Rekomendasi keamanan untuk Azure Virtual Desktop
Azure Virtual Desktop adalah layanan desktop virtual terkelola yang mencakup banyak kemampuan keamanan untuk menjaga keamanan organisasi Anda. Arsitektur Azure Virtual Desktop terdiri dari banyak komponen yang membentuk layanan yang menghubungkan pengguna ke desktop dan aplikasi mereka.
Azure Virtual Desktop memiliki banyak fitur keamanan tingkat lanjut bawaan, seperti Reverse Koneksi di mana tidak ada port jaringan masuk yang harus dibuka, yang mengurangi risiko yang terlibat dengan memiliki desktop jarak jauh yang dapat diakses dari mana saja. Layanan ini juga mendapat manfaat dari banyak fitur keamanan Azure lainnya, seperti autentikasi multifaktor dan akses bersyarkat. Artikel ini menjelaskan langkah-langkah yang dapat Anda ambil sebagai administrator untuk menjaga penyebaran Azure Virtual Desktop Anda tetap aman, baik Anda menyediakan desktop dan aplikasi kepada pengguna di organisasi Anda atau ke pengguna eksternal.
Tanggung jawab keamanan bersama
Sebelum Azure Virtual Desktop, solusi virtualisasi lokal seperti Layanan Desktop Jarak Jauh memerlukan pemberian akses kepada pengguna ke peran seperti Gateway, Broker, Akses Web, dan sebagainya. Peran ini harus sepenuhnya redundan dan mampu menangani kapasitas puncak. Administrator akan menginstal peran ini sebagai bagian dari sistem operasi Windows Server, dan mereka harus bergabung dengan domain dengan port tertentu yang dapat diakses oleh koneksi publik. Agar penyebaran tetap aman, administrator harus terus memastikan semua yang ada di infrastruktur dipertahankan dan diperbarui.
Namun, di sebagian besar layanan cloud, ada serangkaian tanggung jawab keamanan bersama antara Microsoft dan pelanggan atau mitra. Untuk Azure Virtual Desktop, sebagian besar komponen dikelola Microsoft, tetapi host sesi dan beberapa layanan dan komponen pendukung dikelola pelanggan atau dikelola mitra. Untuk mempelajari selengkapnya tentang komponen Azure Virtual Desktop yang dikelola Microsoft, lihat Arsitektur dan ketahanan layanan Azure Virtual Desktop.
Meskipun beberapa komponen sudah diamankan untuk lingkungan Anda, Anda harus mengonfigurasi area lain sendiri agar sesuai dengan kebutuhan keamanan organisasi atau pelanggan Anda. Berikut adalah komponen yang bertanggung jawab atas keamanan dalam penyebaran Azure Virtual Desktop Anda:
| Komponen | Tanggung Jawab |
|---|---|
| Identitas | Pelanggan atau mitra |
| Perangkat pengguna (seluler dan PC) | Pelanggan atau mitra |
| App Security | Pelanggan atau mitra |
| Sistem operasi host sesi | Pelanggan atau mitra |
| Konfigurasi penyebaran | Pelanggan atau mitra |
| Kontrol jaringan | Pelanggan atau mitra |
| Sarana kontrol virtualisasi | Microsoft |
| Host fisik | Microsoft |
| Jaringan fisik | Microsoft |
| Pusat data fisik | Microsoft |
Batas keamanan
Batas keamanan memisahkan kode dan data domain keamanan dengan berbagai tingkat kepercayaan. Misalnya, biasanya ada batas keamanan antara mode kernel dan mode pengguna. Sebagian besar perangkat lunak dan layanan Microsoft bergantung pada beberapa batas keamanan untuk mengisolasi perangkat pada jaringan, komputer virtual (VM), dan aplikasi pada perangkat. Tabel berikut mencantumkan setiap batas keamanan untuk Windows dan fungsinya untuk keamanan secara keseluruhan.
