Megosztás a következőn keresztül:

Biztonsági és identitáskezelési és hozzáférés-kezelési (IAM) szempontok az Azure Virtual Desktop számítási feladataihoz

  • Cikk

Ez a cikk egy Azure Virtual Desktop számítási feladat biztonsági és IAM-tervezési területét ismerteti. Az Azure Virtual Desktop egy felügyelt szolgáltatás, amely microsoftos vezérlősíkot biztosít a virtuális asztali infrastruktúrához. Az Azure Virtual Desktop azure-beli szerepköralapú hozzáférés-vezérlést (RBAC) használ az identitások szabályozására és a hozzáférés kezelésére. Számítási feladat tulajdonosaként a szervezeti követelményeknek megfelelő egyéb Teljes felügyelet alapelveket is alkalmazhat. Ilyen például az explicit módon történő ellenőrzés elve és a legalacsonyabb jogosultságú hozzáférés elve.

Fontos

Ez a cikk az Azure Well-Architected Framework Azure Virtual Desktop számítási feladatok sorozatának része. Ha nem ismeri ezt a sorozatot, javasoljuk, hogy kezdje a Mi az Az Azure Virtual Desktop számítási feladat? című témakörrel.

RBAC használata

Hatás: Biztonság, működési kiválóság

Az RBAC támogatja az Azure Virtual Desktop üzembe helyezését kezelő különböző csapatok és személyek feladatainak elkülönítését . A célzóna kialakításának részeként el kell döntenie, hogy ki veszi fel a különböző szerepköröket. Ezután létre kell hoznia egy biztonsági csoportot az egyes szerepkörökhöz, hogy egyszerűbb legyen a felhasználók hozzáadása és eltávolítása a szerepkörökhöz és a szerepkörökből.

Az Azure Virtual Desktop egyéni Azure-szerepköröket biztosít, amelyeket az egyes funkcionális területekhez terveztek. További információ a szerepkörök konfigurálásáról: Beépített szerepkörök az Azure Virtual Desktophoz. Az Azure-beli üzembe helyezés felhőadaptálási keretrendszer részeként egyéni Azure-szerepköröket is létrehozhat és definiálhat. Előfordulhat, hogy egyesítenie kell az Azure Virtual Desktopra jellemző RBAC-szerepköröket más Azure RBAC-szerepkörökkel. Ez a megközelítés biztosítja a felhasználók számára szükséges engedélyek teljes készletét az Azure Virtual Desktophoz és más Azure-szolgáltatásokhoz, például a virtuális gépekhez (VM-ekhez) és a hálózatkezeléshez.

Javaslatok
  • Szerepkörök definiálása az Azure Virtual Desktop üzemelő példányait kezelő csapatok és személyek számára.
  • Az Azure beépített szerepköreinek definiálása a gazdagépkészletek, alkalmazáscsoportok és munkaterületek felügyeleti felelősségeinek elkülönítéséhez.
  • Hozzon létre egy biztonsági csoportot az egyes szerepkörökhöz.

A munkamenetgazdák biztonságának növelése

Hatás: Biztonság

Az Azure Virtual Desktop távoli asztali protokollt (RDP) használ a terminálkiszolgáló vagy munkamenetgazdák és a végfelhasználói ügyfél közötti kommunikációhoz.

Az RDP egy többcsatornás protokoll, amely lehetővé teszi és letilthatja az alábbi információkat tartalmazó különálló virtuális csatornákat:

  • Bemutató adatai
  • Soros eszközkommunikáció
  • Licencelési információk
  • Szigorúan titkosított adatok, például billentyűzet- és egértevékenység

A biztonság javítása érdekében a kapcsolat RDP-tulajdonságait központilag konfigurálhatja az Azure Virtual Desktopban.

