Dela via


Säkerhet och styrning

Den här artikeln innehåller viktiga designöverväganden och rekommendationer för säkerhet, styrning och efterlevnad i Azure Virtual Desktop-landningszoner i enlighet med Microsofts Cloud Adoption Framework.

Gå igenom följande avsnitt för att hitta rekommenderade säkerhetskontroller och styrning för din Azure Virtual Desktop-landningszon.

Identitet

  • Skydda användaråtkomsten till Azure Virtual Desktop genom att upprätta microsoft entra-princip för villkorsstyrd åtkomst med Microsoft Entra multifaktorautentisering eller ett partnerverktyg för multifaktorautentisering. Överväg användarnas platser, enheter och inloggningsbeteenden och lägg till extra kontroller efter behov baserat på deras åtkomstmönster. Mer information om hur du aktiverar Azure multifaktorautentisering för Azure Virtual Desktop finns i Aktivera Azure multifaktorautentisering för Azure Virtual Desktop.

  • Tilldela den minsta behörighet som krävs genom att definiera administrativa roller, åtgärder och tekniska roller till Azure RBAC-roller. Om du vill begränsa åtkomsten till roller med hög behörighet i din Azure Virtual Desktop-landningszon bör du överväga integrering med Azure Privileged Identity Management (PIM). Genom att ha kunskap om vilket team som ansvarar för varje administrativt område kan du fastställa rollroller och konfigurationer för rollbaserad åtkomstkontroll (RBAC) i Azure.

  • Använd Azure Managed Identity eller tjänstens huvudnamn med certifikatautentiseringsuppgifter för automatisering och tjänster för Azure Virtual Desktop. Tilldela lägsta behörighet till automationskontot och omfånget begränsat till Azure Virtual Desktop-landningszoner. Du kan använda Azure Key Vault med Hanterade Azure-identiteter så att körningsmiljöer (till exempel en Azure-funktion) kan hämta autentiseringsuppgifter för automatisering från nyckelvalvet.

  • Se till att du samlar in användar- och administratörsaktivitetsloggning för Microsoft Entra-ID och Azure Virtual Desktop-landningszoner. Övervaka dessa loggar med ditt SIEM-verktyg (Security Information and Event Management). Du kan samla in loggar från olika källor, till exempel:

  • Använd Microsoft Entra-grupper i stället för enskilda användare när du tilldelar åtkomst till Azure Virtual Desktop-programgrupper. Överväg att använda befintliga säkerhetsgrupper som mappar till affärsfunktioner i din organisation, vilket gör att du kan återanvända befintliga processer för användaretablering och avetablering.

Nätverk

  • Etablera eller återanvända ett dedikerat virtuellt nätverk för dina Azure Virtual Desktop-landningszoner. Planera IP-adressutrymme för att hantera omfattningen av dina sessionsvärdar. Upprätta din baslinjeundernätsstorlek baserat på det lägsta och högsta antalet sessionsvärdar per värdpool. Mappa dina affärsenhetskrav till dina värdpooler.

  • Använd nätverkssäkerhetsgrupper (NSG:er) och/eller Azure Firewall (eller brandväggsinstallation från tredje part) för att upprätta mikrosegmentering. Använd Azure Virtual Network-tjänsttaggar och programtjänstgrupper (ASG:er) för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller en Azure Firewall som konfigurerats för dina Azure Virtual Desktop-resurser. Kontrollera att sessionsvärdens utgående åtkomst till nödvändiga URL:er kringgås av proxyn (om den används i sessionsvärdar) och Azure Firewall (eller brandväggsinstallation från tredje part).

  • Baserat på dina program och företagets segmenteringsstrategi begränsar du trafiken mellan dina sessionsvärdar och interna resurser via säkerhetsgruppsregler eller Azure Firewall (eller en brandväggsinstallation från tredje part) i stor skala.

  • Aktivera Azure DDoS-standardskydd för Azure Firewall (eller en brandväggsinstallation från tredje part) för att skydda dina Azure Virtual Desktop-landningszoner.

  • Om du använder proxy för utgående Internetåtkomst från dina sessionsvärdar:

    • Konfigurera proxyservrar i samma geografiska område som Azure Virtual Desktop-sessionsvärdar och -klienter (om du använder molnproxyleverantörer).
    • Använd inte TLS-inspektion. I Azure Virtual Desktop krypteras trafiken under överföring som standard.
    • Undvik proxykonfiguration som kräver användarautentisering. Azure Virtual Desktop-komponenter på sessionsvärden körs i kontexten för deras operativsystem, så att de inte stöder proxyservrar som kräver autentisering. Systemomfattande proxy måste vara aktiverad för att du ska kunna konfigurera proxy på värdnivå på sessionsvärden.
  • Kontrollera att slutanvändarna har åtkomst till Azure Virtual Desktop-klient-URL:er. Om proxyagenten/konfigurationen används på användarnas enheter ska du även kringgå Azure Virtual Desktop-klient-URL:erna.

