Безопасность и управление

В этой статье содержатся основные рекомендации по проектированию и безопасности, управлению и соответствию требованиям в целевых зонах виртуального рабочего стола Azure в соответствии с Microsoft Cloud Adoption Framework.

Ознакомьтесь со следующими разделами, чтобы найти рекомендуемые элементы управления безопасностью и управление для целевой зоны виртуального рабочего стола Azure.

Идентификация

• Защита доступа пользователей к виртуальному рабочему столу Azure путем установки политики условного доступа Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra или средства многофакторной проверки подлинности партнера. Рассмотрим расположения пользователей, устройства и поведение входа и добавляйте дополнительные элементы управления при необходимости на основе шаблонов доступа. Дополнительные сведения о включении многофакторной проверки подлинности Azure для виртуального рабочего стола Azure см. в статье "Включение многофакторной проверки подлинности Azure для виртуального рабочего стола Azure".

• Назначьте минимальные привилегии, необходимые для определения административных, операций и инженерных ролей ролям Azure RBAC. Чтобы ограничить доступ к ролям с высоким уровнем привилегий в целевой зоне Виртуального рабочего стола Azure, рассмотрите возможность интеграции с Azure управление привилегированными пользователями (PIM). Поддержка знаний о том, какая команда отвечает за каждую определенную административную область, помогает определить роли и конфигурацию управления доступом на основе ролей Azure (RBAC).

• Используйте управляемое удостоверение Azure или субъект-службу с учетными данными сертификата для автоматизации и служб для виртуального рабочего стола Azure. Назначьте минимальные привилегии учетной записи службы автоматизации и область ограничены целевыми зонами виртуального рабочего стола Azure. Azure Key Vault можно использовать с управляемыми удостоверениями Azure, чтобы среды выполнения (например, функция Azure) могли получать учетные данные службы автоматизации из хранилища ключей.

• Убедитесь, что вы собираете ведение журнала действий пользователей и администраторов для идентификатора Microsoft Entra и целевой зоны виртуального рабочего стола Azure. Отслеживайте эти журналы с помощью средства управления сведениями о безопасности и событиями (SIEM). Журналы можно собирать из различных источников, например:

  • Журнал действий Azure
  • Журнал действий Microsoft Entra
  • Microsoft Entra ID
  • Узлы сеансов
  • Журналы Key Vault

• Используйте группы Microsoft Entra, а не отдельные пользователи при назначении доступа к группам приложений Виртуального рабочего стола Azure. Рассмотрите возможность использования существующих групп безопасности, которые сопоставляют бизнес-функции в организации, что позволяет повторно использовать существующие процессы подготовки пользователей и отмены подготовки.

Сеть

• Подготовка или повторное использование выделенной виртуальной сети для целевой зоны виртуального рабочего стола Azure. Запланируйте пространство IP-адресов для масштабирования узлов сеансов. Установите базовый размер подсети на основе минимального и максимального количества узлов сеансов на пул узлов. Сопоставляйте требования к бизнес-подразделениям с пулами узлов.

• Используйте группы безопасности сети (NSG) и (или) Брандмауэр Azure (или сторонние (модуль) брандмауэра) для установления микросегации. Используйте теги служб Azure виртуальная сеть и группы служб приложений (ASG), чтобы определить элементы управления доступом к сети в группах безопасности сети или Брандмауэр Azure, настроенные для ресурсов Виртуального рабочего стола Azure. Убедитесь, что исходящий доступ узла сеанса к необходимым URL-адресам обходится прокси-сервером (если используется в узлах сеансов) и Брандмауэр Azure (или стороннего брандмауэра (модуль)).

• На основе стратегии сегментации приложений и корпоративных приложений ограничить трафик между узлами сеансов и внутренними ресурсами с помощью правил группы безопасности или Брандмауэр Azure (или стороннего брандмауэра (модуль)) в масштабе.

• Включите стандартную защиту От атак DDoS Azure для Брандмауэр Azure (или стороннего брандмауэра (модуль)), чтобы защитить целевые зоны виртуального рабочего стола Azure.

