Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de beveiligings- en IAM-ontwerpgebied van een Azure Virtual Desktop-workload besproken. Azure Virtual Desktop is een beheerde service die een Microsoft-besturingsvlak biedt voor uw virtuele bureaubladinfrastructuur. Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (RBAC) om identiteiten te beheren en toegang te beheren. Als eigenaar van een workload kunt u ook andere Zero Trust-principes toepassen die geschikt zijn voor uw organisatievereisten. Voorbeelden hiervan zijn het expliciete verificatieprincipe en het principe voor toegang met minimale bevoegdheden .
Belangrijk
Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met wat is een Azure Virtual Desktop-workload?
RBAC gebruiken
Impact: beveiliging, operationele uitmuntendheid
RBAC ondersteunt scheiding van taken voor de verschillende teams en personen die de implementatie van Azure Virtual Desktop beheren. Als onderdeel van het ontwerp van uw landingszone moet u bepalen wie de verschillende rollen gaat aannemen. Vervolgens moet u voor elke rol een beveiligingsgroep maken om het toevoegen en verwijderen van gebruikers uit en uit rollen te vereenvoudigen.
Azure Virtual Desktop biedt aangepaste Azure-rollen die zijn ontworpen voor elk functioneel gebied. Zie Ingebouwde rollen voor Azure Virtual Desktop voor informatie over hoe deze rollen worden geconfigureerd. U kunt ook aangepaste Azure-rollen maken en definiëren als onderdeel van het Cloud Adoption Framework voor Azure-implementatie. Mogelijk moet u RBAC-rollen combineren die specifiek zijn voor Azure Virtual Desktop met andere Azure RBAC-rollen. Deze benadering biedt de volledige set machtigingen die gebruikers nodig hebben voor Azure Virtual Desktop en voor andere Azure-services, zoals virtuele machines (VM's) en netwerken.
Aanbevelingen
- Definieer rollen voor de teams en personen die Azure Virtual Desktop-implementaties beheren.
- Definieer ingebouwde Azure-rollen om beheerverantwoordelijkheden voor hostgroepen, toepassingsgroepen en werkruimten te scheiden.
- Maak een beveiligingsgroep voor elke rol.
De beveiliging van uw sessiehosts verbeteren
Impact: Beveiliging
Azure Virtual Desktop maakt gebruik van Remote Desktop Protocol (RDP) voor communicatie tussen de terminalserver of sessiehosts en de client van de eindgebruiker.
RDP is een protocol met meerdere kanalen waarmee afzonderlijke virtuele kanalen kunnen worden toegestaan en geweigerd die de volgende informatie bevatten:
- Presentatiegegevens
- Communicatie tussen seriële apparaten
- Licentiegegevens
- Gegevens met hoge mate versleuteld, zoals toetsenbord- en muisactiviteit
Ter verbetering van de beveiliging kunt u de RDP-eigenschappen van uw verbinding centraal configureren in Azure Virtual Desktop.
Aanbevelingen
- Beperk de toegang tot Windows Verkenner door lokale en externe stationstoewijzingen te verbergen. Deze strategie voorkomt dat gebruikers gevoelige informatie over systeemconfiguraties en gebruikers detecteren.
- Voorkom dat ongewenste software wordt uitgevoerd op sessiehosts. U kunt AppLocker inschakelen voor extra beveiliging op sessiehosts. Deze functie zorgt ervoor dat alleen de apps die u opgeeft, op de host kunnen worden uitgevoerd.
- Gebruik schermopnamebeveiliging en watermerken om te voorkomen dat gevoelige informatie wordt vastgelegd op clienteindpunten. Wanneer u schermopnamebeveiliging inschakelt, wordt externe inhoud automatisch geblokkeerd of verborgen in schermopnamen en schermdeling. De Extern Bureaublad-client verbergt ook inhoud om te beschermen tegen schadelijke software die het scherm probeert vast te leggen.
