为 Azure 虚拟桌面部署应用零信任原则

本文提供了使用以下方式将零信任原则应用于 Azure 虚拟桌面部署的步骤：

零信任原则	定义	满足者
显式验证	始终根据所有可用的数据点进行身份验证和授权。	验证 Azure 虚拟桌面用户的身份和终结点，并确保对会话主机的安全访问。
使用最低权限访问	使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。	限制对会话主机及其数据的访问。 存储：保护静态数据、传输中的数据和正在使用的数据这三种模式下的数据。 虚拟网络 (VNet)：使用 Azure 防火墙指定中心和分支 VNet 之间允许的网络流量。 虚拟机：使用基于角色的访问控制 (RBAC)。
假定数据泄露	最大限度地减少影响范围，并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。	隔离 Azure 虚拟桌面部署的组件。 存储：使用 Defender for Storage 进行自动威胁检测并实施保护。 VNet：使用 Azure 防火墙阻止工作负载之间的流量流。 虚拟机：使用双重加密进行端到端加密、在主机上启用加密、对虚拟机进行安全维护，并使用 Microsoft Defender for Servers 进行威胁检测。 Azure 虚拟桌面：使用 Azure 虚拟桌面安全性、治理、管理和监视功能改进防御并收集会话主机分析。

有关如何在 Azure IaaS 环境中应用零信任原则的详细信息，请参阅将零信任原则应用于 Azure IaaS 概述。

参考体系结构

本文我们使用以下中心和分支的参考体系结构来演示一个常见的部署环境，以及如何将零信任原则应用于用户通过 Internet 访问的 Azure 虚拟桌面。 Azure 虚拟桌面除了可使用 RDP 短路径通过托管网络对其进行私有访问，还支持 Azure 虚拟 WAN 体系结构。

Azure 虚拟桌面的 Azure 环境包括：

组件	说明
A	用于 Azure 虚拟桌面用户配置文件的 Azure 存储服务。
B	连接中心 VNet。
C	带有 Azure 虚拟桌面会话主机的基于虚拟机工作负载的分支 VNet。
D	Azure 虚拟桌面控制平面。
E	Azure 虚拟桌面管理平面。
F	依赖 PaaS 服务，包括 Microsoft Entra ID、Microsoft Defender for Cloud、基于角色的访问控制 (RBAC) 和 Azure Monitor。
G	Azure Compute Gallery。

访问 Azure 环境的用户或管理员可以来自 Internet、办公室位置或本地数据中心。

参考体系结构与 Azure 虚拟桌面云采用框架企业级登陆区域中所述的体系结构保持一致。

逻辑体系结构

在此图中，Azure 虚拟桌面部署的 Azure 基础结构包含在 Entra ID 租户中。

逻辑体系结构的元素包括：

• Azure 虚拟桌面的 Azure 订阅

  你可将资源分发到多个订阅中，其中每个订阅可拥有不同角色，例如网络订阅或安全订阅。 云采用框架和 Azure 登陆区域中对此进行了介绍。 不同的订阅还可能包含不同的环境，例如生产、开发和测试环境。 这取决于你希望如何分隔环境以及每个环境中拥有的资源数量。 你可使用管理组单独管理一个订阅或同时管理多个订阅。 这使你能够将具有 RBAC 和 Azure 策略的权限应用于一组订阅，而不是单独设置每个订阅。

