Beveiliging en governance

Dit artikel bevat belangrijke ontwerpoverwegingen en aanbevelingen voor beveiliging, governance en naleving in landingszones van Azure Virtual Desktop in overeenstemming met het Cloud Adoption Framework van Microsoft.

Bekijk de volgende secties voor aanbevolen beveiligingscontroles en -governance voor uw Azure Virtual Desktop-landingszone.

Identiteit

• Beveilig gebruikerstoegang tot Azure Virtual Desktop door beleid voor voorwaardelijke toegang van Microsoft Entra tot stand te brengen met meervoudige verificatie van Microsoft Entra of een hulpprogramma voor meervoudige verificatie van partners. Houd rekening met de locaties, apparaten en aanmeldingsgedrag van uw gebruikers en voeg indien nodig extra besturingselementen toe op basis van hun toegangspatronen. Zie Meervoudige Verificatie van Azure inschakelen voor Azure Virtual Desktop voor meer informatie over het inschakelen van Meervoudige Azure-verificatie voor Azure Virtual Desktop.

• Wijs de minimale bevoegdheid toe die is vereist door beheerders-, bewerkingen- en technische rollen te definiëren aan Azure RBAC-rollen. Als u de toegang tot rollen met hoge bevoegdheden binnen uw Azure Virtual Desktop-landingszone wilt beperken, kunt u integratie met Azure Privileged Identity Management (PIM) overwegen. Als u weet welk team verantwoordelijk is voor elk bepaald beheergebied, kunt u de rollen en configuratie van op rollen gebaseerd toegangsbeheer (RBAC) van Azure bepalen.

• Gebruik Azure Managed Identity of service-principal met certificaatreferenties voor automatisering en services voor Azure Virtual Desktop. Wijs minimale bevoegdheden toe aan het automation-account en het bereik dat is beperkt tot landingszones van Azure Virtual Desktop. U kunt Azure Key Vault gebruiken met door Azure beheerde identiteiten, zodat runtime-omgevingen (zoals een Azure-functie) automatiseringsreferenties kunnen ophalen uit de sleutelkluis.

• Zorg ervoor dat u logboekregistratie van gebruikers- en beheerdersactiviteiten verzamelt voor Microsoft Entra ID en Azure Virtual Desktop-landingszone(s). Bewaak deze logboeken met uw SIEM-hulpprogramma (Security Information and Event Management). U kunt logboeken verzamelen uit verschillende bronnen, zoals:

  • Azure-activiteitenlogboek
  • Microsoft Entra-activiteitenlogboek
  • Microsoft Entra ID
  • Sessiehosts
  • Key Vault-logboeken

• Gebruik Microsoft Entra-groepen in plaats van afzonderlijke gebruikers bij het toewijzen van toegang tot Azure Virtual Desktop-toepassingsgroepen. Overweeg om bestaande beveiligingsgroepen te gebruiken die zijn toegewezen aan bedrijfsfuncties binnen uw organisatie, waarmee u bestaande processen voor het inrichten en ongedaan maken van de inrichting van gebruikers opnieuw kunt gebruiken.

Netwerken

• Een toegewezen virtueel netwerk inrichten of opnieuw gebruiken voor uw Azure Virtual Desktop-landingszone(s). Plan DE IP-adresruimte voor de schaal van uw sessiehosts. Stel de grootte van uw basislijnsubnet in op basis van het minimale en maximum aantal sessiehosts per hostgroep. Wijs uw bedrijfseenheidvereisten toe aan uw hostgroepen.

• Gebruik netwerkbeveiligingsgroepen (NSG's) en/of Azure Firewall (of firewallapparaat van derden) om microsegmentatie tot stand te brengen. Gebruik azure Virtual Network-servicetags en toepassingsservicegroepen (ASG's) om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of een Azure Firewall die is geconfigureerd voor uw Azure Virtual Desktop-resources. Controleer of de uitgaande toegang van de sessiehost tot de vereiste URL's wordt overgeslagen door een proxy (indien gebruikt binnen sessiehosts) en Azure Firewall (of een firewallapparaat van derden).

• Beperk op basis van uw toepassingen en bedrijfssegmentatiestrategie het verkeer tussen uw sessiehosts en interne resources via beveiligingsgroepsregels of Azure Firewall (of een firewallapparaat van derden) op schaal.

• Schakel Azure DDoS-standaardbeveiliging in voor Azure Firewall (of een firewallapparaat van derden) om uw Azure Virtual Desktop-landingszone(s) te beveiligen.

