Aplicar princípios de Zero Confiança a uma implantação da Área de Trabalho Virtual do Azure

Este artigo fornece etapas para aplicar os princípios de Zero Trust a uma implantação de Área de Trabalho Virtual do Azure das seguintes maneiras:

Princípio Zero Trust	Definição	Cumprido por
Verificar explicitamente	Sempre autentique e autorize com base em todos os pontos de dados disponíveis.	Verifique as identidades e os pontos de extremidade dos usuários da Área de Trabalho Virtual do Azure e proteja o acesso aos hosts de sessão.
Use o acesso menos privilegiado	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.	Limite o acesso aos anfitriões de sessão e aos seus dados. Armazenamento: proteja os dados nos três modos: dados em repouso, dados em trânsito, dados em uso. Redes virtuais (VNets): especifique fluxos de tráfego de rede permitidos entre VNets hub e spoke com o Firewall do Azure. Máquinas virtuais: use o RBAC (Controle de Acesso Baseado em Função).
Assuma a violação	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.	Isolar os componentes de uma implantação da Área de Trabalho Virtual do Azure. Armazenamento: use o Defender for Storage para deteção e proteção automatizadas contra ameaças. VNets: Impeça fluxos de tráfego entre cargas de trabalho com o Firewall do Azure. Máquinas virtuais: use criptografia dupla para criptografia de ponta a ponta, habilite a criptografia no host, mantenha a manutenção segura para máquinas virtuais e o Microsoft Defender for Servers para deteção de ameaças. Área de Trabalho Virtual do Azure: use os recursos de segurança, governança, gerenciamento e monitoramento da Área de Trabalho Virtual do Azure para melhorar as defesas e coletar análises de host de sessão.

Para obter mais informações sobre como aplicar os princípios de Zero Trust em um ambiente de IaaS do Azure, consulte a Visão geral de Aplicar princípios de Zero Trust ao Azure IaaS.

Arquitetura de referência

Neste artigo, usamos a seguinte arquitetura de referência para Hub e Spoke para demonstrar um ambiente comumente implantado e como aplicar os princípios do Zero Trust para Área de Trabalho Virtual do Azure com o acesso dos usuários pela Internet. A arquitetura WAN Virtual do Azure também é suportada, além do acesso privado através de uma rede gerida com o RDP Shortpath for Azure Virtual Desktop.

O ambiente do Azure para a Área de Trabalho Virtual do Azure inclui:

Componente	Description
A	Serviços de Armazenamento do Azure para perfis de usuário da Área de Trabalho Virtual do Azure.
N	Uma VNet de hub de conectividade.
C	Uma VNet spoke com a sessão da Área de Trabalho Virtual do Azure hospeda cargas de trabalho baseadas em máquina virtual.
D	Um plano de controle de área de trabalho virtual do Azure.
E	Um plano de gerenciamento de área de trabalho virtual do Azure.
F	Serviços PaaS dependentes, incluindo Microsoft Entra ID, Microsoft Defender for Cloud, controle de acesso baseado em função (RBAC) e Azure Monitor.
G	Galeria de Computação do Azure.

Os utilizadores ou administradores que acedem ao ambiente do Azure podem ter origem na Internet, em localizações de escritórios ou em centros de dados locais.

A arquitetura de referência está alinhada à arquitetura descrita na zona de aterrissagem em escala empresarial para o Azure Virtual Desktop Cloud Adoption Framework.

Arquitetura lógica

Neste diagrama, a infraestrutura do Azure para uma implantação da Área de Trabalho Virtual do Azure está contida em um locatário do Microsoft Entra ID.

