Säkerhet och styrning

Den här artikeln innehåller viktiga designöverväganden och rekommendationer för säkerhet, styrning och efterlevnad i Azure Virtual Desktop-landningszoner i enlighet med Microsofts Cloud Adoption Framework.

Gå igenom följande avsnitt för att hitta rekommenderade säkerhetskontroller och styrning för din Azure Virtual Desktop-landningszon.

Identitet

• Skydda användaråtkomsten till Azure Virtual Desktop genom att upprätta microsoft entra-princip för villkorsstyrd åtkomst med Microsoft Entra multifaktorautentisering eller ett partnerverktyg för multifaktorautentisering. Överväg användarnas platser, enheter och inloggningsbeteenden och lägg till extra kontroller efter behov baserat på deras åtkomstmönster. Mer information om hur du aktiverar Azure multifaktorautentisering för Azure Virtual Desktop finns i Aktivera Azure multifaktorautentisering för Azure Virtual Desktop.

• Tilldela den minsta behörighet som krävs genom att definiera administrativa roller, åtgärder och tekniska roller till Azure RBAC-roller. Om du vill begränsa åtkomsten till roller med hög behörighet i din Azure Virtual Desktop-landningszon bör du överväga integrering med Azure Privileged Identity Management (PIM). Genom att ha kunskap om vilket team som ansvarar för varje administrativt område kan du fastställa rollroller och konfigurationer för rollbaserad åtkomstkontroll (RBAC) i Azure.

• Använd Azure Managed Identity eller tjänstens huvudnamn med certifikatautentiseringsuppgifter för automatisering och tjänster för Azure Virtual Desktop. Tilldela lägsta behörighet till automationskontot och omfånget begränsat till Azure Virtual Desktop-landningszoner. Du kan använda Azure Key Vault med Hanterade Azure-identiteter så att körningsmiljöer (till exempel en Azure-funktion) kan hämta autentiseringsuppgifter för automatisering från nyckelvalvet.

• Se till att du samlar in användar- och administratörsaktivitetsloggning för Microsoft Entra-ID och Azure Virtual Desktop-landningszoner. Övervaka dessa loggar med ditt SIEM-verktyg (Security Information and Event Management). Du kan samla in loggar från olika källor, till exempel:

  • Azure-aktivitetslogg
  • Microsoft Entra-aktivitetslogg
  • Microsoft Entra ID
  • Sessionsvärdar
  • Key Vault-loggar

• Använd Microsoft Entra-grupper i stället för enskilda användare när du tilldelar åtkomst till Azure Virtual Desktop-programgrupper. Överväg att använda befintliga säkerhetsgrupper som mappar till affärsfunktioner i din organisation, vilket gör att du kan återanvända befintliga processer för användaretablering och avetablering.

Nätverk

• Etablera eller återanvända ett dedikerat virtuellt nätverk för dina Azure Virtual Desktop-landningszoner. Planera IP-adressutrymme för att hantera omfattningen av dina sessionsvärdar. Upprätta din baslinjeundernätsstorlek baserat på det lägsta och högsta antalet sessionsvärdar per värdpool. Mappa dina affärsenhetskrav till dina värdpooler.

• Använd nätverkssäkerhetsgrupper (NSG:er) och/eller Azure Firewall (eller brandväggsinstallation från tredje part) för att upprätta mikrosegmentering. Använd Azure Virtual Network-tjänsttaggar och programtjänstgrupper (ASG:er) för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller en Azure Firewall som konfigurerats för dina Azure Virtual Desktop-resurser. Kontrollera att sessionsvärdens utgående åtkomst till nödvändiga URL:er kringgås av proxyn (om den används i sessionsvärdar) och Azure Firewall (eller brandväggsinstallation från tredje part).

• Baserat på dina program och företagets segmenteringsstrategi begränsar du trafiken mellan dina sessionsvärdar och interna resurser via säkerhetsgruppsregler eller Azure Firewall (eller en brandväggsinstallation från tredje part) i stor skala.

• Aktivera Azure DDoS-standardskydd för Azure Firewall (eller en brandväggsinstallation från tredje part) för att skydda dina Azure Virtual Desktop-landningszoner.