  • Använd just-in-time-åtkomst för administration och felsökning av sessionsvärdar. Undvik att bevilja direkt RDP-åtkomst till sessionsvärdar. AVD-sessionsvärdar använder reverse connect-transport för att upprätta fjärrsessioner.

  • Använd adaptiva nätverkshärdningsfunktioner i Microsoft Defender för molnet för att hitta nätverkssäkerhetsgruppskonfigurationer som begränsar portar och käll-IP-adresser med hänvisning till regler för extern nätverkstrafik.

  • Samla in dina Azure Firewall-loggar (eller brandväggsinstallationer från tredje part) med Azure Monitor eller en partnerövervakningslösning. Du bör också övervaka loggar av SIEM med hjälp av Microsoft Sentinel eller en liknande tjänst.

  • Använd endast en privat slutpunkt för Azure-filer som används för FSLogix-profilcontainrar.

  • Konfigurera RDP Shortpath för att komplettera omvänd anslutningstransport.

Sessionsvärdar

Mer information om metodtips för Azure Virtual Desktop-sessionsvärdsäkerhet finns i Metodtips för sessionsvärdsäkerhet.

En detaljerad lista över metodtips för säkerhet på virtuella Azure-datorer finns i Säkerhetsrekommendationer för virtuella datorer i Azure.

Dataskydd

  • Microsoft Azure krypterar vilande data för att skydda dem mot "out of band"-attacker, till exempel försök att komma åt underliggande lagring. Den här krypteringen hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra dina data. Microsofts metod för att aktivera två krypteringslager för vilande data omfattar:

    • Diskkryptering med kundhanterade nycklar. Användarna tillhandahåller sin egen nyckel för diskkryptering. De kan ta med sina egna nycklar till nyckelvalvet (en metod som kallas BYOK – Bring Your Own Key) eller generera nya nycklar i Azure Key Vault för att kryptera önskade resurser (inklusive sessionsvärddiskar).
    • Infrastrukturkryptering med plattformshanterade nycklar. Som standard krypteras diskar automatiskt i vila via plattformshanterade krypteringsnycklar.
    • Kryptering på den virtuella datorns värd (Azure-server som den virtuella datorn allokeras till). Varje virtuell dators tillfälliga disk- och OS-/datadiskcachedata lagras på den virtuella datorns värd. När kryptering på den virtuella datorns värd är aktiverad krypteras dessa data i vila och flöden krypteras till lagringstjänsten för att bevaras.
  • Distribuera en informationsskyddslösning som Microsoft Purview Information Protection eller en lösning från tredje part som ser till att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.

  • Använd Security Policy Advisor för Microsoft 365 aplikacije för företag för att förbättra säkerheten för Office-distributionen. Det här verktyget identifierar principer som du kan tillämpa på distributionen för mer säkerhet och rekommenderar även principer baserat på deras effekter på din säkerhet och produktivitet.

  • Konfigurera identitetsbaserad autentisering för Azure Files som används för FSLogix-användarprofiler via lokalni Active Directory Domain Services (AD DS) och Microsoft Entra Domain Services. Konfigurera NTFS-behörigheter så att behöriga användare kan komma åt dina Azure Files.

Kostnadshantering

  • Använd Azure-taggar för att organisera kostnader för att skapa, hantera och distribuera Azure Virtual Desktop-resurser. Tagga alla dina värdpooler och virtuella datorer för att identifiera den associerade beräkningskostnaden för Azure Virtual Desktop. Tagga Azure Files- eller Azure NetApp Files-resurser för att spåra lagringskostnaden som är associerad med FSLogix-användarprofilcontainrar, anpassade OS-avbildningar och MSIX-appanslutning (om det används).

  • Definiera de minsta föreslagna taggarna som ska anges för alla dina Azure Virtual Desktop-resurser. Du kan ange Azure-taggar under distributionen eller efter etableringen. Överväg att använda inbyggda Azure Policy-definitioner för att framtvinga taggningsregler.

  • Ange budgetar i Microsoft Cost Management för att proaktivt hantera Azure-användningskostnader. När budgettrösklar som du har skapat överskrids utlöses meddelanden.

  • Skapa Cost Management-aviseringar för att övervaka Azure-användning och utgifter mot Azure Virtual Desktop-landningszonen.

  • Konfigurera funktionen Starta virtuell dator på connect för att spara kostnader genom att låta slutanvändarna aktivera sina virtuella datorer endast när de behöver dem.

