota desde un dispositivo Windows diferente.

Inicio >

Para más entrenamiento sobre seguridad en Azure, consulte estos recursos en el catálogo de Microsoft:
Seguridad en Azure

Pasos siguientes

Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure:

• Información general sobre Azure IaaS
  • Almacenamiento de Azure
  • Máquinas virtuales
  • Redes virtuales de radio
  • Redes virtuales de radio con servicios PaaS de Azure
  • Redes virtuales del centro
• Azure Virtual WAN
• Aplicaciones IaaS en Amazon Web Services
• Microsoft Sentinel y Microsoft Defender XDR

Ilustraciones técnicas

Puede descargar las ilustraciones que se usan en este artículo. Use el archivo de Visio para modificar estas ilustraciones para su propio uso.

PDF | Visio

Para obtener ilustraciones técnicas adicionales, haga clic aquí.

Referencias

Consulte los vínculos siguientes para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.

• Qué es Azure | Servicios en la nube de Microsoft
• Infraestructura como servicio (IaaS) de Azure
•  Virtual Machines para Linux y Windows
• Introducción a Azure Storage: almacenamiento en la nube en Azure
• Azure Virtual Network
• Introducción a la seguridad de Azure
• Guía de implementación de Confianza cero
• Información general sobre Microsoft Cloud Security Benchmark
• Introducción a las bases de referencia de seguridad para Azure
• Creación de la primera capa de defensa con los servicios de seguridad de Azure: Centro de arquitectura de Azure
• Arquitecturas de referencia de ciberseguridad de Microsoft: documentación de seguridad