Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure

В этой статье приведены действия по применению принципов нулевого доверия к развертыванию виртуального рабочего стола Azure следующим образом:

Принцип нулевого доверия	Определение	Встретились с
Явная проверка	Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.	Проверьте идентификацию и конечные точки пользователей Виртуального рабочего стола Azure и обеспечьте безопасный доступ к хостам сеансов.
Использование доступа с минимальными привилегиями	Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных.	Ограничьте доступ к узлам сеансов и их данным. Хранилище: защита данных во всех трех режимах: неактивных данных, передачи данных, используемых данных. Виртуальные сети (VNet): Определите разрешенные потоки сетевого трафика между концентрическими и спицеобразными виртуальными сетями с помощью Брандмауэра Azure. Виртуальные машины: использование Контроля Доступа на Основе Ролей (RBAC).
Предполагайте наличие бреши в системе безопасности	Минимизируйте радиус поражения и сегментируйте доступ. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.	Изолируйте компоненты развертывания виртуального рабочего стола Azure. Хранилище: используйте Defender для хранилища для автоматического обнаружения угроз и защиты. Виртуальные сети: предотвращение потоков трафика между рабочими нагрузками с помощью Брандмауэр Azure. Виртуальные машины: используйте двойное шифрование для сквозного шифрования, включите шифрование на узле, безопасное обслуживание виртуальных машин и Microsoft Defender для серверов для обнаружения угроз. Используйте функции безопасности, управления, надзора и мониторинга Виртуальных рабочих столов Azure для улучшения защиты и сбора аналитики узлов сеансов.

Дополнительные сведения о применении принципов нулевого доверия в среде IaaS Azure см. в разделе Обзор применения принципов нулевого доверия к Azure IaaS.

Эталонная архитектура

В этой статье мы используем следующую эталонную архитектуру для Hub и Spoke, чтобы продемонстрировать характерную среду развертывания и как применить принципы нулевого доверия для виртуального рабочего стола Azure с доступом пользователей к Интернету. Архитектура Azure Виртуальная глобальная сеть также поддерживается в дополнение к частному доступу через управляемую сеть с помощью RDP Shortpath для виртуального рабочего стола Azure.

Среда Azure для Виртуального рабочего стола Azure включает:

Компонент	Описание
а	Службы хранения Azure для профилей пользователей Azure Виртуального рабочего стола.
Б	Концентратор подключения VNet.
С	Периферийная VNet-сеть с рабочими нагрузками на базе виртуальных машин-гостей сеансовых хостов Azure Virtual Desktop.
Д	Плоскость управления Виртуальным рабочим столом Azure.
Е	Плоскость управления виртуальным рабочим столом Azure.
Ф	Зависимые службы PaaS, включая идентификатор Microsoft Entra, Microsoft Defender для облака, управление доступом на основе ролей (RBAC) и Azure Monitor.
Г	Галерея вычислительных ресурсов Azure.

Пользователи или администраторы, которые обращаются к среде Azure, могут исходить из Интернета, офисных расположений или локальных центров обработки данных.

Эталонная архитектура соответствует архитектуре, описанной в целевой зоне корпоративного масштаба для Azure Virtual Desktop Cloud Adoption Framework.

Логическая архитектура

На этой схеме инфраструктура Azure для развертывания виртуального рабочего стола Azure содержится в клиенте Идентификатора Microsoft Entra.

Элементы логической архитектуры:

• Подписка Azure для виртуального рабочего стола Azure

  Ресурсы можно распространять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка безопасности. Это описано в Cloud Adoption Framework и посадочной зоне Azure. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые у вас есть. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью RBAC и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.

• Группа ресурсов Виртуального рабочего стола Azure

  Группа ресурсов Виртуального рабочего стола Azure изолирует хранилища ключей, объекты службы виртуального рабочего стола Azure и частные конечные точки.

• Группа ресурсов хранения

  Группа ресурсов хранилища изолирует частные конечные точки и наборы данных службы Файлы Azure.

• Группа ресурсов узла сеанса виртуальных машин

  Выделенная группа ресурсов изолирует виртуальные машины, используемые в качестве узлов сеансов, набор шифрования дисков и группу безопасности приложений.

• Группа ресурсов периферийной виртуальной сети

  Выделенная группа ресурсов изолирует ресурсы периферийной виртуальной сети и группу безопасности сети, которой специалисты сети в организации могут управлять.

Что такое в этой статье?

В этой статье рассматриваются действия по применению принципов нулевого доверия в эталонной архитектуре виртуального рабочего стола Azure.

