Поделиться через


Применение принципов нулевого доверия к развертыванию виртуального рабочего стола Azure

В этой статье приведены действия по применению принципов нулевого доверия к развертыванию виртуального рабочего стола Azure следующим образом:

Принцип нулевого доверия Определение Встречалась
Прямая проверка Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Проверьте удостоверения и конечные точки пользователей Виртуального рабочего стола Azure и безопасный доступ к узлам сеансов.
Использование доступа с минимальными привилегиями Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных.
  • Ограничение доступа к узлам сеансов и их данным.
  • Хранилище: защита данных во всех трех режимах: неактивных данных, передачи данных, используемых данных.
  • Виртуальные сети (виртуальные сети): укажите разрешенные потоки сетевого трафика между концентраторами и периферийными виртуальными сетями с Брандмауэр Azure.
  • Виртуальные машины: использование контроль доступа на основе ролей (RBAC).
Предполагайте наличие бреши в системе безопасности Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.
  • Изоляция компонентов развертывания виртуального рабочего стола Azure.
  • Хранилище: используйте Defender для хранилища для автоматического обнаружения угроз и защиты.
  • Виртуальные сети: предотвращение потоков трафика между рабочими нагрузками с помощью Брандмауэр Azure.
  • Виртуальные машины: используйте двойное шифрование для сквозного шифрования, включите шифрование на узле, безопасное обслуживание виртуальных машин и Microsoft Defender для серверов для обнаружения угроз.
  • Виртуальный рабочий стол Azure. Использование функций безопасности, управления, управления и мониторинга Виртуальных рабочих столов Azure для улучшения защиты и сбора аналитики узла сеансов.

Дополнительные сведения о применении принципов нулевого доверия в среде IaaS Azure см. в обзоре принципов применения нулевого доверия к Azure IaaS.

Эталонная архитектура

В этой статье мы используем следующую эталонную архитектуру для концентратора и периферийных узлов, чтобы продемонстрировать часто развернутую среду и как применить принципы нулевого доверия для виртуального рабочего стола Azure с доступом пользователей через Интернет. Архитектура Azure Виртуальная глобальная сеть также поддерживается в дополнение к частному доступу через управляемую сеть с помощью RDP Shortpath для виртуального рабочего стола Azure.

Схема эталонной архитектуры виртуального рабочего стола Azure.

Среда Azure для Виртуального рабочего стола Azure включает:

Компонент Description
а служба хранилища Azure Службы для профилей пользователей Виртуального рабочего стола Azure.
Б Виртуальная сеть концентратора подключения.
C Периферийная виртуальная сеть с рабочими нагрузками на основе сеанса виртуального рабочего стола Azure.
D Плоскость управления Виртуальным рабочим столом Azure.
E Плоскость управления виртуальным рабочим столом Azure.
F Зависимые службы PaaS, включая идентификатор Microsoft Entra, Microsoft Defender для облака, управление доступом на основе ролей (RBAC) и Azure Monitor.
G Коллекция вычислений Azure.

Пользователи или администраторы, которые обращаются к среде Azure, могут исходить из Интернета, офисных расположений или локальных центров обработки данных.

Эталонная архитектура соответствует архитектуре, описанной в целевой зоне корпоративного масштаба для Azure Virtual Desktop Cloud Adoption Framework.

Логическая архитектура

На этой схеме инфраструктура Azure для развертывания виртуального рабочего стола Azure содержится в клиенте Идентификатора Microsoft Entra.

Схема компонентов виртуального рабочего стола Azure в клиенте идентификатора Microsoft Entra ID.

Элементы логической архитектуры:

  • Подписка Azure для виртуального рабочего стола Azure

    Ресурсы можно распространять в нескольких подписках, где каждая подписка может содержать разные роли, такие как сетевая подписка или подписка безопасности. Это описано в Cloud Adoption Framework и Целевой зоне Azure. Различные подписки также могут содержать различные среды, такие как рабочие, разработки и тестовые среды. Это зависит от того, как вы хотите разделить среду и количество ресурсов, которые у вас есть. Одну или несколько подписок можно управлять вместе с помощью группы управления. Это дает возможность применять разрешения с помощью RBAC и политик Azure к группе подписок, а не настраивать каждую подписку по отдельности.

  • Группа ресурсов Виртуального рабочего стола Azure

    Группа ресурсов Виртуального рабочего стола Azure изолирует хранилища ключей, объекты службы виртуального рабочего стола Azure и частные конечные точки.

