Governança e segurança

Este artigo fornece as principais considerações de design e recomendações de segurança, governança e conformidade nas zonas de destino da Área de Trabalho Virtual do Azure de acordo com a Cloud Adoption Framework da Microsoft.

Examine as seções a seguir para encontrar os controles de segurança e governança recomendados para a zona de destino da Área de Trabalho Virtual do Azure.

Identidade

• Proteja o acesso do usuário à Área de Trabalho Virtual do Azure estabelecendo a Política de Acesso Condicional do Microsoft Entra com a autenticação multifator do Microsoft Entra ou uma ferramenta de autenticação multifator de parceiro. Considere os locais, dispositivos e comportamentos de entrada dos usuários e adicione controles extras, conforme necessário, de acordo com os padrões de acesso. Para obter mais informações sobre como habilitar a autenticação multifator do Azure para a Área de Trabalho Virtual do Azure, consulte Habilitar a autenticação multifator do Azure para a Área de Trabalho Virtual do Azure.

• Atribua o privilégio mínimo exigido definindo funções administrativas, de operações e de engenharia para as funções RBAC do Azure. Para limitar o acesso a funções com privilégios elevados na zona de destino da Área de Trabalho Virtual do Azure, considere a integração com o PIM (Privileged Identity Management) do Azure. Manter o conhecimento de qual equipe é responsável por cada área administrativa específica ajuda você a determinar a configuração e as funções RBAC (controle de acesso baseado em função) do Azure.

• Use a Identidade Gerenciada do Azure ou a entidade de serviço com credenciais de certificado para automação e serviços da Área de Trabalho Virtual do Azure. Atribua privilégios mínimos à conta de automação e ao escopo limitados às zonas de destino da Área de Trabalho Virtual do Azure. Você pode usar o Azure Key Vault com as identidades gerenciadas do Azure, para que os ambientes de runtime (como uma Função do Azure) possam recuperar as credenciais de automação do cofre de chaves.

• Certifique-se de coletar o log de atividades do usuário e do administrador para a ID do Microsoft Entra e a(s) zona(s) de aterrissagem da Área de Trabalho Virtual do Azure. Monitore esses logs com a ferramenta SIEM (Gerenciamento de Eventos e Informações de Segurança). Você pode coletar logs de várias fontes, como:

  • Log de atividades do Azure
  • Log de atividades do Microsoft Entra
  • Microsoft Entra ID
  • Hosts de sessão
  • Logs do Key Vault

• Use grupos do Microsoft Entra em vez de usuários individuais ao atribuir acesso a grupos de aplicativos da Área de Trabalho Virtual do Azure. Use os grupos de segurança existentes que mapeiam para as funções de negócios em sua organização, o que permite reutilizar os processos de provisionamento e desprovisionamento de usuários existentes.

Rede

• Provisione ou reutilize uma rede virtual dedicada para as zonas de destino da Área de Trabalho Virtual do Azure. Planeje o espaço de endereço IP para comportar a escala dos hosts da sessão. Estabeleça o tamanho da sub-rede de linha de base de acordo com os números mínimo e máximo de hosts da sessão por pool de hosts. Mapeie os requisitos de unidade de negócios para os pools de hosts.

• Use os NSGs (Grupos de Segurança de Rede) e/ou o Firewall do Azure (ou um dispositivo de firewall de terceiros) para estabelecer a microssegmentação. Use as marcas de serviço da Rede Virtual do Azure e os ASGs (grupos de serviço de aplicativo) para definir os controles de acesso à rede nos grupos de segurança de rede ou no Firewall do Azure configurado para os recursos da Área de Trabalho Virtual do Azure. Verifique se o acesso de saída do host da sessão às URLs necessárias foi ignorado pelo proxy (se usado nos hosts da sessão) e pelo Firewall do Azure (ou pelo dispositivo de firewall de terceiros).

• Com base nos aplicativos e na estratégia de segmentação empresarial, restrinja o tráfego entre os hosts da sessão e os recursos internos por meio de regras de grupo de segurança ou do Firewall do Azure (ou de um dispositivo de firewall de terceiros) em escala.

• Habilite a proteção padrão contra DDoS do Azure para Firewall do Azure (ou um dispositivo de firewall de terceiros), para ajudar a proteger as zonas de destino da Área de Trabalho Virtual do Azure.