Os elementos da arquitetura lógica são:

• Subscrição do Azure para o seu Ambiente de Trabalho Virtual do Azure

  Você pode distribuir os recursos em mais de uma assinatura, onde cada assinatura pode ter funções diferentes, como assinatura de rede ou assinatura de segurança. Isso é descrito em Cloud Adoption Framework e Azure Landing Zone. As diferentes assinaturas também podem conter ambientes diferentes, como ambientes de produção, desenvolvimento e testes. Depende de como você deseja separar seu ambiente e do número de recursos que você tem em cada um. Uma ou mais assinaturas podem ser gerenciadas juntas usando um Grupo de Gerenciamento. Isso lhe dá a capacidade de aplicar permissões com políticas RBAC e Azure a um grupo de assinaturas, em vez de configurar cada assinatura individualmente.

• Grupo de recursos da Área de Trabalho Virtual do Azure

  Um grupo de recursos da Área de Trabalho Virtual do Azure isola Cofres de Chaves, objetos de serviço da Área de Trabalho Virtual do Azure e pontos de extremidade privados.

• Grupo de recursos de armazenamento

  Um grupo de recursos de armazenamento isola pontos de extremidade privados e conjuntos de dados do serviço Arquivos do Azure.

• Grupo de recursos de máquinas virtuais de host de sessão

  Um grupo de recursos dedicado isola as máquinas virtuais para seus hosts de sessão, Máquinas Virtuais, Conjunto de Criptografia de Disco e um Grupo de Segurança de Aplicativo.

• Grupo de recursos Spoke VNet

  Um grupo de recursos dedicado isola os recursos de rede virtual falados e um Grupo de Segurança de Rede, que os especialistas em rede em sua organização podem gerenciar.

O que contém este artigo?

Este artigo descreve as etapas para aplicar os princípios do Zero Trust na arquitetura de referência da Área de Trabalho Virtual do Azure.

Passo	Tarefa	Princípio(s) de confiança zero aplicado(s)
1	Proteja as suas identidades com o Zero Trust.	Verificar explicitamente
2	Proteja os seus endpoints com o Zero Trust.	Verificar explicitamente
3	Aplique os princípios de Confiança Zero aos recursos de armazenamento da Área de Trabalho Virtual do Azure.	Verificar explicitamente Use o acesso menos privilegiado Assuma a violação
4	Aplique os princípios de Zero Trust às VNets de Área de Trabalho Virtual do Azure hub e spoke spoke .	Verificar explicitamente Use o acesso menos privilegiado Assuma a violação
5	Aplique os princípios de Confiança Zero ao host de sessão da Área de Trabalho Virtual do Azure.	Verificar explicitamente Use o acesso menos privilegiado Assuma a violação
6	Implante segurança, governança e conformidade na Área de Trabalho Virtual do Azure.	Assuma a violação
7	Implante gerenciamento e monitoramento seguros na Área de Trabalho Virtual do Azure.	Assuma a violação

Passo 1: Proteja as suas identidades com o Zero Trust

Para aplicar os princípios de Zero Trust às identidades usadas na Área de Trabalho Virtual do Azure:

• A Área de Trabalho Virtual do Azure dá suporte a diferentes tipos de identidades. Use as informações em Protegendo a identidade com Zero Trust para garantir que os tipos de identidade escolhidos sigam os princípios da Zero Trust.
• Crie uma conta de usuário dedicada com menos privilégios para ingressar hosts de sessão em um domínio dos Serviços de Domínio Microsoft Entra ou AD DS durante a implantação do host de sessão.

Passo 2: Proteja os seus endpoints com Zero Trust

Os pontos de extremidade são os dispositivos através dos quais os usuários acessam o ambiente de Área de Trabalho Virtual do Azure e as máquinas virtuais de host de sessão. Use as instruções na visão geral da integração do Endpoint e use o Microsoft Defender for Endpoint e o Microsoft Endpoint Manager para garantir que seus endpoints cumpram seus requisitos de segurança e conformidade.

