Безопасность и управление

В этой статье содержатся ключевые рекомендации по проектированию, безопасности , управлению и соответствию требованиям в целевых зонах виртуального рабочего стола Azure в соответствии с Cloud Adoption Framework компании Microsoft.

Ознакомьтесь со следующими разделами, чтобы найти рекомендуемые средства управления безопасностью и политики управления для зоны посадки виртуального рабочего стола Azure.

Идентичность

• Защита доступа пользователей к виртуальному рабочему столу Azure путем установки политик условного доступа Microsoft Entra, требующих многофакторной проверки подлинности или другого средства многофакторной проверки подлинности. Рассмотрим расположения пользователей, устройства и поведение входа и добавляйте дополнительные элементы управления по мере необходимости на основе шаблонов доступа. Дополнительные сведения о включении многофакторной проверки подлинности Azure для виртуального рабочего стола Azure см. в статье "Включение многофакторной проверки подлинности Azure для виртуального рабочего стола Azure".

• Назначьте минимальные привилегии, требуемые для определения ролей администрирования, операций и инженерии, к ролям Azure RBAC. Чтобы ограничить доступ к ролям с высоким уровнем привилегий в целевой зоне Виртуального рабочего стола Azure, рассмотрите возможность интеграции с привилегированным управлением удостоверениями (PIM). Поддержка знаний о том, какая команда отвечает за каждую определенную административную область, помогает определить роли и конфигурацию управления доступом на основе ролей Azure (RBAC).

• Используйте управляемое удостоверение Azure или учетную запись службы с сертификатными учетными данными для автоматизации и обслуживания виртуального рабочего стола Azure. Назначьте принцип наименьших привилегий для учетной записи автоматизации и ограничьте область действия посадочными зонами Azure Virtual Desktop. Azure Key Vault можно использовать с управляемыми удостоверениями Azure, чтобы среды выполнения (например, функция Azure) могли получать учетные данные службы автоматизации из хранилища ключей.

• Убедитесь, что вы собираете логирование активности пользователей и администраторов для Microsoft Entra ID и зон посадки Azure Virtual Desktop. Отслеживайте эти журналы с помощью средства управления сведениями о безопасности и событиями (SIEM). Журналы можно собирать из различных источников, например:

  • Журнал действий Azure
  • Журнал действий Microsoft Entra
  • Идентификатор Microsoft Entra
  • Хосты сеансов
  • Журналы хранилища ключей

• Используйте группы Microsoft Entra, а не отдельные пользователи при назначении доступа к группам приложений Виртуального рабочего стола Azure. Рассмотрите возможность использования существующих групп безопасности, которые сопоставляют бизнес-функции в организации, что позволяет повторно использовать существующие процессы подготовки пользователей и отмены подготовки.

Нетворкинг

• Выделение или повторное использование выделенной виртуальной сети для посадочной зоны Azure Virtual Desktop. Планируйте пространство IP-адресов, чтобы они смогли обслуживать требуемый масштаб узлов сеансов. Установите базовый размер подсети на основе минимального и максимального количества хостов сеансов на пул хостов. Сопоставляйте требования вашего бизнес-юнита с хост-пулами.

• Используйте группы безопасности сети (NSG) и (или) брандмауэр Azure (или стороннее устройство брандмауэра) для установления микросегации. Используйте теги службы виртуальной сети Azure и группы служб приложений (ASG), чтобы определить элементы управления доступом к сети в группах безопасности сети или брандмауэр Azure, настроенный для ресурсов виртуального рабочего стола Azure. Убедитесь, что исходящий доступ хоста сеанса к необходимым URL-адресам обходится через прокси-сервер (если используется в хостах сеансов) и брандмауэр Azure (или стороннее устройство брандмауэра).

• На основе вашей настройки приложений и стратегии сегментации предприятий ограничивайте трафик между узлами сеансов и внутренними ресурсами с помощью правил групп безопасности или брандмауэра Azure (или стороннего устройства брандмауэра) на масштабируемом уровне.

• Включите стандартную защиту Azure DDoS для брандмауэра Azure (или стороннего устройства брандмауэра), чтобы защитить целевую зону виртуального рабочего стола Azure.

