Applicare principi Zero Trust a una distribuzione di Desktop virtuale Azure
Questo articolo illustra i passaggi per applicare i principi di Zero Trust a una distribuzione di Desktop virtuale Azure nei modi seguenti:
| Principio zero trust | Definizione | Met by |
|---|---|---|
| Verificare esplicita | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Verificare le identità e gli endpoint degli utenti di Desktop virtuale Azure e proteggere l'accesso agli host sessione. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
|
| Presunzione di violazione | Ridurre al minimo il raggio di esplosione e l'accesso segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
|
Per altre informazioni su come applicare i principi di Zero Trust in un ambiente IaaS di Azure, vedere La panoramica sull'applicazione dei principi Zero Trust ad Azure IaaS.
Architettura di riferimento
In questo articolo viene usata l'architettura di riferimento seguente per Hub e Spoke per illustrare un ambiente distribuito comunemente e come applicare i principi di Zero Trust per Desktop virtuale Azure con l'accesso degli utenti tramite Internet. L'architettura di Azure rete WAN virtuale è supportata anche oltre all'accesso privato tramite una rete gestita con RDP Shortpath per Desktop virtuale Azure.
L'ambiente Azure per Desktop virtuale Azure include:
| Componente | Descrizione |
|---|---|
| Un | Archiviazione di Azure Servizi per i profili utente di Desktop virtuale Azure. |
| G | Una rete virtuale dell'hub di connettività. |
| A | Una rete virtuale spoke con sessione di Desktop virtuale Azure ospita carichi di lavoro basati su macchine virtuali. |
| D | Piano di controllo di Desktop virtuale Azure. |
| E | Piano di gestione di Desktop virtuale Azure. |
| F | Servizi PaaS dipendenti, tra cui MICROSOFT Entra ID, Microsoft Defender per il cloud, controllo degli accessi in base al ruolo e Monitoraggio di Azure. |
| G | Raccolta di calcolo di Azure. |
Gli utenti o gli amministratori che accedono all'ambiente Di Azure possono provenire da Internet, posizioni dell'ufficio o data center locali.
L'architettura di riferimento è allineata all'architettura descritta nella zona di destinazione su scala aziendale per Cloud Adoption Framework di Desktop virtuale Azure.
Architettura logica
In questo diagramma l'infrastruttura di Azure per una distribuzione di Desktop virtuale Azure è contenuta all'interno di un tenant Entra ID.
Gli elementi dell'architettura logica sono:
Sottoscrizione di Azure per Desktop virtuale Azure
È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo argomento è descritto in Cloud Adoption Framework e nella zona di destinazione di Azure. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dal modo in cui si vuole separare l'ambiente e il numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare le autorizzazioni con il controllo degli accessi in base al ruolo e i criteri di Azure a un gruppo di sottoscrizioni anziché configurare ogni sottoscrizione singolarmente.
Gruppo di risorse di Desktop virtuale Azure
Un gruppo di risorse di Desktop virtuale Azure isola gli insiemi di credenziali delle chiavi, gli oggetti servizio Desktop virtuale Azure e gli endpoint privati.
Gruppo di risorse Archiviazione
Un gruppo di risorse di archiviazione isola File di Azure endpoint privati e set di dati del servizio.
Gruppo di risorse macchine virtuali host sessione
Un gruppo di risorse dedicato isola le macchine virtuali per gli host di sessione Macchine virtuali, il set di crittografia dischi e un gruppo di sicurezza delle applicazioni.
Gruppo di risorse della rete virtuale spoke
Un gruppo di risorse dedicato isola le risorse della rete virtuale spoke e un gruppo di sicurezza di rete, che gli specialisti di rete dell'organizzazione possono gestire.
Che cos'è in questo articolo?