Шаг	Задача	Применены принципы нулевого доверия
1	Обеспечьте безопасность своих удостоверений в соответствии с концепцией Нулевого Доверия.	Явная проверка
2	Защитите конечные точки с помощью модели нулевого доверия.	Явная проверка
3	Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure.	Проверить явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности
4	Примените принципы нулевого доверия к виртуальным сетям (VNet) типа "hub and spoke" в Azure Virtual Desktop.	Проверка в явной форме Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности
5	Применение принципов нулевого доверия к узлу сеансов Виртуального рабочего стола Azure.	Проверить явно Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности
6	Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure.	Предполагайте наличие бреши в системе безопасности
7	Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure.	Предполагайте наличие бреши в системе безопасности

Шаг 1. Защита удостоверений с помощью Zero Trust

Чтобы применить принципы нулевого доверия к идентификациям, используемым в Azure Virtual Desktop:

• Виртуальный рабочий стол Azure поддерживает различные типы удостоверений. Используйте информацию из «Защита удостоверения с нулевым доверием», чтобы убедиться, что выбранные типы удостоверений соответствуют принципам нулевого доверия.
• Создайте выделенную учетную запись пользователя с минимальными привилегиями для присоединения узлов размещения сеансов к домену Microsoft Entra Domain Services или домену AD DS в ходе развертывания узлов размещения сеансов.

Шаг 2. Защита конечных точек с помощью нуля доверия

Конечные точки — это устройства, через которые пользователи получают доступ к среде виртуального рабочего стола Azure и виртуальным машинам узла сеанса. Используйте инструкции в обзоре интеграции конечных точек и используйте Microsoft Defender для конечной точки и Microsoft Endpoint Manager, чтобы убедиться, что конечные точки соответствуют вашим требованиям к безопасности и соответствию требованиям.

Шаг 3. Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure

Выполните действия, описанные в разделе "Применение принципов нулевого доверия к службе хранилища в Azure" для ресурсов хранилища, используемых в развертывании виртуального рабочего стола Azure. Эти действия гарантируют, что вы:

• Обеспечьте безопасность данных виртуального рабочего стола Azure в состоянии покоя, при передаче и использовании.
• Проверьте пользователей и управляйте доступом к данным хранилища с минимальными привилегиями.
• Реализуйте частные конечные точки для учетных записей хранения.
• Логически отделяйте критически важные данные с сетевыми элементами управления. Например, отдельные учетные записи хранения для различных пулов хостов и других целей, таких как использование файловых ресурсов приложения MSIX.
• Используйте Defender для хранилища для автоматической защиты от угроз.

Примечание.

В некоторых проектах Azure NetApp files — это служба хранилища для профилей FSLogix для виртуального рабочего стола Azure с помощью общей папки SMB. Azure NetApp Files предоставляет встроенные функции безопасности, включающие делегированные подсети и тесты безопасности.

Шаг 4. Применение принципов нулевого доверия к концентратору и ответвленным виртуальным сетям Виртуального рабочего стола Azure.

Центральная виртуальная сеть (VNet) является центральной точкой подключения для нескольких периферийных виртуальных сетей. Реализуйте шаги, описанные в принципах применения нулевого доверия к виртуальной сети концентратора в Azure для виртуальной сети концентратора, используемой для фильтрации исходящего трафика от узлов сеансов.

Периферийная виртуальная сеть изолирует рабочую нагрузку виртуального рабочего стола Azure и содержит виртуальные машины узла сеанса. Реализуйте шаги, описанные в Применение принципов нулевого доверия к спицевой виртуальной сети в Azure для спицевой виртуальной сети, содержащей узел сеанса/виртуальные машины.

Изолируйте разные пулы узлов в отдельных виртуальных сетях с использованием группы безопасности сети с требуемым URL-адресом, необходимого для Azure Virtual Desktop для каждой подсети. При развертывании частных конечных точек они размещаются в соответствующей подсети в виртуальной сети на основе их роли.

Брандмауэр Azure или брандмауэр виртуального сетевого устройства (NVA) можно использовать для управления и ограничения исходящего трафика узлов сеансов Виртуального рабочего стола Azure. Используйте инструкции, приведенные здесь для Azure Firewall для защиты сеансовых узлов. Пропускайте трафик через брандмауэр с маршрутами, определяемыми пользователем (UDR), связанными с подсетью пула узлов. Просмотрите полный список необходимых URL-адресов виртуального рабочего стола Azure для настройки брандмауэра. Брандмауэр Azure имеет тег FQDN для Azure Virtual Desktop, чтобы упростить эту конфигурацию.

Шаг 5. Применение принципов нулевого доверия к узлам сеансов Виртуального рабочего стола Azure

Узлы сеансов — это виртуальные машины, которые работают внутри spoke VNet. Выполните шаги, описанные в разделе "Применение принципов нулевого доверия к виртуальным машинам в Azure" для виртуальных машин, созданных для узлов сеансов.