| Batas keamanan | Deskripsi |
|---|---|
| Batas jaringan | Titik akhir jaringan yang tidak sah tidak dapat mengakses atau mengubah kode dan data pada perangkat pelanggan. |
| Batas kernel | Proses mode pengguna non-administratif tidak dapat mengakses atau mengubah kode kernel dan data. Administrator-to-kernel bukanlah batas keamanan. |
| Batas proses | Proses mode pengguna yang tidak sah tidak dapat mengakses atau mengubah kode dan data dari proses lain. |
| Batas kotak pasir AppContainer | Proses kotak pasir berbasis AppContainer tidak dapat mengakses atau mengubah kode dan data di luar kotak pasir berdasarkan kemampuan kontainer. |
| Batas pengguna | Pengguna tidak dapat mengakses atau mengubah kode dan data pengguna lain tanpa diberi otorisasi. |
| Batas sesi | Sesi pengguna tidak dapat mengakses atau mengubah sesi pengguna lain tanpa diberi otorisasi. |
| Batas browser Web | Situs web yang tidak sah tidak dapat melanggar kebijakan asal yang sama, juga tidak dapat mengakses atau mengubah kode asli dan data kotak pasir browser Web Microsoft Edge. |
| Batas mesin virtual | Mesin virtual tamu Hyper-V yang tidak sah tidak dapat mengakses atau mengubah kode dan data mesin virtual tamu lain; ini termasuk kontainer terisolasi Hyper-V. |
| Batas Mode Aman Virtual (VSM) | Kode yang berjalan di luar proses tepercaya atau enklave VSM tidak dapat mengakses atau mengubah data dan kode dalam proses tepercaya. |
Batas keamanan yang direkomendasikan untuk skenario Azure Virtual Desktop
Anda juga harus membuat pilihan tertentu tentang batas-batas keamanan berdasarkan tiap-tiap kasus. Misalnya, jika pengguna di organisasi Anda memerlukan hak istimewa administrator lokal untuk menginstal aplikasi, Anda harus memberi mereka desktop pribadi alih-alih host sesi bersama. Kami tidak menyarankan untuk memberi pengguna hak istimewa administrator lokal dalam skenario terkumpulan multi-sesi karena pengguna ini dapat melewati batas keamanan untuk sesi atau izin data NTFS, mematikan VM multi-sesi, atau melakukan hal lain yang dapat mengganggu layanan atau menyebabkan kehilangan data.
Pengguna dari organisasi yang sama, seperti pekerja pengetahuan dengan aplikasi yang tidak memerlukan hak istimewa administrator, adalah kandidat yang bagus untuk host sesi multi-sesi seperti multi-sesi Windows 11 Enterprise. Host sesi ini mengurangi biaya untuk organisasi Anda karena beberapa pengguna dapat berbagi satu VM, hanya dengan biaya overhead VM per pengguna. Dengan produk manajemen profil pengguna seperti FSLogix, pengguna dapat diberi VM apa pun di kumpulan host tanpa melihat gangguan layanan apa pun. Fitur ini juga memungkinkan Anda mengoptimalkan biaya dengan melakukan hal-hal seperti mematikan VM selama di luar jam sibuk.
Jika situasi Anda mengharuskan pengguna dari organisasi yang berbeda untuk terhubung ke penyebaran Anda, kami sarankan Anda memiliki penyewa terpisah untuk layanan identitas seperti Direktori Aktif dan ID Microsoft Entra. Kami juga menyarankan Anda memiliki langganan terpisah untuk pengguna tersebut untuk menghosting sumber daya Azure seperti Azure Virtual Desktop dan VM.
Dalam banyak kasus, menggunakan multi-sesi adalah cara yang dapat diterima untuk mengurangi biaya, tetapi apakah kami merekomendasikannya atau tidak bergantung pada tingkat kepercayaan antara pengguna dengan akses simultan ke instans multi-sesi bersama. Biasanya, pengguna yang termasuk dalam organisasi yang sama memiliki hubungan kepercayaan yang memadai dan disepakati. Misalnya, departemen atau kelompok kerja di mana orang berkolaborasi dan dapat mengakses informasi pribadi masing-masing adalah organisasi dengan tingkat kepercayaan yang tinggi.
