Appliquer les principes Confiance Zéro à un déploiement Azure Virtual Desktop
Cet article fournit des étapes pour appliquer les principes de Confiance Zéro à un déploiement Azure Virtual Desktop comme suit :
| Principe de Confiance Zéro | Définition | Respecté par |
|---|---|---|
| Vérifier explicitement | Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. | Vérifiez les identités et les points de terminaison des utilisateurs d'Azure Virtual Desktop et sécurisez l'accès aux hôtes des sessions. |
| Utiliser le droit d'accès minimal | Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. |
|
| Supposer une violation | Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
|
Pour plus d'informations sur l'application des principes de Confiance Zéro dans un environnement IaaS Azure, consultez la vue d'ensemble Appliquer les principes de Confiance Zéro à Azure IaaS.
Architecture de référence
Dans cet article, nous utilisons l'architecture de référence suivante pour réseau en étoile pour illustrer un environnement déployé couramment et comment appliquer les principes de Confiance Zéro pour Azure Virtual Desktop avec l'accès des utilisateurs sur Internet. L'architecture Azure Virtual WAN est également prise en charge en plus de l'accès privé sur un réseau managé avec RDP Shortpath pour Azure Virtual Desktop.
L'environnement Azure pour Azure Virtual Desktop comprend :
| Composant | Description |
|---|---|
| A | Services de stockage Azure pour les profils utilisateur Azure Virtual Desktop. |
| G | Un réseau virtuel hub de connectivité. |
| C | Un réseau virtuel Spoke avec des charges de travail basées sur des machines virtuelles hôtes de la session Azure Virtual Desktop. |
| D | Plan de contrôle Azure Virtual Desktop |
| E | Un plan de gestion Azure Virtual Desktop. |
| F | Services PaaS dépendants, notamment Microsoft Entra ID, Microsoft Defender pour le cloud, contrôle d'accès en fonction du rôle (RBAC) et Azure Monitor. |
| G | Azure Compute Gallery. |
Les utilisateurs ou administrateurs qui accèdent à l'environnement Azure proviennent d'Internet, de lieu du bureau ou de centres de données locaux.
L'architecture de référence s'aligne sur l'architecture décrite dans la zone d'atterrissage à l'échelle de l'entreprise pour Azure Virtual Desktop Cloud Adoption Framework.
Architecture logique
Dans ce diagramme, l’infrastructure Azure d’un déploiement Azure Virtual Desktop est contenue dans un locataire Microsoft Entra ID.
Les éléments de l'architecture logique sont les suivants :
Abonnement Azure pour votre Azure Virtual Desktop
Vous pouvez distribuer les ressources dans plusieurs abonnements, où chaque abonnement peut contenir différents rôles, tels que l'abonnement réseau ou l'abonnement de sécurité. Cette procédure est décrite dans la documentation du Cloud Adoption Framework et de la Zone d'atterrissage Azure. Les différents abonnements peuvent également contenir différents environnements, notamment la production, le développement et les environnements de test. Cela dépend de la façon dont vous souhaitez séparer votre environnement et le nombre de ressources que vous aurez dans chacun. Un ou plusieurs abonnements peuvent être gérés ensemble à l'aide d'un groupe d'administration. Cela vous donne la possibilité d'appliquer des autorisations avec RBAC et des stratégies Azure à un groupe d'abonnements au lieu de configurer chaque abonnement individuellement.
Groupe de ressources Azure Virtual Desktop
Un groupe de ressources Azure Virtual Desktop isole les coffres de clés, les objets du service Azure Virtual Desktop et les points de terminaison privés.
Groupe de ressources Stockage
Un groupe de ressources de stockage isole les points de terminaison privés et les jeux de données du service Azure Files.
Groupe de ressources des machines virtuelles de l'hôte de la session
Un groupe de ressources dédié isole les machines virtuelles de leurs machines virtuelles, jeu de chiffrement de disque d'hôtes de la session et un groupe de sécurité d'application.
Groupe de ressources de réseau virtuel Spoke
Un groupe de ressources dédié isole les ressources de réseau virtuel Spoke et un groupe de sécurité réseau, que les spécialistes réseau de votre organisation peuvent gérer.
Que contient cet article ?
Cet article décrit les étapes à suivre pour appliquer les principes de Confiance Zéro dans l'architecture de référence Azure Virtual Desktop.