• Если вы используете прокси-сервер для исходящего доступа к Интернету с узлов сеансов:

  • Настройте прокси-серверы в том же географическом регионе, что и узлы сеансов и клиенты виртуального рабочего стола Azure (при использовании поставщиков облачных прокси-серверов).
  • Не используйте проверку TLS. В Виртуальном рабочем столе Azure трафик шифруется по умолчанию.
  • Избегайте конфигурации прокси-сервера, требующей проверки подлинности пользователей. Компоненты Виртуального рабочего стола Azure на узле сеансов выполняются в контексте их операционной системы, поэтому они не поддерживают прокси-серверы, требующие проверки подлинности. Для настройки прокси-сервера уровня узла на узле сеанса необходимо включить прокси на уровне системы.

• Убедитесь, что у конечных пользователей есть доступ к URL-адресам клиента Виртуального рабочего стола Azure. Если прокси-агент или конфигурация используются на устройствах пользователей, убедитесь, что вы также обошли URL-адреса клиента виртуального рабочего стола Azure.

• Используйте JIT-доступ для администрирования и устранения неполадок узлов сеансов. Избегайте предоставления прямого доступа к узлам сеансов RDP. Узлы сеансов AVD используют обратный Подключение транспорт для установки удаленных сеансов.

• Используйте функции адаптивной защиты сети в Microsoft Defender для облака для поиска конфигураций групп безопасности сети, ограничивающих порты и исходные IP-адреса со ссылкой на правила внешнего сетевого трафика.

• Сбор журналов Брандмауэр Azure (или сторонних (модуль) брандмауэра) с помощью Azure Monitor или решения для мониторинга партнеров. Кроме того, следует отслеживать журналы SIEM с помощью Azure Sentinel или аналогичной службы.

• Используйте только частную конечную точку для файлов Azure, которые используются для контейнеров профилей FSLogix.

• Настройте RDP Shortpath , чтобы дополнить транспорт обратного подключения.

Узлы сеансов

• Создайте выделенные подразделения организации в Active Directory для узлов сеансов виртуального рабочего стола Azure. Примените выделенную групповую политику к узлам сеансов для управления такими элементами управления, как:

  • Включите защиту захвата экрана, чтобы предотвратить захват конфиденциальной информации экрана на конечных точках клиента.
  • Задайте максимальные политики неактивного и отключения времени и блокировки экрана.
  • Скрытие сопоставлений локальных и удаленных дисков в Windows Обозреватель.
  • При необходимости параметры конфигурации для контейнеров профилей FSLogix и облачного кэша FSLogix.

• Управление перенаправлением устройств для узлов сеансов. Обычно отключенные устройства включают локальный жесткий диск и ограничения USB или порта. Ограничение перенаправления камеры и удаленной печати может помочь защитить данные вашей организации. Отключите перенаправление буфера обмена, чтобы предотвратить копирование удаленного содержимого в конечные точки.

• Включите антивирусную защиту следующего поколения, например Microsoft Defender для конечной точки на узлах сеансов. Если вы используете решение конечной точки партнера, убедитесь, что Microsoft Defender для облака сможет проверить его состояние. Кроме того, следует включить исключения антивирусной программы FSLogix Profile Container. Microsoft Defender для конечной точки напрямую интегрируется с несколькими решениями Microsoft Defender, в том числе:

  • Microsoft Defender для облака
  • Microsoft Sentinel
  • Intune

• Включите оценки контроль угроз и уязвимостей. Интеграция решения контроль угроз и уязвимостей Microsoft Defender для конечной точки с Microsoft Defender для облака или сторонним решением управление уязвимостями решение). Microsoft Defender для облака в собственном коде интегрируется с Решение оценки уязвимостей Qualys.

• Используйте управление приложениями с помощью элемента управления приложениями Защитника Windows (WDAC) или AppLocker , чтобы обеспечить надежность приложений перед выполнением. Политики управления приложениями также могут блокировать неподписанные скрипты и MSIs и ограничивать Windows PowerShell для запуска в режиме ограниченного языка.

• Включение доверенного запуска для виртуальных машин Azure 2-го поколения для включения таких функций, как безопасная загрузка, vTPM и безопасность на основе виртуализации (VBS). Microsoft Defender для облака может отслеживать узлы сеансов, настроенные с помощью доверенного запуска.

• Случайный выбор паролей локального администратора с помощью Windows LAPS для защиты от атак сквозного хэша и бокового обхода.

