你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

安全性和治理

本文根据 Microsoft 的云采用框架提供 Azure 虚拟桌面登陆区域中安全、治理和符合性的关键设计注意事项和建议。

查看以下部分,以查找适用于您的 Azure 虚拟桌面着陆区的建议安全控制措施和治理策略。

身份

  • 通过建立需要多重身份验证或其他多重身份验证工具Microsoft Entra 条件访问策略来保护用户对 Azure 虚拟桌面的访问。 考虑用户的位置、设备和登录行为,并根据访问模式根据需要添加额外的控件。 有关为 Azure 虚拟桌面启用 Azure 多重身份验证的详细信息,请参阅 为 Azure 虚拟桌面启用 Azure 多重身份验证

  • 将定义管理、操作和工程角色所需的最低权限分配给 Azure RBAC 角色。 若要限制对 Azure 虚拟桌面登陆区域中高特权角色的访问,请考虑与 Privileged Identity Management(PIM)集成。 保持对每个特定管理区域负责的团队的知识有助于确定 Azure 基于角色的访问控制(RBAC)角色和配置。

  • 使用 Azure 托管标识 或配置了证书凭据的服务主体来支持 Azure 虚拟桌面的自动化和服务。 将最小特权分配给自动化帐户,并将权限范围限制在 Azure 虚拟桌面着陆区。 可以将 Azure Key Vault 与 Azure 托管标识配合使用,以便运行时环境(如 Azure 函数)可以从密钥保管库检索自动化凭据。

  • 确保为 Microsoft Entra ID 和 Azure 虚拟桌面登陆区域(s)收集用户和管理员活动日志记录。 使用安全信息和事件管理(SIEM)工具监视这些日志。 可以从各种源收集日志,例如:

  • 在分配对 Azure 虚拟桌面应用程序组的访问权限时,请使用Microsoft Entra 组,而不是单个用户。 请考虑使用映射到组织内业务功能的现有安全组,这样就可以重复使用现有的用户预配和取消预配过程。

网络

  • 为 Azure 虚拟桌面登陆区域预配或重复使用专用虚拟网络。 规划 IP 地址空间以适应会话主机的规模。 根据每个主机池的最小和最大会话主机数建立基线子网大小。 将业务部门要求映射到主机池。

  • 使用网络安全组(NSG)和/或 Azure 防火墙 (或第三方防火墙设备)建立微分段。 使用 Azure 虚拟网络服务标记和应用程序服务组(ASG)在网络安全组或为 Azure 虚拟桌面资源配置的 Azure 防火墙上定义网络访问控制。 验证代理(如果在会话主机中使用)和 Azure 防火墙(或第三方防火墙设备)是否绕过会话主机对所需 URL 的传出访问。

  • 根据应用程序和企业分段策略,通过安全组规则或 Azure 防火墙(或第三方防火墙设备)大规模限制会话主机与内部资源之间的流量。

  • 为 Azure 防火墙(或第三方防火墙设备)启用 Azure DDoS 标准保护 ,以帮助保护 Azure 虚拟桌面登陆区域(s)。

  • 如果使用代理从会话主机进行出站 Internet 访问:

    • 在与 Azure 虚拟桌面会话主机和客户端相同的地理位置配置代理服务器(如果使用云代理提供程序)。
    • 请勿使用 TLS 检查。 在 Azure 虚拟桌面中,流量默认 在传输中加密
    • 避免需要用户身份验证的代理配置。 会话主机上的 Azure 虚拟桌面组件在其作系统的上下文中运行,因此它们不支持需要身份验证的代理服务器。 必须启用系统范围的代理,才能在会话主机上配置主机级别代理。
  • 验证最终用户是否有权访问 Azure 虚拟桌面客户端 URL。 如果在用户的设备上使用代理/配置,请确保也绕过 Azure 虚拟桌面客户端 URL。

  • 使用 实时访问 对会话主机进行管理和故障排除。 避免授予对会话主机的直接 RDP 访问权限。 AVD 会话主机使用反向连接传输建立远程会话。

  • 使用 Microsoft Defender for Cloud 中的 自适应网络强化功能 查找限制端口和源 IP 的网络安全组配置,并引用外部网络流量规则。

  • 使用 Azure Monitor 或合作伙伴监视解决方案收集 Azure 防火墙(或第三方防火墙设备)日志。 还应使用 Microsoft Sentinel 或类似服务监视 SIEM 的日志。

  • 仅使用专用终结点来处理用于 FSLogix 配置文件容器 的 Azure 文件。

  • 配置 RDP 短路径 以补充反向连接传输。

会话主机

有关 Azure 虚拟桌面会话主机安全的最佳做法的详细信息,请参阅 会话主机安全最佳做法

有关 Azure VM 安全性最佳做法的详细列表,请参阅 Azure 中虚拟机的安全建议

数据保护

  • Microsoft Azure 可以加密静态数据以防止它遭到“带外”攻击,例如尝试访问基础存储。 此加密有助于确保攻击者无法轻松读取或修改数据。 Microsoft为静态数据启用两层加密的方法涉及:

    • 使用客户管理的密钥进行磁盘加密。 用户提供自己的密钥进行磁盘加密。 他们可以将自己的密钥引入其 Key Vault(称为 BYOK - 自带密钥)或在 Azure Key Vault 中生成新密钥,以加密所需的资源(包括会话主机磁盘)。
    • 使用平台管理的密钥进行基础结构加密。 默认情况下,磁盘通过平台管理的加密密钥自动进行静态加密。
    • VM 主机上的加密 (VM 分配到的 Azure 服务器)。 每个虚拟机的临时磁盘和 OS/数据磁盘缓存数据存储在 VM 主机上。 启用 VM 主机上的加密后,该数据会静态加密,并将加密到要持久保存的存储服务。
  • 部署信息保护解决方案(如 Microsoft Purview 信息保护 或第三方解决方案),确保敏感信息由组织的技术系统安全地存储、处理和传输。