Javaslatok
  • A Windows Explorer hozzáférésének korlátozása helyi és távoli meghajtóleképezések elrejtésével. Ez a stratégia megakadályozza, hogy a felhasználók bizalmas információkat találjanak a rendszerkonfigurációkról és a felhasználókról.
  • A nem kívánt szoftverek futásának megakadályozása munkamenetgazdákon. Engedélyezheti az AppLockert a munkamenetgazdák fokozott biztonsága érdekében. Ez a funkció segít biztosítani, hogy csak a megadott alkalmazások fussanak a gazdagépen.
  • Használjon képernyőfelvétel-védelmet és vízjelezést, hogy megakadályozza a bizalmas adatok rögzítését az ügyfélvégpontokon. A képernyőfelvételek védelmének bekapcsolásakor a távoli tartalmak automatikusan le lesznek tiltva vagy elrejtve a képernyőképeken és a képernyőmegosztáson. A Távoli asztal ügyfél emellett elrejti a tartalmat a képernyőt rögzítő rosszindulatú szoftverek elől.
  • A virtuális gépek védelméhez használja Microsoft Defender víruskeresőt. További információ: Microsoft Defender víruskereső konfigurálása távoli asztali vagy virtuális asztali infrastruktúra-környezetben.
  • Kapcsolja be Windows Defender alkalmazásvezérlőt. Definiáljon szabályzatokat az illesztőprogramokhoz és az alkalmazásokhoz, függetlenül attól, hogy megbízik-e bennük.
  • Kijelentkeztetheti a felhasználókat, ha inaktívak az erőforrások megőrzése és a jogosulatlan hozzáférés megakadályozása érdekében. További információ: Maximális inaktív idő és leválasztási szabályzatok létrehozása.
  • Kapcsolja be a felhőhöz készült Microsoft Defender felhőbeli biztonsági helyzetkezeléshez (CSPM). További információ: Nem állandó virtuális asztali infrastruktúra (VDI) eszközök előkészítése Microsoft 365 Defender.

Tervezési szempontok a központi platform-, identitás- és hálózatkezelési csapatok számára

Hatás: Biztonság

Az identitás az Azure Virtual Desktop alapvető tervezési elve. Az identitás is egy kulcsfontosságú tervezési terület, amelyet első osztályú problémaként kell kezelnie az architekturális folyamaton belül.

Identitástervezés az Azure Virtual Desktophoz

Az Azure Virtual Desktop különböző típusú identitásokat támogat a vállalati erőforrások és alkalmazások eléréséhez. Számításifeladat-tulajdonosként az üzleti és szervezeti igényeknek megfelelően különböző típusú identitásszolgáltatók közül választhat. Tekintse át az ebben a szakaszban található identitástervezési területeket, hogy felmérje, mi a legjobb a számítási feladathoz.

Identitástervezés Összefoglalás
Active Directory tartományi szolgáltatások (AD DS) identitás Az Azure Virtual Desktop eléréséhez a felhasználóknak Microsoft Entra azonosítón keresztül kell felderíteni. Ennek eredményeképpen a csak az AD DS-ben létező felhasználói identitások nem támogatottak. A különálló Active Directory-környezetek Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával szintén nem támogatottak.
Hibrid identitás Az Azure Virtual Desktop Microsoft Entra ID-n keresztül támogatja a hibrid identitásokat, beleértve az AD FS használatával összevont identitásokat is. Ezeket a felhasználói identitásokat kezelheti az AD DS-ben, és szinkronizálhatja őket Microsoft Entra azonosítóval a Microsoft Entra Connect használatával. Ezeket az identitásokat Microsoft Entra azonosítóval is kezelheti és szinkronizálhatja az AD DS-be.
Csak felhőalapú identitás Az Azure Virtual Desktop csak felhőalapú identitásokat támogat, ha Microsoft Entra azonosítóval csatlakoztatott virtuális gépeket használ. Ezeket a felhasználókat közvetlenül Microsoft Entra azonosítóban hozza létre és kezeli.

Fontos

Az Azure Virtual Desktop nem támogatja a vállalatközi fiókokat, a Microsoft-fiókokat és a külső identitásokat.

Az identitás- és hitelesítési stratégia kiválasztásával és implementálásával kapcsolatos további információkért lásd: Támogatott identitások és hitelesítési módszerek.

Javaslatok
  • Hozzon létre egy dedikált felhasználói fiókot a legkevesebb jogosultsággal. Munkamenetgazdák üzembe helyezésekor ezzel a fiókkal csatlakozhat a munkamenetgazdákhoz egy Microsoft Entra tartományi szolgáltatások vagy AD DS-tartományhoz.
  • Többtényezős hitelesítést igényel. A teljes üzemelő példány biztonságának javítása érdekében kényszerítse ki a többtényezős hitelesítést az Azure Virtual Desktop összes felhasználója és rendszergazdája számára. További információ: Microsoft Entra ID többtényezős hitelesítés kényszerítése az Azure Virtual Desktophoz feltételes hozzáféréssel.
  • Kapcsolja be Microsoft Entra azonosító feltételes hozzáférését. Ha feltételes hozzáférést használ, a kockázatokat még azelőtt kezelheti, hogy hozzáférést ad a felhasználóknak az Azure Virtual Desktop-környezethez. Annak eldöntése során, hogy mely felhasználóknak kell hozzáférést adni, azt is figyelembe kell vennie, hogy ki az egyes felhasználók, hogyan jelentkeznek be, és melyik eszközt használják.