Windows menggunakan batas dan kontrol keamanan untuk memastikan proses dan data pengguna terisolasi di antara sesi. Namun, Windows masih menyediakan akses ke instans yang sedang dikerjakan pengguna.
Penyebaran multi-sesi akan mendapat manfaat dari strategi keamanan mendalam yang menambahkan lebih banyak batas keamanan yang mencegah pengguna di dalam dan di luar organisasi mendapatkan akses tidak sah ke informasi pribadi pengguna lain. Akses data yang tidak sah terjadi karena kesalahan dalam proses konfigurasi oleh admin sistem, seperti kerentanan keamanan yang tidak diungkapkan atau kerentanan yang diketahui yang belum di-patch.
Kami tidak menyarankan untuk memberikan pengguna yang bekerja untuk perusahaan yang berbeda atau bersaing mengakses lingkungan multi-sesi yang sama. Skenario ini memiliki beberapa batas keamanan yang dapat diserang atau disalahgunakan, seperti jaringan, kernel, proses, pengguna, atau sesi. Kerentanan keamanan tunggal dapat menyebabkan pencurian data dan mandat yang tidak sah, kebocoran informasi pribadi, pencurian identitas, dan masalah lainnya. Penyedia lingkungan tervirtualisasi bertanggung jawab untuk menawarkan sistem yang dirancang dengan baik dengan beberapa batas keamanan yang kuat dan fitur keamanan ekstra yang diaktifkan saat diperlukan.
Mengurangi ancaman potensial ini membutuhkan konfigurasi bukti kesalahan, proses desain manajemen patch, dan jadwal penyebaran patch reguler. Lebih baik mengikuti prinsip-prinsip pertahanan secara mendalam dan menjaga lingkungan tetap terpisah.
Tabel berikut ini meringkas rekomendasi kami untuk setiap skenario.
| Skenario tingkat kepercayaan | Rekomendasi solusi |
|---|---|
| Pengguna dari satu organisasi dengan hak istimewa standar | Gunakan OS multi-sesi Windows Enterprise. |
| Pengguna memerlukan hak istimewa admin | Gunakan kumpulan host pribadi dan tetapkan setiap pengguna host sesi mereka sendiri. |
| Pengguna dari berbagai organisasi mencoba menghubungkan | Memisahkan penyewa Azure dan langganan Azure |
Praktik terbaik keamanan Azure
Azure Virtual Desktop adalah layanan di bawah Azure. Untuk memaksimalkan keamanan penyebaran Azure Virtual Desktop, Anda harus memastikan untuk mengamankan bidang infrastruktur dan manajemen Azure di sekitarnya juga. Untuk mengamankan infrastruktur Anda, pertimbangkan bagaimana Azure Virtual Desktop cocok dengan ekosistem Azure Anda yang lebih besar. Untuk mempelajari selengkapnya tentang ekosistem Azure, lihat Praktik terbaik dan pola keamanan Azure.
Lanskap ancaman saat ini membutuhkan desain dengan mempertimbangkan pendekatan keamanan. Idealnya, Anda ingin membangun serangkaian mekanisme dan kontrol keamanan berlapis di seluruh jaringan komputer Anda untuk melindungi data dan jaringan Anda agar tidak disusupi atau diserang. Jenis desain keamanan inilah yang disebut pertahanan Amerika Serikat Cybersecurity and Infrastructure Security Agency (CISA) secara mendalam.
Bagian berikut berisi rekomendasi untuk mengamankan penyebaran Azure Virtual Desktop.
Mengaktifkan Microsoft Defender untuk Cloud
Kami menganjurkan Anda mengaktifkan fitur keamanan Pertahanan Microsoft untuk Cloud yang ditingkatkan untuk:
- Mengelola kerentanan.
- Menilai kepatuhan terhadap kerangka kerja umum seperti dari Dewan Standar Keamanan PCI.
- Memperkuat keamanan lingkungan Anda secara keseluruhan.