| Step | Task | Principe(s) de Confiance Zéro appliqué(s) |
|---|---|---|
| 1 | Sécurisez les identités avec confiance zéro. | Vérifier explicitement |
| 2 | Sécurisez les points de terminaison avec Confiance Zéro. | Vérifier explicitement |
| 3 | Appliquez les principes de Confiance Zéro aux ressources de stockage Azure Virtual Desktop. | Vérifier explicitement Utiliser le droit d'accès minimal Supposer une violation |
| 4 | Appliquez les principes de Confiance Zéro aux réseaux virtuels réseau en étoile Azure Virtual Desktop | Vérifier explicitement Utiliser le droit d'accès minimal Supposer une violation |
| 5 | Appliquez les principes de Confiance Zéro à l'hôte de la session Azure Virtual Desktop. | Vérifier explicitement Utiliser le droit d'accès minimal Supposer une violation |
| 6 | Déployez la sécurité, la gouvernance et la conformité sur Azure Virtual Desktop. | Supposer une violation |
| 7 | Déployez une gestion et une surveillance sécurisées pour Azure Virtual Desktop. | Supposer une violation |
Étape 1 : sécurisez vos identités avec Confiance Zéro
Pour appliquer les principes de Confiance Zéro aux identités utilisées dans Azure Virtual Desktop :
- Azure Virtual Desktop prend en charge différents types d'identités. Utilisez les informations de sécurisation de l'identité avec Confiance Zéro pour vous assurer que vos types d'identités choisis respectent les principes de Confiance Zéro.
- Créez un compte d'utilisateur dédié avec des droits d'accès minimum pour joindre des hôtes de la session à un domaine Microsoft Entra Domain Services ou AD DS pendant le déploiement de l'hôte de la session.
Étape 2 : sécurisez les points de terminaison avec Confiance Zéro.
Les points de terminaison sont les appareils via lesquels les utilisateurs accèdent à l'environnement Azure Virtual Desktop et aux machines virtuelles hôtes de la session. Utilisez les instructions de la vue d'ensemble de l'intégration de point de terminaison et utilisez Microsoft Defender for Endpoint et Microsoft Endpoint Manager pour vous assurer que vos points de terminaison respectent vos exigences de sécurité et de conformité.
Étape 3 : appliquez les principes de Confiance Zéro aux ressources de stockage d'Azure Virtual Desktop
Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au stockage dans Azure pour les ressources de stockage utilisées dans votre déploiement Azure Virtual Desktop. Ces étapes permettent de s'assurer que vous :
- sécurisez vos données au repos, en transit et en cours d'utilisation d'Azure Virtual Desktop.
- vérifiez les utilisateurs et contrôlez l'accès aux données de stockage avec droit d'accès minimal.
- implémentez les points de terminaison privés pour les comptes de stockage.
- séparez de façon logique ou isolez les données critiques avec des contrôles de réseau, à savoir des comptes de stockage distincts pour différents pools d'hôtes et d'autres fins, comme avec les partages de fichiers d'attachement d'application MSIX.
- Utilisez Defender for Storage pour une protection contre les menaces automatisée.
Remarque
Dans certaines conceptions, Azure NetApp files est le service de stockage de choix pour les profils FSLogix pour Azure Virtual Desktop via un partage avec protocole SMB. Azure NetApp Files fournit des fonctionnalités de sécurité intégrées qui incluent des sous-réseaux délégués et des points de référence en matière de sécurité.
Étape 4 : appliquez les principes de Confiance Zéro aux réseaux virtuels réseau en étoile Azure Virtual Desktop
Un réseau virtuel Hub est un point central de connectivité pour plusieurs réseaux virtuels Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à un réseau virtuel Hub dans Azure pour le réseau virtuel Hub utilisé pour filtrer le trafic sortant à partir de vos hôtes de la session.
Un réseau virtuel Spoke isole la charge de travail Azure Virtual Desktop et contient les machines virtuelles hôtes de la session. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro au réseau virtuel Spoke dans Azure pour le réseau virtuel Spoke qui contient l'hôte de la session/les machines virtuelles.
Isolez différents pools d'hôtes sur des réseaux virtuels distincts à l'aide du NSG avec l'URL requise pour Azure Virtual Desktop pour chaque sous-réseau. Lors du déploiement des points de terminaison privés, placez-les dans le sous-réseau approprié dans le réseau virtuel en fonction de leur rôle.
Pare-feu Azure ou un pare-feu d'appliance virtuelle réseau (NVA) peut être utilisé pour contrôler et restreindre le trafic sortant des hôtes de la session Azure Virtual Desktop. Utilisez les instructions ici pour Pare-feu Azure pour protéger les hôtes de la session. Forcez le trafic via le pare-feu avec des itinéraires définis par l'utilisateur (UDR) liés au sous-réseau du pool d'hôtes. Passez en revue la liste complète des URL Azure Virtual Desktop pour configurer votre pare-feu. Pare-feu Azure fournit une balise FQDN Azure Virtual Desktop pour simplifier cette configuration.
Étape 5 : appliquez les principes de Confiance Zéro aux hôtes de la session Azure Virtual Desktop
Les hôtes de la session sont des machines virtuelles qui s'exécutent à l'intérieur d'un réseau virtuel Spoke. Implémentez les étapes décrites dans Appliquer les principes de Confiance Zéro à des machines virtuelles dans Azure pour les machines virtuelles créées pour vos hôtes de la session.
Les pools d'hôtes doivent avoir des unités organisationnelles séparées si elles sont gérées par des stratégies de groupe sur Active Directory Domain Services (AD DS).