Пулы размещения должны иметь разделённые организационные единицы (ОЕ), если они управляются групповыми политиками в службах доменных служб Active Directory (AD DS).

Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них. Вы можете использовать Microsoft Defender для Endpoint для серверов терминальных сессий. Для получения дополнительной информации см. устройства инфраструктуры виртуальных рабочих столов (VDI).

Шаг 6. Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure

Служба виртуального рабочего стола Azure позволяет использовать Приватный канал Azure для частного подключения к ресурсам путем создания частных конечных точек.

Виртуальный рабочий стол Azure имеет встроенные функции безопасности для защиты узлов сеансов. Однако ознакомьтесь со следующими статьями, чтобы повысить защиту среды виртуального рабочего стола Azure и узлов сеансов:

• Рекомендации по обеспечению безопасности виртуального рабочего стола Azure
• Базовые показатели безопасности Azure для виртуального рабочего стола Azure

Кроме того, ознакомьтесь с ключевыми рекомендациями по проектированию и безопасности, управлению и соответствию требованиям в целевых зонах Виртуального рабочего стола Azure в соответствии с Microsoft Cloud Adoption Framework.

Шаг 7. Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure

Для управления и непрерывного мониторинга важно убедиться, что среда виртуального рабочего стола Azure не участвует в вредоносном поведении. Используйте Аналитику виртуальных рабочих столов Azure для записи данных и отчетов о диагностике и использовании.

Смотрите также следующие статьи:

• Ознакомьтесь с рекомендациями помощника по Azure для виртуального рабочего стола Azure.
• Используйте Microsoft Intune для детального управления политиками.
• Просмотрите и задайте свойства RDP для детализации параметров на уровне пула узлов.

Рекомендуемое обучение

Защита развертывания Виртуального рабочего стола Azure

Обучение	Защита развертывания виртуального рабочего стола Azure
	Узнайте о возможностях безопасности Майкрософт, которые помогают обеспечить безопасность приложений и данных в развертывании виртуального рабочего стола Microsoft Azure.

Начало >

Защита развертывания виртуального рабочего стола Azure с помощью Azure

Обучение	Защита развертывания виртуального рабочего стола Azure с помощью Azure
	Разверните Брандмауэр Azure, направьте весь сетевой трафик через брандмауэр Azure и настройте правила. Перенаправляйте исходящий сетевой трафик из пула узлов Виртуальных рабочих столов Azure в службу через Брандмауэр Azure.

Начало >

Управление доступом и безопасностью для Виртуального рабочего стола Azure

Обучение	Управление доступом и безопасностью для виртуального рабочего стола Azure
	Узнайте, как планировать и реализовывать роли Azure для Виртуальных рабочих столов Azure и реализовывать политики условного доступа для удаленных подключений. Эта схема обучения соответствует экзамену "AZ-140. Настройка и эксплуатация Виртуального рабочего стола Microsoft Azure".

Начало >

Проектирование для идентичностей и профилей пользователей

Обучение	Проектирование идентификаций пользователей и профилей
	Вашим пользователям требуется доступ к этим приложениям как локально, так и в облаке. Вы используете клиент удаленного рабочего стола для Windows для удаленного доступа к приложениям Windows и рабочим столам с другого устройства Windows.

Начало >

Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure

Дальнейшие шаги

Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

• Обзор Azure IaaS
  • Служба хранилища Azure
  • Виртуальные машины
  • Спицевые виртуальные сети
  • Ответвлённые виртуальные сети с сервисами Azure PaaS
  • Виртуальные сети концентратора
• Виртуальная глобальная сеть Azure
• Приложения IaaS в Amazon Web Services
• Microsoft Sentinel и Microsoft Defender XDR

Технические иллюстрации

Иллюстрации, используемые в этой статье, можно скачать. Используйте файл Visio для изменения этих иллюстраций для собственного использования.

PDF | Visio

Для дополнительных технических иллюстраций нажмите здесь.

Ссылки

Ознакомьтесь со ссылками ниже, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.

• Что такое Azure — Microsoft Облачные службы
• Инфраструктура Azure как услуга (IaaS)
• Виртуальные машины (VMs) для Linux и Windows
• Введение в Azure Storage — облачное хранилище Azure
• Виртуальная сеть Azure
• Общие сведения о системе безопасности Azure
• Руководство по реализации нулевого доверия
• Общие сведения о тесте безопасности microsoft cloud security
• Общие сведения о базовых показателях безопасности для Azure
• Создание первого уровня защиты с помощью служб безопасности Azure — Центр архитектуры Azure
• Эталонные архитектуры кибербезопасности Microsoft — документация по безопасности