• Если вы используете прокси-сервер для исходящего доступа к Интернету с узлов сеансов:

  • Настройте прокси-серверы в том же географическом регионе, что и узлы сеансов и клиенты виртуального рабочего стола Azure (при использовании поставщиков облачных прокси-серверов).
  • Не используйте проверку TLS. В Виртуальном рабочем столе Azure трафик шифруется по умолчанию.
  • Избегайте конфигурации прокси-сервера, требующей проверки подлинности пользователей. Компоненты виртуального рабочего стола Azure на узле сеансов выполняются в контексте операционной системы, поэтому они не поддерживают прокси-серверы, требующие проверки подлинности. Для настройки прокси-сервера уровня узла на узле сеанса необходимо включить прокси на уровне системы.

• Убедитесь, что у конечных пользователей есть доступ к URL-адресам клиента Виртуального рабочего стола Azure. Если прокси-агент или конфигурация используются на устройствах пользователей, убедитесь, что вы также обошли URL-адреса клиента виртуального рабочего стола Azure.

• Используйте JIT-доступ для администрирования и устранения неполадок хостов сеанса. Избегайте предоставления непосредственного доступа к узлам сеансов RDP. Узлы сеансов AVD используют транспорт Reverse Connect для установки удаленных сеансов.

• Используйте функции адаптивной защиты сети в Microsoft Defender для облака, чтобы найти конфигурации групп безопасности сети, ограничивающие порты и исходные IP-адреса со ссылкой на правила внешнего сетевого трафика.

• Сбор журналов брандмауэра Azure (или стороннего устройства брандмауэра) с помощью Azure Monitor или решения для мониторинга партнеров. Кроме того, следует отслеживать журналы SIEM с помощью Microsoft Sentinel или аналогичной службы.

• Используйте только частную конечную точку для файлов Azure, которые используются для контейнеров профилей FSLogix.

• Настройте RDP Shortpath, чтобы дополнить обратный транспорт подключения.

Хосты сеансов

• Создайте выделенные организационные единицы (OU) в Active Directory для хостов сеансов Azure Virtual Desktop. Примените выделенную групповую политику к узлам сеансов для управления такими настройками, как:

  • Включите защиту захвата экрана , чтобы предотвратить захват конфиденциальных сведений о экране на конечных точках клиента.
  • Установите политику максимального времени бездействия/отключения и блокировки экрана.
  • Скрытие сопоставлений локальных и удаленных дисков в проводнике Windows.
  • При необходимости параметры конфигурации для контейнеров профилей FSLogix и облачного кэша FSLogix.

• Перенаправление устройства управления для хостов сеансов. Наиболее часто отключаемые устройства включают доступ к локальному жесткому диску и ограничения на использование USB или порта. Ограничение перенаправления камеры и удаленной печати может помочь защитить данные вашей организации. Отключите перенаправление буфера обмена, чтобы предотвратить копирование удаленного содержимого в конечные точки.

• Включите антивирусную защиту следующего поколения, например Microsoft Defender для конечной точки на узлах сеансов. Если вы используете решение конечной точки партнера, убедитесь, что Microsoft Defender для Облака сможет проверить его состояние. Кроме того, следует включить антивирусные исключения для FSLogix Profile Container. Microsoft Defender для конечной точки напрямую интегрируется с несколькими решениями Microsoft Defender, включая:

  • Microsoft Defender для облака
  • Microsoft Sentinel
  • Intune

• Включите оценки управления угрозами и уязвимостями. Интеграция решения по управлению угрозами и уязвимостями Microsoft Defender для конечной точки с Microsoft Defender для Облака или сторонним решением по управлению уязвимостями). Microsoft Defender для Облака изначально интегрируется с решением оценки уязвимостей Qualys.

• Используйте управление приложениями с помощью элемента управления приложениями Защитника Windows (WDAC) или AppLocker , чтобы обеспечить надежность приложений перед выполнением. Политики управления приложениями также могут блокировать неподписанные скрипты и MSIs и ограничивать Windows PowerShell для запуска в режиме ограниченного языка.

• Включение доверенного запуска для виртуальных машин Azure 2-го поколения для включения таких функций, как безопасная загрузка, vTPM и безопасность на основе виртуализации (VBS). Microsoft Defender для Cloud может отслеживать узлы сеансов, настроенные в режиме доверенного запуска.

• Случайный выбор паролей локального администратора с помощью Windows LAPS для защиты от атак сквозного хэша и бокового обхода.