Untuk mempelajari lebih lanjut, lihat Mengaktifkan fitur keamanan yang ditingkatkan.
Meningkatkan Skor Aman Anda
Skor Aman memberikan rekomendasi dan saran praktik terbaik untuk meningkatkan keamanan Anda secara keseluruhan. Rekomendasi ini diprioritaskan untuk membantu Anda memilih mana yang paling penting, dan opsi Perbaikan Cepat membantu Anda mengatasi potensi kerentanan dengan cepat. Rekomendasi ini juga diperbarui dari waktu ke waktu, memberi Anda informasi terbaru cara terbaik untuk memelihara keamanan lingkungan Anda. Untuk mempelajari lebih lanjut, lihat Meningkatkan Skor Keamanan Anda di Pertahanan Microsoft untuk Cloud.
Memerlukan autentikasi multifaktor
Memerlukan autentikasi multifaktor untuk semua pengguna dan admin di Azure Virtual Desktop meningkatkan keamanan seluruh penyebaran Anda. Untuk mempelajari selengkapnya, lihat Mengaktifkan autentikasi multifaktor Microsoft Entra untuk Azure Virtual Desktop.
Mengaktifkan Akses Bersyarat
Mengaktifkan Akses Bersyarat memungkinkan Anda mengelola risiko sebelum memberi pengguna akses ke lingkungan Azure Virtual Desktop Anda. Saat memutuskan pengguna mana yang akan diberikan akses, kami rekomendasikan untuk juga mempertimbangkan siapa penggunanya, cara mereka masuk, dan perangkat yang mereka gunakan.
Mengumpulkan log audit
Mengaktifkan pengumpulan log audit memungkinkan Anda melihat aktivitas pengguna dan admin yang terkait dengan Azure Virtual Desktop. Beberapa contoh log audit utama adalah:
Menggunakan RemoteApp
Saat memilih model penyebaran, Anda dapat menyediakan akses pengguna jarak jauh ke seluruh desktop, atau hanya memilih aplikasi saat diterbitkan sebagai RemoteApp. RemoteApp memberikan pengalaman yang mulus karena pengguna bekerja dengan aplikasi dari desktop virtual mereka. RemoteApp mengurangi risiko hanya dengan membiarkan pengguna bekerja dengan subset komputer jarak jauh yang diekspos oleh aplikasi.
Memantau penggunaan dengan Azure Monitor
Pantau penggunaan dan ketersediaan layanan Azure Virtual Desktop Anda dengan Azure Monitor. Pertimbangkan untuk membuat pemberitahuan kesehatan layanan untuk layanan Azure Virtual Desktop untuk menerima pemberitahuan setiap kali ada peristiwa yang memengaruhi layanan.
Mengenkripsi host sesi Anda
Enkripsi host sesi Anda dengan opsi enkripsi disk terkelola untuk melindungi data yang disimpan dari akses yang tidak sah.
Praktik terbaik keamanan host sesi
Host sesi adalah komputer virtual yang berjalan di dalam langganan dan jaringan virtual Azure. Keamanan keseluruhan penyebaran Azure Virtual Desktop bergantung pada kontrol keamanan yang Anda letakkan di host sesi Anda. Bagian ini menjelaskan praktik terbaik untuk menjaga keamanan host sesi Anda.
Mengaktifkan proteksi titik akhir
Untuk melindungi penyebaran Anda dari perangkat lunak berbahaya yang diketahui, sebaiknya instal perlindungan titik akhir pada semua host sesi. Anda dapat menggunakan Antivirus Pertahanan Windows atau program pihak ketiga. Untuk mempelajari selengkapnya, lihatPanduan penyebaran untuk Antivirus Pertahanan Windows di lingkungan VDI.
Untuk solusi profil seperti FSLogix atau solusi lain yang memasang file hard disk virtual, sebaiknya kecualikan ekstensi file tersebut.
