Базовые показатели безопасности Azure для виртуального рабочего стола Azure

Это важно

Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по Виртуальному рабочему столу Azure.

Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к виртуальному рабочему столу Azure. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Виртуальному рабочему столу Azure.

Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.

Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Замечание

Функции , неприменимые к виртуальному рабочему столу Azure, были исключены. Сведения о том, как виртуальный рабочий стол Azure полностью сопоставляется с эталонным показателем безопасности облака Майкрософт, см. полный файл сопоставления базовых показателей безопасности виртуального рабочего стола Azure.

Профиль безопасности

Профиль безопасности обобщает высоко значимые аспекты поведения виртуальных рабочих столов Azure, что может потребовать дополнительных мер по обеспечению безопасности.

Атрибут поведения службы Ценность
Категория продукта Виртуальный рабочий стол
Клиент может получить доступ к HOST / OS Полный доступ
Служба может быть развернута в виртуальной сети клиента Неправда
Сохраняет содержимое данных клиента в состоянии покоя Неправда

Сетевая безопасность

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.

NS-1. Установка границ сегментации сети

Функции

Интеграция виртуальной сети

Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Заметки о функциях. Виртуальные машины в пуле узлов должны размещаться в виртуальной сети.

Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.

Ссылка: Учебник: Создание пула узлов

Поддержка группы безопасности сети

Описание: Сетевой трафик службы учитывает правила назначения сетевых групп безопасности в подсетях. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Заметки о функциях. Виртуальные машины, используемые в пуле узлов, поддерживают использование групп безопасности сети.

Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.

Ссылка: Учебник: Создание пула узлов

NS-2. Защита облачных служб с помощью сетевых элементов управления

Функции

описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Заметки о функциях: Частная ссылка с Azure Virtual Desktop в настоящее время находится в предварительной версии.

Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию приватного канала, чтобы установить частную точку доступа для ресурсов.

Справочник. Использование приватного канала Azure с виртуальным рабочим столом Azure (предварительная версия)

Отключение доступа к общедоступной сети

Описание: Служба поддерживает отключение доступа к общедоступной сети либо через использование правила фильтрации IP-адресов на уровне службы (не NSG или брандмауэра Azure), либо через переключатель "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление идентичностью

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1. Использование централизованной системы идентификации и проверки подлинности

Функции

Требуется аутентификация в Azure AD для доступа к плоскости данных

Описание: Служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справка:Присоединение Azure Virtual Desktop к Azure AD

IM-3. Безопасное и автоматическое управление идентичностями приложений

Функции

Управляемые учётные записи

Описание: Действия в плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке: Используйте управляемые удостоверения Azure вместо учетных записей службы, которые могут аутентифицировать в службах и ресурсах Azure, поддерживающих аутентификацию в Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.

Справочник: Настройка управляемых удостоверений

Субъекты-службы

Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

Ссылка: Руководство: Создание учетных записей служб и назначений ролей с помощью PowerShell в Azure Virtual Desktop (классическая версия)

IM-7. Ограничение доступа к ресурсам в зависимости от условий

Функции

Условный доступ для плоскости данных

Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.

Справочник. Включение условного доступа

IM-8. Ограничение раскрытия учетных данных и секретов

Функции

Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault

Описание: Плоскость управления данными поддерживает нативное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.

PA-1. Разделение и ограничение высоко привилегированных или административных пользователей

Функции

Учетные записи локального администратора

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Заметки о функциях. Учетная запись администратора локальной виртуальной машины создается для виртуальных машин, которые добавляются в пул узлов. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Если не требуется для обычных административных операций, отключите или ограничьте учетные записи локального администратора только для экстренного использования.

PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)

Функции

Azure RBAC для плоскости данных

Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по Настройке: Используйте управление доступом на основе ролей Azure (Azure RBAC) для контроля доступа к ресурсам Azure через встроенные назначения ролей. Роли RBAC Azure можно назначать пользователям, группам, принципам службы и управляемым удостоверениям.

Справочник. Встроенные роли Azure RBAC для виртуального рабочего стола Azure

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Функции

Защитный сейф для клиентов

Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.

DP-1: обнаружение, классификация и метка конфиденциальных данных

Функции

Обнаружение конфиденциальных данных и классификация

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Заметки по функциям: Используйте Azure Information Protection (и связанное средство сканирования) для защиты конфиденциальной информации в документах Office в Azure, локально, в Office 365 и других местах.

Руководство по настройке. Используйте такие средства, как Azure Purview, Azure Information Protection и Azure SQL Data Discovery и классификация для централизованного сканирования, классификации и метки всех конфиденциальных данных, находящихся в Azure, локальной среде, Microsoft 365 или других расположениях.

DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные

Функции

Защита от утечки и потери данных

Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальной информации (в контенте клиента). Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Microsoft

Заметки о функциях: Используйте решения по предотвращению потери данных, такие как хостовые, для принудительного применения контрольных и/или защитных мер для предотвращения утечки данных.

Для среды виртуального рабочего стола также могут использоваться такие решения, как защита от потери данных для Microsoft Azure. Дополнительные сведения см. в статье: Защита от потери данных (DLP) для Microsoft Azure Azure Information Protection (AIP) предоставляет возможности мониторинга для сведений, которые были классифицированы и помечены.

