Share via

Azure Sanal Masaüstü iş yükleri için güvenlik ve kimlik ve erişim yönetimi (IAM) konuları

  • Makale

Bu makalede Azure Sanal Masaüstü iş yükünün güvenlik ve IAM tasarım alanı ele alınmaktadır. Azure Sanal Masaüstü , sanal masaüstü altyapınız için bir Microsoft denetim düzlemi sağlayan yönetilen bir hizmettir. Azure Sanal Masaüstü, kimlikleri denetlemek ve erişimi yönetmek için Azure rol tabanlı erişim denetimini (RBAC) kullanır. İş yükü sahibi olarak, kuruluş gereksinimlerinize uygun diğer Sıfır Güven ilkelerini de uygulayabilirsiniz. Açıkça doğrulama ilkesi ve en az ayrıcalıklı erişim ilkesi örnek olarak verilebilir.

Önemli

Bu makale, Azure Well-Architected Framework Azure Sanal Masaüstü iş yükü serisinin bir parçasıdır. Bu seriyi bilmiyorsanız Azure Sanal Masaüstü iş yükü nedir? ile başlamanızı öneririz.

RBAC kullanma

Etki: Güvenlik, Operasyonel Mükemmellik

RBAC, Azure Sanal Masaüstü dağıtımını yöneten çeşitli ekipler ve kişiler için görev ayrımını destekler. Giriş bölgesi tasarımınızın bir parçası olarak, çeşitli rolleri kimin üstlendiğine karar vermeniz gerekir. Ardından, rollere kullanıcı ekleme ve rollerden kullanıcı kaldırma işlemlerini basitleştirmek için her rol için bir güvenlik grubu oluşturmanız gerekir.

Azure Sanal Masaüstü, her işlevsel alan için tasarlanmış özel Azure rolleri sağlar. Bu rollerin nasıl yapılandırıldığı hakkında bilgi için bkz. Azure Sanal Masaüstü için yerleşik roller. Ayrıca, Azure dağıtımı için Bulut Benimseme Çerçevesi bir parçası olarak Azure özel rolleri oluşturabilir ve tanımlayabilirsiniz. Azure Sanal Masaüstü'ne özgü RBAC rollerini diğer Azure RBAC rolleriyle birleştirmeniz gerekebilir. Bu yaklaşım, kullanıcıların Azure Sanal Masaüstü ve sanal makineler (VM' ler) ve ağ gibi diğer Azure hizmetleri için ihtiyaç duyduğu tüm izinleri sağlar.

Öneriler
  • Azure Sanal Masaüstü dağıtımlarını yöneten ekipler ve kişiler için roller tanımlayın.
  • Konak havuzları, uygulama grupları ve çalışma alanları için yönetim sorumluluklarını ayırmak için Azure yerleşik rollerini tanımlayın.
  • Her rol için bir güvenlik grubu oluşturun.

Oturum konaklarınızın güvenliğini geliştirme

Etki: Güvenlik

Azure Sanal Masaüstü, terminal sunucusu veya oturum konakları ile son kullanıcı istemcisi arasındaki iletişim için Uzak Masaüstü Protokolü'nü (RDP) kullanır.

RDP, aşağıdaki bilgileri taşıyan ayrı sanal kanallara izin verebilen ve reddedebilen çok kanallı bir protokoldür:

  • Sunu verileri
  • Seri cihaz iletişimleri
  • Lisanslama bilgileri
  • Klavye ve fare etkinliği gibi yüksek oranda şifrelenmiş veriler

Güvenliği geliştirmek için bağlantınızın RDP özelliklerini Azure Sanal Masaüstü'nde merkezi olarak yapılandırabilirsiniz.