• Als u proxy gebruikt voor uitgaande internettoegang vanaf uw sessiehosts:

  • Configureer proxyservers in dezelfde geografie als azure Virtual Desktop-sessiehosts en -clients (als u cloudproxyproviders gebruikt).
  • Gebruik geen TLS-inspectie. In Azure Virtual Desktop wordt verkeer standaard versleuteld tijdens overdracht .
  • Vermijd proxyconfiguratie waarvoor gebruikersverificatie is vereist. Azure Virtual Desktop-onderdelen op de sessiehost worden uitgevoerd in de context van hun besturingssysteem, zodat ze geen ondersteuning bieden voor proxyservers waarvoor verificatie is vereist. De systeembrede proxy moet zijn ingeschakeld om de proxy op hostniveau op uw sessiehost te configureren.

• Controleer of uw eindgebruikers toegang hebben tot DE URL's van de Azure Virtual Desktop-client. Als proxyagent/-configuratie wordt gebruikt op de apparaten van uw gebruikers, moet u ook de URL's van de Azure Virtual Desktop-client overslaan.

• Just-In-Time-toegang gebruiken voor beheer en het oplossen van problemen met uw sessiehosts. Vermijd het verlenen van directe RDP-toegang tot sessiehosts. AVD-sessiehosts maken gebruik van Reverse Connect-transport om externe sessies tot stand te brengen.

• Gebruik adaptieve netwerkbeveiligingsfuncties in Microsoft Defender voor Cloud om configuraties van netwerkbeveiligingsgroepen te vinden die poorten en bron-IP-adressen beperken met verwijzing naar regels voor extern netwerkverkeer.

• Verzamel uw Azure Firewall-logboeken (of firewallapparaten van derden) met Azure Monitor of een partnerbewakingsoplossing. U moet ook logboeken bewaken via SIEM, met behulp van Microsoft Sentinel of een vergelijkbare service.

• Gebruik alleen een privé-eindpunt voor Azure-bestanden die worden gebruikt voor FSLogix-profielcontainers.

• Configureer het RDP Shortpath om reverse connect transport aan te vullen.

Sessiehosts

• Maak een toegewezen organisatie-eenheid (OE) in de Active Directory voor de Azure Virtual Desktop-sessiehosts. Pas toegewezen groepsbeleid toe op uw sessiehosts om besturingselementen te beheren, zoals:

  • Schakel schermopnamebeveiliging in om te voorkomen dat gevoelige schermgegevens worden vastgelegd op de clienteindpunten.
  • Stel het maximale tijdbeleid voor inactieve/verbroken tijd en schermvergrendelingen in.
  • Verberg lokale en externe stationstoewijzingen in Windows Verkenner.
  • Eventueel configuratieparameters voor FSLogix-profielcontainers en FSLogix Cloud Cache.

• Beheer apparaatomleiding voor uw sessiehosts. Meestal zijn uitgeschakelde apparaten toegang tot lokale harde schijven en USB- of poortbeperkingen. Het beperken van cameraomleiding en extern afdrukken kan helpen bij het beveiligen van de gegevens van uw organisatie. Schakel klembordomleiding uit om te voorkomen dat externe inhoud naar eindpunten wordt gekopieerd.

• Schakel antivirusbeveiliging van de volgende generatie in, zoals Microsoft Defender voor Eindpunt op uw sessiehosts. Als u een partnereindpuntoplossing gebruikt, moet u ervoor zorgen dat Microsoft Defender voor Cloud de status ervan kan controleren. U moet ook antivirusuitsluitingen fsLogix-profielcontainer opnemen. Microsoft Defender voor Eindpunt rechtstreeks integreert met meerdere Microsoft Defender-oplossingen, waaronder:

  • Microsoft Defender voor Cloud
  • Microsoft Sentinel
  • Intune

• Schakel evaluaties voor bedreigings- en beveiligingsproblemenbeheer in. Integreer de oplossing voor bedreigings- en beveiligingsproblemen van Microsoft Defender voor Eindpunt met Microsoft Defender voor Cloud of een oplossing voor beveiligingsproblemen van derden). Microsoft Defender voor Cloud geïntegreerd met Qualys-oplossing voor evaluatie van beveiligingsproblemen.

• Gebruik toepassingsbeheer via Windows Defender Application Control (WDAC) of AppLocker om ervoor te zorgen dat toepassingen betrouwbaar zijn voordat ze worden uitgevoerd. Beleidsregels voor toepassingsbeheer kunnen ook niet-ondertekende scripts en MSIs blokkeren en Windows PowerShell beperken tot uitvoering in de modus Beperkte taal.

• Schakel vertrouwde start in voor virtuele Gen2 Azure-machines om functies zoals Beveiligd opstarten, vTPM en beveiliging op basis van virtualisatie (VBS) in te schakelen. Microsoft Defender voor Cloud kan sessiehosts bewaken die zijn geconfigureerd met vertrouwde lancering.

• Randomiseer lokale beheerderswachtwoorden met Windows LAPS om te beveiligen tegen pass-the-hash- en laterale traversal-aanvallen.