• Om du använder proxy för utgående Internetåtkomst från dina sessionsvärdar:

  • Konfigurera proxyservrar i samma geografiska område som Azure Virtual Desktop-sessionsvärdar och -klienter (om du använder molnproxyleverantörer).
  • Använd inte TLS-inspektion. I Azure Virtual Desktop krypteras trafiken under överföring som standard.
  • Undvik proxykonfiguration som kräver användarautentisering. Azure Virtual Desktop-komponenter på sessionsvärden körs i kontexten för deras operativsystem, så att de inte stöder proxyservrar som kräver autentisering. Systemomfattande proxy måste vara aktiverad för att du ska kunna konfigurera proxy på värdnivå på sessionsvärden.

• Kontrollera att slutanvändarna har åtkomst till Azure Virtual Desktop-klient-URL:er. Om proxyagenten/konfigurationen används på användarnas enheter ska du även kringgå Azure Virtual Desktop-klient-URL:erna.

• Använd just-in-time-åtkomst för administration och felsökning av sessionsvärdar. Undvik att bevilja direkt RDP-åtkomst till sessionsvärdar. AVD-sessionsvärdar använder omvänd Anslut transport för att upprätta fjärrsessioner.

• Använd adaptiva nätverkshärdningsfunktioner i Microsoft Defender för molnet för att hitta nätverkssäkerhetsgruppskonfigurationer som begränsar portar och käll-IP-adresser med hänvisning till regler för extern nätverkstrafik.

• Samla in dina Azure Firewall-loggar (eller brandväggsinstallationer från tredje part) med Azure Monitor eller en partnerövervakningslösning. Du bör också övervaka loggar av SIEM med hjälp av Azure Sentinel eller en liknande tjänst.

• Använd endast en privat slutpunkt för Azure-filer som används för FSLogix-profilcontainrar.

• Konfigurera RDP Shortpath för att komplettera omvänd anslutningstransport.

Sessionsvärdar

• Skapa en dedikerad organisationsenhet (OU) i Active Directory för Azure Virtual Desktop-sessionsvärdarna. Använd dedikerade grupprinciper för dina sessionsvärdar för att hantera kontroller som:

  • Aktivera skärmdumpsskydd för att förhindra att känslig skärminformation samlas in på klientslutpunkterna.
  • Ange principer för maximal inaktiv/frånkopplingstid och skärmlås.
  • Dölj lokala mappningar och fjärrenhetsmappningar i Utforskaren.
  • Du kan också konfigurera parametrar för FSLogix-profilcontainrar och FSLogix Cloud Cache.

• Kontrollera omdirigering av enheter för sessionsvärdarna. Vanliga inaktiverade enheter är lokal hårddiskåtkomst och USB- eller portbegränsningar. Att begränsa kameraomdirigering och fjärrutskrift kan hjälpa till att skydda organisationens data. Inaktivera omdirigering av Urklipp för att förhindra att fjärrinnehåll kopieras till slutpunkter.

• Aktivera nästa generations Antivirus Endpoint Protection som Microsoft Defender för Endpoint på dina sessionsvärdar. Om du använder en partnerslutpunktslösning kontrollerar du att Microsoft Defender för molnet kan verifiera dess tillstånd. Du bör även inkludera FSLogix-profilcontainer för antivirusundantag. Microsoft Defender för Endpoint integreras direkt med flera Microsoft Defender-lösningar, inklusive:

  • Microsoft Defender för molnet
  • Microsoft Sentinel
  • Intune

• Aktivera Hantering av hot och säkerhetsrisker utvärderingar. Integrera Microsoft Defender för Endpoints Hantering av hot och säkerhetsrisker lösning med Microsoft Defender för molnet eller en hantering av säkerhetsrisker lösning från tredje part). Microsoft Defender för molnet integreras internt med Qualys lösning för sårbarhetsbedömning.

• Använd programkontroll via Windows Defender Application Control (WDAC) eller AppLocker för att säkerställa att programmen är tillförlitliga före körning. Principer för programkontroll kan också blockera osignerade skript och MSI:er och begränsa Att Windows PowerShell körs i begränsat språkläge.

• Aktivera betrodd start för virtuella Gen2 Azure-datorer för att aktivera funktioner som säker start, vTPM och virtualiseringsbaserad säkerhet (VBS). Microsoft Defender för molnet kan övervaka sessionsvärdar som konfigurerats med betrodd start.

