Azure Sanal Masaüstü dağıtımına Sıfır Güven ilkeleri uygulama

Bu makalede, azure sanal masaüstü dağıtımına aşağıdaki yollarla Sıfır Güven ilkelerini uygulama adımları sağlanır:

Sıfır Güven ilkesi	Tanım	Met by
Açıkça doğrula	Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme.	Azure Sanal Masaüstü kullanıcılarının kimliklerini ve uç noktalarını doğrulayın ve oturum konaklarına güvenli erişim sağlayın.
En az ayrıcalıklı erişim kullan	Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.	Oturum konaklarına ve verilerine erişimi sınırlandırma. Depolama: Bekleyen veriler, aktarımdaki veriler, kullanımdaki veriler gibi üç modda da verileri koruyun. Sanal ağlar (sanal ağlar): Azure Güvenlik Duvarı ile merkez-uç sanal ağları arasında izin verilen ağ trafiği akışlarını belirtin. Sanal makineler: Rol Tabanlı Erişim Denetimi (RBAC) kullanın.
İhlal varsay	Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.	Azure Sanal Masaüstü dağıtımının bileşenlerini yalıtın. Depolama: Otomatik tehdit algılama ve koruma için Depolama için Defender'ı kullanın. Sanal ağlar: Azure Güvenlik Duvarı ile iş yükleri arasında trafik akışlarını önleyin. Sanal makineler: Uçtan uca şifreleme için çift şifreleme kullanın, konakta şifrelemeyi etkinleştirin, sanal makineler için güvenli bakım ve tehdit algılama için Sunucular için Microsoft Defender kullanın. Azure Sanal Masaüstü: Savunmayı geliştirmek ve oturum ana bilgisayar analizini toplamak için Azure Sanal Masaüstü güvenliği, idare, yönetim ve izleme özelliklerini kullanın.

Azure IaaS ortamında Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için bkz. Azure IaaS'ye Sıfır Güven ilkeleri uygulama genel bakış.

Referans mimarisi

Bu makalede, yaygın olarak dağıtılan bir ortamı ve kullanıcıların İnternet üzerinden erişimi olan Azure Sanal Masaüstü için Sıfır Güven ilkelerinin nasıl uygulanacağını göstermek üzere Hub ve Uç için aşağıdaki başvuru mimarisini kullanacağız. Azure sanal masaüstü için RDP Shortpath ile yönetilen ağ üzerinden özel erişime ek olarak Azure Sanal WAN mimarisi de desteklenir.

Azure Sanal Masaüstü için Azure ortamı şunları içerir:

Bileşen	Veri Akışı Açıklaması
A	Azure Sanal Masaüstü kullanıcı profilleri için Azure Depolama Hizmetleri.
K	Bağlantı hub'ı sanal ağı.
C	Azure Sanal Masaüstü oturumu konağı sanal makine tabanlı iş yüklerine sahip uç sanal ağı.
D	Azure Sanal Masaüstü Denetim Düzlemi.
E	Azure Sanal Masaüstü Yönetim Düzlemi.
F	Microsoft Entra Id, Bulut için Microsoft Defender, rol tabanlı erişim denetimi (RBAC) ve Azure İzleyici gibi bağımlı PaaS hizmetleri.
G	Azure İşlem Galerisi.

Azure ortamına erişen kullanıcılar veya yöneticiler İnternet'ten, ofis konumlarından veya şirket içi veri merkezlerinden kaynaklanabilir.

Başvuru mimarisi, Azure Sanal Masaüstü Bulut Benimseme Çerçevesi için Kurumsal ölçekli giriş bölgesinde açıklanan mimariye hizalanır.

Mantıksal mimari

Bu diyagramda, Azure Sanal Masaüstü dağıtımı için Azure altyapısı bir Microsoft Entra ID kiracısında yer alır.

Mantıksal mimarinin öğeleri şunlardır:

• Azure Sanal Masaüstü'nüz için Azure aboneliği

  Kaynakları, her aboneliğin ağ aboneliği veya güvenlik aboneliği gibi farklı rollere sahip olabileceği birden fazla abonelikte dağıtabilirsiniz. Bu, Bulut Benimseme Çerçevesi ve Azure Giriş Bölgesi'nde açıklanmıştır. Farklı abonelikler üretim, geliştirme ve test ortamları gibi farklı ortamları da barındırabilir. Ortamınızı nasıl ayırmak istediğinize ve her birinde sahip olduğunuz kaynak sayısına bağlıdır. Bir veya daha fazla abonelik bir Yönetim Grubu kullanılarak birlikte yönetilebilir. Bu, her aboneliği ayrı ayrı ayarlamak yerine bir abonelik grubuna RBAC ve Azure ilkeleriyle izinler uygulamanıza olanak sağlar.