- Gebruik Microsoft Defender Antivirus om uw VM's te beschermen. Zie Microsoft Defender Antivirus configureren op een extern bureaublad of een infrastructuuromgeving voor virtuele bureaubladen voor meer informatie.
- Schakel Windows Defender Application Control in. Definieer beleidsregels voor uw stuurprogramma's en toepassingen, ongeacht of u ze vertrouwt.
- Meld gebruikers af wanneer ze inactief zijn om resources te behouden en onbevoegde toegang te voorkomen. Zie Beleid voor maximale inactieve tijd en verbinding verbreken voor meer informatie.
- Schakel Microsoft Defender voor Cloud voor cloudbeveiligingspostuurbeheer (CSPM) in. Zie Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft 365 Defender voor meer informatie.
Ontwerpoverwegingen voor centrale platform-, identiteits- en netwerkteams
Impact: Beveiliging
Identiteit is een fundamenteel ontwerpprincipe voor Azure Virtual Desktop. Identiteit is ook een belangrijk ontwerpgebied dat u moet behandelen als een eersteklas zorg binnen uw architectuurproces.
Identiteitsontwerp voor Azure Virtual Desktop
Azure Virtual Desktop ondersteunt verschillende typen identiteiten voor toegang tot bedrijfsbronnen en toepassingen. Als eigenaar van een workload kunt u kiezen uit verschillende typen id-providers op basis van de behoeften van uw bedrijf en organisatie. Bekijk de ontwerpgebieden voor identiteiten in deze sectie om te beoordelen wat het beste is voor uw workload.
| Identiteitsontwerp | Samenvatting |
|---|---|
| Ad DS-identiteit (Active Directory Domain Services) | Gebruikers moeten kunnen worden gedetecteerd via Microsoft Entra ID voor toegang tot Azure Virtual Desktop. Als gevolg hiervan worden gebruikersidentiteiten die alleen in AD DS bestaan, niet ondersteund. Zelfstandige Active Directory-implementaties met Active Directory Federation Services (AD FS) worden ook niet ondersteund. |
| Hybride identiteit | Azure Virtual Desktop biedt ondersteuning voor hybride identiteiten via Microsoft Entra ID, inclusief identiteiten die zijn gefedereerd met behulp van AD FS. U kunt deze gebruikersidentiteiten in AD DS beheren en synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect. U kunt ook Microsoft Entra ID gebruiken om deze identiteiten te beheren en deze te synchroniseren met AD DS. |
| Identiteit in de cloud | Azure Virtual Desktop biedt ondersteuning voor cloudidentiteiten wanneer u VM's gebruikt die zijn gekoppeld met behulp van Microsoft Entra-id. Deze gebruikers worden rechtstreeks in Microsoft Entra id gemaakt en beheerd. |
Belangrijk
Azure Virtual Desktop biedt geen ondersteuning voor business-to-business-accounts, Microsoft-accounts of externe identiteiten.
Zie Ondersteunde identiteiten en verificatiemethoden voor meer informatie over het selecteren en implementeren van een strategie voor identiteiten en verificatie.
Aanbevelingen
- Maak een toegewezen gebruikersaccount met minimale bevoegdheden. Wanneer u sessiehosts implementeert, gebruikt u dit account om de sessiehosts toe te voegen aan een Microsoft Entra Domain Services- of AD DS-domein.
- Meervoudige verificatie vereisen. Als u de beveiliging van uw hele implementatie wilt verbeteren, dwingt u meervoudige verificatie af voor alle gebruikers en beheerders in Azure Virtual Desktop. Zie Meervoudige verificatie van Microsoft Entra ID afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie.
- Schakel voorwaardelijke toegang voor Microsoft Entra ID in. Wanneer u voorwaardelijke toegang gebruikt, kunt u risico's beheren voordat u gebruikers toegang verleent tot uw Azure Virtual Desktop-omgeving. Bij het bepalen van de gebruikers waartoe ze toegang moeten verlenen, moet u ook overwegen wie elke gebruiker is, hoe ze zich aanmelden en welk apparaat ze gebruiken.
