Teljes felügyelet alapelvek alkalmazása Azure Virtual Desktop-üzembe helyezésre

Ez a cikk a Teljes felügyelet alapelveinek az Azure Virtual Desktop üzembe helyezésére való alkalmazásának lépéseit ismerteti az alábbi módokon:

Teljes felügyelet elv	Definíció	Megfelelteti:
Explicit ellenőrzés	Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján.	Ellenőrizze az Azure Virtual Desktop-felhasználók identitásait és végpontjait, és biztonságos hozzáférést biztosít a munkamenet-gazdagépekhez.
A legkevésbé kiemelt hozzáférés használata	Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.	Korlátozza a munkamenet-gazdagépekhez és azok adataihoz való hozzáférést. Tárolás: Az adatok védelme mindhárom módban: inaktív adatok, átvitt adatok, használatban lévő adatok. Virtuális hálózatok (VNetek): Adja meg a küllős virtuális hálózatok közötti engedélyezett hálózati forgalmat az Azure Firewall használatával. Virtuális gépek: Szerepköralapú hozzáférés-vezérlés (RBAC) használata.
A szabálysértés feltételezése	Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.	Az Azure Virtual Desktop-környezet összetevőinek elkülönítése. Tárolás: A Defender for Storage használata az automatikus fenyegetésészleléshez és -védelemhez. Virtuális hálózatok: A számítási feladatok közötti forgalomforgalom megakadályozása az Azure Firewall használatával. Virtuális gépek: Használjon dupla titkosítást a teljes körű titkosításhoz, engedélyezze a titkosítást a gazdagépen, biztonságosan karbantartsa a virtuális gépeket, és a Microsoft Defender for Serverst a fenyegetésészleléshez. Azure Virtual Desktop: Az Azure Virtual Desktop biztonsági, irányítási, felügyeleti és monitorozási funkcióinak használata a védelem javításához és a munkamenet-gazdagépelemzések gyűjtéséhez.

A Teljes felügyelet alapelveinek Azure IaaS-környezetekben való alkalmazásáról az Teljes felügyelet alapelveinek alkalmazása az Azure IaaS-ben című témakörben talál további információt.

Referenciaarchitektúra

Ebben a cikkben a Hub és a Küllő alábbi referenciaarchitektúráját használjuk egy általánosan üzembe helyezett környezet bemutatásához, valamint az Azure Virtual Desktop Teljes felügyelet alapelveinek alkalmazásához a felhasználók internetes hozzáférésével. Az Azure Virtual WAN-architektúra a felügyelt hálózaton keresztüli privát hozzáférés mellett az Azure Virtual Desktophoz készült RDP Shortpath használatával is támogatott.

Az Azure Virtual Desktop Azure-környezete a következőket tartalmazza:

Összetevő	Leírás
A	Azure Storage Services for Azure Virtual Desktop felhasználói profilok.
h	Egy kapcsolati központ virtuális hálózata.
C	Az Azure Virtual Desktop munkamenettel rendelkező küllős virtuális hálózat virtuálisgép-alapú számítási feladatokat üzemeltet.
T	Egy Azure Virtual Desktop vezérlősík.
E	Egy Azure Virtual Desktop felügyeleti sík.
F	Függő PaaS-szolgáltatások, például Microsoft Entra ID, Felhőhöz készült Microsoft Defender, szerepköralapú hozzáférés-vezérlés (RBAC) és Azure Monitor.
G	Azure Compute Gallery.

Az Azure-környezetet elérő felhasználók vagy rendszergazdák az internetről, az irodai helyekről vagy a helyszíni adatközpontokból származhatnak.

A referenciaarchitektúra az Azure Virtual Desktop nagyvállalati szintű kezdőzónájában leírt architektúrához igazodik felhőadaptálási keretrendszer.

Logikai architektúra

Ebben a diagramban az Azure Virtual Desktop üzembe helyezéséhez szükséges Azure-infrastruktúra egy Entra-azonosító-bérlőn belül található.

A logikai architektúra elemei a következők:

• Azure-előfizetés az Azure Virtual Desktophoz

  Az erőforrásokat több előfizetésben is eloszthatja, ahol az egyes előfizetések különböző szerepkörökhöz( például hálózati előfizetéshez vagy biztonsági előfizetéshez) vezethetnek. Ezt a felhőadaptálási keretrendszer és az Azure Landing Zone ismerteti. A különböző előfizetések különböző környezeteket is tartalmazhatnak, például éles, fejlesztési és tesztelési környezeteket. Ez attól függ, hogyan szeretné elkülöníteni a környezetet és az egyes erőforrások számát. Egy vagy több előfizetés kezelhető együtt egy felügyeleti csoport használatával. Ez lehetővé teszi, hogy az RBAC- és Azure-szabályzatokkal rendelkező engedélyeket az előfizetések egy csoportjára alkalmazza ahelyett, hogy minden előfizetést külön-külön állít be.

