Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra l'area di progettazione di sicurezza e IAM di un carico di lavoro di Desktop virtuale Azure. Desktop virtuale Azure è un servizio gestito che fornisce un piano di controllo Microsoft per l'infrastruttura desktop virtuale. L'Azure Virtual Desktop utilizza il controllo degli accessi basato sui ruoli di Azure (RBAC) per controllare le identità e gestire l'accesso. In qualità di proprietario del carico di lavoro, è anche possibile applicare altri principi Zero Trust appropriati per i requisiti dell'organizzazione. Gli esempi includono il principio di verifica in modo esplicito e il principio di accesso con privilegi minimi .
Importante
Questo articolo fa parte della serie di Azure Well-Architected Framework per i carichi di lavoro di Azure Virtual Desktop. Se non si ha familiarità con questa serie, è consigliabile iniziare con Che cos'è un carico di lavoro di Desktop virtuale Azure?.
Usare RBAC (controllo degli accessi in base al ruolo)
Impatto: sicurezza, eccellenza operativa
Il controllo degli accessi in base al ruolo supporta la separazione dei compiti per i vari team e singoli individui che gestiscono la distribuzione di Azure Virtual Desktop. Nell'ambito della progettazione della zona di destinazione, è necessario decidere chi assume i vari ruoli. È quindi necessario creare un gruppo di sicurezza per ogni ruolo per semplificare l'aggiunta e la rimozione di utenti da e verso i ruoli.
Desktop virtuale Azure offre ruoli di Azure personalizzati progettati per ogni area funzionale. Per informazioni sulla configurazione di questi ruoli, vedere Ruoli predefiniti per Desktop virtuale Azure. È anche possibile creare e definire ruoli personalizzati di Azure come parte della distribuzione di Cloud Adoption Framework per Azure. Potrebbe essere necessario combinare ruoli di controllo degli accessi basati sui ruoli specifici di Azure Virtual Desktop con altri ruoli di controllo degli accessi basati sui ruoli di Azure. Questo approccio fornisce il set completo di autorizzazioni necessarie agli utenti per Desktop virtuale Azure e per altri servizi di Azure, ad esempio macchine virtuali e rete.
Recommendations
- Definire i ruoli per i team e i singoli utenti che gestiscono le distribuzioni di Desktop virtuale Azure.
- Definire i ruoli predefiniti di Azure per separare le responsabilità di gestione per pool di host, gruppi di applicazioni e aree di lavoro.
- Creare un gruppo di sicurezza per ogni ruolo.
Migliorare la sicurezza degli host di sessione
Impatto: sicurezza
Desktop virtuale Azure usa Remote Desktop Protocol (RDP) per la comunicazione tra il server terminal o gli host di sessione e il client dell'utente finale.
RDP è un protocollo multicanale che può consentire e negare canali virtuali separati che contengono le informazioni seguenti:
- Dati di presentazione
- Comunicazioni dei dispositivi seriali
- Informazioni sulle licenze
- Dati altamente crittografati, ad esempio l'attività della tastiera e del mouse
Per migliorare la sicurezza, è possibile configurare le proprietà RDP della connessione centralmente in Desktop virtuale Azure.
Recommendations
- Limitare l'accesso a Esplora risorse nascondendo i mapping di unità locali e remote. Questa strategia impedisce agli utenti di individuare informazioni riservate sulle configurazioni di sistema e sugli utenti.
- Impedire l'esecuzione di software indesiderato negli host di sessione. È possibile abilitare AppLocker per una maggiore sicurezza negli host di sessione. Questa funzionalità garantisce che solo le app specificate possano essere eseguite nell'host.
- Usare la protezione dell'acquisizione dello schermo e la filigrana per impedire l'acquisizione di informazioni riservate sugli endpoint client. Quando si attiva la protezione dell'acquisizione dello schermo, il contenuto remoto viene bloccato o nascosto automaticamente in screenshot e condivisione dello schermo. Il client Desktop remoto nasconde inoltre il contenuto da software dannoso che cerca di acquisire lo schermo.
- Usare Antivirus Microsoft Defender per proteggere le macchine virtuali. Per altre informazioni, vedere Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale.
- Attivare Windows Defender Application Control. Definire i criteri per i driver e le applicazioni, indipendentemente dal fatto che siano attendibili.
- Disconnettere gli utenti quando sono inattivi per mantenere le risorse e impedire l'accesso non autorizzato. Per altre informazioni, vedere Stabilire il tempo massimo di inattività e i criteri di disconnessione.
- Attivare Microsoft Defender for Cloud per la gestione del comportamento di sicurezza cloud (CSPM). Per ulteriori informazioni, vedere L'integrazione dei dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft 365 Defender.
Considerazioni sulla progettazione per i team centrali di piattaforma, identità e rete
Impatto: sicurezza
L'identità è un principio di progettazione fondamentale per Desktop virtuale Azure. L'identità è anche un'area di progettazione chiave da considerare come un problema di prima classe all'interno del processo architettonico.