• Убедитесь, что узлы сеансов отслеживаются Azure Monitor или решением мониторинга партнеров с помощью Центров событий.

• Создайте стратегию управления патчами для узлов сеансов. Microsoft Endpoint Configuration Manager позволяет узлам сеансов Виртуального рабочего стола Azure автоматически получать обновления. Следует как минимум раз в 30 дней исправлять базовые образы. Рекомендуется использовать конструктор образов Azure (AIB), чтобы создать собственный конвейер визуализации для базового образа Виртуального рабочего стола Azure.

Дополнительные сведения о рекомендациях по обеспечению безопасности узла сеансов виртуального рабочего стола Azure см. в рекомендациях по обеспечению безопасности узла сеансов.

Подробный список рекомендаций по обеспечению безопасности виртуальных машин Azure см. в рекомендациях по безопасности виртуальных машин в Azure.

Защита данных

• Microsoft Azure шифрует данные в состоянии покоя, чтобы защитить их от внеполосных атак, таких как попытки доступа к базовому хранилищу. Это шифрование помогает гарантировать, что злоумышленники не могут легко считывать или изменять данные. Подход Майкрософт к включению двух уровней шифрования для неактивных данных:

  • Шифрование дисков с помощью ключей, управляемых клиентом. Пользователи предоставляют собственный ключ для шифрования дисков. Они могут принести собственные ключи в хранилище ключей (практика, известная как BYOK — принести собственный ключ) или создать новые ключи в Azure Key Vault для шифрования нужных ресурсов (включая диски узла сеансов).
  • Шифрование инфраструктуры с помощью ключей, управляемых платформой. По умолчанию диски автоматически шифруются с помощью ключей шифрования, управляемых платформой.
  • Шифрование на узле виртуальной машины (сервер Azure, на котором выделена виртуальная машина). Временные диски каждой виртуальной машины и данные кэша дисков ОС и данных хранятся на узле виртуальной машины. Если шифрование на узле виртуальной машины включено, данные шифруются на отдыхе и передаются в службу хранилища для долгосрочного хранения.

• Разверните решение для защиты информации, например Microsoft Purview Information Protection или стороннее решение, которое гарантирует, что конфиденциальная информация хранится, обрабатывается и передается безопасно технологическими системами вашей организации.

• Используйте помощник по политике безопасности для приложений Microsoft 365 для предприятий для повышения безопасности развертывания Office. Это средство определяет политики, которые можно применить к развертыванию для повышения безопасности, а также рекомендует политики на основе их влияния на безопасность и производительность.

• Настройте проверку подлинности на основе удостоверений для файлов Azure, используемых для профилей пользователей FSLogix через локальные доменные службы Active Directory (AD DS) и доменные службы Microsoft Entra. Настройте разрешения NTFS, чтобы авторизованные пользователи могли получить доступ к файлам Azure.

Управление затратами

• Использование тегов Azure для организации затрат на создание, управление и развертывание ресурсов виртуального рабочего стола Azure. Чтобы определить связанные затраты на вычислительные ресурсы Виртуального рабочего стола Azure, пометьте все пулы узлов и виртуальные машины. Пометьте ресурсы Azure Files или Azure NetApp Files, чтобы отслеживать затраты на хранение, связанные с контейнерами профилей пользователей FSLogix, пользовательскими образами ОС и подключением приложений MSIX (при использовании).

• Определите минимальные предлагаемые теги , которые необходимо задать во всех ресурсах Виртуального рабочего стола Azure. Теги Azure можно задать во время развертывания или после настройки. Рекомендуется использовать встроенные определения политики Azure для применения правил тегов.

• Задайте бюджеты в Microsoft Cost Management для упреждающего управления затратами на использование Azure. При превышении установленных порогов бюджета уведомления будут отправлены.

• Создайте оповещения управления затратами для мониторинга использования и расходов Azure в посадочной зоне виртуального рабочего стола Azure.

• Настройте функцию start VM on Connect , чтобы сэкономить затраты, позволяя конечным пользователям включать свои виртуальные машины только в том случае, если им нужны.

• Разверните решения масштабирования для узлов сеансов в пуле с помощью службы автоматизации Azure или функции автомасштабирования (предварительная версия)

Согласованность ресурсов

• Используйте Intune для личных узлов сеансов Виртуального рабочего стола Azure, чтобы применить существующие или создать новые конфигурации и защитить виртуальные машины с помощью политики соответствия требованиям и условного доступа. Управление с помощью Intune не зависит от управления виртуальной машиной, осуществляемого Виртуальным рабочим столом Azure, и не взаимодействует с ним.