• Убедитесь, что узлы сеансов отслеживаются Azure Monitor или решением мониторинга партнеров с помощью Центров событий.

• Определите стратегию управления исправлениями для узлов сеансов. Microsoft Endpoint Configuration Manager позволяет узлам сеансов Виртуального рабочего стола Azure автоматически получать обновления. Следует исправить базовые образы по крайней мере один раз в 30 дней. Рекомендуется использовать конструктор образов Azure (AIB), чтобы создать собственный конвейер визуализации для базового образа Виртуального рабочего стола Azure.

Дополнительные сведения о рекомендациях по обеспечению безопасности узла сеансов виртуального рабочего стола Azure см . в рекомендациях по обеспечению безопасности узла сеансов.

Подробный список рекомендаций по обеспечению безопасности виртуальных машин Azure см . в рекомендациях по безопасности виртуальных машин в Azure.

Защита данных

• Microsoft Azure шифрует неактивных данных, чтобы защитить их от атак вне полосы, таких как попытки доступа к базовому хранилищу. Это шифрование помогает гарантировать, что злоумышленники не могут легко считывать или изменять данные. Подход Майкрософт к включению двух уровней шифрования для неактивных данных:

  • Шифрование дисков с использованием ключей, управляемых клиентом. Пользователи предоставляют собственный ключ для шифрования дисков. Они могут принести собственные ключи в хранилище ключей (практика, известная как BYOK — принести собственный ключ) или создать новые ключи в Azure Key Vault для шифрования нужных ресурсов (включая диски узла сеансов).
  • Шифрование инфраструктуры с использованием ключей, управляемых платформой. По умолчанию диски автоматически шифруются с помощью ключей шифрования, управляемых платформой.
  • Шифрование на узле виртуальной машины (сервер Azure, на котором выделена виртуальная машина). Временные диски каждой виртуальной машины и данные кэша дисков ОС и данных хранятся на узле виртуальной машины. Если шифрование на узле виртуальной машины включено, данные шифруются неактивных данных и шифруются в службу служба хранилища для сохранения.

• Разверните решение для защиты информации, например Защита информации Microsoft Purview или стороннее решение, которое гарантирует, что конфиденциальная информация хранится, обрабатывается и передается безопасно технологическими системами вашей организации.

• Используйте помощник по политике безопасности для Приложения Microsoft 365 для предприятий для повышения безопасности развертывания Office. Это средство определяет политики, которые можно применить к развертыванию для повышения безопасности, а также рекомендует политики на основе их влияния на безопасность и производительность.

• Настройте проверку подлинности на основе удостоверений для Файлы Azure, используемой для профилей пользователей FSLogix с помощью доменных служб локальная служба Active Directory (AD DS) и доменных служб Microsoft Entra. Настройте разрешения NTFS, чтобы авторизованные пользователи могли получить доступ к Файлы Azure.

Управление затратами

• Использование тегов Azure для организации затрат на создание, управление и развертывание ресурсов виртуального рабочего стола Azure. Чтобы определить связанные затраты на вычислительные ресурсы Виртуального рабочего стола Azure, пометьте все пулы узлов и виртуальные машины. Тег Файлы Azure или ресурсы Azure NetApp Files для отслеживания затрат на хранение, связанных с контейнерами профилей пользователей FSLogix, пользовательскими образами ОС и присоединением приложений MSIX (при использовании).

• Определите минимальные предлагаемые теги , которые необходимо задать во всех ресурсах Виртуального рабочего стола Azure. Теги Azure можно задать во время развертывания или после подготовки. Рекомендуется использовать встроенные определения Политика Azure для применения правил тегов.

• Задайте бюджеты в Службе "Управление затратами Azure" для упреждающего управления затратами на использование Azure. При превышении пороговых значений бюджета будут активированы уведомления.

• Создание оповещений службы "Управление затратами Azure" для мониторинга использования и расходов на целевую зону виртуального рабочего стола Azure.

• Настройте начальную виртуальную машину на Подключение функцию, чтобы сэкономить затраты, позволяя конечным пользователям включать виртуальные машины только в том случае, если им нужны.

