Sécurité et gouvernance

Cet article traite des considérations et recommandations de conception clés pour la sécurité, la gouvernance et la conformité dans les zones d’atterrissage Azure Virtual Desktop conformément au Cloud Adoption Framework de Microsoft.

Passez en revue les sections suivantes pour rechercher les contrôles de sécurité et la gouvernance recommandés pour votre zone d’atterrissage Azure Virtual Desktop.

Identité

• Sécurisez l’accès utilisateur à Azure Virtual Desktop en établissant une stratégie d’accès conditionnel Microsoft Entra avec l’authentification multifacteur Microsoft Entra ou un outil d’authentification multifacteur partenaire. Prenez en compte les emplacements, les appareils et les comportements de connexion de vos utilisateurs et ajoutez des contrôles supplémentaires selon les besoins en fonction de leurs modèles d’accès. Pour obtenir plus d’informations sur l’activation de l’authentification multifacteur Azure pour Azure Virtual Desktop, consultez Activer l’authentification multifacteur Azure pour Azure Virtual Desktop.

• Attribuez le privilège minimum nécessaire en définissant des rôles d’administration, d’opérations et d’ingénierie aux rôles RBAC Azure. Pour limiter l’accès aux rôles à privilèges élevés dans votre zone d’atterrissage Azure Virtual Desktop, envisagez l’intégration à Azure Privileged Identity Management (PIM). En gardant à l’esprit l’équipe responsable de chaque zone administrative particulière, vous pourrez déterminer les rôles et la configuration RBAC (Role-Based Access Control) Azure.

• Utilisez l’identité managée Azure ou le principal de service avec des informations d’identification de certificat pour l’automatisation et les services dans Azure Virtual Desktop. Attribuez un privilège minimum au compte Automation et délimitez l’étendue des zones d’atterrissage Azure Virtual Desktop. Vous pouvez utiliser Azure Key Vault avec des identités managées Azure, afin que les environnements d’exécution (par exemple, une fonction Azure) puissent récupérer les informations d’identification Automation du coffre de clés.

• Vérifiez que vous collectez la journalisation des activités utilisateur et administrateur pour Microsoft Entra ID et la ou les zones d’atterrissage Azure Virtual Desktop. Surveillez ces journaux avec votre outil SIEM (Security Information and Event Management). Vous pouvez collecter des journaux à partir de différentes sources, comme :

  • Journal d'activité Azure
  • Journaux d’activité Microsoft Entra
  • Microsoft Entra ID
  • Hôtes de session
  • Journaux d’activité Key Vault

• Utilisez des groupes Microsoft Entra plutôt que des utilisateurs individuels lors de l’attribution d’accès aux groupes d’applications Azure Virtual Desktop. Envisagez d’utiliser des groupes de sécurité existants qui se mappent aux fonctions métier au sein de votre organisation, afin de réutiliser les processus existants d’approvisionnement et de désapprovisionnement des utilisateurs.

Mise en réseau

• Provisionnez ou réutilisez un réseau virtuel dédié pour vos zones d’atterrissage Azure Virtual Desktop. Planifiez l’espace d’adressage IP pour prendre en charge l’échelle de vos hôtes de session. Établissez la taille de votre sous-réseau de base en fonction du nombre minimal et maximal d’hôtes de session par pool d’hôtes. Mappez les exigences de votre unité commerciale à vos pools hôtes.

• Utilisez des groupes de sécurité réseau (NSG) et/ou Pare-feu Azure (ou une appliance de pare-feu tierce) pour établir une micro-segmentation. Utilisez des étiquettes de service de réseau virtuel Azure et des groupes de services d’application (ASG) pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou un Pare-feu Azure configuré pour vos ressources Azure Virtual Desktop. Vérifiez que l’accès sortant de l’hôte de session aux URL requises est contourné par le proxy (s’il est utilisé dans les hôtes de session) et Pare-feu Azure (ou l’appliance de pare-feu tierce).

• En fonction de vos applications et de votre stratégie de segmentation d’entreprise, limitez le trafic entre vos hôtes de session et vos ressources internes via des règles de groupe de sécurité ou Pare-feu Azure (ou une appliance de pare-feu tierce) à grande échelle.

• Activez la protection standard Azure DDoS pour Pare-feu Azure (ou une appliance de pare-feu tierce) pour sécuriser vos zones d’atterrissage Azure Virtual Desktop.

