Överväganden för säkerhet och identitets- och åtkomsthantering (IAM) för Azure Virtual Desktop-arbetsbelastningar
Den här artikeln beskriver säkerhets- och IAM-designområdet för en Azure Virtual Desktop-arbetsbelastning. Azure Virtual Desktop är en hanterad tjänst som tillhandahåller ett Microsoft-kontrollplan för din infrastruktur för virtuella skrivbord. Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (RBAC) för att styra identiteter och hantera åtkomst. Som arbetsbelastningsägare kan du också tillämpa andra Nolltillit principer som är lämpliga för organisationens krav. Exempel är principen verifiera uttryckligen och principen för minst privilegierad åtkomst .
Viktigt
Den här artikeln är en del av Azure Well-Architected Framework Azure Virtual Desktop-arbetsbelastningsserien . Om du inte är bekant med den här serien rekommenderar vi att du börjar med Vad är en Azure Virtual Desktop-arbetsbelastning?.
Använda RBAC
Effekt: Säkerhet, driftseffektivitet
RBAC stöder uppdelning av uppgifter för de olika team och individer som hanterar distributionen av Azure Virtual Desktop. Som en del av din landningszonsdesign måste du bestämma vem som ska ta på sig de olika rollerna. Sedan måste du skapa en säkerhetsgrupp för varje roll för att förenkla tillägg och borttagning av användare till och från roller.
Azure Virtual Desktop tillhandahåller anpassade Azure-roller som är utformade för varje funktionsområde. Information om hur dessa roller konfigureras finns i Inbyggda roller för Azure Virtual Desktop. Du kan också skapa och definiera anpassade Azure-roller som en del av Cloud Adoption Framework för Azure-distribution. Du kan behöva kombinera RBAC-roller som är specifika för Azure Virtual Desktop med andra Azure RBAC-roller. Den här metoden ger en fullständig uppsättning behörigheter som användarna behöver för Azure Virtual Desktop och för andra Azure-tjänster som virtuella datorer (VM) och nätverk.
Rekommendationer
- Definiera roller för de team och individer som hanterar Azure Virtual Desktop-distributioner.
- Definiera inbyggda Azure-roller till separata hanteringsansvar för värdpooler, programgrupper och arbetsytor.
- Skapa en säkerhetsgrupp för varje roll.
Förbättra säkerheten för dina sessionsvärdar
Effekt: Säkerhet
Azure Virtual Desktop använder RDP (Remote Desktop Protocol) för kommunikation mellan terminalservern eller sessionsvärdarna och slutanvändarens klient.
RDP är ett protokoll med flera kanaler som kan tillåta och neka separata virtuella kanaler som innehåller följande information:
- Presentationsdata
- Seriell enhetskommunikation
- Licensieringsinformation
- Mycket krypterade data, till exempel tangentbords- och musaktivitet
För att förbättra säkerheten kan du konfigurera anslutningens RDP-egenskaper centralt i Azure Virtual Desktop.
Rekommendationer
- Begränsa åtkomsten till Utforskaren genom att dölja lokala mappningar och fjärrenhetsmappningar. Den här strategin hindrar användare från att identifiera känslig information om systemkonfigurationer och användare.
- Förhindra att oönskad programvara körs på sessionsvärdar. Du kan aktivera AppLocker för extra säkerhet på sessionsvärdar. Den här funktionen säkerställer att endast de appar som du anger kan köras på värden.
- Använd skärmdumpsskydd och vattenstämpling för att förhindra att känslig information samlas in på klientslutpunkter. När du aktiverar skärmdumpsskydd blockeras eller döljs fjärrinnehåll automatiskt i skärmbilder och skärmdelning. Fjärrskrivbordsklienten döljer också innehåll från skadlig programvara som fångar upp skärmen.
- Använd Microsoft Defender Antivirus för att skydda dina virtuella datorer. Mer information finns i Konfigurera Microsoft Defender Antivirus på en infrastrukturmiljö för fjärrskrivbord eller virtuellt skrivbord.
- Aktivera Windows Defender Programkontroll. Definiera principer för drivrutiner och program, oavsett om du litar på dem eller inte.
- Logga ut användare när de är inaktiva för att bevara resurser och förhindra obehörig åtkomst. Mer information finns i Upprätta principer för maximal inaktiv tid och frånkoppling.
- Aktivera Microsoft Defender för cloud for cloud security posture management (CSPM). Mer information finns i Registrera icke-beständiga VDI-enheter (Virtual Desktop Infrastructure) i Microsoft 365 Defender.
Designöverväganden för centrala plattforms-, identitets- och nätverksteam
Effekt: Säkerhet
Identitet är en grundläggande designprincip för Azure Virtual Desktop. Identitet är också ett viktigt designområde som du bör behandla som ett förstklassigt problem i din arkitekturprocess.
