Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure
В этой статье приведены действия по применению принципов нулевого доверия к развертыванию виртуального рабочего стола Azure следующим образом:
| Принцип нулевого доверия | Определение | Встречалась |
|---|---|---|
| Прямая проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Проверьте удостоверения и конечные точки пользователей Виртуального рабочего стола Azure и безопасный доступ к узлам сеансов. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. |
|
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. |
|
Дополнительные сведения о применении принципов нулевого доверия в среде IaaS Azure см. в обзоре принципов применения нулевого доверия к Azure IaaS.
Эталонная архитектура
В этой статье мы используем следующую эталонную архитектуру для концентратора и периферийных узлов, чтобы продемонстрировать часто развернутую среду и как применить принципы нулевого доверия для виртуального рабочего стола Azure с доступом пользователей через Интернет. Архитектура Azure Виртуальная глобальная сеть также поддерживается в дополнение к частному доступу через управляемую сеть с помощью RDP Shortpath для виртуального рабочего стола Azure.
Среда Azure для Виртуального рабочего стола Azure включает:
| Компонент | Description |
|---|---|
| а | служба хранилища Azure Службы для профилей пользователей Виртуального рабочего стола Azure. |
| Б | Виртуальная сеть концентратора подключения. |
| C | Периферийная виртуальная сеть с рабочими нагрузками на основе сеанса виртуального рабочего стола Azure. |
| D | Плоскость управления Виртуальным рабочим столом Azure. |
| E | Плоскость управления виртуальным рабочим столом Azure. |
| F | Зависимые службы PaaS, включая идентификатор Microsoft Entra, Microsoft Defender для облака, управление доступом на основе ролей (RBAC) и Azure Monitor. |
| G | Коллекция вычислений Azure. |
Пользователи или администраторы, которые обращаются к среде Azure, могут исходить из Интернета, офисных расположений или локальных центров обработки данных.
Эталонная архитектура соответствует архитектуре, описанной в целевой зоне корпоративного масштаба для Azure Virtual Desktop Cloud Adoption Framework.
Логическая архитектура
На этой схеме инфраструктура Azure для развертывания виртуального рабочего стола Azure содержится в клиенте Идентификатора Microsoft Entra.
Элементы логической архитектуры:
Подписка Azure для виртуального рабочего стола Azure
Ресурсы можно распространять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка безопасности. Это описано в Cloud Adoption Framework и Целевой зоне Azure. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые у вас есть. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью RBAC и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.
Группа ресурсов Виртуального рабочего стола Azure
Группа ресурсов Виртуального рабочего стола Azure изолирует хранилища ключей, объекты службы виртуального рабочего стола Azure и частные конечные точки.
Группа ресурсов Хранилище
Группа ресурсов хранилища изолирует частные конечные точки и наборы данных службы Файлы Azure.
Группа ресурсов узла сеанса
Выделенная группа ресурсов изолирует виртуальные машины для узлов сеансов Виртуальные машины, набора шифрования дисков и группы безопасности приложений.
Группа ресурсов периферийной виртуальной сети
Выделенная группа ресурсов изолирует ресурсы периферийной виртуальной сети и группу безопасности сети, которой специалисты сети в организации могут управлять.
Что такое в этой статье?
В этой статье рассматриваются действия по применению принципов нулевого доверия в эталонной архитектуре виртуального рабочего стола Azure.
| Шаг | Задача | Применены принципы нулевого доверия |
|---|---|---|
| 1 | Защита удостоверений с помощью нулевого доверия. | Прямая проверка |
| 2 | Защита конечных точек с помощью нуля доверия. | Прямая проверка |
| 3 | Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
| 4 | Применение принципов нулевого доверия к концентратору и периферийным виртуальным сетям виртуального рабочего стола Azure. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
| 5 | Применение принципов нулевого доверия к узлу сеансов Виртуального рабочего стола Azure. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
| 6 | Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure. | Предполагайте наличие бреши в системе безопасности |
| 7 | Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure. | Предполагайте наличие бреши в системе безопасности |
Шаг 1. Защита удостоверений с помощью нуля доверия
Чтобы применить принципы нулевого доверия к удостоверениям, используемым в виртуальном рабочем столе Azure:
- Виртуальный рабочий стол Azure поддерживает различные типы удостоверений. Используйте сведения в разделе "Защита удостоверения с нулевой доверием", чтобы убедиться, что выбранные типы удостоверений соответствуют принципам нулевого доверия.
