Partager via


Appliquer les principes Confiance Zéro à un déploiement Azure Virtual Desktop

Cet article fournit des étapes pour appliquer les principes de Confiance Zéro à un déploiement Azure Virtual Desktop comme suit :

Principe de Confiance Zéro Définition Respecté par
Vérifier explicitement Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. Vérifiez les identités et les points de terminaison des utilisateurs d'Azure Virtual Desktop et sécurisez l'accès aux hôtes des sessions.
Utiliser le droit d'accès minimal Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données.
  • Limitez l'accès aux hôtes des sessions et à leurs données.
  • Stockage : protégez les données dans les trois modes suivants : données au repos, données en transit et données en cours d'utilisation.
  • Réseaux virtuels (réseaux virtuels) : spécifiez les flux de trafic réseau autorisés entre les réseaux virtuels en étoile avec Pare-feu Azure.
  • Machines virtuelles : utilisez le contrôle d'accès en fonction du rôle (RBAC).
Supposer une violation Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.
  • Isolez les composants d'un déploiement Azure Virtual Desktop.
  • Stockage : utilisez Defender de stockage pour la détection et la protection automatisées des menaces.
  • Réseaux virtuels : empêchez les flux de trafic entre les charges de travail avec Pare-feu Azure.
  • Machines virtuelles : utilisez le double chiffrement pour le chiffrement de bout en bout, activez le chiffrement à l'hôte, la maintenance sécurisée des machines virtuelles et Microsoft Defender pour serveurs pour la détection des menaces.
  • Azure Virtual Desktop : utilisez les fonctionnalités de sécurité, de gouvernance, de gestion et de surveillance d'Azure Virtual Desktop pour améliorer les défenses et collecter les données d'analyse de l'hôte de la session.

Pour plus d'informations sur l'application des principes de Confiance Zéro dans un environnement IaaS Azure, consultez la vue d'ensemble Appliquer les principes de Confiance Zéro à Azure IaaS.

Architecture de référence

Dans cet article, nous utilisons l'architecture de référence suivante pour réseau en étoile pour illustrer un environnement déployé couramment et comment appliquer les principes de Confiance Zéro pour Azure Virtual Desktop avec l'accès des utilisateurs sur Internet. L'architecture Azure Virtual WAN est également prise en charge en plus de l'accès privé sur un réseau managé avec RDP Shortpath pour Azure Virtual Desktop.

Diagramme de l’architecture de référence pour Azure Virtual Desktop.

L'environnement Azure pour Azure Virtual Desktop comprend :

Composant Description
A Services de stockage Azure pour les profils utilisateur Azure Virtual Desktop.
G Un réseau virtuel hub de connectivité.
C Un réseau virtuel Spoke avec des charges de travail basées sur des machines virtuelles hôtes de la session Azure Virtual Desktop.
D Plan de contrôle Azure Virtual Desktop
E Un plan de gestion Azure Virtual Desktop.
F Services PaaS dépendants, notamment Microsoft Entra ID, Microsoft Defender pour le cloud, contrôle d'accès en fonction du rôle (RBAC) et Azure Monitor.
G Azure Compute Gallery.

Les utilisateurs ou administrateurs qui accèdent à l'environnement Azure proviennent d'Internet, de lieu du bureau ou de centres de données locaux.

L'architecture de référence s'aligne sur l'architecture décrite dans la zone d'atterrissage à l'échelle de l'entreprise pour Azure Virtual Desktop Cloud Adoption Framework.

Architecture logique

Dans ce diagramme, l’infrastructure Azure d’un déploiement Azure Virtual Desktop est contenue dans un locataire Microsoft Entra ID.

Diagramme des composants d’Azure Virtual Desktop dans un locataire Microsoft Entra ID.

Les éléments de l'architecture logique sont les suivants :

  • Abonnement Azure pour votre Azure Virtual Desktop

    Vous pouvez distribuer les ressources dans plusieurs abonnements, où chaque abonnement peut contenir différents rôles, tels que l'abonnement réseau ou l'abonnement de sécurité. Cette procédure est décrite dans la documentation du Cloud Adoption Framework et de la Zone d'atterrissage Azure. Les différents abonnements peuvent également contenir différents environnements, notamment la production, le développement et les environnements de test. Cela dépend de la façon dont vous souhaitez séparer votre environnement et le nombre de ressources que vous aurez dans chacun. Un ou plusieurs abonnements peuvent être gérés ensemble à l'aide d'un groupe d'administration. Cela vous donne la possibilité d'appliquer des autorisations avec RBAC et des stratégies Azure à un groupe d'abonnements au lieu de configurer chaque abonnement individuellement.

  • Groupe de ressources Azure Virtual Desktop

    Un groupe de ressources Azure Virtual Desktop isole les coffres de clés, les objets du service Azure Virtual Desktop et les points de terminaison privés.