Progettazione delle identità per Desktop virtuale Azure
Desktop virtuale Azure supporta diversi tipi di identità per l'accesso alle risorse e alle applicazioni aziendali. In qualità di proprietario del carico di lavoro, è possibile scegliere tra diversi tipi di provider di identità in base alle esigenze aziendali e organizzative. Esaminare gli ambiti di progettazione dell'identità in questa sezione per valutare la soluzione migliore per il tuo carico di lavoro.
| Progettazione delle identità | Riassunto |
|---|---|
| Identità di Active Directory Domain Services (AD DS) | Gli utenti devono essere individuabili tramite Microsoft Entra ID per accedere a Desktop virtuale Azure. Di conseguenza, le identità utente esistenti solo in Active Directory Domain Services non sono supportate. Anche le distribuzioni autonome di Active Directory con Active Directory Federation Services (AD FS) non sono supportate. |
| Identità ibrida | Desktop virtuale Azure supporta le identità ibride tramite Microsoft Entra ID, incluse le identità federate tramite AD FS. È possibile gestire queste identità utente in Servizi di dominio Active Directory e sincronizzarle con Microsoft Entra ID usando Microsoft Entra Connect. È anche possibile usare Microsoft Entra ID per gestire queste identità e sincronizzarle con Active Directory Domain Services. |
| Identità solo cloud | Azure Virtual Desktop supporta le identità solo cloud quando si usano macchine virtuali unite tramite Microsoft Entra ID. Questi utenti vengono creati e gestiti direttamente nell'ID Microsoft Entra. |
Importante
Il desktop virtuale di Azure non supporta account business-to-business, account Microsoft o identità esterne.
Per altre informazioni sulla selezione e sull'implementazione di una strategia di identità e autenticazione, vedere Identità e metodi di autenticazione supportati.
Recommendations
- Creare un account utente dedicato con privilegi minimi. Quando si distribuiscono gli host di sessione, usare questo account per aggiungere gli host di sessione a un dominio di Servizi di dominio Microsoft Entra o ad Active Directory Domain Services.
- Richiedere l'autenticazione a più fattori. Per migliorare la sicurezza dell'intera distribuzione, applicare l'autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure. Per altre informazioni, vedere Applicare l'autenticazione a più fattori di Microsoft Entra ID per Desktop virtuale Azure usando l'accesso condizionale.
- Attivare l'accesso condizionale di Microsoft Entra ID. Quando si usa l'accesso condizionale, è possibile gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale Azure. Nel processo di decidere a quali utenti concedere l'accesso, è consigliabile considerare chi è ciascun utente, come effettuano l'accesso e quale dispositivo stanno utilizzando.
Progettazione di rete sicura per Desktop virtuale Azure
Senza misure di sicurezza di rete, gli utenti malintenzionati possono ottenere l'accesso agli asset. Per proteggere le risorse, è importante inserire controlli sul traffico di rete. I controlli di sicurezza di rete appropriati consentono di rilevare e arrestare gli utenti malintenzionati che accedono alle distribuzioni cloud.
Recommendations
- Usare un'architettura hub-spoke. È fondamentale distinguere tra i servizi condivisi e i servizi dell'applicazione Desktop virtuale Azure. Un'architettura hub-spoke è un buon approccio alla sicurezza. È consigliabile mantenere le risorse specifiche del carico di lavoro nella propria rete virtuale separata dai servizi condivisi nell'hub. Esempi di servizi condivisi includono servizi di gestione e DNS (Domain Name System).
- Usare i gruppi di sicurezza di rete. È possibile usare i gruppi di sicurezza di rete per filtrare il traffico di rete da e verso il carico di lavoro di Desktop virtuale Azure. I tag del servizio e le regole del gruppo di sicurezza di rete consentono di consentire o negare l'accesso all'applicazione Desktop virtuale Azure. Ad esempio, è possibile consentire l'accesso alle porte dell'applicazione Desktop virtuale Azure da intervalli di indirizzi IP locali ed è possibile negare l'accesso da Internet pubblico. Per altre informazioni, vedere Gruppi di sicurezza di rete. Per distribuire Desktop virtuale Azure e renderlo disponibile agli utenti, è necessario consentire URL specifici a cui le macchine virtuali host di sessione possono accedere in qualsiasi momento. Per un elenco di questi URL, vedere URL necessari per Desktop virtuale Azure.
- Per isolare i pool di host, inserisci ogni pool di host in una rete virtuale separata. Utilizzare i gruppi di sicurezza di rete con gli URL che Azure Virtual Desktop richiede per ogni subnet.
