Overwegingen voor beveiliging en identiteits- en toegangsbeheer (IAM) voor Azure Virtual Desktop-workloads
In dit artikel wordt het ontwerpgebied voor beveiliging en IAM van een Azure Virtual Desktop-workload besproken. Azure Virtual Desktop is een beheerde service die een Microsoft-besturingsvlak biedt voor uw virtuele bureaubladinfrastructuur. Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer (RBAC) van Azure om identiteiten en toegang te beheren. Als eigenaar van een workload kunt u ook andere Zero Trust principes toepassen die geschikt zijn voor de vereisten van uw organisatie. Voorbeelden zijn het expliciet verifiëren-principe en het principe van de minst bevoorrechte toegang .
Belangrijk
Dit artikel maakt deel uit van de Azure Well-Architected Framework Azure Virtual Desktop-workloadreeks . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met Wat is een Azure Virtual Desktop-workload? .
RBAC gebruiken
Impact: beveiliging, operationele uitmuntendheid
RBAC ondersteunt scheiding van taken voor de verschillende teams en personen die de implementatie van Azure Virtual Desktop beheren. Als onderdeel van het ontwerp van uw landingszone moet u bepalen wie de verschillende rollen overneemt. Vervolgens moet u voor elke rol een beveiligingsgroep maken om het toevoegen en verwijderen van gebruikers naar en van rollen te vereenvoudigen.
Azure Virtual Desktop biedt aangepaste Azure-rollen die zijn ontworpen voor elk functioneel gebied. Zie Ingebouwde rollen voor Azure Virtual Desktop voor informatie over hoe deze rollen worden geconfigureerd. U kunt ook aangepaste Azure-rollen maken en definiëren als onderdeel van de Cloud Adoption Framework voor Azure-implementatie. Mogelijk moet u RBAC-rollen die specifiek zijn voor Azure Virtual Desktop combineren met andere Azure RBAC-rollen. Deze benadering biedt de volledige set machtigingen die gebruikers nodig hebben voor Azure Virtual Desktop en voor andere Azure-services, zoals virtuele machines (VM's) en netwerken.
Aanbevelingen
- Definieer rollen voor de teams en personen die Azure Virtual Desktop-implementaties beheren.
- Definieer ingebouwde Azure-rollen om beheerverantwoordelijkheden voor hostgroepen, toepassingsgroepen en werkruimten te scheiden.
- Maak een beveiligingsgroep voor elke rol.
De beveiliging van uw sessiehosts verbeteren
Impact: beveiliging
Azure Virtual Desktop maakt gebruik van Remote Desktop Protocol (RDP) voor communicatie tussen de terminalserver of sessiehosts en de client van de eindgebruiker.
RDP is een protocol met meerdere kanalen waarmee afzonderlijke virtuele kanalen die de volgende informatie bevatten, kunnen worden toegestaan en geweigerd:
- Presentatiegegevens
- Seriële apparaatcommunicatie
- Licentiegegevens
- Sterk versleutelde gegevens, zoals toetsenbord- en muisactiviteit
Om de beveiliging te verbeteren, kunt u de RDP-eigenschappen van uw verbinding centraal configureren in Azure Virtual Desktop.
Aanbevelingen
- Beperk de toegang tot Windows Verkenner door toewijzingen van lokale en externe stations te verbergen. Deze strategie voorkomt dat gebruikers gevoelige informatie over systeemconfiguraties en gebruikers detecteren.
- Voorkom dat ongewenste software wordt uitgevoerd op sessiehosts. U kunt AppLocker inschakelen voor extra beveiliging op sessiehosts. Deze functie zorgt ervoor dat alleen de apps die u opgeeft op de host kunnen worden uitgevoerd.
- Gebruik schermopnamebeveiliging en watermerken om te voorkomen dat gevoelige informatie wordt vastgelegd op clienteindpunten. Wanneer u beveiliging voor schermopnamen inschakelt, wordt externe inhoud automatisch geblokkeerd of verborgen in schermafbeeldingen en scherm delen. De Extern bureaublad-client verbergt ook inhoud voor schadelijke software die het scherm vastlegt.
