Condividi tramite


Applicare principi Zero Trust a una distribuzione di Desktop virtuale Azure

Questo articolo illustra i passaggi per applicare i principi di Zero Trust a una distribuzione di Desktop virtuale Azure nei modi seguenti:

Principio zero trust Definizione Met by
Verificare esplicita Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. Verificare le identità e gli endpoint degli utenti di Desktop virtuale Azure e proteggere l'accesso agli host sessione.
Usare l'accesso con privilegi minimi Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
  • Limitare l'accesso agli host sessione e ai relativi dati.
  • Archiviazione: proteggere i dati in tutte e tre le modalità: dati inattivi, dati in transito e dati in uso.
  • Reti virtuali (reti virtuali): specificare i flussi di traffico di rete consentiti tra reti virtuali hub-spoke con Firewall di Azure.
  • Macchine virtuali: usare il Controllo di accesso basato sui ruoli.Virtual Machines: Use Role Based Controllo di accesso (RBAC).
Presunzione di violazione Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
  • Isolare i componenti di una distribuzione di Desktop virtuale Azure.
  • Archiviazione: usare Defender per l'archiviazione per il rilevamento e la protezione automatizzati delle minacce.
  • Reti virtuali: impedire i flussi di traffico tra carichi di lavoro con Firewall di Azure.
  • Macchine virtuali: usare la doppia crittografia per la crittografia end-to-end, abilitare la crittografia nell'host, la manutenzione sicura per le macchine virtuali e Microsoft Defender per i server per il rilevamento delle minacce.
  • Desktop virtuale Azure: usare le funzionalità di sicurezza, governance, gestione e monitoraggio di Desktop virtuale Azure per migliorare le difese e raccogliere analisi degli host di sessione.

Per altre informazioni su come applicare i principi di Zero Trust in un ambiente IaaS di Azure, vedere La panoramica sull'applicazione dei principi Zero Trust ad Azure IaaS.

Architettura di riferimento

In questo articolo viene usata l'architettura di riferimento seguente per Hub e Spoke per illustrare un ambiente distribuito comunemente e come applicare i principi di Zero Trust per Desktop virtuale Azure con l'accesso degli utenti tramite Internet. L'architettura di Azure rete WAN virtuale è supportata anche oltre all'accesso privato tramite una rete gestita con RDP Shortpath per Desktop virtuale Azure.

Diagramma dell'architettura di riferimento per Desktop virtuale Azure.

L'ambiente Azure per Desktop virtuale Azure include:

Componente Descrizione
A Archiviazione di Azure Servizi per i profili utente di Desktop virtuale Azure.
G Una rete virtuale dell'hub di connettività.
A Una rete virtuale spoke con sessione di Desktop virtuale Azure ospita carichi di lavoro basati su macchine virtuali.
D Piano di controllo di Desktop virtuale Azure.
E Piano di gestione di Desktop virtuale Azure.
F Servizi PaaS dipendenti, tra cui MICROSOFT Entra ID, Microsoft Defender per il cloud, controllo degli accessi in base al ruolo e Monitoraggio di Azure.
G Raccolta di calcolo di Azure.

Gli utenti o gli amministratori che accedono all'ambiente Di Azure possono provenire da Internet, posizioni dell'ufficio o data center locali.

L'architettura di riferimento è allineata all'architettura descritta nella zona di destinazione su scala aziendale per Cloud Adoption Framework di Desktop virtuale Azure.

Architettura logica

In questo diagramma l'infrastruttura di Azure per una distribuzione di Desktop virtuale Azure è contenuta all'interno di un tenant di Microsoft Entra ID.

Diagramma dei componenti di Desktop virtuale Azure in un tenant di Microsoft Entra ID.

Gli elementi dell'architettura logica sono:

  • Sottoscrizione di Azure per Desktop virtuale Azure

    È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo argomento è descritto in Cloud Adoption Framework e nella zona di destinazione di Azure. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dal modo in cui si vuole separare l'ambiente e il numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare le autorizzazioni con il controllo degli accessi in base al ruolo e i criteri di Azure a un gruppo di sottoscrizioni anziché configurare ogni sottoscrizione singolarmente.

  • Gruppo di risorse di Desktop virtuale Azure

    Un gruppo di risorse di Desktop virtuale Azure isola gli insiemi di credenziali delle chiavi, gli oggetti servizio Desktop virtuale Azure e gli endpoint privati.