• Controleer of uw sessiehosts worden bewaakt door Azure Monitor of een partnerbewakingsoplossing via Event Hubs.

• Stel een strategie voor patchbeheer in voor uw sessiehosts. Met Microsoft Endpoint Configuration Manager kunnen Azure Virtual Desktop-sessiehosts automatisch updates ontvangen. U moet basisinstallatiekopieën minimaal één keer per 30 dagen patchen. Overweeg het gebruik van Azure Image Builder (AIB) om uw eigen imaging-pijplijn voor azure Virtual Desktop-basisinstallatiekopieën te maken.

Zie best practices voor sessiehostbeveiliging van Azure Virtual Desktop voor meer informatie over aanbevolen procedures voor sessiehostbeveiliging.

Zie Beveiligingsaanaanveling voor virtuele machines in Azure voor een gedetailleerde lijst met aanbevolen procedures voor azure-VM-beveiliging.

Gegevensbescherming

• Microsoft Azure versleutelt data-at-rest om deze te beschermen tegen 'out-of-band'-aanvallen, zoals pogingen om toegang te krijgen tot onderliggende opslag. Deze versleuteling zorgt ervoor dat aanvallers uw gegevens niet eenvoudig kunnen lezen of wijzigen. De benadering van Microsoft voor het inschakelen van twee versleutelingslagen voor data-at-rest omvat:

  • Schijfversleuteling met door de klant beheerde sleutels. Gebruikers bieden hun eigen sleutel voor schijfversleuteling. Ze kunnen hun eigen sleutels meenemen naar hun Key Vault (een praktijk die bekend staat als BYOK : Bring Your Own Key) of nieuwe sleutels genereren in Azure Key Vault om de gewenste resources (inclusief sessiehostschijven) te versleutelen.
  • Infrastructuurversleuteling met behulp van door platform beheerde sleutels. Schijven worden standaard automatisch at-rest versleuteld via door het platform beheerde versleutelingssleutels.
  • Versleuteling op de VM-host (Azure-server waaraan uw VM is toegewezen). De tijdelijke schijf- en besturingssysteem-/gegevensschijfcachegegevens van elke virtuele machine worden opgeslagen op de VM-host. Wanneer versleuteling op de VM-host is ingeschakeld, worden die gegevens in rust versleuteld en worden deze naar de Storage-service versleuteld om te worden bewaard.

• Implementeer een oplossing voor gegevensbeveiliging, zoals Microsoft Purview Informatiebeveiliging of een oplossing van derden, die ervoor zorgt dat gevoelige informatie veilig wordt opgeslagen, verwerkt en verzonden door de technologiesystemen van uw organisatie.

• Gebruik Security Policy Advisor voor Microsoft 365-apps voor ondernemingen om de beveiliging van Office-implementaties te verbeteren. Dit hulpprogramma identificeert beleidsregels die u op uw implementatie kunt toepassen voor meer beveiliging en raadt ook beleidsregels aan op basis van hun gevolgen voor uw beveiliging en productiviteit.

• Configureer verificatie op basis van identiteiten voor Azure Files die worden gebruikt voor FSLogix-gebruikersprofielen via on-premises Active Directory-domein Services (AD DS) en Microsoft Entra Domain Services. Configureer NTFS-machtigingen zodat geautoriseerde gebruikers toegang hebben tot uw Azure Files.

Kostenbeheer

• Gebruik Azure-tags om kosten te organiseren voor het maken, beheren en implementeren van Azure Virtual Desktop-resources. Als u de bijbehorende rekenkosten van Azure Virtual Desktop wilt identificeren, tagt u al uw hostgroepen en virtuele machines. Tag Azure Files- of Azure NetApp Files-resources om de opslagkosten bij te houden die zijn gekoppeld aan FSLogix-gebruikersprofielcontainers, aangepaste besturingssysteeminstallatiekopieën en MSIX-app koppelen (indien gebruikt).

• Definieer de minimale voorgestelde tags die moeten worden ingesteld voor al uw Azure Virtual Desktop-resources. U kunt Azure-tags instellen tijdens de implementatie of na het inrichten. Overweeg het gebruik van ingebouwde Azure Policy-definities om tagregels af te dwingen.

• Stel budget(s) in Microsoft Cost Management in om proactief azure-gebruikskosten te beheren. Wanneer budgetdrempels die u hebt gemaakt, worden overschreden, worden meldingen geactiveerd.

• Maak Cost Management-waarschuwingen om azure-gebruik en -uitgaven te controleren op de Landingszone van Azure Virtual Desktop.

• Configureer de functie Vm starten bij verbinden om kosten te besparen door eindgebruikers toe te staan hun VM's alleen in te schakelen wanneer ze ze nodig hebben.