• Randomisera lokala administratörslösenord med Windows LAPS för att skydda mot pass-the-hash- och laterala bläddringar.

• Kontrollera att dina sessionsvärdar övervakas av Azure Monitor eller en partnerövervakningslösning via Event Hubs.

• Upprätta en strategi för uppdateringshantering för sessionsvärdarna. Med Microsoft Endpoint Configuration Manager kan Azure Virtual Desktop-sessionsvärdar ta emot uppdateringar automatiskt. Du bör korrigera basavbildningar minst en gång var 30:e dag. Överväg att använda Azure Image Builder (AIB) för att upprätta en egen avbildningspipeline för Azure Virtual Desktop-basavbildningen.

Mer information om metodtips för Azure Virtual Desktop-sessionsvärdsäkerhet finns i Metodtips för sessionsvärdsäkerhet.

En detaljerad lista över metodtips för säkerhet på virtuella Azure-datorer finns i Säkerhetsrekommendationer för virtuella datorer i Azure.

Dataskydd

• Microsoft Azure krypterar vilande data för att skydda dem mot "out of band"-attacker, till exempel försök att komma åt underliggande lagring. Den här krypteringen hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra dina data. Microsofts metod för att aktivera två krypteringslager för vilande data omfattar:

  • Diskkryptering med kundhanterade nycklar. Användarna tillhandahåller sin egen nyckel för diskkryptering. De kan ta med sina egna nycklar till nyckelvalvet (en metod som kallas BYOK – Bring Your Own Key) eller generera nya nycklar i Azure Key Vault för att kryptera önskade resurser (inklusive sessionsvärddiskar).
  • Infrastrukturkryptering med plattformshanterade nycklar. Som standard krypteras diskar automatiskt i vila via plattformshanterade krypteringsnycklar.
  • Kryptering på den virtuella datorns värd (Azure-server som den virtuella datorn allokeras till). Varje virtuell dators tillfälliga disk- och OS-/datadiskcachedata lagras på den virtuella datorns värd. När kryptering på den virtuella datorns värd är aktiverad krypteras dessa data i vila och flöden krypteras till lagringstjänsten för att bevaras.

• Distribuera en informationsskyddslösning som Microsoft Purview Information Protection eller en lösning från tredje part som ser till att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.

• Använd Security Policy Advisor för Microsoft 365-appar för företag för att förbättra säkerheten för Office-distributionen. Det här verktyget identifierar principer som du kan tillämpa på distributionen för mer säkerhet och rekommenderar även principer baserat på deras effekter på din säkerhet och produktivitet.

• Konfigurera identitetsbaserad autentisering för Azure Files som används för FSLogix-användarprofiler via lokal Active Directory Domain Services (AD DS) och Microsoft Entra Domain Services. Konfigurera NTFS-behörigheter så att behöriga användare kan komma åt dina Azure Files.

Kostnadshantering

• Använd Azure-taggar för att organisera kostnader för att skapa, hantera och distribuera Azure Virtual Desktop-resurser. Tagga alla dina värdpooler och virtuella datorer för att identifiera den associerade beräkningskostnaden för Azure Virtual Desktop. Tagga Azure Files- eller Azure NetApp Files-resurser för att spåra lagringskostnaden som är associerad med FSLogix-användarprofilcontainrar, anpassade OS-avbildningar och MSIX-appanslutning (om det används).

• Definiera de minsta föreslagna taggarna som ska anges för alla dina Azure Virtual Desktop-resurser. Du kan ange Azure-taggar under distributionen eller efter etableringen. Överväg att använda inbyggda Azure Policy-definitioner för att framtvinga taggningsregler.

• Ange budgetar i Azure Cost Management för att proaktivt hantera Azure-användningskostnader. När budgettrösklar som du har skapat överskrids utlöses meddelanden.

• Skapa Azure Cost Management-aviseringar för att övervaka Azure-användning och utgifter mot Azure Virtual Desktop-landningszonen.

• Konfigurera funktionen Starta virtuell dator på Anslut för att spara kostnader genom att låta slutanvändarna aktivera sina virtuella datorer endast när de behöver dem.