Menginstal produk deteksi dan respons titik akhir
Sebaiknya Anda menginstal produk deteksi dan respons titik akhir (EDR) untuk menyediakan kemampuan deteksi dan respons tingkat lanjut. Untuk sistem operasi server dengan Microsoft Defender untuk Cloud diaktifkan, memasang produk EDR akan menyebarkan Pertahanan Microsoft untuk Titik Akhir. Untuk sistem operasi klien, Anda dapat menyebarkan Pertahanan Microsoft untuk Titik Akhir atau produk pihak ketiga ke titik akhir tersebut.
Mengaktifkan penilaian manajemen ancaman dan kerentanan
Mengidentifikasi kerentanan perangkat lunak yang ada dalam sistem operasi dan aplikasi sangat penting untuk menjaga lingkungan Anda agar tetap aman. Microsoft Defender untuk Cloud dapat membantu Anda mengidentifikasi titik masalah melalui solusi pengelolaan ancaman dan kerentanan Pertahanan Microsoft untuk Titik Akhir. Anda juga dapat menggunakan produk pihak ketiga jika ingin, meskipun kami menyarankan agar menggunakan Microsoft Defender untuk Cloud dan Pertahanan Microsoft untuk Titik Akhir.
Menambal kerentanan perangkat lunak di lingkungan Anda
Setelah Anda mengidentifikasi kerentanan, Anda harus menambalnya. Ini berlaku untuk lingkungan virtual juga, yang mencakup sistem operasi yang berjalan, aplikasi yang digunakan di dalamnya, dan gambar yang Anda buat dari komputer baru. Ikuti komunikasi pemberitahuan patch vendor Anda dan terapkan patch secara tepat waktu. Sebaiknya tambal gambar dasar Anda setiap bulan untuk memastikan bahwa komputer yang baru digunakan seaman mungkin.
Menetapkan kebijakan pemutusan dan waktu tidak aktif maksimum
Menandatangani pengguna saat mereka tidak aktif mempertahankan sumber daya dan mencegah akses oleh pengguna yang tidak sah. Sebaiknya batas waktu dapat menyeimbangkan produktivitas pengguna serta penggunaan sumber daya. Untuk pengguna yang berinteraksi dengan aplikasi tanpa status, pertimbangkan kebijakan yang lebih agresif yang mematikan komputer dan mempertahankan sumber daya. Memutuskan sambungan aplikasi yang berjalan lama dan terus berjalan jika pengguna diam, seperti simulasi atau penyajian CAD, dapat mengganggu pekerjaan pengguna dan bahkan mungkin memerlukan penghidupan ulang komputer.
Menyiapkan kunci layar untuk sesi diam
Anda dapat mencegah akses sistem yang tidak diinginkan dengan mengonfigurasi Azure Virtual Desktop untuk mengunci layar komputer selama waktu diam dan memerlukan autentikasi untuk membukanya.
Menetapkan akses admin bertingkat
Sebaiknya Anda tidak memberikan akses admin kepada pengguna ke desktop virtual. Jika Anda memerlukan paket perangkat lunak, kami sarankan Anda membuatnya tersedia melalui utilitas manajemen konfigurasi seperti Microsoft Intune. Dalam lingkungan multisesi, sebaiknya Anda tidak mengizinkan pengguna menginstal perangkat lunak secara langsung.
Pertimbangkan pengguna mana yang harus mengakses sumber daya mana
Pertimbangkan host sesi sebagai ekstensi penyebaran desktop Anda yang ada. Sebaiknya Anda mengontrol akses ke sumber daya jaringan dengan cara yang sama seperti desktop lain di lingkungan Anda, seperti menggunakan segmentasi dan pemfilteran jaringan. Secara default, host sesi dapat terhubung ke sumber daya apa pun di internet. Ada beberapa cara untuk membatasi lalu lintas, termasuk menggunakan Azure Firewall, Network Virtual Appliances, atau proksi. Jika Anda perlu membatasi lalu lintas, pastikan untuk menambahkan aturan yang tepat sehingga Azure Virtual Desktop dapat berfungsi dengan baik.