Identitetsdesign för Azure Virtual Desktop
Azure Virtual Desktop stöder olika typer av identiteter för åtkomst till företagsresurser och program. Som arbetsbelastningsägare kan du välja bland olika typer av identitetsprovidrar enligt dina affärs- och organisationsbehov. Granska områdena för identitetsdesign i det här avsnittet för att utvärdera vad som är bäst för din arbetsbelastning.
| Identitetsdesign | Sammanfattning |
|---|---|
| Active Directory Domain Services identitet (AD DS) | Användare måste kunna identifieras via Microsoft Entra-ID för att få åtkomst till Azure Virtual Desktop. Därför stöds inte användaridentiteter som bara finns i AD DS. Fristående Active Directory-distributioner med Active Directory Federation Services (AD FS) (AD FS) stöds inte heller. |
| Hybrididentitet | Azure Virtual Desktop stöder hybrididentiteter via Microsoft Entra-ID, inklusive identiteter som är federerade med hjälp av AD FS. Du kan hantera dessa användaridentiteter i AD DS och synkronisera dem till Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Du kan också använda Microsoft Entra-ID för att hantera dessa identiteter och synkronisera dem till AD DS. |
| Endast molnbaserad identitet | Azure Virtual Desktop stöder molnbaserade identiteter när du använder virtuella datorer som är anslutna med hjälp av Microsoft Entra-ID. Dessa användare skapas och hanteras direkt i Microsoft Entra-ID. |
Viktigt
Azure Virtual Desktop stöder inte företags-till-företag-konton, Microsoft-konton eller externa identiteter.
Mer information om hur du väljer och implementerar en identitets- och autentiseringsstrategi finns i Identiteter och autentiseringsmetoder som stöds.
Rekommendationer
- Skapa ett dedikerat användarkonto med minsta möjliga behörighet. När du distribuerar sessionsvärdar använder du det här kontot för att ansluta sessionsvärdarna till en Microsoft Entra Domain Services- eller AD DS-domän.
- Kräv multifaktorautentisering. Du kan förbättra säkerheten för hela distributionen genom att framtvinga multifaktorautentisering för alla användare och administratörer i Azure Virtual Desktop. Mer information finns i Framtvinga multifaktorautentisering för Microsoft Entra ID för Azure Virtual Desktop med villkorlig åtkomst.
- Aktivera villkorlig åtkomst för Microsoft Entra ID. När du använder villkorsstyrd åtkomst kan du hantera risker innan du ger användarna åtkomst till din Azure Virtual Desktop-miljö. När du bestämmer vilka användare som ska beviljas åtkomst bör du också överväga vem varje användare är, hur de loggar in och vilken enhet de använder.
Säker nätverksdesign för Azure Virtual Desktop
Utan nätverkssäkerhetsåtgärder kan angripare få åtkomst till dina tillgångar. För att skydda dina resurser är det viktigt att placera kontroller på nätverkstrafiken. Rätt nätverkssäkerhetskontroller kan hjälpa dig att identifiera och stoppa angripare som kommer in i dina molndistributioner.
Rekommendationer
- Använd en hub-spoke-arkitektur. Det är viktigt att skilja mellan delade tjänster och Azure Virtual Desktop-programtjänster. En hub-spoke-arkitektur är en bra metod för säkerhet. Du bör behålla arbetsbelastningsspecifika resurser i sitt eget virtuella nätverk som är skilt från delade tjänster i hubben. Exempel på delade tjänster är hanterings- och DNS-tjänster (Domain Name System).
- Använd nätverkssäkerhetsgrupper. Du kan använda nätverkssäkerhetsgrupper för att filtrera nätverkstrafik till och från din Azure Virtual Desktop-arbetsbelastning. Tjänsttaggar och regler för nätverkssäkerhetsgrupper är ett sätt för dig att tillåta eller neka åtkomst till ditt Azure Virtual Desktop-program. Du kan till exempel tillåta åtkomst till Azure Virtual Desktop-programportarna från lokala IP-adressintervall och du kan neka åtkomst från det offentliga Internet. Mer information finns i Nätverkssäkerhetsgrupper. För att kunna distribuera Azure Virtual Desktop och göra det tillgängligt för användarna måste du tillåta specifika URL:er som dina virtuella sessionsvärddatorer kan komma åt när som helst. En lista över dessa URL:er finns i Nödvändiga URL:er för Azure Virtual Desktop.
- Isolera dina värdpooler genom att placera varje värdpool i ett separat virtuellt nätverk. Använd nätverkssäkerhetsgrupper med de URL:er som Azure Virtual Desktop kräver för varje undernät.