• Azure Sanal Masaüstü kaynak grubu

  Azure Sanal Masaüstü kaynak grubu Key Vault'ları, Azure Sanal Masaüstü hizmet nesnelerini ve özel uç noktaları yalıtıyor.

• Depolama kaynak grubu

  Depolama kaynak grubu, hizmet özel uç noktalarını ve veri kümelerini Azure Dosyalar yalıtıyor.

• Oturum konağı sanal makineleri kaynak grubu

  Ayrılmış bir kaynak grubu Sanal Makineler, Disk Şifreleme Kümesi ve Uygulama Güvenlik Grubu oturum konakları için sanal makineleri yalıtıyor.

• Uç sanal ağ kaynak grubu

  Ayrılmış bir kaynak grubu uç sanal ağ kaynaklarını ve kuruluşunuzdaki ağ uzmanlarının yönetebileceği bir Ağ Güvenlik Grubu'nı yalıtıyor.

Bu makalede neler var?

Bu makalede, azure sanal masaüstü başvuru mimarisinde Sıfır Güven ilkelerini uygulama adımları adım adım izlenmektedir.

Adımlar	Görev	Sıfır Güven ilkeler uygulandı
1	Sıfır Güven ile kimliklerinizin güvenliğini sağlayın.	Açıkça doğrula
2	Sıfır Güven ile uç noktalarınızın güvenliğini sağlayın.	Açıkça doğrula
3	Azure Sanal Masaüstü depolama kaynaklarına Sıfır Güven ilkeleri uygulayın.	Açıkça doğrula En az ayrıcalıklı erişim kullan İhlal varsay
4	Hub ve uç Azure Sanal Masaüstü sanal ağlarına Sıfır Güven ilkeleri uygulayın.	Açıkça doğrula En az ayrıcalıklı erişim kullan İhlal varsay
5	Azure Sanal Masaüstü oturum konağına Sıfır Güven ilkeleri uygulayın.	Açıkça doğrula En az ayrıcalıklı erişim kullan İhlal varsay
6	Azure Sanal Masaüstü'ne güvenlik, idare ve uyumluluk dağıtın.	İhlal varsay
7	Azure Sanal Masaüstü'ne güvenli yönetim ve izleme dağıtın.	İhlal varsay

1. Adım: Sıfır Güven ile kimliklerinizin güvenliğini sağlama

Azure Sanal Masaüstü'nde kullanılan kimliklere Sıfır Güven ilkeleri uygulamak için:

• Azure Sanal Masaüstü farklı kimlik türlerini destekler. Seçtiğiniz kimlik türlerinin Sıfır Güven ilkelere uydığından emin olmak için Sıfır Güven ile kimlik güvenliğini sağlama bölümünde yer alan bilgileri kullanın.
• Oturum ana bilgisayarlarını oturum ana bilgisayarı dağıtımı sırasında Microsoft Entra Domain Services veya AD DS etki alanına katmak için en az ayrıcalıklara sahip ayrılmış bir kullanıcı hesabı oluşturun.

2. Adım: Sıfır Güven ile uç noktalarınızın güvenliğini sağlama

Uç noktalar, kullanıcıların Azure Sanal Masaüstü ortamına ve oturum konağı sanal makinelerine erişen cihazlardır. Uç nokta tümleştirmesine genel bakış başlığı altında yer alan yönergeleri kullanın ve uç noktalarınızın güvenlik ve uyumluluk gereksinimlerinize uygun olduğundan emin olmak için Uç Nokta için Microsoft Defender ve Microsoft Endpoint Manager'ı kullanın.

3. Adım: Azure Sanal Masaüstü depolama kaynaklarına Sıfır Güven ilkeleri uygulama

Azure Sanal Masaüstü dağıtımınızda kullanılan depolama kaynakları için Azure'da Depolamaya Sıfır Güven ilkeleri uygulama bölümünde yer alan adımları uygulayın. Bu adımlar şunları sağlar:

• Bekleyen, aktarımdaki ve kullanımdaki Azure Sanal Masaüstü verilerinizin güvenliğini sağlayın.
• Kullanıcıları doğrulayın ve depolama verilerine erişimi en düşük ayrıcalıklarla denetleyin.
• Depolama hesapları için özel uç noktalar uygulayın.
• Kritik verileri ağ denetimleriyle mantıksal olarak ayırın. Farklı konak havuzları için ayrı depolama hesapları ve MSIX uygulama ekleme dosya paylaşımları gibi diğer amaçlar gibi.
• Otomatik tehdit koruması için Depolama için Defender kullanın.

