Вопросы безопасности, управления удостоверениями и доступом (IAM) для рабочих нагрузок Виртуального рабочего стола Azure
В этой статье рассматривается область проектирования безопасности и IAM для рабочей нагрузки Виртуального рабочего стола Azure. Виртуальный рабочий стол Azure — это управляемая служба, которая предоставляет уровень управления Майкрософт для инфраструктуры виртуальных рабочих столов. Виртуальный рабочий стол Azure использует управление доступом на основе ролей Azure (RBAC) для управления удостоверениями и управления доступом. Как владелец рабочей нагрузки вы также можете применять другие принципы "Никому не доверяй", которые соответствуют требованиям вашей организации. Примерами могут быть принцип явной проверки и принцип доступа с минимальными привилегиями .
Важно!
Эта статья входит в серию рабочих нагрузок Виртуального рабочего стола Azure Well-Architected Framework . Если вы не знакомы с этой серией, рекомендуем начать с статьи Что такое рабочая нагрузка Виртуального рабочего стола Azure?
Использование RBAC
Влияние: безопасность, эффективность работы
RBAC поддерживает разделение обязанностей для различных команд и отдельных лиц, которые управляют развертыванием Виртуального рабочего стола Azure. В рамках проектирования целевой зоны необходимо решить, кто принимает на себя различные роли. Затем необходимо создать группу безопасности для каждой роли, чтобы упростить добавление и удаление пользователей в роли и из них.
Виртуальный рабочий стол Azure предоставляет пользовательские роли Azure, предназначенные для каждой функциональной области. Сведения о настройке этих ролей см. в статье Встроенные роли для Виртуального рабочего стола Azure. Вы также можете создавать и определять пользовательские роли Azure в рамках Cloud Adoption Framework для развертывания Azure. Может потребоваться объединить роли RBAC, относящиеся к Виртуальному рабочему столу Azure, с другими ролями Azure RBAC. Такой подход предоставляет полный набор разрешений, необходимых пользователям для Виртуального рабочего стола Azure и других служб Azure, таких как виртуальные машины и сеть.
Рекомендации
- Определите роли для команд и отдельных пользователей, которые управляют развертываниями Виртуального рабочего стола Azure.
- Определите встроенные роли Azure для разделения обязанностей по управлению для пулов узлов, групп приложений и рабочих областей.
- Создайте группу безопасности для каждой роли.
Повышение безопасности узлов сеансов
Влияние: безопасность
Виртуальный рабочий стол Azure использует протокол удаленного рабочего стола (RDP) для обмена данными между сервером терминалов или узлами сеансов и клиентом конечного пользователя.
RDP — это многоканальный протокол, который может разрешать и запрещать отдельные виртуальные каналы, которые содержат следующие сведения:
- Данные презентации
- Последовательные подключения устройств
- Сведения о лицензировании
- Данные с высоким уровнем шифрования, такие как действия клавиатуры и мыши
Чтобы повысить безопасность, можно централизованно настроить свойства RDP подключения в Виртуальном рабочем столе Azure.
Рекомендации
- Ограничьте доступ к проводнику Windows, скрыв сопоставления для локальных и удаленных дисков. Эта стратегия предотвращает обнаружение пользователями конфиденциальной информации о конфигурациях системы и пользователях.
- Предотвращайте запуск нежелательных программ на узлах сеансов. Вы можете включить AppLocker для обеспечения дополнительной безопасности на узлах сеансов. Эта функция позволяет гарантировать, что на узле могут выполняться только указанные вами приложения.
- Используйте защиту снимка экрана и водяные знаки, чтобы предотвратить захват конфиденциальной информации в конечных точках клиента. При включении защиты от снимков экрана удаленное содержимое автоматически блокируется или скрывается на снимках экранах и демонстрации экрана. Клиент удаленного рабочего стола также скрывает содержимое от вредоносных программ, которые захватывают экран.
- Используйте Microsoft Defender антивирусную программу для защиты виртуальных машин. Дополнительные сведения см. в статье Настройка Microsoft Defender антивирусной программы в среде инфраструктуры удаленного рабочего стола или виртуального рабочего стола.
- Включите Защитник Windows управление приложениями. Определите политики для драйверов и приложений независимо от того, доверяете ли вы им.
- Выйдите из службы, когда они неактивны, чтобы сохранить ресурсы и предотвратить несанкционированный доступ. Дополнительные сведения см. в разделе Установка максимального времени неактивности и политик отключения.
- Включите Microsoft Defender для облака для управления состоянием безопасности в облаке (CSPM). Дополнительные сведения см. в статье Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) в Microsoft 365 Defender.
Рекомендации по проектированию для центральной платформы, удостоверений и сетевых команд
Влияние: безопасность
Удостоверение — это базовый принцип проектирования для Виртуального рабочего стола Azure. Удостоверение также является ключевой областью проектирования, которую следует рассматривать как первоклассную проблему в процессе архитектуры.