Mengelola keamanan aplikasi Microsoft 365
Selain mengamankan host sesi Anda, penting untuk juga mengamankan aplikasi yang berjalan di dalamnya. Aplikasi Microsoft 365 adalah beberapa aplikasi paling umum yang disebarkan dalam host sesi. Untuk meningkatkan keamanan penyebaran Microsoft 365, kami sarankan Anda menggunakan Security Policy Advisor untuk Aplikasi Microsoft 365 untuk perusahaan. Alat ini mengidentifikasi kebijakan yang dapat Anda terapkan ke penyebaran Anda untuk keamanan yang lebih luas. Security Policy Advisor juga merekomendasikan kebijakan berdasarkan dampaknya terhadap keamanan dan produktivitas Anda.
Keamanan profil pengguna
Profil pengguna dapat berisi informasi sensitif. Anda harus membatasi siapa yang memiliki akses ke profil pengguna dan metode mengaksesnya, terutama jika Anda menggunakan Kontainer Profil FSLogix untuk menyimpan profil pengguna dalam file hard disk virtual pada berbagi SMB. Anda harus mengikuti rekomendasi keamanan untuk penyedia berbagi SMB Anda. Misalnya, Jika Anda menggunakan Azure Files untuk menyimpan file hard disk virtual ini, Anda dapat menggunakan titik akhir privat untuk membuatnya hanya dapat diakses dalam jaringan virtual Azure.
Tips keamanan lainnya untuk host sesi
Dengan membatasi kemampuan sistem operasi, Anda dapat memperkuat keamanan host sesi Anda. Beberapa hal yang dapat Anda lakukan:
Mengontrol pengalihan perangkat dengan mengalihkan drive, printer, dan perangkat USB ke perangkat lokal pengguna dalam sesi desktop jarak jauh. Sebaiknya Anda mengevaluasi persyaratan keamanan Anda dan memeriksa apakah fitur-fitur ini harus dinonaktifkan atau tidak.
Membatasi akses Windows Explorer dengan menyembunyikan pemetaan drive lokal dan jarak jauh. Tindakan ini mencegah pengguna menemukan informasi yang tidak diinginkan tentang konfigurasi sistem dan pengguna.
Menghindari akses RDP langsung ke host sesi di lingkungan Anda. Jika Anda memerlukan akses RDP langsung untuk administrasi atau pemecahan masalah, aktifkan akses just-in-time untuk membatasi permukaan serangan potensial pada host sesi.
Memberi pengguna izin terbatas saat mereka mengakses sistem file lokal dan jarak jauh. Anda dapat membatasi izin dengan memastikan sistem file lokal dan jarak jauh Anda menggunakan daftar kontrol akses dengan hak istimewa paling sedikit. Dengan cara ini, pengguna hanya dapat mengakses apa yang mereka butuhkan dan tidak dapat mengubah atau menghapus sumber daya penting.
Mencegah agar perangkat lunak yang tak diinginkan bisa dijalankan pada host sesi. Anda dapat mengaktifkan Pengunci Aplikasi untuk keamanan tambahan pada host sesi, memastikan bahwa hanya aplikasi yang Anda izinkan yang dapat berjalan di host.
Peluncuran tepercaya
Peluncuran tepercaya adalah VM Azure Gen2 dengan fitur keamanan yang ditingkatkan yang bertujuan untuk melindungi dari ancaman bottom-of-the-stack melalui vektor serangan seperti rootkit, boot kit, dan malware tingkat kernel. Berikut ini adalah fitur keamanan yang disempurnakan dari peluncuran tepercaya dan semuanya didukung di Azure Virtual Desktop. Pelajari selengkapnya tentang peluncuran tepercaya, kunjungi Peluncuran tepercaya untuk mesin virtual Azure.
Aktifkan peluncuran tepercaya sebagai default
Peluncuran tepercaya melindungi dari teknik serangan canggih dan terus-menerus. Fitur ini juga memungkinkan penyebaran VM yang aman dengan pemuat boot terverifikasi, kernel OS, dan driver. Peluncuran tepercaya juga melindungi kunci, sertifikat, dan rahasia di VM. Pelajari selengkapnya tentang peluncuran tepercaya di Peluncuran tepercaya untuk komputer virtual Azure.