Руководство по настройке. Если требуется для обеспечения соответствия требованиям защиты от потери данных (DLP), можно использовать решение защиты от потери данных на основе узла из Azure Marketplace или решение защиты от потери данных Microsoft 365 для принудительного применения детективных и /или запретительных элементов управления, чтобы предотвратить утечку данных.

DP-3. Шифрование конфиденциальных данных при передаче

Функции

Шифрование данных в пути

Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник. Сеть

DP-4. Включение шифрования неактивных данных по умолчанию

Функции

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник. Защита данных

DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости

Функции

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-6. Использование процесса безопасного управления ключами

Функции

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-7. Использование процесса управления безопасными сертификатами

Функции

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление активами

Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.

AM-2. Использование только утвержденных служб

Функции

Поддержка политик Azure

Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте эффекты политики Azure [deny] и [deployIfNotExists], чтобы обеспечить безопасную настройку ресурсов Azure.

Справочник. Базовые показатели безопасности Azure для виртуального рабочего стола Azure

AM-5. Использование только утвержденных приложений в виртуальной машине

Функции

Microsoft Defender для облака — адаптивные элементы управления приложениями

Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Заметки о функциях. Хотя адаптивный контроль приложений через Microsoft Defender для Облака не поддерживается, при выборе модели развертывания можно предоставить удаленным пользователям доступ ко всем виртуальным рабочим столам или только к приложениям. Удаленные приложения или RemoteApps обеспечивают простой интерфейс, так как пользователь работает с приложениями на виртуальном рабочем столе. RemoteApps снижает риск, позволяя пользователю работать только с подмножеством удаленного компьютера, предоставляемого приложением.

Дополнительные сведения см. в статье "Использование удаленных приложений"

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Функции

Microsoft Defender для предложения сервисов/продуктов

Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Когда вы получите оповещение из Microsoft Defender для Key Vault, изучите и ответите на это оповещение.

Справочник. Подключение устройств Windows в виртуальном рабочем столе Azure

LT-4. Включение логирования для расследования инцидентов безопасности

Функции

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.

Справочник. Отправка данных диагностики в рабочую область

Управление защитной позицией и уязвимостями

Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.

PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов

Функции

Конфигурация состояния службы автоматизации Azure

Описание. Конфигурация состояния службы автоматизации Azure может использоваться для поддержания конфигурации безопасности операционной системы. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Агент гостевой конфигурации политики Azure

Описание. Агент гостевой конфигурации политики Azure можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Пользовательские образы виртуальных машин

Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте нужную безопасную базовую конфигурацию в шаблоне образа виртуальной машины.

Справочник. Операционные системы и лицензии

Пользовательские образы контейнеров

Описание: Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из торговой площадки с заранее установленными конфигурациями. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PV-5. Выполнение оценки уязвимостей

Функции

Оценка уязвимостей с помощью Microsoft Defender

Описание. Служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, службы приложений, SQL и DNS). Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL.

Справочник. Включение Microsoft Defender для облака

PV-6. Быстрое и автоматическое исправление уязвимостей

Функции

Управление обновлениями в службе автоматизации Azure

Описание. Служба может использовать управление обновлениями службы автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Безопасность конечных точек

Дополнительные сведения см. в статье microsoft cloud security benchmark: Endpoint Security.

ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)

Функции

Решение EDR

Описание. Функция обнаружения конечных точек и ответа (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке: Azure Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на расширенные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Azure Defender для серверов для конечной точки и интегрировать оповещения в решение SIEM, например Azure Sentinel.

Справочник. Включение защиты конечных точек

ES-2. Использование современного программного обеспечения для защиты от вредоносных программ

Функции

Решение для защиты от вредоносных программ

Описание: функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки может быть развернута на конечной точке. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Для Windows Server 2016 и более поздних версий Microsoft Defender для антивирусной программы устанавливается по умолчанию. Для Windows Server 2012 R2 и более поздних версий клиенты могут установить SCEP (System Center Endpoint Protection). Для Linux клиенты могут выбрать установку Microsoft Defender для Linux. Кроме того, клиенты также могут устанавливать сторонние продукты защиты от вредоносных программ.

Справочник. Включение Microsoft Defender для облака

ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ

Функции

Мониторинг состояния антивирусных решений

Описание: Решение для защиты от вредоносных программ обеспечивает мониторинг состояния системы для обновлений платформы, движка и автоматических обновлений подписей. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы гарантировать, что платформа, подсистема и подписи обновляются быстро и последовательно и их состояние можно отслеживать.

Справочник. Включение Microsoft Defender для облака

Резервное копирование и восстановление

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.

BR-1. Обеспечение регулярного автоматического резервного копирования

Функции

Azure Backup

Описание: Служба может быть резервно сохранена службой Azure Backup. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Включение Службы архивации Azure и настройка источника резервного копирования (например, виртуальных машин Azure, SQL Server, баз данных HANA или общих папок) на требуемой частоте и с требуемым периодом хранения. Для виртуальных машин Azure можно использовать политику Azure для включения автоматического резервного копирования.

Справочник.Как виртуальный рабочий стол Azure обрабатывает резервные копии?

Возможность встроенного резервного копирования службы

Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Заметки о функциях. Виртуальный рабочий стол Azure использует Azure Backup.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие шаги