Questo articolo illustra i passaggi per applicare i principi di Zero Trust nell'architettura di riferimento di Desktop virtuale Azure.
| Passaggio | Attività | Principi zero trust applicati |
|---|---|---|
| 1 | Proteggere le identità con Zero Trust. | Verificare esplicita |
| 2 | Proteggere gli endpoint con Zero Trust. | Verificare esplicita |
| 3 | Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 4 | Applicare principi Zero Trust alle reti virtuali di Desktop virtuale Azure hub e spoke. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 5 | Applicare i principi Zero Trust all'host sessione di Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 6 | Distribuire sicurezza, governance e conformità in Desktop virtuale Azure. | Presunzione di violazione |
| 7 | Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure. | Presunzione di violazione |
Passaggio 1: Proteggere le identità con Zero Trust
Per applicare i principi Zero Trust alle identità usate in Desktop virtuale Azure:
- Desktop virtuale Azure supporta diversi tipi di identità. Usare le informazioni in Protezione dell'identità con Zero Trust per assicurarsi che i tipi di identità scelti siano conformi ai principi Zero Trust.
- Creare un account utente dedicato con privilegi minimi per aggiungere gli host di sessione a un dominio di Servizi di dominio Active Directory o a un dominio di Servizi di dominio Active Directory durante la distribuzione dell'host sessione.
Passaggio 2: Proteggere gli endpoint con Zero Trust
Gli endpoint sono i dispositivi tramite cui gli utenti accedono all'ambiente Desktop virtuale Azure e alle macchine virtuali host di sessione. Usare le istruzioni riportate in Panoramica sull'integrazione degli endpoint e usare Microsoft Defender per endpoint e Microsoft Endpoint Manager per assicurarsi che gli endpoint rispettino i requisiti di sicurezza e conformità.
Passaggio 3: Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure
Implementare i passaggi descritti in Applicare principi Zero Trust per Archiviazione in Azure per le risorse di archiviazione usate nella distribuzione di Desktop virtuale Azure. Questi passaggi assicurano che:
- Proteggere i dati inattivi di Desktop virtuale Azure, in transito e in uso.
- Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi.
- Implementare endpoint privati per gli account di archiviazione.
- Separare logicamente i dati critici con i controlli di rete. Ad esempio, account di archiviazione separati per pool di host diversi e altri scopi, ad esempio con MSIX app allegare condivisioni file.
- Usare Defender per Archiviazione per la protezione automatizzata dalle minacce.
Nota
In alcune progettazioni, Azure NetApp Files è il servizio di archiviazione preferito per i profili FSLogix per Desktop virtuale Azure tramite una condivisione SMB. Azure NetApp Files offre funzionalità di sicurezza predefinite che includono subnet delegate e benchmark di sicurezza.
Passaggio 4: Applicare principi Zero Trust alle reti virtuali di Desktop virtuale Azure hub e spoke
Una rete virtuale hub è un punto centrale di connettività per più reti virtuali spoke. Implementare i passaggi descritti in Applicare principi Zero Trust a una rete virtuale hub in Azure per la rete virtuale dell'hub usata per filtrare il traffico in uscita dagli host di sessione.
Una rete virtuale spoke isola il carico di lavoro di Desktop virtuale Azure e contiene le macchine virtuali host di sessione. Implementare i passaggi descritti in Applicare principi Zero Trust alla rete virtuale spoke in Azure per la rete virtuale spoke che contiene l'host o le macchine virtuali di sessione.
Isolare pool di host diversi in reti virtuali separate usando il gruppo di sicurezza di rete con l'URL necessario per Desktop virtuale Azure per ogni subnet. Quando si distribuiscono gli endpoint privati, inserirli nella subnet appropriata nella rete virtuale in base al proprio ruolo.
Firewall di Azure o un firewall dell'appliance virtuale di rete (NVA) può essere usato per controllare e limitare il traffico in uscita host di sessione di Desktop virtuale Azure. Usare le istruzioni riportate qui per Firewall di Azure per proteggere gli host di sessione. Forzare il traffico attraverso il firewall con route definite dall'utente collegate alla subnet del pool di host. Esaminare l'elenco completo degli URL di Desktop virtuale Azure necessari per configurare il firewall. Firewall di Azure fornisce un Desktop virtuale AzureTag FQDN per semplificare questa configurazione.
Passaggio 5: Applicare i principi Zero Trust agli host di sessione di Desktop virtuale Azure
Gli host di sessione sono macchine virtuali eseguite all'interno di una rete virtuale spoke. Implementare i passaggi descritti in Applicare principi Zero Trust alle macchine virtuali in Azure per le macchine virtuali create per gli host di sessione.
I pool di host devono avere unità organizzative separate se gestite da criteri di gruppo in Dominio di Active Directory Services (AD DS).
Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. È possibile usare Microsoft Defender per endpoint per gli host di sessione. Per altre informazioni, vedere Dispositivi VDI (Virtual Desktop Infrastructure).
Passaggio 6: Distribuire sicurezza, governance e conformità in Desktop virtuale Azure
Il servizio Desktop virtuale Azure consente di usare collegamento privato di Azure per connettersi privatamente alle risorse creando endpoint privati.
Desktop virtuale Azure include funzionalità di sicurezza avanzate predefinite per proteggere gli host sessione. Tuttavia, vedere gli articoli seguenti per migliorare le difese di sicurezza dell'ambiente Desktop virtuale Azure e degli host sessione:
- Procedure consigliate per la sicurezza di Desktop virtuale Azure
- Baseline di sicurezza di Azure per Desktop virtuale Azure
Vedere anche le considerazioni e le raccomandazioni principali sulla progettazione per la sicurezza, la governance e la conformità nelle zone di destinazione di Desktop virtuale Azure in conformità con Cloud Adoption Framework di Microsoft.
Passaggio 7: Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure
La gestione e il monitoraggio continuo sono importanti per garantire che l'ambiente Desktop virtuale Azure non sia coinvolto in comportamenti dannosi. Usare Azure Virtual Desktop Insights per registrare i dati e segnalare i dati di diagnostica e di utilizzo.
Vedere questi articoli aggiuntivi:
- Esaminare le raccomandazioni di Azure Advisor per Desktop virtuale Azure.
- Usare Microsoft Intune per la gestione granulare dei criteri o la gestione dei criteri di gruppo.
- Esaminare e impostare le proprietà RDP per le impostazioni granulari a livello di pool di host.
Formazione consigliata
Proteggere una distribuzione di Desktop virtuale Azure
| Formazione | Proteggere una distribuzione di Desktop virtuale Azure |
|---|---|
|
Informazioni sulle funzionalità di sicurezza Microsoft che consentono di proteggere le applicazioni e i dati nella distribuzione di Desktop virtuale Microsoft Azure. |
Proteggere la distribuzione di Desktop virtuale Azure con Azure
| Formazione | Proteggere la distribuzione di Desktop virtuale Azure con Azure |
|---|---|
|
È possibile distribuire Firewall di Azure, instradare tutto il traffico di rete attraverso Firewall di Azure e configurare regole. Instradare il traffico di rete in uscita dal pool di host di Desktop virtuale Azure verso il servizio tramite Firewall di Azure. |
Gestire la sicurezza e l'accesso per Desktop virtuale Azure
| Formazione | Gestire l'accesso e la sicurezza per Desktop virtuale Azure |
|---|---|
|
Informazioni su come pianificare e implementare ruoli di Azure per Desktop virtuale Azure e implementare i criteri di accesso condizionale per le connessioni remote. Questo percorso di apprendimento è allineato all'esame AZ-140: Configurazione e gestione di Desktop virtuale Microsoft Azure. |
Progettare identità utente e profili
| Formazione | Progettare per identità e profili utente |
|---|---|
|
Gli utenti devono poter accedere a tali applicazioni sia in locale che nel cloud. È possibile usare il client Desktop remoto per desktop Windows per accedere a desktop e app Windows da remoto da un altro dispositivo Windows. |
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure
Passaggi successivi
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:
- Panoramica di Azure IaaS
- Rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Illustrazioni tecniche
È possibile scaricare le illustrazioni usate in questo articolo. Utilizzare il file di Visio per modificare queste illustrazioni per un uso personalizzato.
Per altre illustrazioni tecniche, fare clic qui.
Riferimenti
Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Che cos'è Azure - Microsoft Servizi cloud
- Infrastruttura distribuita come servizio (IaaS) di Azure
- Macchine virtuali (VM) per Linux e Windows
- Introduzione alle Archiviazione di Azure - Archiviazione cloud in Azure
- Rete virtuale di Azure
- Introduzione alla sicurezza di Azure
- Linee guida per l'implementazione zero trust
- Panoramica di Microsoft Cloud Security Benchmark
- Panoramica delle baseline di sicurezza per Azure
- Creazione del primo livello di difesa con i servizi di sicurezza di Azure - Centro architetture di Azure
- Architetture di riferimento della cybersecurity Microsoft - Documentazione sulla sicurezza
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per