• Schaaloplossingen implementeren voor poolsessiehosts via de functie Azure Automation of Automatisch schalen (preview)

Resourceconsistentie

• Gebruik Intune voor persoonlijke sessiehosts van Azure Virtual Desktop om bestaande of nieuwe configuraties toe te passen en uw VM's te beveiligen met nalevingsbeleid en voorwaardelijke toegang. Intune-beheer is niet afhankelijk van of interfereert met azure Virtual Desktop-beheer van dezelfde virtuele machine.

• Sessie met meerdere sessies host beheer met Intune kunt u Windows 10- of Windows 11 Enterprise-extern bureaubladen met meerdere sessies beheren in het Intune-beheercentrum, net zoals u een gedeeld Windows 10- of Windows 11-clientapparaat kunt beheren. Bij het beheren van dergelijke virtuele machines (VM's) kan zowel apparaatconfiguratie worden gebruikt die is gericht op apparaten of op gebruikers gebaseerde configuratie die is gericht op gebruikers.

• Controleer en configureer de beveiliging van het besturingssysteem van uw sessiehosts met behulp van de azure Policy-computerconfiguratie. Gebruik de Windows-beveiligingsbasislijnen als uitgangspunt voor het beveiligen van uw Windows-besturingssysteem.

• Gebruik ingebouwde Azure Policy-definities om de diagnostische instellingen voor Azure Virtual Desktop-resources, zoals werkruimten, toepassingsgroepen en hostgroepen, te configureren.

Bekijk de aanbevolen beveiligingsprocedures voor Azure Virtual Desktop als uitgangspunt voor beveiliging binnen uw omgeving.

Naleving

Bijna alle organisaties moeten voldoen aan verschillende beleidsregels voor overheids- of branchevoorschriften. Bekijk dergelijke beleidsregels met uw nalevingsteam en implementeer de juiste besturingselementen voor uw specifieke Azure Virtual Desktop-landingszone. U moet bijvoorbeeld controles overwegen voor specifieke beleidsregels, zoals de PCI DSS (Payment Card Industry Data Security Standard) of de Health Insurance Portability and Accountability Act van 1996 (HIPAA) als uw organisatie de frameworks volgt.

• Gebruik Microsoft Defender voor Cloud om zo nodig extra nalevingsstandaarden toe te passen op Azure Virtual Desktop Landingszones. Microsoft Defender voor Cloud helpt u uw proces te stroomlijnen om te voldoen aan vereisten voor naleving van regelgeving via het dashboard voor naleving van regelgeving. U kunt ingebouwde of aangepaste compatibiliteitsstandaarden toevoegen aan het dashboard. Al ingebouwde regelgevingsstandaarden die u kunt toevoegen, zijn onder andere:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL en UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Nieuw-Zeeland ISM Restricted
  • CMMC-niveau 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Als uw organisatie is gebonden aan vereisten voor gegevenslocatie, kunt u overwegen de implementatie van Azure Virtual Desktop-resources (werkruimten, toepassingsgroepen en hostgroepen) te beperken tot de volgende geografische gebieden:

  • Verenigde Staten
  • Europa
  • Verenigd Koninkrijk
  • Canada

  Het beperken van de implementatie tot deze geografische gebieden kan u helpen ervoor te zorgen dat metagegevens van Azure Virtual Desktop worden opgeslagen in de regio van azure Virtual Desktop-resourcegeografie, omdat uw sessiehosts wereldwijd kunnen worden geïmplementeerd om uw gebruikersbestand te kunnen gebruiken.

• Gebruik hulpprogramma's voor groepsbeleid en apparaatbeheer, zoals Intune en Microsoft Endpoint Configuration Manager, om een grondige beveiligings- en nalevingspraktijk voor uw sessiehosts te onderhouden.

• Configureer waarschuwingen en geautomatiseerde antwoorden in Microsoft Defender voor Cloud om te zorgen voor de algehele naleving van landingszones van Azure Virtual Desktop.

• Bekijk de Beveiligingsscore van Microsoft om de algehele beveiligingspostuur van de organisatie in de volgende producten te meten:

  • Microsoft 365 (inclusief Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender voor Eindpunten
  • Microsoft Defender for Identity
  • Defender voor cloud-apps
  • Microsoft Teams

• Bekijk Microsoft Defender voor Cloud Beveiligingsscore om de algehele beveiligingsnaleving van uw Azure Virtual Landing Zones te verbeteren.

Aanbevolen beveiligingsprocedures en -basislijnen

• Aanbevolen beveiligingsprocedures voor Azure Virtual Desktop
• Beveiligingsbasislijn voor Azure Virtual Desktop op basis van Azure Security Benchmark
• Zero Trust-principes toepassen op een Azure Virtual Desktop-implementatie

Volgende stappen

Meer informatie over platformautomatisering en DevOps voor een scenario op ondernemingsniveau van Azure Virtual Desktop.

Platformautomatisering en DevOps