• Se você usar o proxy para acesso à Internet de saída nos hosts da sessão:

  • Configure os servidores proxy na mesma região geográfica dos hosts da sessão e clientes da Área de Trabalho Virtual do Azure (se estiver usando provedores de proxy em nuvem).
  • Não use a inspeção TLS. Na Área de Trabalho Virtual do Azure, o tráfego é criptografado em trânsito por padrão.
  • Evite a configuração de proxy que exige a autenticação do usuário. Os componentes da Área de Trabalho Virtual do Azure no host de sessão são executados no contexto do próprio sistema operacional. Portanto, eles não oferecem suporte a servidores proxy que exigem autenticação. O proxy em todo o sistema deve estar habilitado para configurar o proxy de nível de host no host da sessão.

• Verifique se os usuários finais têm acesso às URLs do cliente da Área de Trabalho Virtual do Azure. Se o agente/configuração de proxy for usado nos dispositivos dos usuários, ignore também as URLs do cliente da Área de Trabalho Virtual do Azure.

• Use o acesso JIT para administração e solução de problemas dos hosts da sessão. Evite conceder acesso RDP direto para os hosts da sessão. Os hosts da sessão AVD usam o transporte do Reverse Connect para estabelecer sessões remotas.

• Use os recursos de Proteção de Rede Adaptável no Microsoft Defender para Nuvem para localizar as configurações de grupo de segurança de rede que limitam portas e IPs de origem com referência a regras de tráfego de rede externa.

• Colete os logs de Firewall do Azure (ou dispositivo de firewall de terceiros) com o Azure Monitor ou uma solução de monitoramento de parceiros. Você também deve monitorar os logs por SIEM, usando o Azure Sentinel ou um serviço semelhante.

• Use apenas um ponto de extremidade privado para arquivos do Azure usados para FSLogix Profile Containers.

• Configure o Shortpath RDP para complementar o transporte de conexão reversa.

Hosts de sessão

• Crie uma UO (Unidade de Organização) dedicada no Active Directory para os hosts da sessão da Área de Trabalho Virtual do Azure. Aplique a Política de Grupo dedicada aos hosts da sessão, para gerenciar controles como:

  • Habilite a proteção de captura de tela para impedir que informações confidenciais na tela sejam capturadas nos pontos de extremidade do cliente.
  • Defina as políticas de tempo máximo inativo/de desconexão e bloqueios de tela.
  • Oculte os mapeamentos de unidade local e remota no Windows Explorer.
  • Opcionalmente, parâmetros de configuração para FSLogix Profile Containers e FSLogix Cloud Cache.

• Controle o redirecionamento do dispositivo para os hosts da sessão. Dispositivos normalmente desabilitados incluem acesso ao disco rígido local e restrições de USB ou porta. Limitar o redirecionamento de câmera e a impressão remota pode ajudar a proteger os dados da empresa. Desabilite o redirecionamento de área de transferência para impedir que o conteúdo remoto seja copiado para os pontos de extremidade.

• Habilite o antivírus de última geração Endpoint Protection, como o Microsoft Defender para Ponto de Extremidade, nos hosts da sessão. Se você usar uma solução de ponto de extremidade de parceiros, verifique se o Microsoft Defender para Nuvem pode verificar o estado dessa solução. Você também deve incluir as exclusões de antivírus FSLogix Profile Container. O Microsoft Defender para Ponto de Extremidade é integrado diretamente a várias soluções do Microsoft Defender, incluindo:

  • Microsoft Defender para Nuvem
  • Microsoft Sentinel
  • Intune

• Habilite as avaliações de gerenciamento de ameaças e vulnerabilidades. Integre a solução de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem ou uma solução de gerenciamento de vulnerabilidades de terceiros. O Microsoft Defender para Nuvem é integrado nativamente à solução de avaliação de vulnerabilidade do Qualys.

• Use o controle de aplicativo por meio do WDAC (Controle de Aplicativo do Windows Defender) ou AppLocker, para verificar se os aplicativos sejam confiáveis antes da execução. As políticas de controle de aplicativo também podem bloquear scripts não assinados e MSIs, bem como restringir o Windows PowerShell a ser executado no Modo de Linguagem Restrita.

• Habilite o início confiável para máquinas virtuais do Azure Gen2, para habilitar recursos como Inicialização Segura, vTPM e VBS (segurança baseada em virtualização). O Microsoft Defender para Nuvem pode monitorar os hosts da sessão configurados com início confiável.

• Randomize senhas de administrador local usando o Windows LAPS para proteger contra ataques pass-the-hash e de travessia lateral.