Not

Bazı tasarımlarda Azure NetApp dosyaları, SMB paylaşımı aracılığıyla Azure Sanal Masaüstü için FSLogix profilleri için tercih edilir depolama hizmetidir. Azure NetApp Files, temsilci alt ağları ve güvenlik karşılaştırmalarını içeren yerleşik güvenlik özellikleri sağlar.

4. Adım: Merkez-uç Azure Sanal Masaüstü sanal ağlarına Sıfır Güven ilkeleri uygulama

Merkez sanal ağı, birden çok uç sanal ağı için merkezi bir bağlantı noktasıdır. Oturum konaklarınızdan giden trafiği filtrelemek için kullanılan merkez sanal ağı için Azure'da bir hub sanal ağına Sıfır Güven ilkeleri uygulama makalesindeki adımları uygulayın.

Uç sanal ağı, Azure Sanal Masaüstü iş yükünü yalıtarak oturum konağı sanal makinelerini içerir. Oturum konağı/sanal makinelerini içeren uç sanal ağı için Azure'da uç sanal ağına Sıfır Güven ilkeleri uygulama bölümünde yer alan adımları uygulayın.

Her alt ağ için Azure Sanal Masaüstü için gerekli URL ile NSG kullanarak farklı konak havuzlarını ayrı sanal ağlarda yalıtın. Özel uç noktaları dağıtırken, rollerine göre bunları sanal ağda uygun alt ağa yerleştirin.

Azure Güvenlik Duvarı veya bir ağ sanal gereci (NVA) güvenlik duvarı, Azure Sanal Masaüstü oturum konakları giden trafiği denetlemek ve kısıtlamak için kullanılabilir. Oturum konaklarını korumak için Azure Güvenlik Duvarı için buradaki yönergeleri kullanın. Konak havuzu alt aağına bağlı Kullanıcı Tanımlı Yollar (UDR) ile güvenlik duvarı üzerinden trafiği zorlar. Güvenlik duvarınızı yapılandırmak için gerekli Azure Sanal Masaüstü URL'lerinin tam listesini gözden geçirin. Azure Güvenlik Duvarı bir Azure Sanal Masaüstü sağlarBu yapılandırmayı basitleştirmek için FQDN Etiketi.

5. Adım: Azure Sanal Masaüstü oturum konaklarına Sıfır Güven ilkeleri uygulama

Oturum konakları, uç sanal ağı içinde çalışan sanal makinelerdir. Oturum konaklarınız için oluşturulan sanal makineler için Azure'daki sanal makinelere Sıfır Güven ilkeleri uygulama bölümünde yer alan adımları uygulayın.

Active Directory Etki Alanı Hizmetleri'nin (AD DS) grup ilkeleri tarafından yönetiliyorsa konak havuzları ayrılmış kuruluş birimlerine (OU) sahip olmalıdır.

Uç Nokta için Microsoft Defender, kurumsal ağların gelişmiş tehditleri önlemesine, algılamasına, araştırmasına ve yanıtlamasına yardımcı olmak için tasarlanmış bir kurumsal uç nokta güvenlik platformudur. oturum konakları için Uç Nokta için Microsoft Defender kullanabilirsiniz. daha fazla bilgi için bkz . sanal masaüstü altyapısı (VDI) cihazları.

6. Adım: Azure Sanal Masaüstü'ne güvenlik, idare ve uyumluluk dağıtma

Azure Sanal Masaüstü hizmeti, özel uç noktalar oluşturarak kaynaklarınıza özel olarak bağlanmak için Azure Özel Bağlantı kullanmanıza olanak sağlar.

Azure Sanal Masaüstü, oturum konaklarını korumak için yerleşik gelişmiş güvenlik özelliklerine sahiptir. Ancak, Azure Sanal Masaüstü ortamınızın ve oturum konaklarınızın güvenlik savunmalarını geliştirmek için aşağıdaki makalelere bakın:

• Azure Sanal Masaüstü güvenlik için en iyi yöntemler
• Azure Sanal Masaüstü için Azure güvenlik temeli

Ayrıca, Microsoft'un Bulut Benimseme Çerçevesi uygun olarak Azure Sanal Masaüstü giriş bölgelerinde güvenlik, idare ve uyumluluk için önemli tasarım konuları ve önerilerine bakın.