• Si vous utilisez le proxy pour l’accès Internet sortant à partir de vos hôtes de session :

  • Configurez les serveurs proxy dans la même zone géographique que les hôtes de session et clients Azure Virtual Desktop (si vous utilisez des fournisseurs de proxy cloud).
  • N’utilisez pas l’inspection TLS. Dans Azure Virtual Desktop, le trafic est chiffré en transit par défaut.
  • Évitez la configuration du proxy qui nécessite l’authentification utilisateur. Les composants Azure Virtual Desktop sur l’hôte de la session s’exécutent dans le contexte de leur système d’exploitation. Ils ne prennent donc pas en charge les serveurs proxy nécessitant une authentification. Le proxy à l’échelle du système doit être activé pour vous permettre de configurer le proxy de niveau hôte sur votre hôte de session.

• Vérifiez que vos utilisateurs finaux ont accès aux URL du client Azure Virtual Desktop. Si l’agent/la configuration du proxy est utilisé sur les appareils de vos utilisateurs, veillez également à contourner les URL du client Azure Virtual Desktop.

• Utilisez l’accès juste-à-temps pour l’administration et la résolution des problèmes de vos hôtes de session. Évitez d’accorder un accès RDP direct aux hôtes de session. Les hôtes de session AVD utilisent le transport de connexion inverse pour établir des sessions distantes.

• Utilisez les fonctionnalités de renforcement du réseau adaptatif de Microsoft Defender pour le cloud pour trouver des configurations de groupe de sécurité réseau qui limitent les ports et les adresses IP sources conformément à aux règles de trafic réseau externe.

• Collectez vos journaux d’activité Pare-feu Azure (ou de l’appliance de pare-feu tierce) avec Azure Monitor ou une solution de monitoring partenaire. Vous devez également surveiller les journaux d’activité par SIEM, à l’aide de Microsoft Sentinel ou d’un service similaire.

• Utilisez uniquement un point de terminaison privé pour les fichiers Azure utilisés par les conteneurs FSLogix Profile.

• Configurez RDP ShortPath pour compléter le transport de connexion inverse.

Hôtes de session

• Créez une ou plusieurs unités d’organisation (UO) dédiées dans Active Directory pour les hôtes de session Azure Virtual Desktop. Appliquez une stratégie de groupe dédiée à vos hôtes de session pour gérer les contrôles tels que :

  • Activez la protection contre la capture d’écran pour empêcher la capture d’informations sensibles sur les points de terminaison clients.
  • Définissez des stratégies de temps d’inactivité/déconnexion maximales et des verrous d’écran.
  • Masquez les mappages de lecteurs locaux et distants dans l’Explorateur Windows.
  • Facultatif, paramètres de configuration pour les conteneurs FSLogix Profile et FSLogix Cloud Cache.

• Contrôlez la redirection des appareils pour vos hôtes de session. Les appareils couramment désactivés incluent l’accès au disque dur local à la restriction des ports USB et autres. Le fait de limiter la redirection de la caméra et l’impression à distance peut contribuer à protéger les données de votre organisation. Désactivez la redirection du Presse-papiers pour empêcher la copie de contenu distant vers des points de terminaison.

• Activez un antivirus de nouvelle génération Endpoint Protection comme Microsoft Defender pour point de terminaison sur vos hôtes de session. Si vous utilisez une solution de point de terminaison partenaire, vérifiez que Microsoft Defender pour le cloud est en mesure de vérifier son état. Vous devez également inclure des exclusions antivirus de conteneur FSLogix Profile. Microsoft Defender pour point de terminaison s’intègre directement à plusieurs solutions Microsoft Defender, notamment :

  • Microsoft Defender pour le cloud
  • Microsoft Sentinel
  • Intune

• Activez les évaluations de gestion des menaces et des vulnérabilités. Intégrez la solution de gestion des menaces et des vulnérabilités avec Microsoft Defender pour le cloud de Microsoft Defender pour point de terminaison (ou une solution de gestion des vulnérabilités tierce). Microsoft Defender pour le cloud s’intègre en mode natif à la solution d’évaluation des vulnérabilités Qualys.

• Utilisez le contrôle d’application via le contrôle d’application Windows Defender (WDAC) ou AppLocker pour vous assurer que les applications sont fiables avant l’exécution. Les stratégies de contrôle des applications peuvent également bloquer les scripts et les MSI non signés et limiter l’exécution de Windows PowerShell au mode de langage limité.

• Activez le lancement fiable pour les machines virtuelles Gen2 pour activer des fonctionnalités telles que le démarrage sécurisé, vTPM et la sécurité basée sur la virtualisation (VBS). Microsoft Defender pour le cloud peut surveiller les hôtes de session configurés avec le lancement fiable.

• Définissez de manière aléatoire les mots de passe d’administrateur local à l’aide de Windows LAPS pour vous protéger contre les attaques directes de hachage et par mouvement latéral.