Biztonságos hálózattervezés az Azure Virtual Desktophoz

Hálózati biztonsági intézkedések nélkül a támadók hozzáférhetnek az eszközeihez. Az erőforrások védelme érdekében fontos, hogy vezérlőket helyezzen el a hálózati forgalomon. A megfelelő hálózati biztonsági vezérlők segítségével észlelheti és leállíthatja a felhőbeli üzemelő példányokba belépő támadókat.

Javaslatok
  • Küllős architektúra használata. Fontos különbséget tenni a megosztott szolgáltatások és az Azure Virtual Desktop alkalmazásszolgáltatások között. A küllős architektúra jó módszer a biztonságra. A számítási feladatokra vonatkozó erőforrásokat a saját virtuális hálózatukban kell tartania, amely elkülönül a központ megosztott szolgáltatásaitól. A megosztott szolgáltatások közé tartoznak például a felügyeleti és a DNS-szolgáltatások.
  • Használjon hálózati biztonsági csoportokat. A hálózati biztonsági csoportokkal szűrheti az Azure Virtual Desktop számítási feladatainak bejövő és kimenő hálózati forgalmát. A szolgáltatáscímkék és a hálózati biztonsági csoport szabályai lehetővé teszik az Azure Virtual Desktop-alkalmazáshoz való hozzáférés engedélyezését vagy letiltásának módját. Engedélyezheti például az Azure Virtual Desktop alkalmazásportjaihoz való hozzáférést a helyszíni IP-címtartományokból, és megtagadhatja a hozzáférést a nyilvános internetről. További információ: Hálózati biztonsági csoportok. Ahhoz, hogy üzembe helyezhesse az Azure Virtual Desktopot, és elérhetővé tegye a felhasználók számára, engedélyeznie kell azokat az URL-címeket, amelyeket a munkamenetgazda virtuális gépek bármikor elérhetnek. Ezen URL-címek listáját az Azure Virtual Desktop kötelező URL-címeit ismertető cikkben találja.
  • Különítse el a gazdagépkészleteket úgy, hogy minden gazdagépkészletet külön virtuális hálózatba helyez. Használjon hálózati biztonsági csoportokat az egyes alhálózatokhoz az Azure Virtual Desktop által igényelt URL-címekkel.
  • A hálózati és alkalmazásbiztonság kényszerítése. A hálózati és alkalmazásbiztonsági vezérlők minden Azure Virtual Desktop-számítási feladat alapvető biztonsági mértékei. Az Azure Virtual Desktop munkamenetgazda hálózata és alkalmazása szigorú biztonsági felülvizsgálatot és alapkonfiguráció-vezérlést igényel.
  • Az RDP-port letiltásával vagy blokkolásával elkerülheti a közvetlen RDP-hozzáférést a környezet munkamenetgazdáihoz. Ha rendszergazdai vagy hibaelhárítási célból közvetlen RDP-hozzáférésre van szüksége, az Azure Bastion használatával csatlakozzon a munkamenetgazdákhoz.
  • A Azure Private Link és az Azure Virtual Desktop használatával megtarthatja a forgalmat a Microsoft hálózatán belül, és javíthatja a biztonságot. Privát végpont létrehozásakor a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft-hálózaton marad. A továbbiakban nem kell nyilvános interneten keresztül elérhetővé tennie a szolgáltatást. Virtuális magánhálózatot (VPN) vagy Azure ExpressRoute-ot is használhat, hogy a távoli asztali ügyféllel rendelkező felhasználók kapcsolódjanak a virtuális hálózathoz.
  • Az Azure Virtual Desktop védelméhez használja a Azure Firewall. Az Azure Virtual Desktop-munkamenetgazdák a virtuális hálózaton futnak, és a virtuális hálózati biztonsági vezérlők hatálya alá tartoznak. Ha az alkalmazásoknak vagy a felhasználóknak kimenő internet-hozzáférésre van szükségük, javasoljuk, hogy Azure Firewall használatával védjék meg és zárják le a környezetet.