Netwerkontwerp beveiligen voor Azure Virtual Desktop
Zonder netwerkbeveiligingsmaatregelen kunnen aanvallers toegang krijgen tot uw assets. Om uw middelen te beveiligen, is het belangrijk om beperkingen op netwerkverkeer toe te passen. Met de juiste besturingselementen voor netwerkbeveiliging kunt u aanvallers detecteren en stoppen die toegang krijgen tot uw cloudimplementaties.
Aanbevelingen
- Gebruik een hub-spoke-architectuur. Het is essentieel om onderscheid te maken tussen gedeelde services en Azure Virtual Desktop-toepassingsservices. Een hub-spoke-architectuur is een goede benadering van beveiliging. U moet workloadspecifieke resources in hun eigen virtuele netwerk bewaren die gescheiden zijn van gedeelde services in de hub. Voorbeelden van gedeelde services zijn beheer- en DNS-services (Domain Name System).
- Gebruik netwerkbeveiligingsgroepen. U kunt netwerkbeveiligingsgroepen gebruiken om netwerkverkeer van en naar uw Azure Virtual Desktop-workload te filteren. Servicetags en regels voor netwerkbeveiligingsgroepen bieden een manier om toegang tot uw Azure Virtual Desktop-toepassing toe te staan of te weigeren. U kunt bijvoorbeeld toegang verlenen tot de azure Virtual Desktop-toepassingspoorten vanuit on-premises IP-adresbereiken en u kunt de toegang vanaf het openbare internet weigeren. Zie Netwerkbeveiligingsgroepen voor meer informatie. Als u Azure Virtual Desktop wilt implementeren en beschikbaar wilt maken voor uw gebruikers, moet u specifieke URL's toestaan waartoe uw sessiehost-VM's op elk gewenst moment toegang hebben. Zie Vereiste URL's voor Azure Virtual Desktop voor een lijst met deze URL's.
- Isoleer uw hostgroepen door elke hostgroep in een afzonderlijk virtueel netwerk te plaatsen. Gebruik netwerkbeveiligingsgroepen met de URL's die Azure Virtual Desktop nodig heeft voor elk subnet.
- Netwerk- en toepassingsbeveiliging afdwingen. Beveiligingsmaatregelen voor netwerken en toepassingen zijn basisbeveiligingsmaatregelen voor elke Azure Virtual Desktop-workload. Het hostnetwerk en de toepassing van de Azure Virtual Desktop-sessiehost vereisen strenge controles voor beveiliging en basislijncontroles.
- Vermijd directe RDP-toegang tot sessiehosts in uw omgeving door de RDP-poort uit te schakelen of te blokkeren. Als u directe RDP-toegang nodig hebt voor beheerdoeleinden of probleemoplossing, gebruikt u Azure Bastion om verbinding te maken met sessiehosts.
- Gebruik Azure Private Link met Azure Virtual Desktop om verkeer binnen het Microsoft-netwerk te houden en de beveiliging te verbeteren. Wanneer u een privé-eindpunt maakt, blijft verkeer tussen uw virtuele netwerk en de service op het Microsoft-netwerk. U hoeft uw service niet meer beschikbaar te maken voor het openbare internet. U kunt ook een virtueel particulier netwerk (VPN) of Azure ExpressRoute gebruiken, zodat gebruikers met een Extern bureaublad-client verbinding kunnen maken met uw virtuele netwerk.
- Gebruik Azure Firewall om Azure Virtual Desktop te beveiligen. Azure Virtual Desktop-sessie-hosts worden uitgevoerd in uw virtuele netwerk en zijn onderworpen aan de beveiligingscontroles van het virtuele netwerk. Als uw toepassingen of gebruikers uitgaande internettoegang nodig hebben, raden we u aan Azure Firewall te gebruiken om ze te beveiligen en uw omgeving te vergrendelen.