  • Groupe de ressources Stockage

    Un groupe de ressources de stockage isole les points de terminaison privés et les jeux de données du service Azure Files.

  • Groupe de ressources des machines virtuelles de l'hôte de la session

    Un groupe de ressources dédié isole les machines virtuelles de leurs machines virtuelles, jeu de chiffrement de disque d'hôtes de la session et un groupe de sécurité d'application.

  • Groupe de ressources de réseau virtuel Spoke

    Un groupe de ressources dédié isole les ressources de réseau virtuel Spoke et un groupe de sécurité réseau, que les spécialistes réseau de votre organisation peuvent gérer.

Que contient cet article ?

Cet article décrit les étapes à suivre pour appliquer les principes de Confiance Zéro dans l'architecture de référence Azure Virtual Desktop.

Step Task Principe(s) de Confiance Zéro appliqué(s)
1 Sécurisez les identités avec confiance zéro. Vérifier explicitement
2 Sécurisez les points de terminaison avec Confiance Zéro. Vérifier explicitement
3 Appliquez les principes de Confiance Zéro aux ressources de stockage Azure Virtual Desktop. Vérifier explicitement
Utiliser le droit d'accès minimal
Supposer une violation
4 Appliquez les principes de Confiance Zéro aux réseaux virtuels réseau en étoile Azure Virtual Desktop Vérifier explicitement
Utiliser le droit d'accès minimal
Supposer une violation
5 Appliquez les principes de Confiance Zéro à l'hôte de la session Azure Virtual Desktop. Vérifier explicitement
Utiliser le droit d'accès minimal
Supposer une violation
6 Déployez la sécurité, la gouvernance et la conformité sur Azure Virtual Desktop. Supposer une violation
7 Déployez une gestion et une surveillance sécurisées pour Azure Virtual Desktop. Supposer une violation

Étape 1 : sécurisez vos identités avec Confiance Zéro

Pour appliquer les principes de Confiance Zéro aux identités utilisées dans Azure Virtual Desktop :

  • Azure Virtual Desktop prend en charge différents types d'identités. Utilisez les informations de sécurisation de l'identité avec Confiance Zéro pour vous assurer que vos types d'identités choisis respectent les principes de Confiance Zéro.
  • Créez un compte d'utilisateur dédié avec des droits d'accès minimum pour joindre des hôtes de la session à un domaine Microsoft Entra Domain Services ou AD DS pendant le déploiement de l'hôte de la session.

Étape 2 : sécurisez les points de terminaison avec Confiance Zéro.

Les points de terminaison sont les appareils via lesquels les utilisateurs accèdent à l'environnement Azure Virtual Desktop et aux machines virtuelles hôtes de la session. Utilisez les instructions de la vue d'ensemble de l'intégration de point de terminaison et utilisez Microsoft Defender for Endpoint et Microsoft Endpoint Manager pour vous assurer que vos points de terminaison respectent vos exigences de sécurité et de conformité.

Étape 3 : appliquez les principes de Confiance Zéro aux ressources de stockage d'Azure Virtual Desktop

Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au stockage dans Azure pour les ressources de stockage utilisées dans votre déploiement Azure Virtual Desktop. Ces étapes permettent de s'assurer que vous :

  • sécurisez vos données au repos, en transit et en cours d'utilisation d'Azure Virtual Desktop.
  • vérifiez les utilisateurs et contrôlez l'accès aux données de stockage avec droit d'accès minimal.
  • implémentez les points de terminaison privés pour les comptes de stockage.
  • séparez de façon logique ou isolez les données critiques avec des contrôles de réseau, à savoir des comptes de stockage distincts pour différents pools d'hôtes et d'autres fins, comme avec les partages de fichiers d'attachement d'application MSIX.
  • Utilisez Defender for Storage pour une protection contre les menaces automatisée.

Remarque

Dans certaines conceptions, Azure NetApp files est le service de stockage de choix pour les profils FSLogix pour Azure Virtual Desktop via un partage avec protocole SMB. Azure NetApp Files fournit des fonctionnalités de sécurité intégrées qui incluent des sous-réseaux délégués et des points de référence en matière de sécurité.

Étape 4 : appliquez les principes de Confiance Zéro aux réseaux virtuels réseau en étoile Azure Virtual Desktop

Un réseau virtuel Hub est un point central de connectivité pour plusieurs réseaux virtuels Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à un réseau virtuel Hub dans Azure pour le réseau virtuel Hub utilisé pour filtrer le trafic sortant à partir de vos hôtes de la session.

Un réseau virtuel Spoke isole la charge de travail Azure Virtual Desktop et contient les machines virtuelles hôtes de la session. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au réseau virtuel Spoke dans Azure pour le réseau virtuel Spoke qui contient l'hôte de la session/les machines virtuelles.

Isolez différents pools d'hôtes sur des réseaux virtuels distincts à l'aide du NSG avec l'URL requise pour Azure Virtual Desktop pour chaque sous-réseau. Lors du déploiement des points de terminaison privés, placez-les dans le sous-réseau approprié dans le réseau virtuel en fonction de leur rôle.