Проектирование удостоверений для Виртуального рабочего стола Azure
Виртуальный рабочий стол Azure поддерживает различные типы удостоверений для доступа к корпоративным ресурсам и приложениям. Как владелец рабочей нагрузки вы можете выбрать один из различных типов поставщиков удостоверений в соответствии с потребностями вашего бизнеса и организации. Просмотрите области проектирования удостоверений в этом разделе, чтобы оценить, что лучше всего подходит для вашей рабочей нагрузки.
| Проектирование удостоверений | Сводка |
|---|---|
| удостоверение доменные службы Active Directory (AD DS) | Чтобы получить доступ к Виртуальному рабочему столу Azure, пользователи должны быть доступны по идентификатору Microsoft Entra. В результате удостоверения пользователей, существующие только в AD DS, не поддерживаются. Автономные развертывания Active Directory с службы федерации Active Directory (AD FS) (AD FS) также не поддерживаются. |
| Гибридное удостоверение | Виртуальный рабочий стол Azure поддерживает гибридные удостоверения с помощью идентификатора Microsoft Entra, включая удостоверения, федеративные с помощью AD FS. Вы можете управлять этими удостоверениями пользователей в AD DS и синхронизировать их с идентификатором Microsoft Entra с помощью Microsoft Entra Connect. Вы также можете использовать идентификатор Microsoft Entra для управления этими удостоверениями и их синхронизации с AD DS. |
| Удостоверение только для облака | Виртуальный рабочий стол Azure поддерживает облачные удостоверения при использовании виртуальных машин, присоединенных с помощью идентификатора Microsoft Entra. Эти пользователи создаются и управляются непосредственно по идентификатору Microsoft Entra. |
Важно!
Виртуальный рабочий стол Azure не поддерживает учетные записи "бизнес- бизнес", учетные записи Майкрософт и внешние удостоверения.
Дополнительные сведения о выборе и реализации стратегии идентификации и проверки подлинности см. в разделе Поддерживаемые удостоверения и методы проверки подлинности.
Рекомендации
- Создайте выделенную учетную запись пользователя с минимальными привилегиями. При развертывании узлов сеансов используйте эту учетную запись для присоединения узлов сеансов к Доменные службы Microsoft Entra или домену AD DS.
- Требовать многофакторную проверку подлинности. Чтобы повысить безопасность всего развертывания, примените многофакторную проверку подлинности для всех пользователей и администраторов в Виртуальном рабочем столе Azure. Дополнительные сведения см. в статье Принудительное применение многофакторной проверки подлинности идентификатора Microsoft Entra для Виртуального рабочего стола Azure с помощью условного доступа.
- Включите условный доступ Microsoft Entra id. При использовании условного доступа можно управлять рисками, прежде чем предоставлять пользователям доступ к среде Виртуального рабочего стола Azure. При выборе пользователей, которым следует предоставить доступ, следует также подумать о том, кто является каждым пользователем, как он входит в систему и какое устройство он использует.
Проектирование безопасной сети для Виртуального рабочего стола Azure
Без принятия мер сетевой безопасности злоумышленники могут получить доступ к вашим ресурсам. Для защиты ресурсов важно разместить элементы управления сетевым трафиком. Надлежащие элементы управления сетевой безопасностью помогут обнаружить и остановить злоумышленников, которые получают доступ к облачным развертываниям.
Рекомендации
- Используйте звездообразную архитектуру. Крайне важно различать общие службы и службы приложений Виртуального рабочего стола Azure. Звездообразная архитектура — это хороший подход к обеспечению безопасности. Ресурсы, относящиеся к рабочей нагрузке, следует хранить в собственной виртуальной сети, отдельной от общих служб в концентраторе. Примеры общих служб включают управление и службы dns.
- Используйте группы безопасности сети. Группы безопасности сети можно использовать для фильтрации сетевого трафика в рабочую нагрузку Виртуального рабочего стола Azure и из нее. Теги служб и правила группы безопасности сети позволяют разрешить или запретить доступ к приложению Виртуального рабочего стола Azure. Например, можно разрешить доступ к портам приложения Виртуального рабочего стола Azure из локальных диапазонов IP-адресов, а также запретить доступ из общедоступного Интернета. Дополнительные сведения см. в разделе Группы безопасности сети. Чтобы развернуть Виртуальный рабочий стол Azure и сделать его доступным для пользователей, необходимо разрешить определенные URL-адреса, к которым виртуальные машины узла сеансов могут получить доступ в любое время. Список этих URL-адресов см. в статье Требуемые URL-адреса для Виртуального рабочего стола Azure.
- Изолируйте пулы узлов, разместив каждый пул узлов в отдельной виртуальной сети. Используйте группы безопасности сети с URL-адресами, которые требуются Виртуальному рабочему столу Azure для каждой подсети.