Gegevens tijdens overdracht versleutelen
Impact: Beveiliging
Versleuteling tijdens overdracht is van toepassing op de status van gegevens die van de ene locatie naar de andere worden verplaatst. U kunt gegevens op verschillende manieren versleutelen, afhankelijk van de aard van de verbinding. Zie Versleuteling van gegevens die onderweg zijn voor meer informatie.
Azure Virtual Desktop maakt gebruik van TLS-versie 1.2 (Transport Layer Security) voor alle verbindingen die worden geïnitieerd van clients en sessiehosts met de onderdelen van de Azure Virtual Desktop-infrastructuur. Azure Virtual Desktop maakt gebruik van dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat clientcomputers en sessiehosts deze coderingen kunnen gebruiken. Voor reverse connect transport maakt de client en sessiehost verbinding met de Azure Virtual Desktop-gateway. De client- en sessiehost maken vervolgens een TCP-verbinding (Transmission Control Protocol). Vervolgens valideert de client- en sessiehost het Azure Virtual Desktop-gatewaycertificaat. RDP wordt gebruikt om het basistransport tot stand te brengen. RDP brengt vervolgens een geneste TLS-verbinding tot stand tussen de client en de sessiehost met behulp van de sessiehostcertificaten.
Zie Azure Virtual Desktop-netwerkconnectiviteit voor meer informatie over netwerkconnectiviteit.
Aanbevelingen
- Meer informatie over hoe Azure Virtual Desktop gegevens in transit versleutelt.
- Zorg ervoor dat clientcomputers en uw sessiehosts de TLS 1.2-coderingen kunnen gebruiken die door Azure Front Door worden gebruikt.
Vertrouwelijke computing gebruiken voor het versleutelen van gegevens in gebruik
Impact: beveiliging, prestatie-efficiëntie
Gebruik vertrouwelijke computing om gegevens in gebruik te beschermen wanneer u werkt in gereguleerde sectoren, zoals overheids-, financiële diensten en zorginstellingen.
U kunt vertrouwelijke VM's gebruiken voor Azure Virtual Desktop. Vertrouwelijke VM's vergroten de privacy en beveiliging van gegevens door gegevens in gebruik te beschermen. De Azure DCasv5 en ECasv5 confidential VM-serie bieden een op hardware gebaseerde, vertrouwde uitvoeringsomgeving (TEE). Deze omgeving beschikt over Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) beveiligingsmogelijkheden. Met deze functies worden gastbeveiligingen beveiligd om de hypervisor en andere hostbeheercodetoegang tot vm-geheugen en -status te weigeren. Ze beschermen ook tegen toegang tot operators en ze versleutelen gegevens die in gebruik zijn.
Vertrouwelijke VM's bieden ondersteuning voor versies 22H1, 22H2 en toekomstige versies van Windows 11. Vertrouwelijke VM-ondersteuning voor Windows 10 is gepland. Schijfversleuteling van vertrouwelijke besturingssystemen is beschikbaar voor vertrouwelijke VM's. Integriteitscontrole is ook beschikbaar tijdens het inrichten van azure Virtual Desktop-hostgroepen voor vertrouwelijke VM's.
Zie de volgende bronnen voor meer informatie:
- Wat is confidential computing?
- Virtuele machines van Azure Confidential Computing
Aanbevelingen
- Gebruik confidential computing om gegevens in gebruik te beschermen.
- Gebruik de azure DCasv5- en ECasv5-serie vertrouwelijke VM's om een op hardware gebaseerde TEE te bouwen.
Gerelateerde Azure Virtual Desktop-beveiligingsbronnen
Volgende stappen
Nu u de aanbevolen procedures voor het beveiligen van Azure Virtual Desktop hebt bekeken, onderzoekt u procedures voor operationeel beheer om bedrijfsprestaties te bereiken.
Gebruik het evaluatieprogramma om uw ontwerpkeuzen te evalueren.