- Framtvinga nätverks- och programsäkerhet. Nätverks- och programsäkerhetskontroller är grundläggande säkerhetsåtgärder för varje Azure Virtual Desktop-arbetsbelastning. Azure Virtual Desktop-sessionens värdnätverk och program kräver rigorös säkerhetsgranskning och baslinjekontroller.
- Undvik direkt RDP-åtkomst till sessionsvärdar i din miljö genom att inaktivera eller blockera RDP-porten. Om du behöver direkt RDP-åtkomst för administrativa ändamål eller felsökning använder du Azure Bastion för att ansluta till sessionsvärdar.
- Använd Azure Private Link med Azure Virtual Desktop för att hålla trafiken inom Microsoft-nätverket och förbättra säkerheten. När du skapar en privat slutpunkt förblir trafiken mellan ditt virtuella nätverk och tjänsten kvar i Microsoft-nätverket. Du behöver inte längre exponera tjänsten för det offentliga Internet. Du kan också använda ett virtuellt privat nätverk (VPN) eller Azure ExpressRoute så att användare med en fjärrskrivbordsklient kan ansluta till ditt virtuella nätverk.
- Använd Azure Firewall för att skydda Azure Virtual Desktop. Azure Virtual Desktop-sessionsvärdar körs i ditt virtuella nätverk och omfattas av säkerhetskontrollerna för virtuella nätverk. Om dina program eller användare behöver utgående Internetåtkomst rekommenderar vi att du använder Azure Firewall för att skydda dem och låsa din miljö.
Kryptera data under överföring
Effekt: Säkerhet
Kryptering under överföring gäller tillståndet för data som flyttas från en plats till en annan. Du kan kryptera data under överföring på flera sätt, beroende på anslutningens natur. Mer information finns i Kryptering av data under överföring.
Azure Virtual Desktop använder TLS version 1.2 (Transport Layer Security) för alla anslutningar som initieras från klienter och sessionsvärdar till Azure Virtual Desktop-infrastrukturkomponenterna. Azure Virtual Desktop använder samma TLS 1.2-chiffer som Azure Front Door. Det är viktigt att se till att klientdatorer och sessionsvärdar kan använda dessa chiffer. För omvänd anslutning ansluter klienten och sessionsvärden till Azure Virtual Desktop-gatewayen. Klienten och sessionsvärden upprättar sedan en TCP-anslutning (Transmission Control Protocol). Därefter validerar klient- och sessionsvärden Azure Virtual Desktop-gatewaycertifikatet. RDP används för att upprätta bastransporten. RDP upprättar sedan en kapslad TLS-anslutning mellan klienten och sessionsvärden med hjälp av sessionsvärdcertifikaten.
Mer information om nätverksanslutningar finns i Förstå Azure Virtual Desktop-nätverksanslutning.
Rekommendationer
- Förstå hur Azure Virtual Desktop krypterar data under överföring.
- Kontrollera att klientdatorer och sessionsvärdar kan använda de TLS 1.2-chiffer som Azure Front Door använder.
Använda konfidentiell databehandling för att kryptera data som används
Effekt: Säkerhet, prestandaeffektivitet
Använd konfidentiell databehandling för att skydda data som används när du arbetar i reglerade branscher som myndigheter, finansiella tjänster och vårdinstitut.
Du kan använda konfidentiella virtuella datorer för Azure Virtual Desktop. Konfidentiella virtuella datorer ökar datasekretessen och säkerheten genom att skydda data som används. Azure DCasv5- och ECasv5-serien för konfidentiella virtuella datorer tillhandahåller en maskinvarubaserad betrodd körningsmiljö (TEE). Den här miljön har säkerhetsfunktionerna Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Dessa funktioner skyddar gästskyddet för att neka hypervisor-programmet och annan värdhanteringskod åtkomst till vm-minne och -tillstånd. De hjälper också till att skydda mot operatörsåtkomst och krypterar data som används.
Konfidentiella virtuella datorer har stöd för version 22H1, 22H2 och framtida versioner av Windows 11. Konfidentiellt stöd för virtuella datorer för Windows 10 planeras. Konfidentiell diskkryptering för operativsystem är tillgängligt för konfidentiella virtuella datorer. Integritetsövervakning är också tillgängligt under etablering av Azure Virtual Desktop-värdpooler för konfidentiella virtuella datorer.
Mer information finns i följande resurser:
Rekommendationer
- Använd konfidentiell databehandling för att skydda data som används.
- Använd den konfidentiella VM-serien Azure DCasv5 och ECasv5 för att skapa en maskinvarubaserad TEE.
Relaterade Azure Virtual Desktop-säkerhetsresurser
Nästa steg
Nu när du har tittat på metodtips för att skydda Azure Virtual Desktop kan du undersöka operativa hanteringsprocedurer för att uppnå affärskvalitet.
Använd utvärderingsverktyget för att utvärdera dina designval.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för