Saat Anda menambahkan host sesi menggunakan portal Azure, jenis keamanan secara otomatis berubah menjadi Komputer virtual tepercaya. Ini memastikan bahwa VM Anda memenuhi persyaratan wajib untuk Windows 11. Untuk informasi selengkapnya tentang persyaratan ini, lihat Dukungan komputer virtual.
Komputer virtual komputasi Rahasia Azure
Dukungan Azure Virtual Desktop untuk komputer virtual komputasi Rahasia Azure memastikan desktop virtual pengguna dienkripsi dalam memori, dilindungi yang digunakan, dan didukung oleh akar kepercayaan perangkat keras. Komputer virtual komputasi Azure Confidential untuk Azure Virtual Desktop kompatibel dengan sistem operasi yang didukung. Menyebarkan VM rahasia dengan Azure Virtual Desktop memberi pengguna akses ke Microsoft 365 dan aplikasi lain pada host sesi yang menggunakan isolasi berbasis perangkat keras, yang memperkuat isolasi dari komputer virtual lainnya, hypervisor, dan OS host. Desktop virtual ini didukung oleh prosesor EPYC™ Advanced Micro Devices (AMD) generasi ketiga (Gen 3) terbaru dengan teknologi Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Kunci enkripsi memori dihasilkan dan dijaga oleh prosesor aman khusus di dalam CPU AMD yang tidak dapat dibaca dari perangkat lunak. Untuk informasi selengkapnya, lihat gambaran umum komputasi Azure Confidential.
Sistem operasi berikut ini didukung untuk digunakan sebagai host sesi dengan VM rahasia di Azure Virtual Desktop:
- Windows 11 Enterprise, versi 22H2
- Multi-sesi Windows 11 Enterprise, versi 22H2
- Windows Server 2022
- Windows Server 2019
Anda dapat membuat host sesi menggunakan VM rahasia saat membuat kumpulan host atau menambahkan host sesi ke kumpulan host.
Enkripsi disk OS
Mengenkripsi disk sistem operasi adalah lapisan enkripsi tambahan yang mengikat kunci enkripsi disk ke Modul Platform Tepercaya (TPM) VM komputasi rahasia. Enkripsi ini membuat konten disk hanya dapat diakses oleh VM. Pemantauan integritas memungkinkan pengesahan kriptografi dan verifikasi integritas boot VM dan peringatan pemantauan jika VM tidak melakukan booting karena pengesahan gagal dengan garis besar yang ditentukan. Untuk informasi selengkapnya tentang pemantauan integritas, lihat Integrasi Microsoft Defender untuk Cloud. Anda dapat mengaktifkan enkripsi komputasi rahasia saat membuat host sesi menggunakan VM rahasia saat membuat kumpulan host atau menambahkan host sesi ke kumpulan host.
Boot Aman
Boot Aman adalah mode yang didukung firmware platform yang melindungi firmware Anda dari rootkit dan boot kit berbasis malware. Mode ini hanya memungkinkan sistem operasi dan driver yang ditandatangani untuk boot.
Memantau integritas boot menggunakan Pengesahan Jarak Jauh
Pengesahan jarak jauh adalah cara yang bagus untuk memeriksa kesehatan komputer virtual Anda. Pengesahan jarak jauh memverifikasi bahwa catatan Boot Terukur ada, asli, dan berasal dari Modul Platform Tepercaya Virtual (vTPM). Sebagai pemeriksaan kesehatan, ia memberikan kepastian kriptografi bahwa platform dimulai dengan benar.
vTPM
vTPM adalah versi virtual dari Modul Platform Tepercaya (TPM) perangkat keras, dengan instans virtual TPM per mesin virtual. vTPM memungkinkan pengesahan jarak jauh dengan melakukan pengukuran integritas seluruh rantai boot mesin virtual (UEFI, OS, sistem, dan driver).