- Обеспечение безопасности сети и приложений. Элементы управления безопасностью сети и приложений являются базовыми мерами безопасности для каждой рабочей нагрузки Виртуального рабочего стола Azure. Сеть узла сеансов и приложение Виртуального рабочего стола Azure требуют тщательной проверки безопасности и контроля базовых показателей.
- Избегайте прямого доступа по протоколу RDP к узлам сеансов в вашей среде, отключив или заблокировав порт RDP. Если вам нужен прямой доступ по протоколу RDP для административных целей или устранения неполадок, используйте Бастион Azure для подключения к узлам сеансов.
- Используйте Приватный канал Azure с Виртуальным рабочим столом Azure, чтобы сохранить трафик в сети Майкрософт и повысить безопасность. При создании частной конечной точки трафик между виртуальной сетью и службой остается в сети Майкрософт. Вам больше не нужно предоставлять доступ к службе в общедоступном Интернете. Вы также можете использовать виртуальную частную сеть (VPN) или Azure ExpressRoute, чтобы пользователи с клиентом удаленного рабочего стола могли подключаться к вашей виртуальной сети.
- Используйте Брандмауэр Azure для защиты Виртуального рабочего стола Azure. Узлы сеансов Виртуального рабочего стола Azure работают в виртуальной сети и подчиняются элементам управления безопасностью виртуальной сети. Если приложениям или пользователям требуется исходящий доступ к Интернету, мы рекомендуем использовать Брандмауэр Azure для защиты и блокировки среды.
Шифрование передаваемых данных
Влияние: безопасность
Шифрование при передаче применяется к состоянию данных, которые перемещаются из одного расположения в другое. Вы можете зашифровать передаваемые данные несколькими способами в зависимости от характера подключения. Дополнительные сведения см. в разделе Шифрование передаваемых данных.
Виртуальный рабочий стол Azure использует протокол TLS версии 1.2 для всех подключений, инициированных от клиентов и узлов сеансов к компонентам инфраструктуры Виртуального рабочего стола Azure. Виртуальный рабочий стол Azure использует те же шифры TLS 1.2, что и Azure Front Door. Важно убедиться, что клиентские компьютеры и узлы сеансов могут использовать эти шифры. Для транспорта с обратным подключением клиент и узел сеансов подключаются к шлюзу Виртуального рабочего стола Azure. Затем клиент и узел сеансов устанавливают tcp-подключение. Затем клиент и узел сеансов проверяют сертификат шлюза Виртуального рабочего стола Azure. RDP используется для установки базового транспорта. Затем RDP устанавливает вложенное TLS-подключение между клиентом и узлом сеансов с помощью сертификатов узла сеансов.
Дополнительные сведения о сетевом подключении см. в статье Общие сведения о сетевом подключении Виртуального рабочего стола Azure.
Рекомендации
- Узнайте, как Виртуальный рабочий стол Azure шифрует данные при передаче.
- Убедитесь, что клиентские компьютеры и узлы сеансов могут использовать шифры TLS 1.2, используемые Azure Front Door.
Использование конфиденциальных вычислений для шифрования используемых данных
Влияние: безопасность, эффективность производительности
Используйте конфиденциальные вычисления для защиты данных, используемых при работе в регулируемых отраслях, таких как государственные учреждения, финансовые услуги и медицинские учреждения.
Вы можете использовать конфиденциальные виртуальные машины для Виртуального рабочего стола Azure. Конфиденциальные виртуальные машины повышают конфиденциальность и безопасность данных за счет защиты используемых данных. Серия конфиденциальных виртуальных машин Azure DCasv5 и ECasv5 предоставляет доверенную среду выполнения (TEE) на основе оборудования. Эта среда предоставляет возможности безопасности advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Эти функции повысят защиту гостей, чтобы запретить низкоуровневой оболочке и другому коду управления узлом доступ к памяти и состоянию виртуальной машины. Они также помогают защититься от доступа операторов и шифруют используемые данные.
Конфиденциальные виртуальные машины обеспечивают поддержку версий 22H1, 22H2 и будущих версий Windows 11. Планируется поддержка конфиденциальных виртуальных машин для Windows 10. Для конфиденциальных виртуальных машин доступно шифрование дисков конфиденциальной операционной системы. Кроме того, мониторинг целостности доступен во время подготовки пула узлов Виртуального рабочего стола Azure для конфиденциальных виртуальных машин.
Дополнительные сведения см. в следующих ресурсах:
Рекомендации
- Используйте конфиденциальные вычисления для защиты используемых данных.
- Используйте серии конфиденциальных виртуальных машин Azure DCasv5 и ECasv5 для создания аппаратного TEE.
Связанные ресурсы безопасности Виртуального рабочего стола Azure
- Базовые показатели безопасности Azure для Виртуального рабочего стола Azure
- Лучшие методики обеспечения безопасности
Дальнейшие действия
Теперь, когда вы изучили рекомендации по защите Виртуального рабочего стола Azure, изучите процедуры операционного управления для достижения эффективности бизнеса.
Используйте средство оценки для оценки вариантов разработки.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по