• Vérifiez que vos hôtes de session sont surveillés par Azure Monitor ou une solution de monitoring partenaire via Event Hubs.

• Établissez une stratégie de gestion des correctifs pour vos hôtes de session. Microsoft Endpoint Configuration Manager permet aux hôtes de session Azure Virtual Desktop de recevoir automatiquement des mises à jour. Vous devez appliquer un correctif aux images de base au moins une fois tous les 30 jours. Envisagez d’utiliser Azure Image Builder (AIB) pour établir votre propre pipeline d’imagerie pour l’image de base Azure Virtual Desktop.

Pour plus d’informations sur les meilleures pratiques relatives à la sécurité de l’hôte de session Azure Virtual Desktop, consultez Meilleures pratiques pour la sécurité de l’hôte de session.

Pour obtenir une liste détaillée des bonnes pratiques pour la sécurité des machines virtuelles Azure, consultez les recommandations de sécurité pour les machines virtuelles dans Azure.

Protection de données

• Microsoft Azure chiffre les données au repos pour les protéger contre les attaques hors bande, telles que les tentatives d’accès au stockage sous-jacent. Ce chiffrement vise à empêcher les attaquants de lire ou de modifier facilement vos données. L’approche de Microsoft pour activer deux couches de chiffrement pour les données au repos comprend :

  • Chiffrement de disque à l’aide de clés gérées par le client. Les utilisateurs fournissent leur propre clé pour le chiffrement de disque. Ils peuvent apporter leurs propres clés à leur coffre Key Vault (une pratique appelée BYOK – Bring Your Own Key) ou générer de nouvelles clés dans Azure Key Vault pour chiffrer les ressources souhaitées (y compris les disques hôtes de session).
  • Chiffrement de l’infrastructure à l’aide de clés gérées par la plateforme. Par défaut, les disques sont automatiquement chiffrés au repos à l’aide de clés de chiffrement gérées par la plateforme.
  • Chiffrement sur l’hôte de machine virtuelle (serveur Azure auquel votre machine virtuelle est allouée). Les données de cache de disque temporaire et de disque de données/système d’exploitation de chaque machine virtuelle sont stockées sur l’hôte de machine virtuelle. Lorsque le chiffrement est activé sur l’hôte de machine virtuelle, ces données sont chiffrées au repos, puis transmises chiffrées au service Stockage pour être conservées.

• Déployer une solution de protection de l'information telle que Microsoft Purview Information Protection ou une solution tierce, qui garantit que les informations sensibles sont stockées, traitées et transmises en toute sécurité par les systèmes technologiques de votre organisation.

• Pour améliorer la sécurité du déploiement d’Office, utilisez le Conseiller en stratégie de sécurité pour Microsoft 365 Apps for enterprise. Cet outil identifie les stratégies que vous pouvez appliquer à votre déploiement pour plus de sécurité, et recommande également des stratégies en fonction de leurs effets sur votre sécurité et votre productivité.

• Configurez l’authentification basée sur l’identité pour Azure Files utilisée pour les profils utilisateur FSLogix via Active Directory Domain Services (AD DS) local et Microsoft Entra Domain Services. Configurez les autorisations NTFS pour permettre aux utilisateurs autorisés d’accéder à Azure Files.

la gestion des coûts ;

• Utilisez des étiquettes Azure pour organiser les coûts de création, de gestion et de déploiement des ressources Azure Virtual Desktop. Pour identifier le coût de calcul associé à Azure Virtual Desktop, étiquetez tous vos pools d’hôtes et machines virtuelles. Étiquetez les ressources Azure Files ou Azure NetApp Files pour suivre le coût de stockage associé aux conteneurs de profil utilisateur FSLogix, aux images de système d’exploitation personnalisées et à l’attachement d’application MSIX (le cas échéant).

• Déterminez les étiquettes suggérées minimales à définir sur toutes vos ressources Azure Virtual Desktop. Vous pouvez définir des étiquettes Azure pendant le déploiement ou après l’approvisionnement. Envisagez d’utiliser des définitions intégrées Azure Policy pour appliquer des règles de balisage.

• Définissez le(s) budget(s) dans Microsoft Cost Management pour gérer de manière proactive les coûts d’utilisation d’Azure. En cas de dépassement des seuils budgétaires que vous avez créés, des notifications sont déclenchées.

• Créez des alertes Cost Management pour surveiller l’utilisation et les dépenses Azure par rapport à la zone d’atterrissage Azure Virtual Desktop.

• Configurer la fonctionnalité Démarrer la machine virtuelle à la connexion vous permet de réduire les coûts en permettant aux utilisateurs finaux d’activer leurs machines virtuelles uniquement quand ils en ont besoin.