• Управление узлами многосеансовых сеансов с помощью Intune позволяет управлять удаленными рабочими столами Windows 10 или Windows 11 Enterprise в Центре администрирования Intune так же, как и общим клиентским устройством Windows 10 или Windows 11. При управлении такими виртуальными машинами можно использовать конфигурацию, нацеленную на устройства, или конфигурацию, нацеленную на пользователей.

• Аудит и настройка усиления безопасности операционной системы сеансовых хостов с помощью конфигурации машины, как это реализовано в политике Azure. Используйте базовые показатели безопасности Windows в качестве отправной точки для защиты операционной системы Windows.

• Используйте встроенные определения политики Azure , чтобы настроить параметры диагностики для ресурсов Виртуального рабочего стола Azure, таких как рабочие области, группы приложений и пулы узлов.

Ознакомьтесь с рекомендациями по обеспечению безопасности виртуального рабочего стола Azure в качестве отправной точки для обеспечения безопасности в вашей среде.

Соответствие

Почти все организации должны соответствовать различным государственным или отраслевым нормативным политикам. Просмотрите все такие политики с помощью команды соответствия требованиям и реализуйте правильные элементы управления для конкретной целевой зоны виртуального рабочего стола Azure. Например, следует учитывать элементы управления для конкретных политик, таких как стандарт безопасности данных индустрии платежей (PCI DSS) или закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA), если ваша организация соответствует их платформам.

• При необходимости используйте Microsoft Defender для облака , чтобы применить дополнительные стандарты соответствия к целевым зонам виртуального рабочего стола Azure. Microsoft Defender для Облака помогает упростить процесс соответствия нормативным требованиям с помощью панели мониторинга соответствия нормативным требованиям. Встроенные или настраиваемые стандарты соответствия можно добавить на панель мониторинга. Уже встроенные нормативные стандарты, которые можно добавить:

  • PCI-DSS версии 3.2.1:2018
  • SOC TSP.
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • Официальный представитель Великобритании и Национальная служба здравоохранения Великобритании
  • Федеральный PBMM Канады
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF, версия 2020
  • ISO 27001:2013
  • Новая Зеландия ISM с ограничениями на доступ
  • Уровень 3 CMMC
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Если ваша организация привязана к требованиям к месту размещения данных, рассмотрите возможность ограничения развертывания ресурсов виртуального рабочего стола Azure (рабочих областей, групп приложений и пулов узлов) следующим географическим областям:

  • Соединенные Штаты
  • Европа
  • Соединенное Королевство
  • Канада

  Ограничение развертывания в этих географических регионах поможет вам убедиться, что метаданные виртуального рабочего стола Azure хранятся в регионе географического ресурса виртуального рабочего стола Azure, так как узлы сеансов можно развернуть по всему миру для размещения базы пользователей.

• Используйте групповые политики и инструменты управления устройствами, такие как Intune и Microsoft Endpoint Configuration Manager, для обеспечения тщательной безопасности и соответствия сеансовым хостам.

• Настройте оповещения и автоматические ответы в Microsoft Defender для облака, чтобы обеспечить общее соответствие целевых зон виртуального рабочего стола Azure.

• Просмотрите оценку безопасности Майкрософт , чтобы оценить общую безопасность организации в следующих продуктах:

  • Microsoft 365 (включая Exchange Online)
  • Майкрософт Ентра айди
  • Microsoft Defender для Endpoint
  • Microsoft Defender для идентификации
  • Defender для облачных приложений
  • Microsoft Teams

• Просмотрите оценку Microsoft Defender для облака Secure Score, чтобы улучшить соблюдение требований безопасности в виртуальных средах Azure.

Рекомендуемые рекомендации по обеспечению безопасности и базовые показатели

• Рекомендации по обеспечению безопасности виртуального рабочего стола Azure
• Базовые показатели безопасности для виртуального рабочего стола Azure на основе Azure Security Benchmark
• Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure

Дальнейшие действия

Узнайте об автоматизации платформы и DevOps в сценарии виртуального рабочего стола Azure в масштабе предприятия.