  • Группа ресурсов Хранилище

    Группа ресурсов хранилища изолирует частные конечные точки и наборы данных службы Файлы Azure.

  • Группа ресурсов узла сеанса

    Выделенная группа ресурсов изолирует виртуальные машины для узлов сеансов Виртуальные машины, набора шифрования дисков и группы безопасности приложений.

  • Группа ресурсов периферийной виртуальной сети

    Выделенная группа ресурсов изолирует ресурсы периферийной виртуальной сети и группу безопасности сети, которой специалисты сети в организации могут управлять.

Что такое в этой статье?

В этой статье рассматриваются действия по применению принципов нулевого доверия в эталонной архитектуре виртуального рабочего стола Azure.

Шаг Задача Применены принципы нулевого доверия
1 Защита удостоверений с помощью нулевого доверия. Прямая проверка
2 Защита конечных точек с помощью нуля доверия. Прямая проверка
3 Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure. Проверка явным образом
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
4 Применение принципов нулевого доверия к концентратору и периферийным виртуальным сетям виртуального рабочего стола Azure. Проверка явным образом
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
5 Применение принципов нулевого доверия к узлу сеансов Виртуального рабочего стола Azure. Проверка явным образом
Использование минимально привилегированного доступа
Предполагайте наличие бреши в системе безопасности
6 Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure. Предполагайте наличие бреши в системе безопасности
7 Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure. Предполагайте наличие бреши в системе безопасности

Шаг 1. Защита удостоверений с помощью нуля доверия

Чтобы применить принципы нулевого доверия к удостоверениям, используемым в виртуальном рабочем столе Azure:

  • Виртуальный рабочий стол Azure поддерживает различные типы удостоверений. Используйте сведения в разделе "Защита удостоверения с нулевой доверием", чтобы убедиться, что выбранные типы удостоверений соответствуют принципам нулевого доверия.
  • Создайте выделенную учетную запись пользователя с минимальными привилегиями для присоединения узлов сеансов к домену Доменных служб Microsoft Entra или домену AD DS во время развертывания узла сеансов.

Шаг 2. Защита конечных точек с помощью нуля доверия

Конечные точки — это устройства, через которые пользователи получают доступ к среде виртуального рабочего стола Azure и виртуальным машинам узла сеанса. Используйте инструкции в обзоре интеграции конечных точек и используйте Microsoft Defender для конечной точки и Microsoft Endpoint Manager, чтобы убедиться, что конечные точки соответствуют вашим требованиям к безопасности и соответствию требованиям.

Шаг 3. Применение принципов нулевого доверия к ресурсам хранилища виртуального рабочего стола Azure

Выполните действия, описанные в разделе "Применение принципов нулевого доверия к службе хранилища в Azure" для ресурсов хранилища, используемых в развертывании виртуального рабочего стола Azure. Эти действия гарантируют, что вы:

  • Защита неактивных данных виртуального рабочего стола Azure, при передаче и использовании.
  • Проверьте пользователей и управляйте доступом к данным хранилища с минимальными привилегиями.
  • Реализуйте частные конечные точки для учетных записей хранения.
  • Логически отделяйте критически важные данные с сетевыми элементами управления. Например, отдельные учетные записи хранения для разных пулов узлов и других целей, например при подключении общих папок приложения MSIX.
  • Используйте Defender для хранилища для автоматической защиты от угроз.

Примечание.

В некоторых проектах Azure NetApp files — это служба хранилища для профилей FSLogix для виртуального рабочего стола Azure с помощью общей папки SMB. Azure NetApp Files предоставляет встроенные функции безопасности, включающие делегированные подсети и тесты безопасности.

Шаг 4. Применение принципов нулевого доверия к концентратору и периферийным виртуальным сетям Виртуального рабочего стола Azure

Виртуальная сеть концентратора — это центральная точка подключения для нескольких периферийных виртуальных сетей. Реализуйте шаги, описанные в принципах применения нулевого доверия к виртуальной сети концентратора в Azure для виртуальной сети концентратора, используемой для фильтрации исходящего трафика от узлов сеансов.

Периферийная виртуальная сеть изолирует рабочую нагрузку виртуального рабочего стола Azure и содержит виртуальные машины узла сеанса. Реализуйте шаги, описанные в принципах применения нулевого доверия к периферийной виртуальной сети в Azure для периферийной виртуальной сети, содержащей узел сеанса или виртуальные машины.