7. Adım: Azure Sanal Masaüstü'ne güvenli yönetim ve izleme dağıtma

Yönetim ve sürekli izleme, Azure Sanal Masaüstü ortamınızın kötü amaçlı davranışlara girişmediğinden emin olmak için önemlidir. Verileri günlüğe kaydetmek, tanılama ve kullanım verilerini raporlamak için Azure Sanal Masaüstü İçgörüleri'ni kullanın.

Şu ek makalelere bakın:

• Azure Sanal Masaüstü için Azure Danışmanı'ndan gelen önerileri gözden geçirin.
• Ayrıntılı ilke yönetimi için Microsoft Intune'u kullanın.
• Konak havuzu düzeyinde ayrıntılı ayarlar için RDP Özelliklerini gözden geçirin ve ayarlayın.

Önerilen eğitim

Azure Sanal Masaüstü dağıtımının güvenliğini sağlama

Eğitim	Azure Sanal Masaüstü dağıtımının güvenliğini sağlama
	Microsoft Azure Sanal Masaüstü dağıtımınızda uygulamalarınızın ve verilerinizin güvenliğini sağlamaya yardımcı olan Microsoft güvenlik özellikleri hakkında bilgi edinin.

Başlamak >

Azure kullanarak Azure Sanal Masaüstü dağıtımınızı koruma

Eğitim	Azure kullanarak Azure Sanal Masaüstü dağıtımınızı koruma
	Azure Güvenlik Duvarı dağıtın, tüm ağ trafiğini Azure Güvenlik Duvarı üzerinden yönlendirin ve kuralları yapılandırın. Azure Sanal Masaüstü konak havuzundan giden ağ trafiğini Azure Güvenlik Duvarı aracılığıyla hizmete yönlendirin.

Başlamak >

Azure Sanal Masaüstü için erişimi ve güvenliği yönetme

Eğitim	Azure Sanal Masaüstü için erişimi ve güvenliği yönetme
	Azure Sanal Masaüstü için Azure rollerini planlamayı ve uygulamayı ve uzak bağlantılar için Koşullu Erişim ilkelerini uygulamayı öğrenin. Bu öğrenme yolu AZ-140: Microsoft Azure Sanal Masaüstü'nü Yapılandırma ve çalıştırma sınavıyla uyumlu hale getirilir.

Başlamak >

Kullanıcı kimlikleri ve profilleri için tasarım

Eğitim	Kullanıcı kimlikleri ve profilleri için tasarım
	Kullanıcılarınızın bu uygulamalara hem şirket içinde hem de bulutta erişmesi gerekir. Windows uygulamalarına ve masaüstlerine farklı bir Windows cihazından uzaktan erişmek için Windows Masaüstü için Uzak Masaüstü istemcisini kullanırsınız.

Başlamak >

Azure'da güvenlik hakkında daha fazla eğitim için Microsoft kataloğundaki şu kaynaklara bakın:
Azure'da güvenlik

Sonraki Adımlar

Azure'a Sıfır Güven ilkeleri uygulamak için şu ek makalelere bakın:

• Azure IaaS'ye genel bakış
  • Azure depolama alanı
  • Sanal makineler
  • Uç sanal ağları
  • Azure PaaS hizmetleriyle uç sanal ağları
  • Hub sanal ağları
• Azure Sanal WAN
• Amazon Web Services'da IaaS uygulamaları
• Microsoft Sentinel ve Microsoft Defender XDR

Teknik çizimler

Bu makalede kullanılan çizimleri indirebilirsiniz. Bu çizimleri kendi kullanımınız için değiştirmek için Visio dosyasını kullanın.

PDF | Visio

Ek teknik çizimler için buraya tıklayın.

Başvurular

Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için aşağıdaki bağlantılara bakın.

• Azure nedir - Microsoft Cloud Services
• Hizmet Olarak Azure Altyapısı (IaaS)
• Linux ve Windows için Sanal Makineler (VM'ler)
• Azure Depolama'ya giriş - Azure'da bulut depolama
• Azure Sanal Ağ
• Azure güvenliğine giriş
• Sıfır Güven uygulama kılavuzu
• Microsoft bulut güvenliği karşılaştırması genel bakış
• Azure için güvenlik temellerine genel bakış
• Azure güvenlik hizmetleriyle ilk savunma katmanını oluşturma - Azure Mimari Merkezi
• Microsoft Siber Güvenlik Başvuru Mimarileri - Güvenlik belgeleri