- Gebruik Microsoft Defender Antivirus om uw VM's te beschermen. Zie Configure Microsoft Defender Antivirus on a remote desktop or virtual desktop infrastructure environment (Microsoft Defender Antivirus configureren in een omgeving met een extern bureaublad of een virtuele bureaubladinfrastructuur) voor meer informatie.
- Schakel Windows Defender Toepassingsbeheer in. Definieer beleidsregels voor uw stuurprogramma's en toepassingen, ongeacht of u ze vertrouwt of niet.
- Meld gebruikers af wanneer ze inactief zijn om resources te behouden en onbevoegde toegang te voorkomen. Zie Beleid voor maximale inactieve tijd en verbinding verbreken voor meer informatie.
- Schakel Microsoft Defender voor Cloud in voor cloudbeveiligingspostuurbeheer (CSPM). Zie Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden in Microsoft 365 Defender voor meer informatie.
Ontwerpoverwegingen voor centrale platform-, identiteits- en netwerkteams
Impact: beveiliging
Identiteit is een fundamenteel ontwerpprincipe voor Azure Virtual Desktop. Identiteit is ook een belangrijk ontwerpgebied dat u moet behandelen als een eersteklas zorg binnen uw architectuurproces.
Identiteitsontwerp voor Azure Virtual Desktop
Azure Virtual Desktop ondersteunt verschillende typen identiteiten voor toegang tot bedrijfsresources en -toepassingen. Als eigenaar van een workload kunt u kiezen uit verschillende typen id-providers op basis van de behoeften van uw bedrijf en organisatie. Bekijk de identiteitsontwerpgebieden in deze sectie om te beoordelen wat het beste is voor uw workload.
| Identiteitsontwerp | Samenvatting |
|---|---|
| Active Directory Domain Services -identiteit (AD DS) | Gebruikers moeten kunnen worden gedetecteerd via Microsoft Entra id om toegang te krijgen tot Azure Virtual Desktop. Als gevolg hiervan worden gebruikersidentiteiten die alleen in AD DS bestaan, niet ondersteund. Zelfstandige Active Directory-implementaties met Active Directory Federation Services (AD FS) worden ook niet ondersteund. |
| Hybride identiteit | Azure Virtual Desktop ondersteunt hybride identiteiten via Microsoft Entra-id, inclusief identiteiten die zijn gefedereerd met behulp van AD FS. U kunt deze gebruikersidentiteiten in AD DS beheren en synchroniseren met Microsoft Entra-id met behulp van Microsoft Entra Connect. U kunt Microsoft Entra-id ook gebruiken om deze identiteiten te beheren en te synchroniseren met AD DS. |
| Cloudidentiteit | Azure Virtual Desktop ondersteunt identiteiten in de cloud wanneer u VM's gebruikt die zijn gekoppeld met behulp van Microsoft Entra-id. Deze gebruikers worden rechtstreeks in Microsoft Entra id gemaakt en beheerd. |
Belangrijk
Azure Virtual Desktop biedt geen ondersteuning voor business-to-business-accounts, Microsoft-accounts of externe identiteiten.
Zie Ondersteunde identiteiten en verificatiemethoden voor meer informatie over het selecteren en implementeren van een identiteits- en verificatiestrategie.
Aanbevelingen
- Maak een toegewezen gebruikersaccount met de minste bevoegdheden. Wanneer u sessiehosts implementeert, gebruikt u dit account om de sessiehosts toe te voegen aan een Microsoft Entra Domeinservices- of AD DS-domein.
- Meervoudige verificatie vereisen. Als u de beveiliging van uw volledige implementatie wilt verbeteren, dwingt u meervoudige verificatie af voor alle gebruikers en beheerders in Azure Virtual Desktop. Zie Meervoudige verificatie van Microsoft Entra-id afdwingen voor Azure Virtual Desktop met behulp van voorwaardelijke toegang voor meer informatie.
