Güvenlik ve idare

Bu makale, Microsoft'un Bulut Benimseme Çerçevesi uygun olarak Azure Sanal Masaüstü giriş bölgelerinde güvenlik, idare ve uyumlulukiçin önemli tasarım konuları ve öneriler sağlar.

Azure Sanal Masaüstü giriş bölgeniz için önerilen güvenlik denetimlerini ve idareyi bulmak için aşağıdaki bölümleri gözden geçirin.

Kimlik

• Microsoft Entra çok faktörlü kimlik doğrulaması veya iş ortağı çok faktörlü kimlik doğrulama aracı ile Microsoft Entra Koşullu Erişim İlkesi oluşturarak Azure Sanal Masaüstü'ne kullanıcı erişiminin güvenliğini sağlayın. Kullanıcılarınızın konumlarını, cihazlarını ve oturum açma davranışlarını göz önünde bulundurun ve erişim desenlerine göre gerektiğinde ek denetimler ekleyin. Azure Sanal Masaüstü için Azure çok faktörlü kimlik doğrulamasını etkinleştirme hakkında daha fazla bilgi için bkz . Azure Sanal Masaüstü için Azure çok faktörlü kimlik doğrulamasını etkinleştirme.

• Azure RBAC rollerine yönetim, operasyon ve mühendislik rolleri tanımlayarak gereken en düşük ayrıcalığı atayın. Azure Sanal Masaüstü giriş bölgenizdeki yüksek ayrıcalıklı rollere erişimi sınırlamak için Azure Privileged Identity Management (PIM) ile tümleştirmeyi göz önünde bulundurun. Belirli yönetim alanlarından hangi ekibin sorumlu olduğu bilgisinin korunması, Azure rol tabanlı erişim denetimi (RBAC) rollerini ve yapılandırmasını belirlemenize yardımcı olur.

• Azure Sanal Masaüstü için otomasyon ve hizmetler için sertifika kimlik bilgileriyle Azure Yönetilen Kimliği veya hizmet sorumlusunu kullanın. Azure Sanal Masaüstü giriş bölgeleriyle sınırlı olan otomasyon hesabına ve kapsamına en az ayrıcalık atayın. Çalışma zamanı ortamlarının (Azure İşlevi gibi) anahtar kasasından otomasyon kimlik bilgilerini alabilmesi için Azure Key Vault'ı Azure yönetilen kimlikleriyle kullanabilirsiniz.

• Microsoft Entra Id ve Azure Sanal Masaüstü giriş bölgeleri için kullanıcı ve yönetici etkinlik günlüğünü topladığınızdan emin olun. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracınızla bu günlükleri izleyin. Günlükleri aşağıdakiler gibi çeşitli kaynaklardan toplayabilirsiniz:

  • Azure Etkinlik Günlüğü
  • Microsoft Entra Etkinlik Günlüğü
  • Microsoft Entra ID
  • Oturum konakları
  • Key Vault günlükleri

• Azure Sanal Masaüstü uygulama gruplarına erişim atarken bireysel kullanıcılar yerine Microsoft Entra gruplarını kullanın. Kuruluşunuzdaki iş işlevleriyle eşlenen ve mevcut kullanıcı sağlama ve sağlamayı kaldırma işlemlerini yeniden kullanmanıza olanak tanıyan mevcut güvenlik gruplarını kullanmayı göz önünde bulundurun.

Ağ

• Azure Sanal Masaüstü giriş bölgeleriniz için ayrılmış bir sanal ağ sağlama veya yeniden kullanma. Oturum konaklarınızın ölçeğini karşılamak için IP adresi alanını planlayın. Konak havuzu başına en az ve en fazla oturum konağı sayısına göre temel alt ağ boyutunuzu oluşturun. İş birimi gereksinimlerinizi konak havuzlarınızla eşleyin.

• Mikro segmentasyon oluşturmak için Ağ Güvenlik Grupları (NSG) ve/veya Azure Güvenlik Duvarı (veya üçüncü taraf güvenlik duvarı gereci) kullanın. Ağ güvenlik gruplarında ağ erişim denetimlerini veya Azure Sanal Masaüstü kaynaklarınız için yapılandırılmış bir Azure Güvenlik Duvarı tanımlamak için Azure Sanal Ağ hizmet etiketlerini ve uygulama hizmeti gruplarını (ASG' ler) kullanın. Oturum ana bilgisayarının gerekli URL'lere giden erişiminin ara sunucu (oturum konakları içinde kullanılıyorsa) ve Azure Güvenlik Duvarı (veya üçüncü taraf güvenlik duvarı gereci) tarafından atlandığını doğrulayın.