Pare-feu Azure ou un pare-feu d'appliance virtuelle réseau (NVA) peut être utilisé pour contrôler et restreindre le trafic sortant des hôtes de la session Azure Virtual Desktop. Utilisez les instructions ici pour Pare-feu Azure pour protéger les hôtes de la session. Forcez le trafic via le pare-feu avec des itinéraires définis par l'utilisateur (UDR) liés au sous-réseau du pool d'hôtes. Passez en revue la liste complète des URL Azure Virtual Desktop pour configurer votre pare-feu. Pare-feu Azure fournit une balise FQDN Azure Virtual Desktop pour simplifier cette configuration.

Étape 5 : appliquez les principes de Confiance Zéro aux hôtes de la session Azure Virtual Desktop

Les hôtes de la session sont des machines virtuelles qui s'exécutent à l'intérieur d'un réseau virtuel Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à des machines virtuelles dans Azure pour les machines virtuelles créées pour vos hôtes de la session.

Les pools d'hôtes doivent avoir des unités organisationnelles séparées si elles sont gérées par des stratégies de groupe sur Active Directory Domain Services (AD DS).

Microsoft Defender for Endpoint est une plateforme de sécurité des points de terminaison d'entreprise conçue pour aider pour aider les réseaux d'entreprise à prévenir, détecter et étudier les menaces avancées et à y répondre. Vous pouvez utiliser Microsoft Defender for Endpoint pour les hôtes de la session. Pour plus d'informations, consultez les appareils VDI (Virtual Desktop Infrastructure).

Étape 6 : déployez la sécurité, la gouvernance et la conformité sur Azure Virtual Desktop.

Le service Azure Virtual Desktop vous permet d'utiliser Azure Private Link pour vous connecter en privé à vos ressources en créant des points de terminaison privés.

Azure Virtual Desktop dispose de fonctionnalités de sécurité avancées prédéfinies pour protéger les hôtes de la session. Toutefois, consultez les articles suivants pour améliorer les défenses de sécurité de votre environnement et hôtes de la session Azure Virtual Desktop :

En outre, consultez les principales considérations et recommandations en matière de sécurité, de gouvernance et de conformité dans les zones d'atterrissage d'Azure Virtual Desktop, conformément au Cloud Adoption Framework de Microsoft.

Étape 7 : déployez une gestion et une surveillance sécurisées pour Azure Virtual Desktop

La gestion et la surveillance continue sont importantes pour vous assurer que votre environnement Azure Virtual Desktop n'est pas impliqué dans un comportement malveillant. Utilisez Azure Virtual Desktop Insights pour journaliser les données et établir des rapports sur les diagnostics et les données d'utilisation.

Consultez ces articles supplémentaires :

Sécurisez un déploiement Azure Virtual Desktop

Formation Sécurisez un déploiement Azure Virtual Desktop
Découvrez les fonctionnalités de sécurité Microsoft qui aident à sécuriser vos applications et vos données dans votre déploiement Microsoft Azure Virtual Desktop.

Protégez votre déploiement d'Azure Virtual Desktop en utilisant Azure

Formation Protégez votre déploiement d'Azure Virtual Desktop en utilisant Azure
Déployez le Pare-feu Azure, routez l'ensemble du trafic réseau via le Pare-feu Azure et configurez les règles. Acheminez le trafic réseau sortant du pool d'hôtes Azure Virtual Desktop vers le service à travers le Pare-feu Azure.

Gérer l'accès et la sécurité pour Azure Virtual Desktop

Formation Gérer l'accès et la sécurité pour Azure Virtual Desktop
Apprenez à planifier et à implémenter des rôles Azure pour Azure Virtual Desktop et à mettre en œuvre des stratégies d'accès conditionnel pour les connexions à distance. À ce parcours d'apprentissage correspond l'examen AZ-140 : Configuration et utilisation de Microsoft Azure Virtual Desktop.

Concevez pour des profils et des identités utilisateur

Formation Concevez pour des profils et des identités utilisateur
Vos utilisateurs ont besoin d'accéder à ces applications localement et dans le cloud. Utilisez le client Bureau à distance pour Windows Desktop afin d'accéder à des applications et à des bureaux Windows à distance à partir d'un appareil Windows différent.

Pour plus de formation sur la sécurité dans Azure, consultez ces ressources dans le catalogue Microsoft :
Sécurité dans Azure

Étapes suivantes

Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :

Illustrations techniques

Vous pouvez télécharger les illustrations utilisées dans cet article. Utilisez le fichier Visio pour modifier ces illustrations pour votre propre utilisation.

PDF | Visio

Pour obtenir des illustrations techniques supplémentaires, cliquez ici.

Références

Reportez-vous aux liens ci-dessous pour en savoir plus sur les différents services et technologies mentionnés dans cet article.