- Создайте выделенную учетную запись пользователя с минимальными привилегиями для присоединения узлов сеансов к домену Доменных служб Microsoft Entra или домену AD DS во время развертывания узла сеансов.
Шаг 2. Защита конечных точек с помощью нуля доверия
Конечные точки — это устройства, через которые пользователи получают доступ к среде виртуального рабочего стола Azure и виртуальным машинам узла сеанса. Используйте инструкции в обзоре интеграции конечных точек и используйте Microsoft Defender для конечной точки и Microsoft Endpoint Manager, чтобы убедиться, что конечные точки соответствуют вашим требованиям к безопасности и соответствию требованиям.
Шаг 3. Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure
Выполните действия, описанные в разделе "Применение принципов нулевого доверия к службе хранилища в Azure" для ресурсов хранилища, используемых в развертывании виртуального рабочего стола Azure. Эти действия гарантируют, что вы:
- Защита неактивных данных виртуального рабочего стола Azure, при передаче и использовании.
- Проверьте пользователей и управляйте доступом к данным хранилища с минимальными привилегиями.
- Реализуйте частные конечные точки для учетных записей хранения.
- Логически отделяйте критически важные данные с сетевыми элементами управления. Например, отдельные учетные записи хранения для разных пулов узлов и других целей, например при подключении общих папок приложения MSIX.
- Используйте Defender для хранилища для автоматической защиты от угроз.
Примечание.
В некоторых проектах Azure NetApp files — это служба хранилища для профилей FSLogix для виртуального рабочего стола Azure с помощью общей папки SMB. Azure NetApp Files предоставляет встроенные функции безопасности, включающие делегированные подсети и тесты безопасности.
Шаг 4. Применение принципов нулевого доверия к концентратору и периферийным виртуальным сетям Виртуального рабочего стола Azure
Виртуальная сеть концентратора — это центральная точка подключения для нескольких периферийных виртуальных сетей. Реализуйте шаги, описанные в принципах применения нулевого доверия к виртуальной сети концентратора в Azure для виртуальной сети концентратора, используемой для фильтрации исходящего трафика от узлов сеансов.
Периферийная виртуальная сеть изолирует рабочую нагрузку виртуального рабочего стола Azure и содержит виртуальные машины узла сеанса. Реализуйте шаги, описанные в принципах применения нулевого доверия к периферийной виртуальной сети в Azure для периферийной виртуальной сети, содержащей узел сеанса или виртуальные машины.
Изоляция разных пулов узлов в отдельных виртуальных сетях с помощью группы безопасности сети с необходимым URL-адресом, необходимым для виртуального рабочего стола Azure для каждой подсети. При развертывании частных конечных точек они размещаются в соответствующей подсети в виртуальной сети на основе их роли.
Брандмауэр Azure или брандмауэр виртуального сетевого устройства (NVA) можно использовать для управления и ограничения исходящего трафика узлов сеансов Виртуального рабочего стола Azure. Используйте инструкции, приведенные здесь для Брандмауэр Azure для защиты узлов сеансов. Принудительное использование трафика через брандмауэр с определяемыми пользователем маршрутами (UDR), связанными с подсетью пула узлов. Просмотрите полный список необходимых URL-адресов виртуального рабочего стола Azure для настройки брандмауэра. Брандмауэр Azure предоставляет виртуальный рабочий стол AzureТег FQDN для упрощения этой конфигурации.
Шаг 5. Применение принципов нулевого доверия к узлам сеансов Виртуального рабочего стола Azure
Узлы сеансов — это виртуальные машины, которые выполняются в периферийной виртуальной сети. Выполните шаги, описанные в разделе "Применение принципов нулевого доверия к виртуальным машинам в Azure" для виртуальных машин, созданных для узлов сеансов.
Пулы узлов должны быть разделены подразделениями (OUS), если они управляются групповыми политиками в службах домен Active Directory (AD DS).
Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них. Вы можете использовать Microsoft Defender для конечной точки для узлов сеансов. Дополнительные сведения см. на устройствах инфраструктуры виртуальных рабочих столов (VDI).