• Uygulamalarınıza ve kurumsal segmentasyon stratejinize bağlı olarak, güvenlik grubu kuralları veya Azure Güvenlik Duvarı (veya üçüncü taraf güvenlik duvarı gerecini) uygun ölçekte kullanarak oturum konaklarınız ve iç kaynaklarınız arasındaki trafiği kısıtlayın.

• Azure Sanal Masaüstü giriş bölgelerinizin güvenliğini sağlamaya yardımcı olmak için Azure Güvenlik Duvarı (veya üçüncü taraf güvenlik duvarı gereci) için Azure DDoS standart korumasını etkinleştirin.

• Oturum konaklarınızdan giden İnternet erişimi için ara sunucu kullanıyorsanız:

  • Azure Sanal Masaüstü oturum konakları ve istemcileri ile aynı coğrafyadaki ara sunucuları yapılandırın (bulut proxy sağlayıcıları kullanılıyorsa).
  • TLS denetimi kullanmayın. Azure Sanal Masaüstü'nde trafik varsayılan olarak aktarım sırasında şifrelenir.
  • Kullanıcı kimlik doğrulaması gerektiren ara sunucu yapılandırmasından kaçının. Oturum konağındaki Azure Sanal Masaüstü bileşenleri işletim sistemleri bağlamında çalıştırıldığından, kimlik doğrulaması gerektiren ara sunucuları desteklemez. Oturum konağınızda konak düzeyi ara sunucusunu yapılandırmanız için sistem genelinde ara sunucu etkinleştirilmelidir.

• Son kullanıcılarınızın Azure Sanal Masaüstü istemci URL'lerine erişimi olduğunu doğrulayın. Kullanıcılarınızın cihazlarında ara sunucu aracısı/yapılandırması kullanılıyorsa, Azure Sanal Masaüstü istemci URL'lerini de atladığınızdan emin olun.

• Oturum konaklarınızın yönetimi ve sorunlarını gidermek için Tam Zamanında erişimi kullanın. Oturum konaklarına doğrudan RDP erişimi vermekten kaçının. AVD oturum konakları uzak oturumlar oluşturmak için Ters Bağlan aktarım kullanır.

• Dış ağ trafiği kurallarına başvuruda bulunarak bağlantı noktalarını ve kaynak IP'leri sınırlayan ağ güvenlik grubu yapılandırmalarını bulmak için Bulut için Microsoft Defender Uyarlamalı Ağ Sağlamlaştırma özelliklerini kullanın.

• Azure İzleyici veya iş ortağı izleme çözümüyle Azure Güvenlik Duvarı (veya üçüncü taraf güvenlik duvarı gereci) günlüklerinizi toplayın. Ayrıca Azure Sentinel veya benzer bir hizmeti kullanarak günlükleri SIEM'e göre izlemeniz gerekir.

• Yalnızca FSLogix Profil kapsayıcıları için kullanılan Azure dosyaları için özel uç nokta kullanın.

• RDP Shortpath'i ters bağlantı aktarımını tamamlayacak şekilde yapılandırın.

Oturum konakları

• Azure Sanal Masaüstü oturum konakları için Active Directory'de ayrılmış bir Kuruluş Birimleri (OU) oluşturun. Aşağıdaki gibi denetimleri yönetmek için oturum konaklarınıza ayrılmış Grup İlkesi uygulayın:

  • Hassas ekran bilgilerinin istemci uç noktalarına yakalanmasını önlemek için ekran yakalama korumasını etkinleştirin.
  • En fazla etkin olmayan/bağlantı kesme süresi ilkelerini ve ekran kilitlerini ayarlayın.
  • Windows Gezgini'nde yerel ve uzak sürücü eşlemelerini gizleyin.
  • İsteğe bağlı olarak, FSLogix Profil Kapsayıcıları ve FSLogix Bulut Önbelleği için yapılandırma parametreleri.

• Oturum konaklarınız için cihaz yeniden yönlendirmesini denetleme. Yaygın olarak devre dışı bırakılan cihazlar arasında yerel sabit sürücü erişimi ve USB veya bağlantı noktası kısıtlamaları bulunur. Kamera yeniden yönlendirmesini ve uzaktan yazdırmayı sınırlamak, kuruluşunuzun verilerini korumaya yardımcı olabilir. Uzak içeriğin uç noktalara kopyalanmasını önlemek için pano yeniden yönlendirmesini devre dışı bırakın.