  • 使用 Microsoft 365 企业应用版的安全策略顾问 来提高 Office 部署安全性。 此工具标识可应用于部署的策略以提高安全性,并基于策略对安全性和工作效率的影响推荐策略。

  • 为 Azure 文件存储配置基于标识的身份验证,通过本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra 域服务用于 FSLogix 用户配置文件。 配置 NTFS 权限 ,以便授权用户可以访问 Azure 文件。

成本管理

  • 使用 Azure 标记 来组织创建、管理和部署 Azure 虚拟桌面资源的成本。 若要确定 Azure 虚拟桌面的相关计算成本,请标记所有主机池和虚拟机。 标记 Azure 文件存储或 Azure NetApp 文件资源以跟踪与 FSLogix 用户配置文件容器、自定义 OS 映像和 MSIX 应用附加(如果使用)关联的存储成本。

  • 在所有 Azure 虚拟桌面资源中设置 建议的最小标记 。 可以在部署期间或在预配后设置 Azure 标记。 请考虑使用 Azure Policy 内置定义 来强制实施标记规则。

  • 在 Microsoft 成本管理中设置预算,以主动管理 Azure 使用成本。 超过你创建的预算阈值时,将触发通知。

  • 创建成本管理警报 ,以监视 Azure 虚拟桌面登陆区域的 Azure 使用情况和支出。

  • 配置 Connect 上的“开始 VM”功能 ,以便最终用户仅在需要 VM 时启用其 VM,从而节省成本。

  • 通过 Azure 自动化 或自动缩放功能为共用会话主机部署缩放解决方案 (预览版)

资源一致性

  • 使用 Intune 管理 Azure 虚拟桌面个人会话主机,可以应用现有配置或创建新配置,并通过符合性策略和条件访问来保护虚拟机。 Intune 管理与同一虚拟机的 Azure 虚拟桌面管理互不依赖,也互不干扰。

  • 通过 Intune 管理多会话主机 允许你在 Intune 管理中心管理 Windows 10 或 Windows 11 企业版多会话远程桌面,管理方式与共享的 Windows 10 或 Windows 11 客户端设备相同。 管理此类虚拟机(VM)时,可以使用面向设备的配置或面向用户的配置。

  • 使用Azure Policy 的机器配置审核并配置会话主机操作系统的强化。 使用 Windows 安全基线 作为保护 Windows 操作系统的出发点。

  • 使用 Azure Policy 内置定义 为 Azure 虚拟桌面资源(例如工作区、应用程序组和主机池)配置诊断设置。

查看 Azure 虚拟桌面的安全最佳做法 ,作为环境中安全性的起点。

合规

几乎所有组织都必须遵守各种政府或行业监管政策。 与合规性团队一起查看任何此类策略,并为特定的 Azure 虚拟桌面登陆区域实施正确的控制。 例如,如果你的组织遵循其框架,应考虑对特定策略(如支付卡行业数据安全标准(PCI DSS)或 1996 年健康保险可移植性和责任法案(HIPAA)的控制。

  • 如有必要,请使用 Microsoft Defender for Cloud 将额外的合规性标准应用到 Azure 虚拟桌面登陆区域。 Microsoft Defender for Cloud 可帮助简化流程,以通过其 法规合规性仪表板满足法规合规性要求。 可以将内置或自定义的符合性标准添加到仪表板。 可以添加的内置法规标准包括:

    • PCI-DSS v3.2.1:2018
    • SOC TSP
    • NIST SP 800-53 R4
    • NIST SP 800 171 R2
    • 英国官方和英国 NHS
    • 加拿大联邦 PBMM
    • Azure CIS 1.1.0
    • HIPAA/HITRUST
    • SWIFT CSP CSCF v2020
    • ISO 27001:2013
    • 限制性的新西兰 ISM
    • CMMC 级别 3
    • Azure CIS 1.3.0
    • NIST SP 800-53 R5
    • FedRAMP H
    • FedRAMP M
  • 如果组织受数据驻留要求的约束,请考虑将 Azure 虚拟桌面资源(工作区、应用程序组和主机池)的部署限制为以下地理位置:

    • 美国
    • 欧洲
    • 英国
    • 加拿大

    将部署限制在这些地理区域有助于确保 Azure 虚拟桌面的元数据存储在 Azure 虚拟桌面资源地理位置的区域,而您的会话主机可以部署到全球,以适应用户群体的需求。

  • 使用组策略和设备管理工具(如 Intune 和 Microsoft Endpoint Configuration Manager)来维护会话主机的彻底安全性和合规性做法。

  • 在 Microsoft Defender for Cloud 中配置 警报自动响应 ,以确保 Azure 虚拟桌面登陆区域的总体符合性。

  • 查看 Microsoft安全功能分数 ,以衡量以下产品的整体组织安全状况:

    • Microsoft 365(包括 Exchange Online)
    • Microsoft Entra 身份识别系统
    • Microsoft Defender 端点版
    • Microsoft Defender for Identity
    • 云应用防御者
    • Microsoft Teams
  • 查看 Microsoft Defender for Cloud Secure Score ,以提高 Azure 虚拟登陆区域的整体安全合规性。

后续步骤

了解有关企业规模场景中 Azure 虚拟桌面平台自动化和 DevOps 的信息。