Шаг 6. Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure
Служба виртуального рабочего стола Azure позволяет использовать Приватный канал Azure для частного подключения к ресурсам путем создания частных конечных точек.
Виртуальный рабочий стол Azure имеет встроенные функции безопасности для защиты узлов сеансов. Однако ознакомьтесь со следующими статьями, чтобы повысить защиту среды виртуального рабочего стола Azure и узлов сеансов:
- Рекомендации по обеспечению безопасности виртуального рабочего стола Azure
- Базовые показатели безопасности Azure для виртуального рабочего стола Azure
Кроме того, ознакомьтесь с ключевыми рекомендациями по проектированию и безопасности, управлению и соответствию требованиям в целевых зонах Виртуального рабочего стола Azure в соответствии с Microsoft Cloud Adoption Framework.
Шаг 7. Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure
Для управления и непрерывного мониторинга важно убедиться, что среда виртуального рабочего стола Azure не участвует в вредоносном поведении. Используйте Аналитику виртуальных рабочих столов Azure для записи данных и отчетов о диагностике и использовании.
Дополнительные статьи см. в следующих статьях:
- Ознакомьтесь с рекомендациями помощника по Azure для виртуального рабочего стола Azure.
- Используйте Microsoft Intune для детального управления политиками.
- Просмотрите и задайте свойства RDP для детализации параметров на уровне пула узлов.
Рекомендуемое обучение
Защита развертывания Виртуального рабочего стола Azure
| Обучение | Защита развертывания виртуального рабочего стола Azure |
|---|---|
|
Узнайте о возможностях безопасности Майкрософт, которые помогают обеспечить безопасность приложений и данных в развертывании виртуального рабочего стола Microsoft Azure. |
Защита развертывания виртуального рабочего стола Azure с помощью Azure
| Обучение | Защита развертывания виртуального рабочего стола Azure с помощью Azure |
|---|---|
|
Разверните Брандмауэр Azure, направьте весь сетевой трафик через брандмауэр Azure и настройте правила. Перенаправляйте исходящий сетевой трафик из пула узлов Виртуальных рабочих столов Azure в службу через Брандмауэр Azure. |
Управление доступом и безопасностью для Виртуального рабочего стола Azure
| Обучение | Управление доступом и безопасностью для виртуального рабочего стола Azure |
|---|---|
|
Узнайте, как планировать и реализовывать роли Azure для Виртуальных рабочих столов Azure и реализовывать политики условного доступа для удаленных подключений. Эта схема обучения соответствует экзамену "AZ-140. Настройка и эксплуатация Виртуального рабочего стола Microsoft Azure". |
Проектирование для удостоверений и профилей пользователей
| Обучение | Проектирование удостоверений пользователей и профилей |
|---|---|
|
Вашим пользователям требуется доступ к этим приложениям как локально, так и в облаке. Вы используете клиент удаленного рабочего стола для Windows для удаленного доступа к приложениям Windows и рабочим столам с другого устройства Windows. |
Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure
Next Steps
Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:
- Обзор Azure IaaS
- Виртуальная глобальная сеть Azure
- Приложения IaaS в Amazon Web Services
- Microsoft Sentinel и XDR в Microsoft Defender
Технические иллюстрации
Иллюстрации, используемые в этой статье, можно скачать. Используйте файл Visio для изменения этих иллюстраций для собственного использования.
Дополнительные технические иллюстрации см . здесь.
Ссылки
Ознакомьтесь со ссылками ниже, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.
- Что такое Azure — Microsoft Облачные службы
- Инфраструктура Azure как услуга (IaaS)
- Виртуальные машины (виртуальные машины) для Linux и Windows
- Общие сведения о служба хранилища Azure — облачное хранилище в Azure
- Виртуальная сеть Azure
- Общие сведения о системе безопасности Azure
- Руководство по реализации нулевого доверия
- Общие сведения о тесте безопасности microsoft cloud security
- Общие сведения о базовых показателях безопасности для Azure
- Создание первого уровня защиты с помощью служб безопасности Azure — Центр архитектуры Azure
- Эталонные архитектуры кибербезопасности Microsoft — документация по безопасности