  • Gruppo di risorse Archiviazione

    Un gruppo di risorse di archiviazione isola File di Azure endpoint privati e set di dati del servizio.

  • Gruppo di risorse macchine virtuali host sessione

    Un gruppo di risorse dedicato isola le macchine virtuali per gli host di sessione Macchine virtuali, il set di crittografia dischi e un gruppo di sicurezza delle applicazioni.

  • Gruppo di risorse della rete virtuale spoke

    Un gruppo di risorse dedicato isola le risorse della rete virtuale spoke e un gruppo di sicurezza di rete, che gli specialisti di rete dell'organizzazione possono gestire.

Che cos'è in questo articolo?

Questo articolo illustra i passaggi per applicare i principi di Zero Trust nell'architettura di riferimento di Desktop virtuale Azure.

Passaggio Attività Principi zero trust applicati
1 Proteggere le identità con Zero Trust. Verificare esplicita
2 Proteggere gli endpoint con Zero Trust. Verificare esplicita
3 Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
4 Applicare principi Zero Trust alle reti virtuali di Desktop virtuale Azure hub e spoke. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
5 Applicare i principi Zero Trust all'host sessione di Desktop virtuale Azure. Verificare in modo esplicito
Usare l'accesso con privilegi minimi
Presunzione di violazione
6 Distribuire sicurezza, governance e conformità in Desktop virtuale Azure. Presunzione di violazione
7 Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure. Presunzione di violazione

Passaggio 1: Proteggere le identità con Zero Trust

Per applicare i principi Zero Trust alle identità usate in Desktop virtuale Azure:

  • Desktop virtuale Azure supporta diversi tipi di identità. Usare le informazioni in Protezione dell'identità con Zero Trust per assicurarsi che i tipi di identità scelti siano conformi ai principi Zero Trust.
  • Creare un account utente dedicato con privilegi minimi per aggiungere gli host di sessione a un dominio di Servizi di dominio Active Directory o a un dominio di Servizi di dominio Active Directory durante la distribuzione dell'host sessione.

Passaggio 2: Proteggere gli endpoint con Zero Trust

Gli endpoint sono i dispositivi tramite cui gli utenti accedono all'ambiente Desktop virtuale Azure e alle macchine virtuali host di sessione. Usare le istruzioni riportate in Panoramica sull'integrazione degli endpoint e usare Microsoft Defender per endpoint e Microsoft Endpoint Manager per assicurarsi che gli endpoint rispettino i requisiti di sicurezza e conformità.

Passaggio 3: Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure

Implementare i passaggi descritti in Applicare principi Zero Trust all'archiviazione in Azure per le risorse di archiviazione usate nella distribuzione di Desktop virtuale Azure. Questi passaggi assicurano che:

  • Proteggere i dati inattivi di Desktop virtuale Azure, in transito e in uso.
  • Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi.
  • Implementare endpoint privati per gli account di archiviazione.
  • Separare logicamente i dati critici con i controlli di rete. Ad esempio, account di archiviazione separati per pool di host diversi e altri scopi, ad esempio con MSIX app allegare condivisioni file.
  • Usare Defender per l'archiviazione per la protezione automatizzata dalle minacce.

Nota

In alcune progettazioni, Azure NetApp Files è il servizio di archiviazione preferito per i profili FSLogix per Desktop virtuale Azure tramite una condivisione SMB. Azure NetApp Files offre funzionalità di sicurezza predefinite che includono subnet delegate e benchmark di sicurezza.

Passaggio 4: Applicare principi Zero Trust alle reti virtuali di Desktop virtuale Azure hub e spoke

Una rete virtuale hub è un punto centrale di connettività per più reti virtuali spoke. Implementare i passaggi descritti in Applicare principi Zero Trust a una rete virtuale hub in Azure per la rete virtuale dell'hub usata per filtrare il traffico in uscita dagli host di sessione.

Una rete virtuale spoke isola il carico di lavoro di Desktop virtuale Azure e contiene le macchine virtuali host di sessione. Implementare i passaggi descritti in Applicare principi Zero Trust alla rete virtuale spoke in Azure per la rete virtuale spoke che contiene l'host o le macchine virtuali di sessione.