Изоляция разных пулов узлов в отдельных виртуальных сетях с помощью группы безопасности сети с необходимым URL-адресом, необходимым для виртуального рабочего стола Azure для каждой подсети. При развертывании частных конечных точек они размещаются в соответствующей подсети в виртуальной сети на основе их роли.

Брандмауэр Azure или брандмауэр виртуального сетевого устройства (NVA) можно использовать для управления и ограничения исходящего трафика узлов сеансов Виртуального рабочего стола Azure. Используйте инструкции, приведенные здесь для Брандмауэр Azure для защиты узлов сеансов. Принудительное использование трафика через брандмауэр с определяемыми пользователем маршрутами (UDR), связанными с подсетью пула узлов. Просмотрите полный список необходимых URL-адресов виртуального рабочего стола Azure для настройки брандмауэра. Брандмауэр Azure предоставляет виртуальный рабочий стол AzureТег FQDN для упрощения этой конфигурации.

Шаг 5. Применение принципов нулевого доверия к узлам сеансов Виртуального рабочего стола Azure

Узлы сеансов — это виртуальные машины, которые выполняются в периферийной виртуальной сети. Выполните шаги, описанные в разделе "Применение принципов нулевого доверия к виртуальным машинам в Azure" для виртуальных машин, созданных для узлов сеансов.

Пулы узлов должны быть разделены подразделениями (OUS), если они управляются групповыми политиками в службах домен Active Directory (AD DS).

Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них. Вы можете использовать Microsoft Defender для конечной точки для узлов сеансов. Дополнительные сведения см. на устройствах инфраструктуры виртуальных рабочих столов (VDI).

Шаг 6. Развертывание системы безопасности, управления и соответствия виртуальному рабочему столу Azure

Служба виртуального рабочего стола Azure позволяет использовать Приватный канал Azure для частного подключения к ресурсам путем создания частных конечных точек.

Виртуальный рабочий стол Azure имеет встроенные функции безопасности для защиты узлов сеансов. Однако ознакомьтесь со следующими статьями, чтобы повысить защиту среды виртуального рабочего стола Azure и узлов сеансов:

Кроме того, ознакомьтесь с ключевыми рекомендациями по проектированию и безопасности, управлению и соответствию требованиям в целевых зонах Виртуального рабочего стола Azure в соответствии с Microsoft Cloud Adoption Framework.

Шаг 7. Развертывание безопасного управления и мониторинга в Виртуальном рабочем столе Azure

Для управления и непрерывного мониторинга важно убедиться, что среда виртуального рабочего стола Azure не участвует в вредоносном поведении. Используйте Аналитику виртуальных рабочих столов Azure для записи данных и отчетов о диагностике и использовании.

Дополнительные статьи см. в следующих статьях:

Защита развертывания Виртуального рабочего стола Azure

Обучение Защита развертывания виртуального рабочего стола Azure
Узнайте о возможностях безопасности Майкрософт, которые помогают обеспечить безопасность приложений и данных в развертывании виртуального рабочего стола Microsoft Azure.

Защита развертывания виртуального рабочего стола Azure с помощью Azure

Обучение Защита развертывания виртуального рабочего стола Azure с помощью Azure
Разверните Брандмауэр Azure, направьте весь сетевой трафик через брандмауэр Azure и настройте правила. Перенаправляйте исходящий сетевой трафик из пула узлов Виртуальных рабочих столов Azure в службу через Брандмауэр Azure.

Управление доступом и безопасностью для Виртуального рабочего стола Azure

Обучение Управление доступом и безопасностью для виртуального рабочего стола Azure
Узнайте, как планировать и реализовывать роли Azure для Виртуальных рабочих столов Azure и реализовывать политики условного доступа для удаленных подключений. Эта схема обучения соответствует экзамену "AZ-140. Настройка и эксплуатация Виртуального рабочего стола Microsoft Azure".

Проектирование для удостоверений и профилей пользователей

Обучение Проектирование удостоверений пользователей и профилей
Вашим пользователям требуется доступ к этим приложениям как локально, так и в облаке. Вы используете клиент удаленного рабочего стола для Windows для удаленного доступа к приложениям Windows и рабочим столам с другого устройства Windows.

Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure

Next Steps

Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:

Технические иллюстрации

Иллюстрации, используемые в этой статье, можно скачать. Используйте файл Visio для изменения этих иллюстраций для собственного использования.

PDF | Visio

Дополнительные технические иллюстрации см . здесь.

Ссылки

Ознакомьтесь со ссылками ниже, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.