• Azure Virtual Desktop-erőforráscsoport

  Az Azure Virtual Desktop-erőforráscsoport elkülöníti a Key Vaultokat, az Azure Virtual Desktop szolgáltatásobjektumokat és a privát végpontokat.

• Tárolási erőforráscsoport

  A tárolási erőforráscsoport elkülöníti az Azure Files szolgáltatás privát végpontjait és adatkészleteit.

• Munkamenet-gazdagép virtuális gépek erőforráscsoportja

  A dedikált erőforráscsoport elkülöníti a virtuális gépeket a munkamenet-gazdagépeikhez, a virtuális gépekhez, a lemeztitkosítási csoporthoz és az alkalmazásbiztonsági csoporthoz.

• Küllős virtuális hálózat erőforráscsoportja

  A dedikált erőforráscsoport elkülöníti a küllős virtuális hálózati erőforrásokat és egy hálózati biztonsági csoportot, amelyet a szervezet hálózati szakemberei kezelhetnek.

Mi található ebben a cikkben?

Ez a cikk végigvezeti az Azure Virtual Desktop referenciaarchitektúrájának Teljes felügyelet alapelveinek alkalmazásának lépésein.

Lépés	Task	Teljes felügyelet alkalmazott elv(ek)
0	Az identitások védelme Teljes felügyelet.	Explicit ellenőrzés
2	Biztonságossá teheti a végpontokat Teljes felügyelet.	Explicit ellenőrzés
3	Alkalmazza Teljes felügyelet alapelveket az Azure Virtual Desktop storage-erőforrásaira.	Explicit ellenőrzés A legkevésbé kiemelt hozzáférés használata A szabálysértés feltételezése
4	Alkalmazza Teljes felügyelet alapelveket a küllős Azure Virtual Desktop virtuális hálózatokra.	Explicit ellenőrzés A legkevésbé kiemelt hozzáférés használata A szabálysértés feltételezése
5	Alkalmazzon Teljes felügyelet elveket az Azure Virtual Desktop munkamenet-gazdagépére.	Explicit ellenőrzés A legkevésbé kiemelt hozzáférés használata A szabálysértés feltételezése
6	A biztonság, a szabályozás és a megfelelőség üzembe helyezése az Azure Virtual Desktopban.	A szabálysértés feltételezése
7	Biztonságos felügyelet és monitorozás üzembe helyezése az Azure Virtual Desktopban.	A szabálysértés feltételezése

1. lépés: Identitások védelme Teljes felügyelet

Teljes felügyelet alapelvek alkalmazása az Azure Virtual Desktopban használt identitásokra:

• Az Azure Virtual Desktop különböző identitástípusokat támogat. Az identitás biztonságossá tételével kapcsolatos információk Teljes felügyelet segítségével biztosíthatja, hogy a választott identitástípusok betartsák Teljes felügyelet alapelveit.
• Hozzon létre egy dedikált felhasználói fiókot a munkamenet-gazdagépek Microsoft Entra Domain Serviceshez vagy AD DS-tartományhoz való csatlakoztatásához a munkamenet-gazdagép üzembe helyezése során.

2. lépés: Végpontok védelme Teljes felügyelet

A végpontok azok az eszközök, amelyeken keresztül a felhasználók hozzáférnek az Azure Virtual Desktop-környezethez és a munkamenet-gazdagép virtuális gépeihez. A végpontintegráció áttekintésében szereplő utasításokat követve a Végponthoz készült Microsoft Defender és a Microsoft Endpoint Manager használatával győződjön meg arról, hogy a végpontok megfelelnek a biztonsági és megfelelőségi követelményeknek.

3. lépés: Teljes felügyelet alapelvek alkalmazása az Azure Virtual Desktop storage-erőforrásokra

Az Azure Virtual Desktop üzembe helyezéséhez használt tárolóerőforrások Teljes felügyelet alapelveinek alkalmazása az Azure-ban. Az alábbi lépések biztosítják, hogy:

• Biztonságossá teheti az Azure Virtual Desktop-adatokat inaktív állapotban, átvitel közben és használatban.
• A felhasználók ellenőrzése és a tárolási adatokhoz való hozzáférés szabályozása a legkisebb jogosultságokkal.
• Privát végpontok implementálása tárfiókokhoz.
• Logikailag elválasztja a kritikus adatokat a hálózati vezérlőkkel. Például különálló tárfiókok különböző gazdagépkészletekhez és egyéb célokra, például az MSIX-alkalmazás fájlmegosztásainak csatolásával.
• Használja a Defender for Storage-t az automatizált veszélyforrások elleni védelemhez.