- Schakel Voorwaardelijke toegang Microsoft Entra-id in. Wanneer u voorwaardelijke toegang gebruikt, kunt u risico's beheren voordat u gebruikers toegang verleent tot uw Azure Virtual Desktop-omgeving. Bij het bepalen aan welke gebruikers toegang moeten worden verleend, moet u ook rekening houden met wie elke gebruiker is, hoe ze zich aanmelden en welk apparaat ze gebruiken.
Beveiligd netwerkontwerp voor Azure Virtual Desktop
Zonder netwerkbeveiligingsmaatregelen kunnen aanvallers toegang krijgen tot uw assets. Om uw resources te beschermen, is het belangrijk om besturingselementen voor netwerkverkeer te plaatsen. De juiste netwerkbeveiligingscontroles kunnen u helpen bij het detecteren en stoppen van aanvallers die toegang krijgen tot uw cloudimplementaties.
Aanbevelingen
- Gebruik een hub-spoke-architectuur. Het is essentieel om onderscheid te maken tussen gedeelde services en Azure Virtual Desktop-toepassingsservices. Een hub-spoke-architectuur is een goede benadering van beveiliging. U moet workloadspecifieke resources in hun eigen virtuele netwerk bewaren dat gescheiden is van gedeelde services in de hub. Voorbeelden van gedeelde services zijn beheer- en DNS-services (Domain Name System).
- Gebruik netwerkbeveiligingsgroepen. U kunt netwerkbeveiligingsgroepen gebruiken om netwerkverkeer van en naar uw Azure Virtual Desktop-workload te filteren. Servicetags en regels voor netwerkbeveiligingsgroepen bieden een manier om toegang tot uw Azure Virtual Desktop-toepassing toe te staan of te weigeren. U kunt bijvoorbeeld toegang tot de Azure Virtual Desktop-toepassingspoorten toestaan vanuit on-premises IP-adresbereiken en u kunt de toegang vanaf het openbare internet weigeren. Zie Netwerkbeveiligingsgroepen voor meer informatie. Als u Azure Virtual Desktop wilt implementeren en beschikbaar wilt maken voor uw gebruikers, moet u specifieke URL's toestaan waartoe uw sessiehost-VM's op elk gewenst moment toegang hebben. Zie Vereiste URL's voor Azure Virtual Desktop voor een lijst met deze URL's.
- Isoleer uw hostgroepen door elke hostgroep in een afzonderlijk virtueel netwerk te plaatsen. Gebruik netwerkbeveiligingsgroepen met de URL's die Azure Virtual Desktop vereist voor elk subnet.
- Netwerk- en toepassingsbeveiliging afdwingen. Beveiligingsmaatregelen voor netwerken en toepassingen zijn basisbeveiligingsmaatregelen voor elke Azure Virtual Desktop-workload. Voor het hostnetwerk en de toepassing van de Azure Virtual Desktop-sessie zijn strenge beveiligingscontroles en basislijncontroles vereist.
- Vermijd directe RDP-toegang tot sessiehosts in uw omgeving door de RDP-poort uit te schakelen of te blokkeren. Als u directe RDP-toegang nodig hebt voor administratieve doeleinden of probleemoplossing, gebruikt u Azure Bastion om verbinding te maken met sessiehosts.
- Gebruik Azure Private Link met Azure Virtual Desktop om verkeer binnen het Microsoft-netwerk te houden en de beveiliging te verbeteren. Wanneer u een privé-eindpunt maakt, blijft het verkeer tussen uw virtuele netwerk en de service op het Microsoft-netwerk. U hoeft uw service niet langer beschikbaar te maken op het openbare internet. U kunt ook een virtueel particulier netwerk (VPN) of Azure ExpressRoute gebruiken, zodat gebruikers met een Extern bureaublad-client verbinding kunnen maken met uw virtuele netwerk.
- Gebruik Azure Firewall om Azure Virtual Desktop te beveiligen. Azure Virtual Desktop-sessiehosts worden uitgevoerd in uw virtuele netwerk en zijn onderworpen aan de beveiligingscontroles van het virtuele netwerk. Als uw toepassingen of gebruikers uitgaande internettoegang nodig hebben, raden we u aan Azure Firewall te gebruiken om ze te beschermen en uw omgeving te vergrendelen.