• Azure 虚拟桌面资源组

  Azure 虚拟桌面资源组隔离密钥保管库、Azure 虚拟桌面服务对象和专用终结点。

• 存储资源组

  存储资源组隔离 Azure 文件服务专用终结点和数据集。

• 会话主机虚拟机资源组

  专用资源组隔离了会话主机虚拟机、磁盘加密集和应用程序安全组的虚拟机。

• 分支 VNet 资源组

  专用资源组将分支 VNet 资源与网络安全组隔离开，从而使组织中的网络专家可对网络安全组进行管理。

本文内容

本文介绍了在 Azure 虚拟桌面参考体系结构中应用零信任原则的步骤。

步长	任务	已应用零信任原则
1	使用零信任保护你的身份。	显式验证
2	使用零信任保护你的终结点。	显式验证
3	将零信任原则应用于 Azure 虚拟桌面存储资源。	显式验证 使用最低权限访问 假定数据泄露
4	将零信任原则应用于中心和分支 Azure 虚拟桌面 VNet。	显式验证 使用最低权限访问 假定数据泄露
5	将零信任原则应用于 Azure 虚拟桌面会话主机。	显式验证 使用最低权限访问 假定数据泄露
6	将安全性、治理和合规性部署到 Azure 虚拟桌面。	假定数据泄露
7	将安全管理和监视部署到 Azure 虚拟桌面。	假定数据泄露

步骤 1：使用零信任保护你的身份

将零信任原则应用于 Azure 虚拟桌面中使用的身份，请执行以下操作：

• Azure 虚拟桌面支持不同类型的身份。 使用零信任保护标识中的信息，确保所选标识类型遵循零信任原则。
• 创建具有最小权限的专用用户帐户，以在会话主机部署期间将会话主机加入 Microsoft Entra 域服务或 AD DS 域。

步骤 2：使用零信任保护你的终结点

终结点是用户访问 Azure 虚拟桌面环境和会话主机虚拟机的设备。 使用终结点集成概述中的说明，并使用 Microsoft Defender for Endpoint 和 Microsoft Endpoint Manager 来确保终结点符合安全性和合规性要求。

步骤 3：将零信任原则应用于 Azure 虚拟桌面存储资源

为 Azure 虚拟桌面部署中使用的存储资源实施“将零信任原则应用于 Azure 中的存储”中的步骤。 这些步骤可以：

• 保护静态、传输和使用中的 Azure 虚拟桌面数据。
• 用最少的权限验证用户并控制对存储数据的访问。
• 为存储帐户实施专用终结点。
• 逻辑上分离关键数据与网络控制。 例如，用于不同主机池和其他用途（例如，使用 MSIX 应用附加文件共享）的单独存储帐户。
• 使用 Defender for Storage 实现自动威胁防护。

注意

在某些设计中，Azure NetApp 文件 通过 SMB 共享为 Azure 虚拟桌面的 FSLogix 配置文件选择存储服务。 Azure NetApp 文件提供内置安全功能，其中包括委派子网和安全基准。

步骤 4：将零信任原则应用于中心和分支 Azure 虚拟桌面 VNet

中心 VNet 是多个分支虚拟网络的中心连接点。 为用于筛选来自会话主机的出站流量的中心 VNet，实现将零信任原则应用于 Azure 中心虚拟网络的步骤。

分支 VNet 隔离 Azure 虚拟桌面工作负载，并包含会话主机虚拟机。 为包含会话主机/虚拟机的分支 VNet 实现将零信任原则应用于 Azure 分支虚拟网络的步骤。

使用 NSG 在单独的 VNet上隔离不同的主机池，并为每个子网提供 Azure 虚拟桌面所需的 URL。 部署专用终结点时，会根据角色将其放置在 VNet 中的相应子网中。

Azure 防火墙或网络虚拟设备 (NVA) 防火墙可用于控制和限制 Azure 虚拟桌面会话主机的出站流量。 使用此处的 Azure 防火墙说明来保护会话主机。 使用链接到主机池子网的用户定义路由 (UDR) 强制流量通过防火墙。 查看配置防火墙所需的 Azure 虚拟桌面 URL 的完整列表。 Azure 防火墙提供 Azure 虚拟桌面 FQDN 标记以简化该配置。

步骤 5：将零信任原则应用于 Azure 虚拟桌面会话主机

会话主机是在分支 VNet 中运行的虚拟机。 针对为会话主机创建的虚拟机，实现将零信任原则应用于 Azure 中的虚拟机中的步骤。

如果主机池由 Active Directory 域服务 (AD DS) 上的组策略进行管理，则其应具有单独的组织单位 (OU)。

Microsoft Defender for Endpoint 是一个企业终结点安全平台，专门用于帮助企业网络防御、检测、调查和响应高级威胁。 你可将 Microsoft Defender for Endpoint 用于会话主机。 有关详细信息，请参阅虚拟桌面基础结构 (VDI) 设备。