Feljegyzés

Egyes tervekben az Azure NetApp-fájlok az Azure Virtual Desktop FSLogix-profiljainak SMB-megosztáson keresztüli tárolási szolgáltatása. Az Azure NetApp Files beépített biztonsági funkciókat biztosít, amelyek delegált alhálózatokat és biztonsági teljesítményteszteket tartalmaznak.

4. lépés: Teljes felügyelet alapelvek alkalmazása a küllős Azure Virtual Desktop virtuális hálózatokra

A központi virtuális hálózat több küllős virtuális hálózat központi csatlakozási pontja. A Teljes felügyelet elvek alkalmazása az Azure-beli központi virtuális hálózatra vonatkozó, a munkamenet-gazdagépek kimenő forgalmának szűrésére használt központi virtuális hálózatra vonatkozó lépéseinek implementálása.

A küllős virtuális hálózat elkülöníti az Azure Virtual Desktop számítási feladatait, és tartalmazza a munkamenetgazda virtuális gépeket. Hajtsa végre az Teljes felügyelet elvek alkalmazása küllős virtuális hálózatra az Azure-ban a munkamenet-gazdagépet/virtuális gépeket tartalmazó küllős virtuális hálózatra vonatkozó lépéseit.

Elkülönítheti a különböző gazdagépkészleteket különálló virtuális hálózatokon NSG használatával az egyes alhálózatokhoz szükséges, az Azure Virtual Desktophoz szükséges URL-címmel. A privát végpontok üzembe helyezésekor a szerepkörük alapján helyezze őket a megfelelő alhálózatra a virtuális hálózatban.

Az Azure Firewall vagy egy hálózati virtuális berendezés (NVA) tűzfala segítségével szabályozhatja és korlátozhatja a kimenő forgalmat az Azure Virtual Desktop munkamenet-gazdagépei számára. A munkamenet-gazdagépek védelméhez használja az Azure Firewallra vonatkozó utasításokat. Kényszerítse a forgalmat a tűzfalon a gazdagépkészlet alhálózatához társított, felhasználó által megadott útvonalakkal (UDR-ekkel). Tekintse át a tűzfal konfigurálásához szükséges Azure Virtual Desktop URL-címek teljes listáját. Az Azure Firewall egy Azure Virtual Desktop FQDN-címkét biztosít a konfiguráció egyszerűsítése érdekében.

5. lépés: Teljes felügyelet alapelvek alkalmazása az Azure Virtual Desktop-munkamenet-gazdagépekre

A munkamenet-gazdagépek küllős virtuális hálózaton futó virtuális gépek. Hajtsa végre a Teljes felügyelet elvek alkalmazása az Azure-beli virtuális gépekre a munkamenet-gazdagépekhez létrehozott virtuális gépekre vonatkozó lépéseit.

A gazdagépkészleteknek külön szervezeti egységekkel (OU-kkal) kell rendelkezniük, ha a Active Directory tartományi szolgáltatások (AD DS) csoportszabályzataikezelik.

Végponthoz készült Microsoft Defender egy vállalati végpontbiztonsági platform, amelynek célja, hogy segítse a vállalati hálózatokat a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és elhárításában. A Végponthoz készült Microsoft Defender munkamenet-gazdagépekhez használható. további információkért lásd a virtuális asztali infrastruktúra (VDI) eszközeit.

6. lépés: A biztonság, a szabályozás és a megfelelőség üzembe helyezése az Azure Virtual Desktopban

Az Azure Virtual Desktop szolgáltatás lehetővé teszi az Azure Private Link használatát az erőforrásokhoz való privát csatlakozáshoz privát végpontok létrehozásával.

Az Azure Virtual Desktop beépített speciális biztonsági funkciókkal rendelkezik a munkamenet-gazdagépek védelméhez. Az Azure Virtual Desktop-környezet és a munkamenet-gazdagépek biztonsági védelmének javításához azonban tekintse meg az alábbi cikkeket:

• Az Azure Virtual Desktop biztonsági ajánlott eljárásai
• Azure-beli biztonsági alapkonfiguráció az Azure Virtual Desktophoz

Emellett tekintse meg az Azure Virtual Desktop kezdőzónáinak biztonságával, szabályozásával és megfelelőségével kapcsolatos legfontosabb tervezési szempontokat és javaslatokat a Microsoft felhőadaptálási keretrendszer összhangban.