- Applicare la sicurezza della rete e delle applicazioni. I controlli di sicurezza delle applicazioni e di rete sono misure di sicurezza di base per ogni carico di lavoro di Desktop virtuale Azure. La rete e l'host di sessione di Azure Virtual Desktop e l'applicazione richiedono una rigorosa revisione della sicurezza e controlli di base.
- Evitare l'accesso RDP diretto agli host di sessione nel tuo ambiente disabilitando o bloccando la porta RDP. Se è necessario l'accesso RDP diretto per scopi amministrativi o per la risoluzione dei problemi, usare Azure Bastion per connettersi agli host di sessione.
- Usare Collegamento privato di Azure con Desktop virtuale Azure per mantenere il traffico all'interno della rete Microsoft e contribuire a migliorare la sicurezza. Quando si crea un endpoint privato, il traffico tra la rete virtuale e il servizio rimane nella rete Microsoft. Non è più necessario esporre il servizio alla rete Internet pubblica. È anche possibile usare una rete privata virtuale (VPN) o Azure ExpressRoute in modo che gli utenti con un client Desktop remoto possano connettersi alla rete virtuale.
- Usare Firewall di Azure per proteggere Desktop virtuale Azure. Gli host di sessione di Azure Virtual Desktop vengono eseguiti nella rete virtuale e sono soggetti ai controlli di sicurezza della rete virtuale. Se le applicazioni o gli utenti necessitano di accesso a Internet in uscita, è consigliabile usare Firewall di Azure per proteggerle e bloccare l'ambiente.
Crittografa i dati in transito
Impatto: sicurezza
La crittografia in transito si applica allo stato dei dati che passano da una posizione a un'altra. È possibile crittografare i dati in transito in diversi modi, a seconda della natura della connessione. Per altre informazioni, vedere Crittografia dei dati in transito.
Desktop virtuale Azure usa Transport Layer Security (TLS) versione 1.2 per tutte le connessioni avviate da client e host di sessione ai componenti dell'infrastruttura di Desktop virtuale Azure. Desktop virtuale Azure usa le stesse cifrature TLS 1.2 di Azure Front Door. È importante assicurarsi che i computer client e gli host sessione possano usare queste crittografie. Per il trasporto con connessione inversa, il client e l'host di sessione si connettono al gateway Azure Virtual Desktop. L'host client e sessione stabiliscono quindi una connessione TCP (Transmission Control Protocol). Successivamente, il client e l'host di sessione convalidano il certificato del gateway di Azure Virtual Desktop. RDP viene usato per stabilire il trasporto di base. RDP instaura quindi una connessione TLS nidificata tra il client e l'host di sessione utilizzando i certificati dell'host di sessione.
Per altre informazioni sulla connettività di rete, vedere Informazioni sulla connettività di rete di Desktop virtuale Azure.
Recommendations
- Comprendi come Azure Virtual Desktop crittografa i dati durante il transito.
- Assicurarsi che i computer client e gli host di sessione possano usare le crittografie TLS 1.2 usate da Frontdoor di Azure.
Usare il calcolo riservato per crittografare i dati in uso
Impatto: sicurezza, efficienza delle prestazioni
Usare il confidential computing per proteggere i dati in uso quando si opera in settori regolamentati, ad esempio enti pubblici, servizi finanziari e istituti sanitari.
È possibile usare macchine virtuali riservate per Desktop virtuale Azure. Le macchine virtuali riservate aumentano la privacy e la sicurezza dei dati proteggendo i dati in uso. La serie di macchine virtuali riservate Azure DCasv5 e ECasv5 offre un ambiente di esecuzione attendibile basato su hardware. Questo ambiente include le funzionalità di sicurezza Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) di Advanced Micro Devices (AMD). Queste funzionalità rafforzano le protezioni guest per negare l'accesso all'hypervisor e ad altri codici di gestione host alla memoria e allo stato della macchina virtuale. Consentono anche di proteggersi dall'accesso degli operatori e di crittografare i dati in uso.
Le macchine virtuali riservate offrono supporto per le versioni 22H1, 22H2 e future di Windows 11. È previsto il supporto di macchine virtuali riservate per Windows 10. La crittografia del disco del sistema operativo riservato è disponibile per le macchine virtuali riservate. Inoltre, il monitoraggio dell'integrità è disponibile durante la configurazione del pool di host di Azure Virtual Desktop per le macchine virtuali confidenziali.
Per altre informazioni, vedere le risorse seguenti:
Recommendations
- Usare il confidential computing per proteggere i dati in uso.
- Usare la serie di macchine virtuali riservate ECasv5 e DCasv5 di Azure per creare un ambiente tee basato su hardware.
Risorse correlate per la sicurezza di Desktop virtuale Azure
Passaggi successivi
Dopo aver esaminato le procedure consigliate per la protezione di Desktop virtuale Azure, esaminare le procedure operative di gestione per ottenere l'eccellenza aziendale.
Usare lo strumento di valutazione per valutare le scelte di progettazione.