• Oturum konaklarınızda Uç Nokta için Microsoft Defender gibi yeni nesil virüsten koruma Endpoint Protection'ını etkinleştirin. İş ortağı uç noktası çözümü kullanıyorsanız, Bulut için Microsoft Defender durumunu doğrulayabildiğinden emin olun. Virüsten koruma dışlamalarını da dahil etmelisiniz FSLogix Profil Kapsayıcısı. Uç Nokta için Microsoft Defender aşağıdakiler de dahil olmak üzere birden çok Microsoft Defender çözümüyle doğrudan tümleştirilir:

  • Bulut için Microsoft Defender
  • Microsoft Sentinel
  • Intune

• Tehdit ve Güvenlik Açığı Yönetimi değerlendirmelerini etkinleştirin. Uç Nokta için Microsoft Defender Tehdit ve Güvenlik Açığı Yönetimi çözümünü Bulut için Microsoft Defender veya üçüncü taraflarla tümleştirme güvenlik açığı yönetimi çözüm). Bulut için Microsoft Defender ile yerel olarak tümleşirQualys güvenlik açığı değerlendirme çözümü.

• Yürütme öncesinde uygulamaların güvenilir olduğundan emin olmak için Windows Defender Uygulama Denetimi (WDAC) veya AppLocker aracılığıyla uygulama denetimini kullanın. Uygulama denetim ilkeleri ayrıca imzalanmamış betikleri ve MSI'leri engelleyebilir ve Windows PowerShell'in Kısıtlanmış Dil Modu'nda çalışmasını kısıtlayabilir.

• Güvenli Önyükleme, vTPM ve Sanallaştırma tabanlı güvenlik (VBS) gibi özellikleri etkinleştirmek için 2. Nesil Azure sanal makineleri için Güvenilen başlatmayı etkinleştirin. Bulut için Microsoft Defender, güvenilen başlatma ile yapılandırılmış oturum konaklarını izleyebilir.

• Karma geçiş ve yanal geçiş saldırılarına karşı koruma sağlamak için Windows LAPS kullanarak yerel yönetici parolalarını rastgele belirleyin.

• Oturum konaklarınızın Azure İzleyici veya Event Hubs aracılığıyla bir iş ortağı izleme çözümü tarafından izlendiğini doğrulayın.

• Oturum konaklarınız için bir yama yönetimi stratejisi oluşturun. Microsoft Endpoint Configuration Manager , Azure Sanal Masaüstü oturum konaklarının güncelleştirmeleri otomatik olarak almasını sağlar. Temel görüntüleri en az 30 günde bir en az bir kez düzeltme eki uygulamanız gerekir. Azure Sanal Masaüstü temel görüntüsü için kendi görüntüleme işlem hattınızı oluşturmak için Azure Image Builder'ı (AIB) kullanmayı göz önünde bulundurun.

Azure Sanal Masaüstü oturum konağı güvenliğine yönelik en iyi yöntemler hakkında daha fazla bilgi için bkz . Oturum ana bilgisayarı güvenliği en iyi yöntemleri.

Azure VM güvenliğine yönelik en iyi yöntemlerin ayrıntılı listesi için bkz . Azure'da sanal makineler için güvenlik önerileri.

Veri koruması

• Microsoft Azure, temel alınan depolamaya erişme girişimleri gibi 'bant dışı' saldırılara karşı korumak için bekleyen verileri şifreler. Bu şifreleme, saldırganların verilerinizi kolayca okuyamamalarına veya değiştirmelerine yardımcı olur. Microsoft'un bekleyen veriler için iki şifreleme katmanını etkinleştirme yaklaşımı şunları içerir:

  • Müşteri tarafından yönetilen anahtarları kullanarak disk şifrelemesi. Kullanıcılar disk şifrelemesi için kendi anahtarlarını sağlar. Anahtar Kasalarına kendi anahtarlarını getirebilir (BYOK – Kendi Anahtarını Getir olarak bilinen bir uygulama) veya istenen kaynakları şifrelemek için Azure Key Vault'ta yeni anahtarlar oluşturabilir (oturum ana bilgisayar diskleri dahil).
  • Platform tarafından yönetilen anahtarları kullanarak altyapı şifrelemesi. Varsayılan olarak, diskler platform tarafından yönetilen şifreleme anahtarları aracılığıyla bekleme durumunda otomatik olarak şifrelenir.
  • VM ana bilgisayarında şifreleme (VM'nizin ayrıldığı Azure sunucusu). Her sanal makinenin geçici diski ve işletim sistemi/veri diski önbellek verileri VM ana bilgisayarında depolanır. VM ana bilgisayarındaki şifreleme etkinleştirildiğinde, bu veriler bekleme sırasında şifrelenir ve kalıcı olması için Depolama hizmetine şifrelenir.

• Hassas bilgilerin kuruluşunuzun teknoloji sistemleri tarafından güvenli bir şekilde depolanmasını, işlenmesini ve iletilmesini sağlayan Microsoft Purview Bilgi Koruması veya üçüncü taraf bir çözüm gibi bir bilgi koruma çözümü dağıtın.

• Office dağıtım güvenliğini geliştirmek için Kurumlar için Microsoft 365 Uygulamaları için Güvenlik İlkesi Danışmanı'nı kullanın. Bu araç, daha fazla güvenlik için dağıtımınıza uygulayabileceğiniz ilkeleri tanımlar ve ayrıca güvenlik ve üretkenliğiniz üzerindeki etkilerine göre ilkeler önerir.

• şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ve Microsoft Entra Etki Alanı Hizmetleri aracılığıyla FSLogix Kullanıcı Profilleri için kullanılan Azure Dosyalar kimlik tabanlı kimlik doğrulamasını yapılandırın. Yetkili kullanıcıların Azure Dosyalar erişebilmesi için NTFS izinlerini yapılandırın.

Maliyet yönetimi

• Azure Sanal Masaüstü kaynakları oluşturma, yönetme ve dağıtma maliyetlerini düzenlemek için Azure Etiketleri'ni kullanın. Azure Sanal Masaüstü'nü ilişkili işlem maliyetini belirlemek için tüm konak havuzlarınızı ve sanal makinelerinizi etiketleyin. FSLogix Kullanıcı Profili Kapsayıcıları, özel işletim sistemi görüntüleri ve MSIX uygulama ekleme (kullanılıyorsa) ile ilişkili depolama maliyetini izlemek için Azure Dosyalar veya Azure NetApp Files kaynaklarını etiketleyin.

• Tüm Azure Sanal Masaüstü kaynaklarınızda ayarlanacak önerilen minimum etiketleri tanımlayın. Azure etiketlerini dağıtım sırasında veya sağlamadan sonra ayarlayabilirsiniz. Etiketleme kurallarını zorlamak için yerleşik Azure İlkesi tanımları kullanmayı göz önünde bulundurun.

• Azure kullanım maliyetlerini proaktif olarak yönetmek için Microsoft Maliyet Yönetimi'nde bütçeleri ayarlayın. Oluşturduğunuz bütçe eşikleri aşıldığında bildirimler tetiklenir.

• Azure Sanal Masaüstü Giriş bölgesine göre Azure kullanımını ve harcamalarını izlemek için Maliyet Yönetimi uyarıları oluşturun.

• Son kullanıcıların vm'lerini yalnızca ihtiyaç duyduklarında açmasına izin vererek maliyet tasarrufu sağlamak için vm'yi Bağlan'de başlat özelliğini yapılandırın.

• Azure Otomasyonu veya Otomatik Ölçeklendirme özelliği (önizleme) aracılığıyla havuza alınan oturum konakları için ölçeklendirme çözümleri dağıtma

Kaynak tutarlılığı

• Mevcut yapılandırmaları uygulamak veya yeni yapılandırmalar oluşturmak ve uyumluluk ilkesi ve koşullu erişim ile VM'lerinizin güvenliğini sağlamak için Azure Sanal Masaüstü kişisel oturum konakları için Intune'u kullanın. Intune yönetimi, aynı sanal makinenin Azure Sanal Masaüstü yönetimine bağımlı değildir veya bu yönetime müdahale etmez.

• Intune ile çok oturumlu konak yönetimi, paylaşılan bir Windows 10 veya Windows 11 istemci cihazını yönetebildiğiniz gibi, Intune yönetim merkezinde Windows 10 veya Windows 11 Enterprise çok oturumlu uzak masaüstlerini yönetmenize olanak tanır. Bu tür sanal makineleri (VM' ler) yönetirken, hem cihazlara yönelik cihaz tabanlı yapılandırmayı hem de kullanıcıları hedefleyen kullanıcı tabanlı yapılandırmayı kullanabilir.