7. lépés: Biztonságos felügyelet és monitorozás üzembe helyezése az Azure Virtual Desktopban

A felügyelet és a folyamatos figyelés fontos annak biztosítása érdekében, hogy az Azure Virtual Desktop-környezet ne használjon rosszindulatú viselkedést. Az Azure Virtual Desktop Elemzések használatával naplózhatja az adatokat, valamint jelentést hozhat létre a diagnosztikai és használati adatokról.

További cikkek:

• Tekintse át az Azure Virtual Desktophoz készült Azure Advisor ajánlásait.
• A Microsoft Intune használatával részletes szabályzatkezelést vagy csoportházirend-kezelést használhat.
• Tekintse át és állítsa be az RDP-tulajdonságokat a gazdagépkészlet szintjén megadott részletes beállításokhoz.

Ajánlott betanítás

Azure Virtual Desktop-telepítés biztonságossá tétele

Oktatás	Azure Virtual Desktop-telepítés biztonságossá tétele
	Ismerje meg a Microsoft biztonsági funkcióit, amelyek segítenek az alkalmazások és az adatok biztonságának megőrzésében a Microsoft Azure Virtual Desktop üzemelő példányában.

Elkezd >

Az Azure Virtual Desktop üzembe helyezésének védelme az Azure-nal

Oktatás	Az Azure Virtual Desktop üzembe helyezésének védelme az Azure-nal
	Üzembe helyezheti az Azure Firewallt, irányíthatja az összes hálózati forgalmat az Azure Firewallon keresztül, és konfigurálhatja a szabályokat. A kimenő hálózati forgalom átirányítása az Azure Virtual Desktop gazdagépkészletéből a szolgáltatásba az Azure Firewallon keresztül.

Elkezd >

Az Azure Virtual Desktop hozzáférésének és biztonságának kezelése

Oktatás	Az Azure Virtual Desktop hozzáférésének és biztonságának kezelése
	Megtudhatja, hogyan tervezheti meg és implementálhatja az Azure Virtual Desktop Azure-szerepköreit, és hogyan valósíthat meg feltételes hozzáférési szabályzatokat távoli kapcsolatokhoz. Ez a képzési terv az AZ-140: A Microsoft Azure Virtual Desktop konfigurálása és üzemeltetése vizsgához igazodik.

Elkezd >

Felhasználói identitások és profilok tervezése

Oktatás	Felhasználói identitások és profilok tervezése
	A felhasználók a helyszínen és a felhőben is hozzáférést igényelnek ezekhez az alkalmazásokhoz. A Windows Desktop távoli asztali ügyfélalkalmazásával távolról érheti el a Windows-alkalmazásokat és az asztalokat egy másik Windows-eszközről.

Elkezd >

Az Azure-beli biztonságra vonatkozó további képzéseket a Microsoft katalógusában talál:
Biztonság az Azure-ban

Következő lépések

A Teljes felügyelet alapelveinek az Azure-ra való alkalmazásával kapcsolatos további cikkek:

• Az Azure IaaS áttekintése
  • Azure Storage
  • Virtuális gépek
  • Küllős virtuális hálózatok
  • Küllős virtuális hálózatok azure PaaS-szolgáltatásokkal
  • Központi virtuális hálózatok
• Azure Virtual WAN
• IaaS-alkalmazások az Amazon Web Servicesben
• Microsoft Sentinel és Microsoft Defender XDR

Technikai illusztrációk

A cikkben használt illusztrációkat letöltheti. A Visio-fájllal saját használatra módosíthatja ezeket az ábrákat.

PDF | Visio

További technikai illusztrációkért kattintson ide.

Hivatkozások

Az alábbi hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.

• Az Azure bemutatása – Microsoft Cloud Services
• Azure-infrastruktúra szolgáltatásként (IaaS)
• Linux és Windows rendszerű virtuális gépek
• Bevezetés az Azure Storage használatába – Felhőalapú tárolás az Azure-ban
• Azure Virtual Network
• Bevezetés az Azure biztonsági megoldásaiba
• Teljes felügyelet megvalósítási útmutató
• A Microsoft felhőbiztonsági referenciamutatójának áttekintése
• Az Azure biztonsági alapkonfigurációinak áttekintése
• Az első védelmi réteg kiépítése az Azure biztonsági szolgáltatásaival – Azure Architecture Center
• A Microsoft kiberbiztonsági referenciaarchitektúrái – Biztonsági dokumentáció