步骤 6：为 Azure 虚拟桌面提供安全性、治理和合规性

Azure 虚拟桌面服务允许你使用 Azure 专用链接，从而通过创建专用终结点以专用方式连接到资源。

Azure 虚拟桌面具有内置的高级安全功能来保护会话主机。 但是，请参阅以下文章，以提升 Azure 虚拟桌面环境和会话主机的安全防御：

• Azure 虚拟桌面安全最佳做法
• Azure 虚拟桌面的 Azure 安全基线

此外，请参阅根据 Microsoft 的云采用框架针对 Azure 虚拟桌面登录区域的安全性、治理和合规性的关键设计注意事项和建议。

步骤 7：将安全管理和监视部署到 Azure 虚拟桌面

管理和持续监视对于保证避免 Azure 虚拟桌面环境发生恶意行为非常重要。 使用 Azure 虚拟桌面见解记录数据并报告诊断和使用情况数据。

请参阅以下其他文章：

• 查看 Azure 顾问针对 Azure 虚拟桌面提出的建议。
• 使用 Microsoft Intune 进行精细的策略管理或组策略管理。
• 查看并设置 RDP 属性，以进行主机池级别的精细设置。

推荐的培训

保护 Azure 虚拟桌面部署

培训	保护 Azure 虚拟桌面部署
	了解有助于在 Microsoft Azure 虚拟桌面部署中保持应用程序和数据安全的 Microsoft 安全功能。

开始>

使用 Azure 保护 Azure 虚拟桌面部署

培训	使用 Azure 保护 Azure 虚拟桌面部署
	部署 Azure 防火墙，通过 Azure 防火墙路由所有网络流量，并配置规则。 通过 Azure 防火墙将出站网络流量从 Azure 虚拟桌面主机池路由到服务。

开始>

管理 Azure 虚拟桌面的访问和安全性

培训	管理 Azure 虚拟桌面的访问和安全性
	了解如何计划和实现用于 Azure 虚拟桌面的 Azure 角色，以及实现用于远程连接的条件访问策略。 本学习路径与“考试 AZ-140：配置和操作 Microsoft Azure 虚拟桌面”一致。

开始>

用户标识和配置文件的设计

培训	用户标识和配置文件的设计
	用户需要在本地和云中访问这些应用程序。 使用适用于 Windows 桌面的远程桌面客户端从不同的 Windows 设备远程访问 Windows 应用和桌面。

开始>

有关 Azure 安全性的更多培训，请参阅 Microsoft 目录中的以下资源：
Azure 中的安全性

后续步骤

请参阅以下有关将零信任原则应用于 Azure 的其他文章：

• Azure IaaS 概述
  • Azure 存储
  • 虚拟机
  • 分支虚拟网络
  • 使用 Azure PaaS 服务的分支虚拟网络
  • 中心虚拟网络
• Azure 虚拟 WAN
• Amazon Web Services 中的 IaaS 应用程序
• Microsoft Sentinel 和 Microsoft Defender XDR

技术插图

可以下载本文中使用的插图。 使用 Visio 文件修改这些插图以供自己使用。

PDF | Visio

有关其他技术插图，请单击此处。

参考

请参阅以下链接，了解本文中提及的各项服务和技术。

• 什么是 Azure - Microsoft 云服务
• Azure 基础结构即服务 (IaaS)
• 适用于 Linux 和 Windows 的虚拟机 (VM)
• Azure 存储简介 - Azure 中的云存储
• Azure 虚拟网络
• Azure 安全性简介
• 零信任实现指南
• Microsoft 云安全基准概述
• Azure 安全基线概述
• 使用 Azure 安全服务构建第一层防御 - Azure 体系结构中心
• Microsoft 网络安全参考体系结构 - 安全文档