Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure
В этом уроке описаны шаги по применению принципов нулевого доверия в эталонной архитектуре виртуального рабочего стола Azure.
Шаг 1. Защити свои идентичности с помощью нулевого доверия
Чтобы применить принципы Zero Trust к удостоверениям, используемым в Azure Virtual Desktop:
- Виртуальный рабочий стол Azure поддерживает различные типы удостоверений. Используйте сведения в разделе "Защита удостоверения с нулевым доверием", чтобы убедиться, что выбранные типы удостоверений соответствуют принципам нулевого доверия.
- Создайте специальную учетную запись пользователя с минимально необходимыми привилегиями для присоединения узлов сеансов к домену служб Microsoft Entra или AD DS во время их развертывания.
Шаг 2. Защита конечных точек с помощью нуля доверия
Конечные точки — это устройства, через которые пользователи получают доступ к среде виртуального рабочего стола Azure и виртуальным машинам узла сеанса. Используйте инструкции в обзоре интеграции конечных точек и используйте Microsoft Defender для конечной точки и Microsoft Intune, чтобы убедиться, что конечные точки соответствуют вашим требованиям к безопасности и соответствию требованиям.
Шаг 3. Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure
Выполните действия, описанные в разделе "Применение принципов нулевого доверия к службе хранилища в Azure" для ресурсов хранилища, используемых в развертывании виртуального рабочего стола Azure. Эти действия гарантируют, что вы:
- Обеспечьте защиту данных виртуального рабочего стола Azure в состоянии покоя, при передаче и в процессе использования.
- Проверьте пользователей и управляйте доступом к данным хранилища с минимальными привилегиями.
- Реализуйте частные конечные точки для учетных записей хранения.
- Логически отделяйте критически важные данные с сетевыми элементами управления. Например, отдельные учетные записи хранения для разных пулов узлов и других целей, например при подключении общих папок приложения MSIX.
- Используйте Defender для хранилища для автоматической защиты от угроз.
Шаг 4. Применение принципов нулевого доверия к концентратору и периферийным виртуальным сетям Виртуального рабочего стола Azure
Виртуальная сеть концентратора — это центральная точка подключения для нескольких периферийных виртуальных сетей. Реализуйте шаги в применении принципов нулевого доверия к виртуальной сети концентратора в Azure для концентратора VNet, используемого для фильтрации исходящего трафика от узлов сеансов.
Лучевая виртуальная сеть (VNet) изолирует нагрузку Azure Virtual Desktop и содержит виртуальные машины узла сеанса. Реализуйте шаги, описанные в принципах применения нулевого доверия к периферийной виртуальной сети в Azure для периферийной виртуальной сети, содержащей узел сеанса или виртуальные машины.
Изолируйте разные пулы узлов в отдельных виртуальных сетях с помощью группы безопасности сети с необходимым URL-адресом для виртуальной рабочей среды Azure для каждой подсети. При развертывании частных конечных точек они размещаются в соответствующей подсети в виртуальной сети на основе их роли.
Брандмауэр Azure или брандмауэр виртуального сетевого устройства (NVA) можно использовать для управления и ограничения исходящего трафика узлов сеансов Виртуального рабочего стола Azure. Используйте представленные здесь инструкции для брандмауэра Azure, чтобы защитить узлы сеансов. Принудительно направьте трафик через брандмауэр с пользовательскими маршрутами (UDR), связанными с подсетью пула узлов. Просмотрите полный список необходимых URL-адресов виртуального рабочего стола Azure для настройки брандмауэра. Брандмауэр Azure предоставляет Azure Виртуальный рабочий стол Azure Тег FQDN для упрощения этой конфигурации.
Шаг 5. Применение принципов нулевого доверия к узлам сеансов Виртуального рабочего стола Azure
Узлы сеансов — это виртуальные машины, которые работают внутри спицевой VNet. Выполните шаги, описанные в разделе "Применение принципов нулевого доверия к виртуальным машинам в Azure" для виртуальных машин, созданных для узлов сеансов.
Пулы хостов должны иметь отдельные организационные подразделения (ОП), если они управляются групповыми политиками в Службы доменных имен Active Directory (AD DS).
Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них. Вы можете использовать Microsoft Defender для защиты конечных точек для сеансовых хостов. Для получения дополнительной информации см. устройства инфраструктуры виртуальных рабочих столов (VDI).
Шаг 6. Развертывание безопасности, управления и соответствия виртуальному рабочему столу Azure
Служба виртуального рабочего стола Azure позволяет использовать Приватный канал Azure для частного подключения к ресурсам путем создания частных конечных точек.
Виртуальный рабочий стол Azure имеет встроенные функции безопасности для защиты узлов сеансов. Однако ознакомьтесь со следующими статьями, чтобы повысить защиту среды виртуального рабочего стола Azure и узлов сеансов:
- Рекомендации по обеспечению безопасности виртуального рабочего стола Azure
- Базовые показатели безопасности Azure для виртуального рабочего стола Azure
Кроме того, ознакомьтесь с ключевыми рекомендациями по проектированию и безопасности, управлению и соответствию требованиям в целевых зонах Виртуального рабочего стола Azure в соответствии с Microsoft Cloud Adoption Framework.
Шаг 7. Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure
Для управления и непрерывного мониторинга важно убедиться, что среда виртуального рабочего стола Azure не участвует в вредоносном поведении. Используйте Аналитику виртуальных рабочих столов Azure для записи данных и отчетов о диагностике и использовании.
См. также следующие статьи:
- Ознакомьтесь с рекомендациями помощника по Azure для виртуального рабочего стола Azure.
- Используйте Microsoft Intune для детального управления политиками.
- Просмотрите и задайте свойства RDP для детализации параметров на уровне пула узлов.