Öneriler
  • Yerel ve uzak sürücü eşlemelerini gizleyerek Windows Gezgini erişimini kısıtlayın. Bu strateji, kullanıcıların sistem yapılandırmaları ve kullanıcılar hakkındaki hassas bilgileri bulmasını engeller.
  • İstenmeyen yazılımların oturum konaklarında çalışmasını önleyin. Oturum konaklarında ek güvenlik için AppLocker'i etkinleştirebilirsiniz. Bu özellik, konakta yalnızca belirttiğiniz uygulamaların çalıştırılabilmesini sağlamaya yardımcı olur.
  • Hassas bilgilerin istemci uç noktalarına yakalanmasını önlemeye yardımcı olmak için ekran yakalama korumasını ve filigranı kullanın. Ekran yakalama korumasını açtığınızda, ekran görüntülerinde ve ekran paylaşımında uzak içerik otomatik olarak engellenir veya gizlenir. Uzak Masaüstü istemcisi, ekranı yakalayan kötü amaçlı yazılımlardan içeriği de gizler.
  • VM'lerinizi korumaya yardımcı olmak için Microsoft Defender Virüsten Koruma'yi kullanın. Daha fazla bilgi için bkz. Uzak masaüstü veya sanal masaüstü altyapısı ortamında virüsten koruma Microsoft Defender yapılandırma.
  • Uygulama Denetimi'Windows Defender açın. Sürücülerinize ve uygulamalarınıza güvenseniz de güvenmeseniz de ilkeler tanımlayın.
  • Kaynakları korumak ve yetkisiz erişimi önlemek için etkin olmayan kullanıcıların oturumunu kapatın. Daha fazla bilgi için bkz . Etkin olmayan süre ve bağlantı kesme ilkeleri üst sınırı oluşturma.
  • Bulut güvenliği duruş yönetimi (CSPM) için Bulut için Microsoft Defender açın. Daha fazla bilgi için bkz. Microsoft 365 Defender kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme.

Merkezi platform, kimlik ve ağ ekipleri için tasarım konuları

Etki: Güvenlik

Kimlik , Azure Sanal Masaüstü için temel bir tasarım ilkesidir. Kimlik ayrıca mimari sürecinizde birinci sınıf bir konu olarak ele alınması gereken önemli bir tasarım alanıdır.

Azure Sanal Masaüstü için kimlik tasarımı

Azure Sanal Masaüstü, kurumsal kaynaklara ve uygulamalara erişmek için farklı kimlik türlerini destekler. İş yükü sahibi olarak, iş ve kuruluş gereksinimlerinize göre çeşitli kimlik sağlayıcıları arasından seçim yapabilirsiniz. İş yükünüz için en uygun olanı değerlendirmek için bu bölümdeki kimlik tasarımı alanlarını gözden geçirin.

Kimlik tasarımı Özet
Active Directory Domain Services (AD DS) kimliği Azure Sanal Masaüstü'ne erişmek için kullanıcıların Microsoft Entra kimliği aracılığıyla bulunabilmesi gerekir. Sonuç olarak, yalnızca AD DS'de bulunan kullanıcı kimlikleri desteklenmez. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) içeren tek başına Active Directory dağıtımları da desteklenmez.
Karma kimlik Azure Sanal Masaüstü, AD FS kullanılarak birleştirilmiş kimlikler de dahil olmak üzere Microsoft Entra kimliği aracılığıyla karma kimlikleri destekler. Bu kullanıcı kimliklerini AD DS'de yönetebilir ve Microsoft Entra Connect kullanarak Microsoft Entra kimliğiyle eşitleyebilirsiniz. Bu kimlikleri yönetmek ve AD DS ile eşitlemek için Microsoft Entra kimliğini de kullanabilirsiniz.
Yalnızca bulut kimliği Azure Sanal Masaüstü, Microsoft Entra kimliği kullanılarak birleştirilen VM'leri kullandığınızda yalnızca bulut kimliklerini destekler. Bu kullanıcılar doğrudan Microsoft Entra kimliğinde oluşturulur ve yönetilir.

Önemli

Azure Sanal Masaüstü işletmeler arası hesapları, Microsoft hesaplarını veya dış kimlikleri desteklemez.

Kimlik ve kimlik doğrulama stratejisi seçme ve uygulama hakkında daha fazla bilgi için bkz . Desteklenen kimlikler ve kimlik doğrulama yöntemleri.

Öneriler
  • En az ayrıcalıklara sahip ayrılmış bir kullanıcı hesabı oluşturun. Oturum konaklarını dağıtırken, oturum konaklarını bir Microsoft Entra Etki Alanı Hizmetleri veya AD DS etki alanına eklemek için bu hesabı kullanın.
  • Çok faktörlü kimlik doğrulaması gerektir. Tüm dağıtımınızın güvenliğini artırmak için Azure Sanal Masaüstü'ndeki tüm kullanıcılar ve yöneticiler için çok faktörlü kimlik doğrulamasını zorunlu kılın. Daha fazla bilgi edinmek için bkz. Koşullu Erişim kullanarak Azure Sanal Masaüstü için Microsoft Entra Kimliği çok faktörlü kimlik doğrulamasını zorlama.
  • Microsoft Entra Kimliği Koşullu Erişimi açın. Koşullu Erişim kullandığınızda, kullanıcılara Azure Sanal Masaüstü ortamınıza erişim izni vermeden önce riskleri yönetebilirsiniz. Hangi kullanıcılara erişim izni verebileceğinize karar verme sürecinde, her kullanıcının kim olduğunu, nasıl oturum açtıklarını ve hangi cihazı kullandıklarını da göz önünde bulundurmalısınız.