Isolare pool di host diversi in reti virtuali separate usando il gruppo di sicurezza di rete con l'URL necessario per Desktop virtuale Azure per ogni subnet. Quando si distribuiscono gli endpoint privati, inserirli nella subnet appropriata nella rete virtuale in base al proprio ruolo.

Firewall di Azure o un firewall dell'appliance virtuale di rete (NVA) può essere usato per controllare e limitare il traffico in uscita host di sessione di Desktop virtuale Azure. Usare le istruzioni riportate qui per Firewall di Azure per proteggere gli host di sessione. Forzare il traffico attraverso il firewall con route definite dall'utente collegate alla subnet del pool di host. Esaminare l'elenco completo degli URL di Desktop virtuale Azure necessari per configurare il firewall. Firewall di Azure fornisce un Desktop virtuale AzureTag FQDN per semplificare questa configurazione.

Passaggio 5: Applicare i principi Zero Trust agli host di sessione di Desktop virtuale Azure

Gli host di sessione sono macchine virtuali eseguite all'interno di una rete virtuale spoke. Implementare i passaggi descritti in Applicare principi Zero Trust alle macchine virtuali in Azure per le macchine virtuali create per gli host di sessione.

I pool di host devono avere unità organizzative separate se gestite da criteri di gruppo in Dominio di Active Directory Services (AD DS).

Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. È possibile usare Microsoft Defender per endpoint per gli host di sessione. Per altre informazioni, vedere Dispositivi VDI (Virtual Desktop Infrastructure).

Passaggio 6: Distribuire sicurezza, governance e conformità in Desktop virtuale Azure

Il servizio Desktop virtuale Azure consente di usare collegamento privato di Azure per connettersi privatamente alle risorse creando endpoint privati.

Desktop virtuale Azure include funzionalità di sicurezza avanzate predefinite per proteggere gli host sessione. Tuttavia, vedere gli articoli seguenti per migliorare le difese di sicurezza dell'ambiente Desktop virtuale Azure e degli host sessione:

Vedere anche le considerazioni e le raccomandazioni principali sulla progettazione per la sicurezza, la governance e la conformità nelle zone di destinazione di Desktop virtuale Azure in conformità con Cloud Adoption Framework di Microsoft.

Passaggio 7: Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure

La gestione e il monitoraggio continuo sono importanti per garantire che l'ambiente Desktop virtuale Azure non sia coinvolto in comportamenti dannosi. Usare Azure Virtual Desktop Insights per registrare i dati e segnalare i dati di diagnostica e di utilizzo.

Vedere questi articoli aggiuntivi:

Proteggere una distribuzione di Desktop virtuale Azure

Formazione Proteggere una distribuzione di Desktop virtuale Azure
Informazioni sulle funzionalità di sicurezza Microsoft che consentono di proteggere le applicazioni e i dati nella distribuzione di Desktop virtuale Microsoft Azure.

Proteggere la distribuzione di Desktop virtuale Azure con Azure

Formazione Proteggere la distribuzione di Desktop virtuale Azure con Azure
È possibile distribuire Firewall di Azure, instradare tutto il traffico di rete attraverso Firewall di Azure e configurare regole. Instradare il traffico di rete in uscita dal pool di host di Desktop virtuale Azure verso il servizio tramite Firewall di Azure.

Gestire la sicurezza e l'accesso per Desktop virtuale Azure

Formazione Gestire l'accesso e la sicurezza per Desktop virtuale Azure
Informazioni su come pianificare e implementare ruoli di Azure per Desktop virtuale Azure e implementare i criteri di accesso condizionale per le connessioni remote. Questo percorso di apprendimento è allineato all'esame AZ-140: Configurazione e gestione di Desktop virtuale Microsoft Azure.

Progettare identità utente e profili

Formazione Progettare per identità e profili utente
Gli utenti devono poter accedere a tali applicazioni sia in locale che nel cloud. È possibile usare il client Desktop remoto per desktop Windows per accedere a desktop e app Windows da remoto da un altro dispositivo Windows.

Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure

Passaggi successivi

Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:

Illustrazioni tecniche

È possibile scaricare le illustrazioni usate in questo articolo. Utilizzare il file di Visio per modificare queste illustrazioni per un uso personalizzato.

PDF | Visio

Per altre illustrazioni tecniche, fare clic qui.

Riferimenti

Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.