• Verifique se os hosts da sessão são monitorados pelo Azure Monitor ou por uma solução de monitoramento de parceiros por meio dos Hubs de Eventos.

• Estabeleça uma estratégia de gerenciamento de patch para os hosts da sessão. O Microsoft Endpoint Configuration Manager permite que os hosts da sessão da Área de Trabalho Virtual do Azure recebam atualizações automaticamente. Você deve corrigir as imagens base pelo menos uma vez a cada 30 dias. Use o AIB (Construtor de Imagens do Azure) para estabelecer seu próprio pipeline de imagens para imagem base da Área de Trabalho Virtual do Azure.

Para obter mais informações sobre as melhores práticas de segurança do host da sessão da Área de Trabalho Virtual do Azure, confira Melhores práticas de segurança do host da sessão.

Para obter uma lista detalhada das melhores práticas de segurança da VM do Azure, confira Recomendações de segurança para máquinas virtuais no Azure.

Proteção de dados

• O Microsoft Azure criptografa dados em repouso para protegê-los contra ataques "fora da banda", como tentativas de acesso ao armazenamento subjacente. Essa criptografia ajuda a garantir que os invasores não possam ler nem modificar os dados com facilidade. A abordagem da Microsoft para habilitar duas camadas de criptografia para dados inativos envolve:

  • Criptografia de disco usando chaves gerenciadas pelo cliente. Os usuários fornecem sua própria chave para criptografia de disco. Eles podem trazer suas próprias chaves para o Key Vault (uma prática conhecida como BYOK, Traga sua Própria Chave) ou gerar novas chaves no Azure Key Vault para criptografar os recursos desejados (incluindo discos de host da sessão).
  • Criptografia de infraestrutura usando chaves gerenciadas por plataforma. Por padrão, os discos são criptografados automaticamente em repouso por meio de chaves de criptografia gerenciadas pela plataforma.
  • Criptografia no host da VM (servidor do Azure ao qual a VM está alocada). Os dados do disco temporário e do sistema operacional/cache de disco de dados de cada máquina virtual são armazenados no host da VM. Quando a criptografia no host da VM está habilitada, esses dados são criptografados em repouso e os fluxos criptografados para o serviço de Armazenamento a ser persistido.

• Implante uma solução de proteção de informações, como a Proteção de Informações do Microsoft Purview ou uma solução de terceiros, que garanta que as informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da sua organização.

• Use o Assistente de Política de Segurança para Aplicativos do Microsoft 365 para empresas para melhorar a segurança de implantação do Office. Essa ferramenta identifica as políticas que você pode aplicar à implantação, para obter mais segurança, e também recomenda políticas com base em seus efeitos na segurança e produtividade.

• Configure a autenticação baseada em identidade para os Arquivos do Azure usados para Perfis de Usuário do FSLogix por meio dos Serviços de Domínio Active Directory (AD DS) locais e dos Serviços de Domínio Microsoft Entra. Configure as permissões NTFS de modo que usuários autorizados possam acessar os Arquivos do Azure.

Gerenciamento de custos

• Use as Marcas do Azure para organizar os custos para criar, gerenciar e implantar os recursos da Área de Trabalho Virtual do Azure. Para identificar o custo de computação associado da Área de Trabalho Virtual do Azure, marque todos os pools de hosts e máquinas virtuais. Marque os Arquivos do Azure ou os recursos do Azure NetApp Files para acompanhar o custo de armazenamento associado a FSLogix User Profile Containers, imagens personalizadas do sistema operacional e anexação de aplicativo MSIX (se usado).

• Defina as marcas mínimas sugeridas a serem configuradas em todos os recursos da Área de Trabalho Virtual do Azure. Você pode definir as marcas do Azure durante a implantação ou após o provisionamento. Use as definições internas do Azure Policy para impor as regras de marcação.

• Defina orçamento(s) no Gerenciamento de Custos da Microsoft para gerenciar proativamente os custos de uso do Azure. Quando os limites de orçamento criados são excedidos, as notificações são disparadas.

• Crie alertas de Gerenciamento de Custos para monitorar o uso e os gastos do Azure em relação à zona de aterrissagem da Área de Trabalho Virtual do Azure.

• Configure o recurso Iniciar VM no Connect para economizar custos ao permitir que os usuários finais ativem as VMs somente quando necessário.