  • Distribuera skalningslösningar för poolade sessionsvärdar via Azure Automation eller funktionen Autoskalning (förhandsversion)

Resurskonsekvens

  • Använd Intune för personliga sessionsvärdar i Azure Virtual Desktop för att tillämpa befintliga eller skapa nya konfigurationer och skydda dina virtuella datorer med efterlevnadsprincip och villkorlig åtkomst. Intune-hanteringen är inte beroende av eller stör Azure Virtual Desktop-hanteringen av samma virtuella dator.

  • Med hantering av sessionsvärdar med Intune kan du hantera fjärrskrivbord med Windows 10 eller Windows 11 Enterprise med flera sessioner i Administrationscenter för Intune, precis som du kan hantera en delad Windows 10- eller Windows 11-klientenhet. När du hanterar sådana virtuella datorer kan du använda både enhetsbaserad konfiguration riktad till enheter eller användarbaserad konfiguration riktad till användare.

  • Granska och konfigurera härdningen av sessionsvärdarnas operativsystem med hjälp av Azure Policy-datorkonfiguration. Använd Windows säkerhetsbaslinjer som utgångspunkt för att skydda ditt Windows-operativsystem.

  • Använd inbyggda Azure Policy-definitioner för att konfigurera diagnostikinställningarna för Azure Virtual Desktop-resurser som arbetsytor, programgrupper och värdpooler.

Granska metodtipsen för säkerhet för Azure Virtual Desktop som utgångspunkt för säkerhet i din miljö.

Regelefterlevnad

Nästan alla organisationer måste följa olika myndighets- eller branschregler. Granska sådana principer med ditt efterlevnadsteam och implementera rätt kontroller för din specifika Azure Virtual Desktop-landningszon. Du bör till exempel överväga kontroller för specifika principer som Payment Card Industry Data Security Standard (PCI DSS) eller Health Insurance Portability and Accountability Act från 1996 (HIPAA) om din organisation följer deras ramverk.

  • Använd Microsoft Defender för molnet för att tillämpa extra efterlevnadsstandarder för Azure Virtual Desktop-landningszoner om det behövs. Microsoft Defender för molnet hjälper dig att effektivisera processen för att uppfylla regelefterlevnadskrav via instrumentpanelen för regelefterlevnad. Du kan lägga till inbyggda eller anpassade compliancy-standarder på instrumentpanelen. Redan inbyggda regelstandarder som du kan lägga till är:

    • PCI-DSS v3.2.1:2018
    • SOC TSP
    • NIST SP 800-53 R4
    • NIST SP 800 171 R2
    • Styrning av UK OFFICIAL och UK NHS
    • Canada Federal PBMM
    • Azure CIS 1.1.0
    • HIPAA/HITRUST
    • SWIFT CSP CSCF v2020
    • ISO 27001:2013
    • Nyzeeländskt ISM begränsat
    • CMMC-nivå 3
    • Azure CIS 1.3.0
    • NIST SP 800-53 R5
    • FedRAMP H
    • FedRAMP M
  • Om din organisation är bunden av krav på datahemvist bör du överväga att begränsa distributionen av Azure Virtual Desktop-resurser (arbetsytor, programgrupper och värdpooler) till följande geografiska områden:

    • USA
    • Europa
    • Storbritannien
    • Kanada

    Om du begränsar distributionen till dessa geografiska områden kan du se till att Azure Virtual Desktop-metadata lagras i regionen azure virtual desktop-resursområdet, eftersom dina sessionsvärdar kan distribueras över hela världen för att passa din användarbas.

  • Använd grupprincip- och enhetshanteringsverktyg som Intune och Microsoft Endpoint Configuration Manager för att upprätthålla en grundlig säkerhets- och efterlevnadspraxis för dina sessionsvärdar.

  • Konfigurera aviseringar och automatiserade svar i Microsoft Defender för molnet för att säkerställa övergripande efterlevnad av Azure Virtual Desktop-landningszoner .

  • Granska Microsoft Secure Score för att mäta organisationens övergripande säkerhetsstatus i följande produkter:

    • Microsoft 365 (inklusive Exchange Online)
    • Microsoft Entra ID
    • Microsoft Defender för slutpunkter
    • Microsoft Defender for Identity
    • Defender för molnappar
    • Microsoft Teams
  • Granska Säkerhetspoäng för Microsoft Defender för molnet för att förbättra den övergripande säkerhetsefterlevnaden för dina virtuella Azure-landningszoner.

Nästa steg

Lär dig mer om plattformsautomatisering och DevOps för ett scenario i företagsskala i Azure Virtual Desktop.