Etapa 3: Aplicar os princípios de Zero Confiança aos recursos de armazenamento da Área de Trabalho Virtual do Azure

Implemente as etapas em Aplicar princípios de Zero Confiança ao Armazenamento no Azure para os recursos de armazenamento que estão sendo usados em sua implantação da Área de Trabalho Virtual do Azure. Estas etapas garantem que você:

• Proteja seus dados da Área de Trabalho Virtual do Azure em repouso, em trânsito e em uso.
• Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios.
• Implemente pontos de extremidade privados para contas de armazenamento.
• Separe logicamente os dados críticos com os controles de rede. Como contas de armazenamento separadas para pools de hosts diferentes e outras finalidades, como compartilhamentos de arquivos anexados por aplicativos MSIX.
• Use o Defender for Storage para proteção automatizada contra ameaças.

Nota

Em alguns designs, os arquivos NetApp do Azure são o serviço de armazenamento preferido para perfis FSLogix para a Área de Trabalho Virtual do Azure por meio de um compartilhamento SMB. Os Arquivos NetApp do Azure fornecem recursos de segurança internos que incluem sub-redes delegadas e benchmarks de segurança.

Etapa 4: Aplicar os princípios de Zero Trust às VNets de Área de Trabalho Virtual do Azure hub e spoke

Uma VNet de hub é um ponto central de conectividade para redes virtuais de raios múltiplos. Implemente as etapas em Aplicar princípios de Confiança Zero a uma rede virtual de hub no Azure para a VNet de hub que está sendo usada para filtrar o tráfego de saída de seus hosts de sessão.

Uma VNet spoke isola a carga de trabalho da Área de Trabalho Virtual do Azure e contém as máquinas virtuais do host de sessão. Implemente as etapas em Aplicar princípios de Zero Confiança à rede virtual spoke no Azure para a VNet spoke que contém o host da sessão/máquinas virtuais.

Isolar pools de hosts diferentes em VNets separadas usando NSG com a URL necessária para a Área de Trabalho Virtual do Azure para cada sub-rede. Ao implantar os pontos de extremidade privados, coloque-os na sub-rede apropriada na VNet com base em sua função.

O Firewall do Azure ou um firewall de dispositivo virtual de rede (NVA) pode ser usado para controlar e restringir o tráfego de saída dos hosts de sessão da Área de Trabalho Virtual do Azure. Use as instruções aqui para o Firewall do Azure para proteger hosts de sessão. Força o tráfego através do firewall com UDRs (User-Defined Routes) vinculados à sub-rede do pool de hosts. Reveja a lista completa de URLs de Ambiente de Trabalho Virtual do Azure necessárias para configurar a firewall. O Firewall do Azure fornece uma marca FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração.

Etapa 5: Aplicar os princípios de Zero Confiança aos hosts de sessão da Área de Trabalho Virtual do Azure

Os hosts de sessão são máquinas virtuais que são executadas dentro de uma VNet falada. Implemente as etapas em Aplicar princípios de Confiança Zero a máquinas virtuais no Azure para as máquinas virtuais que estão sendo criadas para seus hosts de sessão.

Os pools de hosts devem ter unidades organizacionais (OUs) separadas se gerenciadas por diretivas de grupo nos Serviços de Domínio Ative Directory (AD DS).

O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas. Você pode usar o Microsoft Defender for Endpoint para hosts de sessão. para obter mais informações, consulte Dispositivos VDI (infraestrutura de área de trabalho virtual).

Etapa 6: Implantar segurança, governança e conformidade na Área de Trabalho Virtual do Azure

O serviço de Área de Trabalho Virtual do Azure permite que você use o Azure Private Link para se conectar de forma privada aos seus recursos criando pontos de extremidade privados.

O Ambiente de Trabalho Virtual do Azure tem funcionalidades de segurança avançadas incorporadas para proteger anfitriões de sessão. No entanto, consulte os seguintes artigos para melhorar as defesas de segurança do seu ambiente de Área de Trabalho Virtual do Azure e hosts de sessão:

• Práticas recomendadas de segurança da Área de Trabalho Virtual do Azure
• Linha de base de segurança do Azure para a Área de Trabalho Virtual do Azure

Além disso, consulte as principais considerações e recomendações de design para segurança, governança e conformidade nas zonas de aterrissagem da Área de Trabalho Virtual do Azure de acordo com a Estrutura de Adoção de Nuvem da Microsoft.