• Implantar soluções de dimensionamento para hosts da sessão em pool por meio dos recursos Automação do Azure ou Dimensionamento Automático (versão prévia)

Consistência de recursos

• Use o Intune para hosts da sessão pessoais da Área de Trabalho Virtual do Azure para aplicar configurações existentes ou criar novas configurações, bem como para proteger as VMs com política de conformidade e acesso condicional. O gerenciamento do Intune não depende do gerenciamento da Área de Trabalho Virtual do Azure nem interfere nele em uma mesma máquina virtual.

• O gerenciamento de hosts de sessão de várias sessões com o Intune permite gerenciar áreas de trabalho remotas de várias sessões do Windows 10 ou do Windows 11 Enterprise no centro de administração do Intune, assim como você pode gerenciar um dispositivo cliente Windows 10 ou Windows 11 compartilhado. Ao gerenciar essas máquinas virtuais (VMs), pode usar a configuração baseada em dispositivo direcionada a dispositivos ou a configuração baseada em usuário direcionada aos usuários.

• Audite e configure a proteção do sistema operacional dos hosts de sessão usando a configuração de convidado da Política do Azure. Use as linhas de base de segurança do Windows como ponto de partida para proteger o sistema operacional Windows.

• Use as definições internas do Azure Policy para definir as configurações de diagnóstico para recursos da Área de Trabalho Virtual do Azure, como workspaces, grupos de aplicativos e pools de hosts.

Examine as melhores práticas de segurança para Área de Trabalho Virtual do Azure como ponto de partida para segurança no ambiente.

Conformidade

Quase todas as organizações devem estar em conformidade com várias políticas regulatórias governamentais ou do setor. Examine essas políticas com a equipe de conformidade e implemente os controles corretos para a zona de destino específica da Área de Trabalho Virtual do Azure. Por exemplo, você deve considerar controles para políticas específicas, como o PCI DSS (Payment Card Industry Data Security Standard) ou a HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) de 1996, se sua organização seguir as respectivas estruturas.

• Use o Microsoft Defender para Nuvem para aplicar padrões de conformidade adicionais às zonas de destino da Área de Trabalho Virtual do Azure, se necessário. O Microsoft Defender para Nuvem ajuda a simplificar o processo para atender aos requisitos de conformidade regulatória por meio do painel de conformidade regulatória. Você pode adicionar padrões de conformidade integrados ou personalizados ao painel. Os padrões regulatórios já integrados que você pode adicionar incluem:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • NHS do Reino Unido e OFICIAL do Reino Unido
  • PBMM Federal do Canadá
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • ISM restrito da Nova Zelândia
  • CMMC nível 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Se sua organização estiver associada por requisitos de residência de dados, limite a implantação de recursos da Área de Trabalho Virtual do Azure (workspaces, grupos de aplicativos e pools de hosts) às seguintes regiões geográficas:

  • Estados Unidos
  • Europa
  • Reino Unido
  • Canadá

  Limitar a implantação a essas regiões geográficas pode ajudar a garantir que os metadados da Área de Trabalho Virtual do Azure sejam armazenados na região geográfica dos recursos da Área de Trabalho Virtual do Azure, já que os hosts da sessão podem ser implantados em todo o mundo para comportar a base de usuários.

• Use a política de grupo e as ferramentas de gerenciamento de dispositivos, como o Intune e o Microsoft Endpoint Configuration Manager, para manter uma prática de segurança e conformidade completa para os hosts da sessão.

• Configure alertas e respostas automatizadas no Microsoft Defender para Nuvem, para garantir a conformidade geral das zonas de destino da Área de Trabalho Virtual do Azure.

• Examine o Microsoft Secure Score para medir a postura geral de segurança da organização nos seguintes produtos:

  • Microsoft 365 (incluindo Exchange Online)
  • ID do Microsoft Entra
  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Identidade
  • Defender for Cloud Apps
  • Microsoft Teams

• Examine a Classificação de Segurança do Microsoft Defender para Nuvem para melhorar a conformidade geral de segurança das Zonas de Destino Virtuais do Azure.

Práticas recomendadas de segurança e linhas de base recomendadas

• Práticas de segurança recomendadas da Área de Trabalho Virtual do Azure
• Linha de base de segurança para Área de Trabalho Virtual do Azure com base no Azure Security Benchmark
• Aplicar princípios de Confiança Zero a uma implantação de Área de Trabalho Virtual do Azure

Próximas etapas

Saiba mais sobre automação de plataforma e DevOps para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.

Automação de plataforma e DevOps