Azure Sanal Masaüstü için güvenli ağ tasarımı

Ağ güvenlik önlemleri alınmadan saldırganlar varlıklarınıza erişim sağlayabilir. Kaynaklarınızı korumak için ağ trafiğine denetimler yerleştirmek önemlidir. Uygun ağ güvenlik denetimleri, bulut dağıtımlarınıza giriş yapan saldırganları algılamanıza ve durdurmanıza yardımcı olabilir.

Öneriler
  • Merkez-uç mimarisi kullanma. Paylaşılan hizmetlerle Azure Sanal Masaüstü uygulama hizmetleri arasında ayrım yapmak çok önemlidir. Merkez-uç mimarisi, güvenlik için iyi bir yaklaşımdır. İş yüküne özgü kaynakları merkezdeki paylaşılan hizmetlerden ayrı olan kendi sanal ağlarında tutmalısınız. Paylaşılan hizmetlere örnek olarak yönetim ve Etki Alanı Adı Sistemi (DNS) hizmetleri verilebilir.
  • Ağ güvenlik gruplarını kullanın. Azure Sanal Masaüstü iş yükünüzden gelen ve bu iş yükünden gelen ağ trafiğini filtrelemek için ağ güvenlik gruplarını kullanabilirsiniz. Hizmet etiketleri ve ağ güvenlik grubu kuralları, Azure Sanal Masaüstü uygulamanıza erişim izni vermenizi veya erişimi reddetmenizi sağlayan bir yol sağlar. Örneğin, şirket içi IP adresi aralıklarından Azure Sanal Masaüstü uygulama bağlantı noktalarına erişime izin verebilir ve genel İnternet'ten erişimi reddedebilirsiniz. Daha fazla bilgi için bkz . Ağ güvenlik grupları. Azure Sanal Masaüstü'nü dağıtmak ve kullanıcılarınızın kullanımına sunmak için oturum ana bilgisayar VM'lerinizin her zaman erişebileceği belirli URL'lere izin vermelisiniz. Bu URL'lerin listesi için bkz . Azure Sanal Masaüstü için gerekli URL'ler.
  • Her konak havuzunu ayrı bir sanal ağa yerleştirerek konak havuzlarınızı yalıtabilirsiniz. Azure Sanal Masaüstü'ne her alt ağ için gereken URL'lerle ağ güvenlik gruplarını kullanın.
  • Ağ ve uygulama güvenliğini zorunlu kılma. Ağ ve uygulama güvenlik denetimleri, her Azure Sanal Masaüstü iş yükü için temel güvenlik önlemleridir. Azure Sanal Masaüstü oturumu ana bilgisayar ağı ve uygulaması için sıkı güvenlik gözden geçirmesi ve temel denetimleri gerekir.
  • RDP bağlantı noktasını devre dışı bırakarak veya engelleyerek ortamınızdaki oturum konaklarına doğrudan RDP erişiminden kaçının. Yönetim veya sorun giderme amacıyla doğrudan RDP erişimine ihtiyacınız varsa oturum konaklarına bağlanmak için Azure Bastion'ı kullanın.
  • Trafiği Microsoft ağı içinde tutmak ve güvenliği artırmaya yardımcı olmak için Azure Sanal Masaüstü ile Azure Özel Bağlantı kullanın. Özel uç nokta oluşturduğunuzda, sanal ağınızla hizmet arasındaki trafik Microsoft ağında kalır. Hizmetinizi artık genel İnternet'te kullanıma sunmanız gerekmez. Uzak Masaüstü istemcisi olan kullanıcıların sanal ağınıza bağlanabilmesi için bir sanal özel ağ (VPN) veya Azure ExpressRoute da kullanabilirsiniz.
  • Azure Sanal Masaüstü'nü korumaya yardımcı olmak için Azure Güvenlik Duvarı kullanın. Azure Sanal Masaüstü oturum konakları sanal ağınızda çalışır ve sanal ağ güvenlik denetimlerine tabidir. Uygulamalarınızın veya kullanıcılarınızın giden İnternet erişimine ihtiyacı varsa, bunları korumaya ve ortamınızı kilitlemeye yardımcı olmak için Azure Güvenlik Duvarı kullanmanızı öneririz.