Microsoft Defender for Endpoint est une plateforme de sécurité des points de terminaison d'entreprise conçue pour aider pour aider les réseaux d'entreprise à prévenir, détecter et étudier les menaces avancées et à y répondre. Vous pouvez utiliser Microsoft Defender for Endpoint pour les hôtes de la session. Pour plus d'informations, consultez les appareils VDI (Virtual Desktop Infrastructure).
Étape 6 : déployez la sécurité, la gouvernance et la conformité sur Azure Virtual Desktop.
Le service Azure Virtual Desktop vous permet d'utiliser Azure Private Link pour vous connecter en privé à vos ressources en créant des points de terminaison privés.
Azure Virtual Desktop dispose de fonctionnalités de sécurité avancées prédéfinies pour protéger les hôtes de la session. Toutefois, consultez les articles suivants pour améliorer les défenses de sécurité de votre environnement et hôtes de la session Azure Virtual Desktop :
- Meilleures pratiques pour la sécurité d'Azure Virtual Desktop
- Base de référence de sécurité Azure pour Azure Virtual Desktop
En outre, consultez les principales considérations et recommandations en matière de sécurité, de gouvernance et de conformité dans les zones d'atterrissage d'Azure Virtual Desktop, conformément au Cloud Adoption Framework de Microsoft.
Étape 7 : déployez une gestion et une surveillance sécurisées pour Azure Virtual Desktop
La gestion et la surveillance continue sont importantes pour vous assurer que votre environnement Azure Virtual Desktop n'est pas impliqué dans un comportement malveillant. Utilisez Azure Virtual Desktop Insights pour journaliser les données et établir des rapports sur les diagnostics et les données d'utilisation.
Consultez ces articles supplémentaires :
- Passez en revue les recommandations d'Azure Advisor pour Azure Virtual Desktop.
- Utilisez Microsoft Intune pour une gestion granulaire des stratégies.
- Passez en revue et définissez les propriétés RDP pour obtenir des paramètres granulaires au niveau d'un pool d'hôtes.
Recommandé pour la formation
Sécurisez un déploiement Azure Virtual Desktop
| Formation | Sécurisez un déploiement Azure Virtual Desktop |
|---|---|
|
Découvrez les fonctionnalités de sécurité Microsoft qui aident à sécuriser vos applications et vos données dans votre déploiement Microsoft Azure Virtual Desktop. |
Protégez votre déploiement d'Azure Virtual Desktop en utilisant Azure
| Formation | Protégez votre déploiement d'Azure Virtual Desktop en utilisant Azure |
|---|---|
|
Déployez le Pare-feu Azure, routez l'ensemble du trafic réseau via le Pare-feu Azure et configurez les règles. Acheminez le trafic réseau sortant du pool d'hôtes Azure Virtual Desktop vers le service à travers le Pare-feu Azure. |
Gérer l'accès et la sécurité pour Azure Virtual Desktop
| Formation | Gérer l'accès et la sécurité pour Azure Virtual Desktop |
|---|---|
|
Apprenez à planifier et à implémenter des rôles Azure pour Azure Virtual Desktop et à mettre en œuvre des stratégies d'accès conditionnel pour les connexions à distance. À ce parcours d'apprentissage correspond l'examen AZ-140 : Configuration et utilisation de Microsoft Azure Virtual Desktop. |
Concevez pour des profils et des identités utilisateur
| Formation | Concevez pour des profils et des identités utilisateur |
|---|---|
|
Vos utilisateurs ont besoin d'accéder à ces applications localement et dans le cloud. Utilisez le client Bureau à distance pour Windows Desktop afin d'accéder à des applications et à des bureaux Windows à distance à partir d'un appareil Windows différent. |
Pour plus de formation sur la sécurité dans Azure, consultez ces ressources dans le catalogue Microsoft :
Sécurité dans Azure
Étapes suivantes
Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :
- Vue d'ensemble d'IaaS
- Azure Virtual WAN
- Applications IaaS dans Amazon Web Services
- Microsoft Sentinel et Microsoft Defender XDR
Illustrations techniques
Vous pouvez télécharger les illustrations utilisées dans cet article. Utilisez le fichier Visio pour modifier ces illustrations pour votre propre utilisation.
Pour obtenir des illustrations techniques supplémentaires, cliquez ici.
Références
Reportez-vous aux liens ci-dessous pour en savoir plus sur les différents services et technologies mentionnés dans cet article.
- Qu'est-ce qu'Azure - Microsoft Cloud Services
- Azure Infrastructure as a Service (IaaS)
- Machines virtuelles pour Linux et Windows
- Présentation du Stockage Azure : stockage cloud sur Azure
- Réseau virtuel Azure
- Présentation de la sécurité Azure
- Conseils relatifs à l'implémentation de Confiance Zéro
- Présentation du point de référence de sécurité Microsoft Cloud.
- Vue d'ensemble des bases de référence de sécurité pour Azure
- Construire la première couche de défense avec les services de sécurité Azure, Centre des architectures Azure
- Architectures de référence de la cybersécurité Microsoft - Documentation sur la sécurité