Sebaiknya mengaktifkan vTPM untuk menggunakan pengesahan jarak jauh pada komputer virtual Anda. Dengan vTPM diaktifkan, Anda juga dapat mengaktifkan fungsionalitas BitLocker dengan Azure Disk Encryption, yang menyediakan enkripsi volume penuh untuk melindungi data tidak aktif. Setiap fitur yang menggunakan vTPM akan menghasilkan rahasia yang terikat dengan komputer virtual tertentu. Saat pengguna terhubung ke layanan Azure Virtual Desktop dalam skenario terkumpul, pengguna dapat diarahkan ke komputer virtual apa pun di kumpulan host. Tergantung pada cara fitur dirancang ini mungkin memiliki dampak.
Catatan
BitLocker tidak boleh digunakan untuk mengenkripsi disk tertentu tempat Anda menyimpan data profil FSLogix Anda.
Keamanan berbasis virtualisasi
Keamanan berbasis virtualisasi (VBS) menggunakan hypervisor untuk membuat dan mengisolasi wilayah memori aman yang tidak dapat diakses oleh OS. Hypervisor-Protected Code Integrity (HVCI) dan Windows Defender Credential Guard yang keduanya menggunakan VBS untuk memberikan peningkatan perlindungan dari kerentanan.
Kode Integritas Terproteksi Hypervisor
HVCI adalah mitigasi sistem canggih yang melindungi proses mode kernel Windows dari injeksi dan eksekusi kode berbahaya atau belum diverifikasi.
Penjaga Info Masuk Pertahanan Windows
Aktifkan Credential Guard Pertahanan Windows. Penjaga Info Masuk Pertahanan Windows menggunakan VBS untuk mengisolasi dan melindungi rahasia sehingga hanya perangkat lunak sistem istimewa yang bisa mengaksesnya. Ini mencegah akses tidak sah ke rahasia dan serangan pencurian info masuk, seperti serangan Pass-the-Hash. Untuk informasi selengkapnya, lihat Gambaran umum Credential Guard.
Windows Defender Application Control
Aktifkan Kontrol Aplikasi Pertahanan Windows. Kontrol Aplikasi Pertahanan Windows dirancang untuk melindungi perangkat dari malware dan perangkat lunak lain yang tidak tepercaya. Ini mencegah kode berbahaya berjalan dengan memastikan bahwa hanya kode yang disetujui, yang Anda tahu, dapat dijalankan. Untuk informasi selengkapnya, lihat Kontrol Aplikasi untuk Windows.
Catatan
Saat menggunakan Windows Defender Access Control, sebaiknya hanya targetkan kebijakan di tingkat perangkat. Meskipun memungkinkan untuk menargetkan kebijakan kepada pengguna individu, setelah kebijakan diterapkan, kebijakan mempengaruhi semua pengguna pada perangkat secara merata.
Windows Update
Selalu perbarui host sesi Anda dengan pembaruan dari Windows Update. Windows Update menyediakan cara yang aman untuk menjaga perangkat Anda tetap mutakhir. Perlindungan end-to-end mencegah manipulasi pertukaran protokol dan memastikan pembaruan hanya menyertakan konten yang disetujui. Anda mungkin perlu memperbarui firewall dan aturan proksi untuk beberapa lingkungan yang dilindungi untuk mendapatkan akses yang tepat ke Pembaruan Windows. Untuk informasi selengkapnya, lihat Keamanan Windows Update.
Klien Desktop Jauh dan pembaruan pada platform OS lainnya
Pembaruan perangkat lunak untuk klien Desktop Jauh yang dapat Anda gunakan untuk mengakses layanan Azure Virtual Desktop di platform OS lain diamankan sesuai dengan kebijakan keamanan platform masing-masing. Semua pembaruan klien dikirimkan langsung oleh platform mereka. Untuk informasi selengkapnya, lihat halaman penyimpanan masing-masing untuk setiap aplikasi:
Langkah berikutnya
- Pelajari cara Menyiapkan autentikasi multifaktor.
- Menerapkan prinsip Zero Trust untuk penyebaran Azure Virtual Desktop.