• Azure İlkesi konuk yapılandırmasını kullanarak oturum konaklarınızın işletim sisteminin sağlamlaştırmasını denetleyin ve yapılandırın. Windows işletim sisteminizin güvenliğini sağlamak için başlangıç noktası olarak Windows güvenlik temellerini kullanın.

• Çalışma alanları, uygulama grupları ve konak havuzları gibi Azure Sanal Masaüstü kaynaklarının tanılama ayarlarını yapılandırmak için Azure İlkesi yerleşik tanımları kullanın.

Ortamınızda güvenlik için başlangıç noktası olarak Azure Sanal Masaüstü için en iyi güvenlik uygulamalarını gözden geçirin.

Uyumluluk

Neredeyse tüm kuruluşlar çeşitli kamu veya sektör düzenleme politikalarına uymalıdır. Uyumluluk ekibinizle bu tür ilkeleri gözden geçirin ve belirli Azure Sanal Masaüstü giriş bölgeniz için doğru denetimleri uygulayın. Örneğin, kuruluşunuz çerçevelerine uyarsa Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) veya 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi belirli ilkelerin denetimlerini göz önünde bulundurmanız gerekir.

• Gerekirse Azure Sanal Masaüstü Giriş bölgelerine ek uyumluluk standartları uygulamak için Bulut için Microsoft Defender kullanın. Bulut için Microsoft Defender, mevzuat uyumluluğu panosu aracılığıyla mevzuat uyumluluğu gereksinimlerini karşılama sürecinizi kolaylaştırmaya yardımcı olur. Panoya yerleşik veya özelleştirilmiş uyumluluk standartları ekleyebilirsiniz. Ekleyebileceğiniz yerleşik mevzuat standartları şunlardır:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL ve UK NHS
  • Kanada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • Yeni Zelanda ISM Kısıtlı
  • CMMC Düzey 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Kuruluşunuz veri yerleşimi gereksinimlerine bağlıysa, Azure Sanal Masaüstü kaynaklarının (çalışma alanları, uygulama grupları ve konak havuzları) dağıtımını aşağıdaki coğrafyalarla sınırlamayı göz önünde bulundurun:

  • Amerika Birleşik Devletleri
  • Avrupa
  • Birleşik Krallık
  • Kanada

  Dağıtımı bu coğrafyalarla sınırlamak, oturum konaklarınız kullanıcı tabanınızı barındırmak için dünya çapında dağıtılabildiği için Azure Sanal Masaüstü meta verilerinin Azure Sanal Masaüstü kaynak coğrafyasının bölgesinde depolandığından emin olmanıza yardımcı olabilir.

• Oturum konaklarınız için kapsamlı bir güvenlik ve uyumluluk uygulaması sağlamak için Intune ve Microsoft Endpoint Configuration Manager gibi grup ilkesi ve cihaz yönetimi araçlarını kullanın.

• Azure Sanal Masaüstü giriş bölgelerinin genel uyumluluğunu sağlamak için Bulut için Microsoft Defender uyarılarını ve otomatik yanıtları yapılandırın.

• Aşağıdaki ürünler genelinde kuruluş güvenliği duruşunu ölçmek için Microsoft Güvenli Puanını gözden geçirin:

  • Microsoft 365 (Exchange Online dahil)
  • Microsoft Entra Kimlik
  • Uç nokta için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Bulut Uygulamaları için Defender
  • Microsoft Teams

• Azure Sanal Giriş Bölgelerinizin genel güvenlik uyumluluğunu geliştirmek için Bulut için Microsoft Defender Güvenli Puan'ı gözden geçirin.

Önerilen en iyi güvenlik uygulamaları ve temelleri

• Azure Sanal Masaüstü önerilen güvenlik uygulamaları
• Azure Güvenlik Karşılaştırması temelinde Azure Sanal Masaüstü için güvenlik temeli
• Azure Sanal Masaüstü dağıtımına Sıfır Güven ilkeleri uygulama

Sonraki adımlar

Azure Sanal Masaüstü kurumsal ölçekli bir senaryo için platform otomasyonu ve DevOps hakkında bilgi edinin.

Platform otomasyonu ve DevOps