Stosowanie zasad zero trust do wdrożenia usługi Azure Virtual Desktop

W tej lekcji przedstawiono procedurę stosowania zasad zero trust w architekturze referencyjnej usługi Azure Virtual Desktop.

Krok 1. Zabezpieczanie tożsamości za pomocą rozwiązania Zero Trust

Aby zastosować zasady Zero Trust do tożsamości używanych w usłudze Azure Virtual Desktop:

• Usługa Azure Virtual Desktop obsługuje różne typy tożsamości. Skorzystaj z informacji w temacie Zabezpieczanie tożsamości z zerowym zaufaniem , aby upewnić się, że wybrane typy tożsamości są zgodne z zasadami zero trust.
• Załóż dedykowane konto użytkownika z najniższymi uprawnieniami, aby dołączyć hosty sesji do domeny Microsoft Entra Domain Services lub AD DS podczas wdrażania hosta sesji.

Krok 2. Zabezpieczanie punktów końcowych za pomocą rozwiązania Zero Trust

Punkty końcowe to urządzenia, za pomocą których użytkownicy uzyskują dostęp do środowiska Azure Virtual Desktop i maszyn wirtualnych hosta sesji. Skorzystaj z instrukcji w przeglądzie integracji punktu końcowego i użyj Ochrona punktu końcowego w usłudze Microsoft Defender i programu Microsoft Endpoint Manager, aby upewnić się, że punkty końcowe są zgodne z wymaganiami dotyczącymi zabezpieczeń i zgodności.

Krok 3. Stosowanie zasad zero trust do zasobów magazynu usługi Azure Virtual Desktop

Zaimplementuj kroki opisane w artykule Stosowanie zasad zerowego zaufania do usługi Storage na platformie Azure na potrzeby zasobów magazynu używanych we wdrożeniu usługi Azure Virtual Desktop. Te kroki zapewniają, że:

• Zabezpiecz swoje dane w Azure Virtual Desktop podczas przechowywania, przesyłania i używania.
• Zweryfikuj użytkowników i kontroluj dostęp do danych przechowywania z zasadą najmniejszych uprawnień.
• Zaimplementuj prywatne punkty końcowe do kont pamięci masowej.
• Logicznie oddzielaj dane krytyczne za pomocą kontrolek sieci. Na przykład oddzielne konta magazynu dla różnych pul hostów i innych celów, takich jak udostępnianie plików za pomocą MSIX app attach.
• Usługa Defender for Storage umożliwia automatyczną ochronę przed zagrożeniami.

Krok 4: Zastosowanie zasad Zero Trust do sieci wirtualnych typu hub and spoke w usłudze Azure Virtual Desktop.

Sieć wirtualna hubu to centralny punkt łączności dla wielu sieci wirtualnych szprych. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do sieci wirtualnej koncentratora na platformie Azure dla sieci wirtualnej koncentratora, która filtruje ruch wychodzący z hostów sesji.

Sieć wirtualna typu szprycha izoluje obciążenie usługi Azure Virtual Desktop i zawiera maszyny wirtualne hostów sesji. Zaimplementuj kroki opisane w artykule Stosowanie zasad Zero Trust do sieci wirtualnej typu spoke w Azure dla sieci VNet, która zawiera hosty sesji/maszyny wirtualne.

Izoluj różne pule hostów w oddzielnych sieciach wirtualnych przy użyciu grupy zabezpieczeń sieci z wymaganym adresem URL dla usługi Azure Virtual Desktop dla każdej podsieci. Podczas wdrażania prywatnych punktów końcowych umieść je w odpowiedniej podsieci w sieci wirtualnej na podstawie ich roli.

Zapora Azure Firewall lub zapora wirtualnego urządzenia sieciowego (WUS) może służyć do kontrolowania i ograniczania ruchu wychodzącego z hostów sesji usługi Azure Virtual Desktop. Aby chronić hosty sesji, skorzystaj z instrukcji podanych tutaj dla usługi Azure Firewall. Wymuś ruch przez zaporę za pomocą tras zdefiniowanych przez użytkownika (UDR) połączonych z podsiecią puli hostów. Przejrzyj pełną listę wymaganych adresów URL usługi Azure Virtual Desktop, aby skonfigurować zaporę. Azure Firewall udostępnia tag FQDN usługi Azure Virtual Desktop, aby uprościć tę konfigurację.

Krok 5. Stosowanie zasad zero trust do hostów sesji usługi Azure Virtual Desktop

Hosty sesji to maszyny wirtualne uruchamiane wewnątrz sieci wirtualnej typu spoke VNet. Zaimplementuj kroki opisane w artykule Stosowanie zasad zero trustu do maszyn wirtualnych na platformie Azure dla maszyn wirtualnych tworzonych dla hostów sesji.

Pule hostów powinny mieć oddzielne jednostki organizacyjne (OU), jeśli są zarządzane przez zasadami grupy w usługach domenowych Active Directory (AD DS).

Microsoft Defender for Endpoint to platforma zabezpieczeń punktów końcowych zaprojektowana dla przedsiębiorstw, aby pomóc sieciom firmowym w zapobieganiu, wykrywaniu, badaniu i reagowaniu na zaawansowane zagrożenia. Można użyć usługi Microsoft Defender for Endpoint dla hostów sesji. Aby uzyskać więcej informacji, zobacz Urządzenia infrastruktury pulpitu wirtualnego (VDI).

Krok 6: Wdrożenie zabezpieczeń, zarządzania i zgodności z usługą Azure Virtual Desktop

Usługa Azure Virtual Desktop umożliwia korzystanie z usługi Azure Private Link w celu prywatnego łączenia się z zasobami przez utworzenie prywatnych punktów końcowych.

Usługa Azure Virtual Desktop ma wbudowane zaawansowane funkcje zabezpieczeń w celu ochrony hostów sesji. Zobacz jednak następujące artykuły, aby poprawić zabezpieczenia środowiska usługi Azure Virtual Desktop i hostów sesji:

• Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Virtual Desktop
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Virtual Desktop

Ponadto zapoznaj się z kluczowymi zagadnieniami projektowymi i zaleceniami dotyczącymi zabezpieczeń, ładu i zgodności w strefach docelowych usługi Azure Virtual Desktop zgodnie z platformą Cloud Adoption Framework firmy Microsoft.

Krok 7. Wdrażanie bezpiecznego zarządzania i monitorowania w usłudze Azure Virtual Desktop

Zarządzanie i ciągłe monitorowanie są ważne, aby upewnić się, że środowisko usługi Azure Virtual Desktop nie angażuje się w złośliwe zachowanie. Użyj usługi Azure Virtual Desktop Insights , aby rejestrować dane i zgłaszać dane diagnostyczne i dane użycia.

Zobacz następujące dodatkowe artykuły:

• Zapoznaj się z zaleceniami usługi Azure Advisor dla usługi Azure Virtual Desktop.
• Użyj usługi Microsoft Intune do szczegółowego zarządzania zasadami.
• Przejrzyj i ustaw właściwości protokołu RDP, aby uzyskać szczegółowe ustawienia na poziomie puli hostów.