Actieve gegevens versleutelen
Impact: beveiliging
Versleuteling tijdens overdracht is van toepassing op de status van gegevens die van de ene locatie naar de andere worden verplaatst. U kunt gegevens in overdracht op verschillende manieren versleutelen, afhankelijk van de aard van de verbinding. Zie Versleuteling van gegevens in transit voor meer informatie.
Azure Virtual Desktop maakt gebruik van TLS-versie 1.2 (Transport Layer Security) voor alle verbindingen die worden gestart vanaf clients en sessiehosts naar de onderdelen van de Azure Virtual Desktop-infrastructuur. Azure Virtual Desktop gebruikt dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat clientcomputers en sessiehosts deze coderingen kunnen gebruiken. Voor omgekeerde verbinding maken de client en sessiehost verbinding met de Azure Virtual Desktop-gateway. De client en sessiehost brengen vervolgens een TCP-verbinding (Transmission Control Protocol) tot stand. Vervolgens valideren de client en sessiehost het Azure Virtual Desktop-gatewaycertificaat. RDP wordt gebruikt om het basistransport tot stand te brengen. RDP brengt vervolgens een geneste TLS-verbinding tot stand tussen de client en de sessiehost met behulp van de sessiehostcertificaten.
Zie Azure Virtual Desktop-netwerkconnectiviteit voor meer informatie over netwerkconnectiviteit.
Aanbevelingen
- Meer informatie over hoe Azure Virtual Desktop gegevens versleutelt die onderweg zijn.
- Zorg ervoor dat clientcomputers en uw sessiehosts de TLS 1.2-coderingen kunnen gebruiken die Azure Front Door gebruikt.
Confidential Computing gebruiken voor het versleutelen van gegevens die in gebruik zijn
Impact: beveiliging, prestatie-efficiëntie
Gebruik confidential computing om gegevens die in gebruik zijn te beschermen wanneer u in gereguleerde sectoren werkt, zoals de overheid, financiële dienstverlening en zorginstellingen.
U kunt vertrouwelijke VM's gebruiken voor Azure Virtual Desktop. Vertrouwelijke VM's verbeteren de privacy en beveiliging van gegevens door gegevens in gebruik te beschermen. De vertrouwelijke VM-serie van Azure DCasv5 en ECasv5 bieden een op hardware gebaseerde TEE (Trusted Execution Environment). Deze omgeving beschikt over advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Geneste paging (SEV-SNP) beveiligingsmogelijkheden. Deze functies beperken gastbeveiligingen om de hypervisor en andere hostbeheercode toegang tot vm-geheugen en -status te weigeren. Ze helpen ook bij het beveiligen tegen toegang van operatoren en ze versleutelen gegevens die in gebruik zijn.
Vertrouwelijke VM's bieden ondersteuning voor versies 22H1, 22H2 en toekomstige versies van Windows 11. Vertrouwelijke VM-ondersteuning voor Windows 10 is gepland. Schijfversleuteling van vertrouwelijke besturingssystemen is beschikbaar voor vertrouwelijke VM's. Integriteitsbewaking is ook beschikbaar tijdens het inrichten van Azure Virtual Desktop-hostgroepen voor vertrouwelijke VM's.
Zie de volgende resources voor meer informatie:
Aanbevelingen
- Gebruik confidential computing om gegevens in gebruik te beveiligen.
- Gebruik de vertrouwelijke VM-serie van Azure DCasv5 en ECasv5 om een op hardware gebaseerde TEE te bouwen.
Gerelateerde Azure Virtual Desktop-beveiligingsresources
Volgende stappen
Nu u de best practices voor het beveiligen van Azure Virtual Desktop hebt bekeken, kunt u procedures voor operationeel beheer onderzoeken voor het bereiken van uitstekende bedrijfsprestaties.
Gebruik het evaluatiehulpprogramma om uw ontwerpkeuzen te evalueren.