• Развертывание решений масштабирования для узлов сеансов в пуле с помощью служба автоматизации Azure или функции автомасштабирования (предварительная версия)

Согласованность ресурсов

• Используйте Intune для личных узлов сеансов Виртуального рабочего стола Azure, чтобы применить существующие или создать новые конфигурации и защитить виртуальные машины с помощью политики соответствия требованиям и условного доступа. Управление Intune не зависит от управления виртуальным рабочим столом Azure или не влияет на управление тем же виртуальным рабочим столом.

• Управление узлами сеансов с несколькими сеансами с помощью Intune позволяет управлять windows 10 или Windows 11 Корпоративная удаленных рабочих столов с несколькими сеансами в Центре администрирования Intune так же, как и управление общим клиентским устройством Windows 10 или Windows 11. При управлении такими виртуальными машинами можно использовать конфигурацию на основе устройств или пользовательской конфигурации, предназначенные для пользователей.

• Аудит и настройка защиты операционной системы узлов сеансов с помощью Политика Azure гостевой конфигурации. Используйте базовые показатели безопасности Windows в качестве отправной точки для защиты операционной системы Windows.

• Используйте встроенные определения Политика Azure, чтобы настроить параметры диагностика для ресурсов Виртуального рабочего стола Azure, таких как рабочие области, группы приложений и пулы узлов.

Ознакомьтесь с рекомендациями по обеспечению безопасности виртуального рабочего стола Azure в качестве отправной точки для обеспечения безопасности в вашей среде.

Соответствие нормативным требованиям

Почти все организации должны соответствовать различным государственным или отраслевым нормативным политикам. Просмотрите все такие политики с помощью команды соответствия требованиям и реализуйте правильные элементы управления для конкретной целевой зоны виртуального рабочего стола Azure. Например, следует учитывать элементы управления для конкретных политик, таких как стандарт безопасности данных индустрии платежей (PCI DSS) или закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA), если ваша организация соответствует их платформам.

• При необходимости используйте Microsoft Defender для облака для применения дополнительных стандартов соответствия к целевым зонам виртуального рабочего стола Azure. Microsoft Defender для облака помогает упростить процесс соответствия нормативным требованиям с помощью панели мониторинга соответствия нормативным требованиям. Встроенные или настраиваемые стандарты комплианности можно добавить на панель мониторинга. Уже встроенные нормативные стандарты, которые можно добавить:

  • PCI DSS версии 3.2.1:2018
  • SOC TSP.
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL и UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP-CSCF, версия 2020
  • ISO 27001:2013
  • ISM Restricted (Новая Зеландия)
  • CMMC уровня 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Если ваша организация привязана к требованиям к месту размещения данных, рассмотрите возможность ограничения развертывания ресурсов виртуального рабочего стола Azure (рабочих областей, групп приложений и пулов узлов) следующим географическим областям:

  • Соединенные штаты
  • Европа
  • Великобритания
  • Канада

  Ограничение развертывания в этих географических регионах поможет вам убедиться, что метаданные виртуального рабочего стола Azure хранятся в регионе географического ресурса виртуального рабочего стола Azure, так как узлы сеансов можно развернуть по всему миру для размещения базы пользователей.

• Используйте групповые политики и средства управления устройствами, такие как Intune и Microsoft Endpoint Configuration Manager, для обеспечения тщательной безопасности и соответствия узлам сеансов.

• Настройте оповещения и автоматические ответы в Microsoft Defender для облака, чтобы обеспечить общее соответствие целевых зон виртуального рабочего стола Azure.

• Просмотрите оценку безопасности Майкрософт, чтобы оценить общую безопасность организации в следующих продуктах:

  • Microsoft 365 (включая Exchange Online)
  • Microsoft Entra ID
  • Защитник Майкрософт для конечных точек
  • Microsoft Defender для удостоверений
  • Defender for Cloud Apps
  • Microsoft Teams

• Просмотрите Microsoft Defender для облака оценку безопасности, чтобы повысить общую безопасность виртуальных целевых зон Azure.

Рекомендуемые рекомендации по обеспечению безопасности и базовые показатели

• Рекомендации по обеспечению безопасности виртуального рабочего стола Azure
• Базовые показатели безопасности для виртуального рабочего стола Azure на основе Azure Security Benchmark
• Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure

Следующие шаги

Сведения об автоматизации платформы и DevOps для сценария корпоративного масштабирования виртуального рабочего стола Azure.

Автоматизация платформы и DevOps