Etapa 7: Implantar gerenciamento e monitoramento seguros na Área de Trabalho Virtual do Azure

O gerenciamento e o monitoramento contínuo são importantes para garantir que seu ambiente de Área de Trabalho Virtual do Azure não esteja envolvido em comportamentos mal-intencionados. Use o Azure Virtual Desktop Insights para registrar dados e relatar dados de diagnóstico e uso.

Veja estes artigos adicionais:

• Analise as recomendações do Azure Advisor para a Área de Trabalho Virtual do Azure.
• Use o Microsoft Intune para gerenciamento granular de políticas.
• Revise e defina as Propriedades RDP para configurações granulares em um nível de pool de hosts.

Formação recomendada

Proteger uma implantação da Área de Trabalho Virtual do Azure

Formação	Proteger uma implantação da Área de Trabalho Virtual do Azure
	Saiba mais sobre os recursos de segurança da Microsoft que ajudam a manter seus aplicativos e dados seguros em sua implantação da Área de Trabalho Virtual do Microsoft Azure.

Início >

Proteja sua implantação da Área de Trabalho Virtual do Azure usando o Azure

Formação	Proteja sua implantação da Área de Trabalho Virtual do Azure usando o Azure
	Implante o Firewall do Azure, roteie todo o tráfego de rede por meio do Firewall do Azure e configure regras. Encaminhe o tráfego de rede de saída do pool de hosts da Área de Trabalho Virtual do Azure para o serviço por meio do Firewall do Azure.

Início >

Gerenciar acesso e segurança para a Área de Trabalho Virtual do Azure

Formação	Gerenciar acesso e segurança para a Área de Trabalho Virtual do Azure
	Saiba como planear e implementar funções do Azure para o Ambiente de Trabalho Virtual do Azure e implementar políticas de Acesso Condicional para ligações remotas. Este caminho de aprendizagem está alinhado com o exame AZ-140: Configurando e Operando a Área de Trabalho Virtual do Microsoft Azure.

Início >

Design para identidades e perfis de usuário

Formação	Design para identidades e perfis de usuário
	Seus usuários precisam de acesso a esses aplicativos no local e na nuvem. Você usa o cliente de Área de Trabalho Remota para Área de Trabalho do Windows para acessar aplicativos e áreas de trabalho do Windows remotamente de um dispositivo Windows diferente.

Início >

Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
Segurança no Azure

Passos Seguintes

Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:

• Visão geral do Azure IaaS
  • Armazenamento do Azure
  • Máquinas virtuais
  • Redes virtuais faladas
  • Redes virtuais spoke com serviços PaaS do Azure
  • Redes virtuais de hub
• WAN Virtual do Azure
• Aplicativos IaaS na Amazon Web Services
• Microsoft Sentinel e Microsoft Defender XDR

Ilustrações técnicas

Você pode baixar as ilustrações usadas neste artigo. Use o arquivo do Visio para modificar essas ilustrações para seu próprio uso.

PDF | Visio

Para ilustrações técnicas adicionais, clique aqui.

Referências

Consulte os links abaixo para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• O que é o Azure - Microsoft Cloud Services
• Infraestrutura como serviço (IaaS) do Azure
• Máquinas virtuais (VMs) para Linux e Windows
• Introdução ao Armazenamento do Azure - Armazenamento na nuvem no Azure
• Rede Virtual do Azure
• Introdução à segurança do Azure
• Diretrizes de implementação do Zero Trust
• Visão geral do benchmark de segurança na nuvem da Microsoft
• Visão geral das linhas de base de segurança para o Azure
• Criando a primeira camada de defesa com os serviços de segurança do Azure - Centro de Arquitetura do Azure
• Arquiteturas de referência de segurança cibernética da Microsoft - Documentação de segurança