Habilitar los servicios de seguridad para la implementación de Azure Virtual Desktop
Como ingeniero del sistema principal y administrador de Azure encargado de evaluar Azure Virtual Desktop, necesita comprender su arquitectura y sus funciones de seguridad. También es necesario que comprenda bien las responsabilidades de Microsoft y del cliente.
Arquitectura de Azure Virtual Desktop
Azure Virtual Desktop es un servicio de virtualización de aplicaciones y escritorio que se ejecuta en Azure. El servicio:
- Proporciona infraestructura de virtualización como servicio administrado.
- Habilita la administración de máquinas virtuales (VM) implementadas en su suscripción de Azure.
- Usa Microsoft Entra ID para administrar los servicios de identidad.
- Incluye compatibilidad con herramientas existentes como Microsoft Endpoint Manager.
El siguiente diagrama muestra los componentes de una arquitectura de implementación empresarial típica.
Azure Virtual Desktop se implementa en un área de trabajo jerárquica. En una implementación tradicional de infraestructura de escritorio virtual (VDI) local, el cliente es responsable de todos los aspectos de la seguridad. Con Azure Virtual Desktop, estas responsabilidades se comparten entre el cliente y Microsoft.
Microsoft ayuda a proteger los centros de datos físicos, la red física y los hosts físicos en los que se ejecuta Azure. Microsoft también es responsable de proteger el plano de control de seguridad de virtualización, que incluye los servicios de Azure Virtual Desktop que se ejecutan en Azure.
Al usar Azure Virtual Desktop, es importante que comprenda que Microsoft ya ha ayudado a proteger algunos servicios. Cada cliente necesita configurar otras áreas para satisfacer las necesidades de seguridad de su organización. Sin embargo, si es necesario, Microsoft puede facilitar directrices de prácticas recomendadas a sus clientes para los servicios de los que son responsables.
Servicios administrados por Microsoft
Microsoft administra los servicios de Azure Virtual Desktop que se describen en la tabla siguiente.
| Servicio | Descripción |
|---|---|
| Azure Web Access | Este servicio permite a los usuarios de Azure Virtual Desktop tener acceso a los escritorios virtuales y las aplicaciones remotas a través de un explorador web compatible con HTMLv5. |
| Puerta de enlace | Este servicio conecta clientes remotos a una puerta de enlace y después establece una conexión desde una VM de regreso a la misma puerta de enlace. |
| Agente | El servicio de Agente proporciona equilibrio de carga y reconexión a escritorios virtuales y aplicaciones remotas en sesiones de usuario existentes. |
| Diagnóstico | El servicio Diagnósticos de Escritorio remoto registra eventos de acciones en la implementación de Azure Virtual Desktop como un éxito o un error. Esta información es útil para solucionar errores. |
| Servicios de infraestructura de Azure | Microsoft administra las redes, el almacenamiento y el cálculo de los servicios de infraestructura de Azure. |
Administración de usuarios
El cliente administra los siguientes componentes para una implementación correcta de Azure Virtual Desktop.
| Componente | Descripción |
|---|---|
| Administración de perfil de usuario | FSLogix y Azure Files proporcionan una experiencia rápida y con estado para los usuarios a través de perfiles de usuario almacenados en contenedores. |
| Acceso de host de usuario | En la creación de un grupo de host, el tipo de equilibrio de carga se define como de profundidad o amplitud. |
| Directivas de tamaño y escala para la VM | Los componentes de tamaño de la VM incluyen VM habilitadas para GPU. |
| Directivas de escalado | Los grupos de host de sesión integrados con Azure Virtual Machine Scale Sets administran un grupo de VM con equilibrio de carga. |
| Directivas de redes | El cliente define y asigna grupos de seguridad de red (NSG) para filtrar el tráfico de red. |
Proteger las credenciales de Azure Virtual Desktop
Azure Virtual Desktop requiere la integración con Microsoft Entra ID. Permite la incorporación de funcionalidades de identidad y acceso desde microsoft entra id.
Esta integración con Microsoft Entra ID es clave en un modelo de seguridad de confianza cero en capas. El modelo de seguridad De confianza cero quita el concepto de un "jardín amedreccional". En este modelo se supone que todos los servicios, usuarios, aplicaciones y sistemas están abiertos a Internet. Este enfoque se centra en crear una autenticación, autorización y cifrado sólidos, a la vez que proporciona una mayor agilidad operativa.
Los procesos y componentes de seguridad contribuyen a esta arquitectura de identidad como servicio (IaaS) de Microsoft Entra. Considere:
- Usar directivas de acceso condicional estáticas y dinámicas.
- Usar la autenticación mejorada con la autenticación multifactor.
- Suscribirse a Microsoft Defender for Cloud o Microsoft Defender para su evaluación de vulnerabilidad integrada.
- Usar directivas y servicios de administración de credenciales seguros.
Los siguientes métodos de equilibrio de carga están disponibles en Azure Virtual Desktop. El equilibrio de carga en anchura y el equilibrio de carga en profundidad permiten la personalización de las grupos de host de Azure Virtual Desktop para que se ajusten a sus necesidades de implementación.
- La configuración en anchura es la configuración predeterminada que distribuye de forma equilibrada las sesiones de usuario en los hosts de sesión de un grupo de hosts. El método de equilibrio de carga en amplitud le permite distribuir las conexiones de usuario para optimizarlas para este escenario. Este método es ideal para las organizaciones que desean proporcionar la mejor experiencia a los usuarios que se conectan a su entorno de escritorio virtual agrupado.
- La configuración en profundidad conecta las sesiones de usuario nuevo a un host de varias sesiones hasta que se alcanza el máximo de conexiones. Este método permite saturar un host de sesión a la vez para optimizar los escenarios de reducción vertical. El equilibrio de carga en profundidad se usa normalmente para reducir el costo y permitir un control más pormenorizado sobre el número de máquinas virtuales asignadas a un grupo de hosts.
Varios clientes de escritorio remoto y los dispositivos de SO asociados más populares son compatibles con Azure Virtual Desktop. El Escritorio de Windows y el cliente de Microsoft Store son dos clientes de escritorio remoto que incluyen esta compatibilidad. Puede:
- Obtener acceso a un escritorio completo en Windows 10 Enterprise para sesiones múltiples, Windows Server 2012 R2 y versiones posteriores y Windows 7 Enterprise (escritorio completo) para garantizar la compatibilidad con versiones anteriores.
- Obtener acceso solo a la aplicación desde un grupo de aplicaciones preconfigurado en un grupo de host. Use el identificador de Microsoft Entra y los controles de acceso basados en rol para proporcionar una autorización detallada.
Nota:
Azure Virtual Desktop requiere los Servicios de Active Directory Domain Services (AD DS). Un host de sesión unido a un dominio de AD DS aprovecha las características de seguridad de Microsoft Entra. Estas características incluyen el acceso condicional, la autenticación multifactor e Intelligent Security Graph.