• Déployez des solutions de mise à l’échelle pour les hôtes de session groupés via Azure Automation ou la fonctionnalité de mise à l’échelle automatique (préversion)

Cohérence des ressources

• Utilisez Intune pour les hôtes de session personnelle Azure Virtual Desktop pour appliquer des configurations existantes ou créer de nouvelles configurations et sécuriser vos machines virtuelles avec une stratégie de conformité et un accès conditionnel. La gestion Intune ne dépend pas ou n’interfère pas avec la gestion Azure Virtual Desktop de la même machine virtuelle.

• La gestion des hôtes de session multisession avec Intune vous permet de gérer des postes de travail distants multisession Windows 10 ou Windows 11 Entreprise dans le centre d'administration Intune, tout comme vous pouvez gérer un appareil client Windows 10 ou Windows 11 partagé. Lors de la gestion de ces machines virtuelles (VM), vous pouvez utiliser à la fois une configuration basée sur les périphériques ciblée sur les périphériques ou une configuration basée sur l'utilisateur ciblée sur les utilisateurs.

• Auditez et configurez le durcissement du système d'exploitation de vos hôtes de session en utilisant la configuration des machines Azure Policy. Utilisez les bases de référence de sécurité Windows comme point de départ pour sécuriser votre système d’exploitation Windows.

• Utilisez des définitions intégrées Azure Policy pour configurer les paramètres de diagnostic pour les ressources Azure Virtual Desktop telles que les espaces de travail, les groupes d’applications et les pools d’hôtes.

Passez en revue les bonnes pratiques de sécurité pour Azure Virtual Desktop comme point de départ de la sécurité dans votre environnement.

Conformité

Presque toutes les organisations doivent se conformer aux diverses politiques réglementaires gouvernementales ou sectorielles. Passez en revue ces stratégies avec votre équipe en charge de la conformité et implémentez les contrôles adaptés à votre zone d’atterrissage Azure Virtual Desktop particulière. Par exemple, vous devez envisager des contrôles pour des stratégies spécifiques telles que la norme PCI DSS (Payment Card Industry Data Security Standard) ou la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 si votre organisation suit leurs infrastructures.

• Utilisez Microsoft Defender pour le cloud pour appliquer des normes de conformité supplémentaires aux zones d’atterrissage Azure Virtual Desktop si nécessaire. Le tableau de bord de conformité réglementaire de Microsoft Defender pour le cloud simplifie votre processus visant à respecter les exigences de conformité réglementaire. Vous pouvez ajouter des normes de conformité intégrées ou personnalisées au tableau de bord. Les normes réglementaires déjà intégrées que vous pouvez ajouter sont les suivantes :

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL et UK NHS
  • PBMM fédéral du Canada
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • New Zealand ISM Restricted
  • CMMC niveau 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Si votre organisation est liée par les exigences de résidence des données, envisagez de limiter le déploiement des ressources Azure Virtual Desktop (espaces de travail, groupes d’applications et pools d’hôtes) aux zones géographiques suivantes :

  • États-Unis
  • Europe
  • Royaume-Uni
  • Canada

  La limitation du déploiement à ces zones géographiques peut vous aider à vous assurer que les métadonnées Azure Virtual Desktop sont stockées dans la région géographique des ressources Azure Virtual Desktop, car vos hôtes de session peuvent être déployés dans le monde entier pour prendre en charge votre base d’utilisateurs.

• Utilisez la stratégie de groupe et des outils de gestion des appareils comme Intune et Microsoft Endpoint Configuration Manager pour maintenir une pratique de sécurité et de conformité rigoureuse pour vos hôtes de session.

• Configurez les alertes et les réponses automatisées dans Microsoft Defender pour le cloud pour garantir la conformité globale des zones d’atterrissage Azure Virtual Desktop.

• Passez en revue le degré de sécurisation Microsoft pour mesurer la posture de sécurité globale de l’organisation sur les produits suivants :

  • Microsoft 365 (y compris Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Identity
  • Defender for Cloud Apps
  • Microsoft Teams

• Passez en revue le degré de sécurisation Microsoft Defender pour le cloud pour améliorer la conformité de la sécurité globale de vos zones d’atterrissage virtuelles Azure.

Bonnes pratiques et bases de référence de sécurité recommandées

• Pratiques de sécurité Azure Virtual Desktop recommandées
• Base de référence de sécurité pour Azure Virtual Desktop fondée sur le point de référence de sécurité Azure
• Appliquer les principes Confiance Zéro à un déploiement Azure Virtual Desktop

Étapes suivantes

Découvrez l’automatisation de plateforme et DevOps dans un scénario Azure Virtual Desktop à l’échelle de l’entreprise.

Automatisation de plateforme et DevOps