Aktarımdaki verileri şifreleme

Etki: Güvenlik

Aktarımdaki şifreleme, bir konumdan diğerine taşınan verilerin durumu için geçerlidir. Aktarımdaki verileri, bağlantının yapısına bağlı olarak çeşitli yollarla şifreleyebilirsiniz. Daha fazla bilgi için bkz. Aktarımdaki verileri şifreleme.

Azure Sanal Masaüstü, istemcilerden ve oturum konaklarından Azure Sanal Masaüstü altyapı bileşenlerine başlatılan tüm bağlantılar için Aktarım Katmanı Güvenliği (TLS) sürüm 1.2'yi kullanır. Azure Sanal Masaüstü, Azure Front Door ile aynı TLS 1.2 şifrelemelerini kullanır. İstemci bilgisayarların ve oturum konaklarının bu şifreleri kullanabilmesini sağlamak önemlidir. Ters bağlantı aktarımı için istemci ve oturum konağı Azure Sanal Masaüstü ağ geçidine bağlanır. ardından istemci ve oturum ana bilgisayarı bir İletim Denetimi Protokolü (TCP) bağlantısı kurar. Ardından, istemci ve oturum konağı Azure Sanal Masaüstü ağ geçidi sertifikasını doğrular. RDP, temel taşımayı kurmak için kullanılır. RDP daha sonra oturum ana bilgisayar sertifikalarını kullanarak istemci ve oturum konağı arasında iç içe tls bağlantısı kurar.

Ağ bağlantısı hakkında daha fazla bilgi için bkz. Azure Sanal Masaüstü ağ bağlantısını anlama.

Öneriler
  • Azure Sanal Masaüstü'nü aktarımdaki verileri nasıl şifreleladığını anlama.
  • İstemci bilgisayarların ve oturum konaklarınızın Azure Front Door'un kullandığı TLS 1.2 şifrelerini kullanabileceğinden emin olun.

Kullanımdaki verileri şifrelemek için gizli bilgi işlem kullanma

Etki: Güvenlik, Performans Verimliliği

Kamu hizmetleri, finansal hizmetler ve sağlık kurumları gibi düzenlemeye tabi sektörlerde çalışırken kullanımdaki verileri korumak için gizli bilgi işlem kullanın.

Azure Sanal Masaüstü için gizli VM'leri kullanabilirsiniz. Gizli VM'ler kullanımdaki verileri koruyarak veri gizliliğini ve güvenliğini artırır. Azure DCasv5 ve ECasv5 gizli VM serisi, donanım tabanlı bir güvenilir yürütme ortamı (TEE) sağlar. Bu ortamda Gelişmiş Mikro Cihazlar (AMD) Güvenli Şifrelenmiş Virtualization-Secure İç İçe Disk Belleği (SEV-SNP) güvenlik özellikleri bulunur. Bu özellikler konuk korumalarını güçlendirerek hiper yöneticinin ve diğer konak yönetim kodunun VM belleğine ve durumuna erişimini reddeder. Ayrıca operatör erişimine karşı korumaya yardımcı olur ve kullanımdaki verileri şifreler.

Gizli VM'ler 22H1, 22H2 sürümleri ve gelecekteki Windows 11 sürümleri için destek sağlar. Windows 10 için gizli VM desteği planlanıyor. Gizli işletim sistemi disk şifrelemesi gizli VM'ler için kullanılabilir. Ayrıca, gizli VM'ler için Azure Sanal Masaüstü konak havuzu sağlama sırasında bütünlük izleme kullanılabilir.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

Öneriler
  • Kullanımdaki verileri korumak için gizli bilgi işlem kullanın.
  • Donanım tabanlı bir TEE oluşturmak için Azure DCasv5 ve ECasv5 gizli VM serisini kullanın.

Sonraki adımlar

Azure Sanal Masaüstü'nü güvenli hale getirmek için en iyi yöntemleri incelediğinize göre, iş mükemmelliği elde etmek için operasyonel yönetim yordamlarını araştırın.

operasyonel yordamlar

Tasarım seçimlerinizi değerlendirmek için değerlendirme aracını kullanın.

Değerlendirme