• Distribuera skalningslösningar för poolade sessionsvärdar via Azure Automation eller funktionen Autoskalning (förhandsversion)

Resurskonsekvens

• Använd Intune för personliga sessionsvärdar i Azure Virtual Desktop för att tillämpa befintliga eller skapa nya konfigurationer och skydda dina virtuella datorer med efterlevnadsprincip och villkorlig åtkomst. Intune-hanteringen är inte beroende av eller stör Azure Virtual Desktop-hanteringen av samma virtuella dator.

• Med hantering av sessionsvärdar med Intune kan du hantera fjärrskrivbord med Windows 10 eller Windows 11 Enterprise med flera sessioner i Administrationscenter för Intune, precis som du kan hantera en delad Windows 10- eller Windows 11-klientenhet. När du hanterar sådana virtuella datorer kan du använda både enhetsbaserad konfiguration riktad till enheter eller användarbaserad konfiguration riktad till användare.

• Granska och konfigurera härdningen av sessionsvärdarnas operativsystem med hjälp av Azure Policy-gästkonfiguration. Använd Windows säkerhetsbaslinjer som utgångspunkt för att skydda ditt Windows-operativsystem.

• Använd inbyggda Azure Policy-definitioner för att konfigurera diagnostikinställningarna för Azure Virtual Desktop-resurser som arbetsytor, programgrupper och värdpooler.

Granska metodtipsen för säkerhet för Azure Virtual Desktop som utgångspunkt för säkerhet i din miljö.

Regelefterlevnad

Nästan alla organisationer måste följa olika myndighets- eller branschregler. Granska sådana principer med ditt efterlevnadsteam och implementera rätt kontroller för din specifika Azure Virtual Desktop-landningszon. Du bör till exempel överväga kontroller för specifika principer som Payment Card Industry Data Security Standard (PCI DSS) eller Health Insurance Portability and Accountability Act från 1996 (HIPAA) om din organisation följer deras ramverk.

• Använd Microsoft Defender för molnet för att tillämpa extra efterlevnadsstandarder för Azure Virtual Desktop-landningszoner om det behövs. Microsoft Defender för molnet hjälper dig att effektivisera processen för att uppfylla regelefterlevnadskrav via instrumentpanelen för regelefterlevnad. Du kan lägga till inbyggda eller anpassade compliancy-standarder på instrumentpanelen. Redan inbyggda regelstandarder som du kan lägga till är:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • Styrning av UK OFFICIAL och UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Nyzeeländskt ISM begränsat
  • CMMC-nivå 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Om din organisation är bunden av krav på datahemvist bör du överväga att begränsa distributionen av Azure Virtual Desktop-resurser (arbetsytor, programgrupper och värdpooler) till följande geografiska områden:

  • USA
  • Europa
  • Storbritannien
  • Kanada

  Om du begränsar distributionen till dessa geografiska områden kan du se till att Azure Virtual Desktop-metadata lagras i regionen azure virtual desktop-resursområdet, eftersom dina sessionsvärdar kan distribueras över hela världen för att passa din användarbas.

• Använd grupprincip- och enhetshanteringsverktyg som Intune och Microsoft Endpoint Configuration Manager för att upprätthålla en grundlig säkerhets- och efterlevnadspraxis för dina sessionsvärdar.

• Konfigurera aviseringar och automatiserade svar i Microsoft Defender för molnet för att säkerställa övergripande efterlevnad av Azure Virtual Desktop-landningszoner.

• Granska Microsoft Secure Score för att mäta organisationens övergripande säkerhetsstatus i följande produkter:

  • Microsoft 365 (inklusive Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender för slutpunkter
  • Microsoft Defender for Identity
  • Defender för molnappar
  • Microsoft Teams

• Granska Microsoft Defender för molnet Secure Score för att förbättra den övergripande säkerhetsefterlevnaden för dina virtuella Azure-landningszoner.

Rekommenderade metodtips och baslinjer för säkerhet

• Rekommenderade säkerhetsmetoder för Azure Virtual Desktop
• Säkerhetsbaslinje för Azure Virtual Desktop baserat på Azure Security Benchmark
• Tillämpa Nolltillit principer på en Azure Virtual Desktop-distribution

Nästa steg

Lär dig mer om plattformsautomatisering och DevOps för ett scenario i företagsskala i Azure Virtual Desktop.

Plattformsautomatisering och DevOps