Az átvitel alatt lévő adatok titkosítása

Hatás: Biztonság

Az átvitel közbeni titkosítás az egyik helyről a másikra áthelyezett adatok állapotára vonatkozik. Az átvitel közbeni adatokat többféleképpen is titkosíthatja a kapcsolat jellegétől függően. További információ: Az átvitel alatt álló adatok titkosítása.

Az Azure Virtual Desktop a Transport Layer Security (TLS) 1.2-es verzióját használja minden olyan kapcsolathoz, amelyet az ügyfelek és a munkamenetgazdák kezdeményeznek az Azure Virtual Desktop infrastruktúra-összetevőihez. Az Azure Virtual Desktop ugyanazt a TLS 1.2 titkosítást használja, mint az Azure Front Door. Fontos meggyőződni arról, hogy az ügyfélszámítógépek és a munkamenet-gazdagépek használhatják ezeket a titkosításokat. A fordított kapcsolat átviteléhez az ügyfél és a munkamenetgazda csatlakozik az Azure Virtual Desktop-átjáróhoz. Az ügyfél és a munkamenetgazda ezután létrehoz egy TCP-kapcsolatot. Ezután az ügyfél és a munkamenetgazda ellenőrzi az Azure Virtual Desktop-átjáró tanúsítványát. Az RDP az alapátvitel létrehozására szolgál. Az RDP ezután beágyazott TLS-kapcsolatot hoz létre az ügyfél és a munkamenetgazda között a munkamenetgazdatanúsítványok használatával.

További információ a hálózati kapcsolatról: Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése.

Javaslatok
  • Ismerje meg, hogyan titkosítja az Azure Virtual Desktop az átvitt adatokat.
  • Győződjön meg arról, hogy az ügyfélszámítógépek és a munkamenetgazdák használhatják az Azure Front Door által használt TLS 1.2 titkosításokat.

Bizalmas számítástechnika használata a használatban lévő adatok titkosításához

Hatás: Biztonság, teljesítményhatékonyság

Bizalmas számítástechnika használata a használatban lévő adatok védelmére olyan szabályozott iparágakban, mint a kormányzati, pénzügyi szolgáltatások és egészségügyi intézmények.

Bizalmas virtuális gépeket használhat az Azure Virtual Desktophoz. A bizalmas virtuális gépek a használatban lévő adatok védelmével növelik az adatvédelmet és a biztonságot. Az Azure DCasv5 és az ECasv5 bizalmas virtuálisgép-sorozat hardveralapú megbízható végrehajtási környezetet (TEE) biztosít. Ez a környezet speciális mikroeszközök (AMD) biztonságos titkosított Virtualization-Secure beágyazott lapozó (SEV-SNP) biztonsági képességeket tartalmaz. Ezek a funkciók megkeményítik a vendégvédelmet, hogy megtagadják a hipervizor és más gazdagépfelügyeleti kód hozzáférését a virtuális gép memóriájához és állapotához. Emellett védelmet nyújtanak az operátorok hozzáférése ellen, és titkosítják a használatban lévő adatokat.

A bizalmas virtuális gépek támogatják a Windows 11 22H1- és 22H2-s verzióit. A bizalmas virtuális gépek támogatása Windows 10 tervezett. A bizalmas operációs rendszer lemeztitkosítása bizalmas virtuális gépekhez érhető el. Emellett az integritás monitorozása az Azure Virtual Desktop gazdagépkészletének bizalmas virtuális gépekhez történő kiépítése során is elérhető.

További információkat találhat az alábbi forrásokban:

Javaslatok
  • Bizalmas számítástechnika használata a használatban lévő adatok védelméhez.
  • Hardveralapú TEE létrehozásához használja az Azure DCasv5 és az ECasv5 bizalmas virtuálisgép-sorozatot.

Következő lépések

Most, hogy megvizsgálta az Azure Virtual Desktop biztonságossá tételének ajánlott eljárásait, vizsgálja meg az üzleti kiválóság eléréséhez szükséges üzemeltetési felügyeleti eljárásokat.

Működési eljárások

Az értékelési eszköz használatával értékelheti ki a tervezési lehetőségeket.

Értékelés