Überlegungen zur Sicherheits- und Identitäts- und Zugriffsverwaltung (IAM) für Azure Virtual Desktop-Workloads

In diesem Artikel wird der Sicherheits- und IAM-Entwurfsbereich einer Azure Virtual Desktop-Workload erläutert. Azure Virtual Desktop ist ein verwalteter Dienst, der eine Microsoft-Steuerungsebene für Ihre virtuelle Desktopinfrastruktur bereitstellt. Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure , um Identitäten zu steuern und den Zugriff zu verwalten. Als Workloadbesitzer können Sie auch andere Zero Trust Prinzipien anwenden, die für Ihre Organisationsanforderungen geeignet sind. Beispiele hierfür sind das Prinzip "Explizit überprüfen" und das Prinzip des Zugriffs mit den geringsten Rechten .

Verwenden von RBAC

Auswirkung: Sicherheit, Operational Excellence

RBAC unterstützt die Aufgabentrennung für die verschiedenen Teams und Einzelpersonen, die die Bereitstellung von Azure Virtual Desktop verwalten. Im Rahmen Ihres Zielzonenentwurfs müssen Sie entscheiden, wer die verschiedenen Rollen übernimmt. Anschließend müssen Sie eine Sicherheitsgruppe für jede Rolle erstellen, um das Hinzufügen und Entfernen von Benutzern zu und aus Rollen zu vereinfachen.

Azure Virtual Desktop bietet benutzerdefinierte Azure-Rollen, die für jeden Funktionsbereich entworfen wurden. Informationen zum Konfigurieren dieser Rollen finden Sie unter Integrierte Rollen für Azure Virtual Desktop. Sie können auch benutzerdefinierte Azure-Rollen im Rahmen der Cloud Adoption Framework für die Azure-Bereitstellung erstellen und definieren. Möglicherweise müssen Sie RBAC-Rollen, die spezifisch für Azure Virtual Desktop sind, mit anderen Azure RBAC-Rollen kombinieren. Dieser Ansatz bietet den vollständigen Satz von Berechtigungen, die Benutzer für Azure Virtual Desktop und andere Azure-Dienste wie virtuelle Computer (VMs) und Netzwerke benötigen.

Empfehlungen

• Definieren Sie Rollen für die Teams und Einzelpersonen, die Azure Virtual Desktop-Bereitstellungen verwalten.
• Definieren Sie integrierte Azure-Rollen, um die Verwaltungsaufgaben für Hostpools, Anwendungsgruppen und Arbeitsbereiche zu trennen.
• Erstellen Sie eine Sicherheitsgruppe für jede Rolle.

Verbessern der Sicherheit Ihrer Sitzungshosts

Auswirkung: Sicherheit

Azure Virtual Desktop verwendet das Remotedesktopprotokoll (RDP) für die Kommunikation zwischen dem Terminalserver oder Sitzungshosts und dem Endbenutzerclient.

RDP ist ein Multichannel-Protokoll, das separate virtuelle Kanäle zulassen und verweigern kann, die die folgenden Informationen enthalten:

• Präsentationsdaten
• Serielle Gerätekommunikation
• Lizenzierungsinformationen
• Stark verschlüsselte Daten, z. B. Tastatur- und Mausaktivitäten

Um die Sicherheit zu verbessern, können Sie die RDP-Eigenschaften Ihrer Verbindung zentral in Azure Virtual Desktop konfigurieren.

Empfehlungen

• Schränken Sie den Zugriff auf Windows Explorer ein, indem Sie lokale und Remotelaufwerkszuordnungen ausblenden. Diese Strategie verhindert, dass Benutzer vertrauliche Informationen zu Systemkonfigurationen und Benutzern ermitteln.
• Verhindern Sie die Ausführung unerwünschter Software auf Sitzungshosts. Sie können AppLocker für zusätzliche Sicherheit auf Sitzungshosts aktivieren. Mit diesem Feature wird sichergestellt, dass nur die von Ihnen angegebenen Apps auf dem Host ausgeführt werden können.
• Verwenden Sie Bildschirmaufnahmeschutz und Wasserzeichen, um zu verhindern, dass vertrauliche Informationen auf Clientendpunkten erfasst werden. Wenn Sie den Bildschirmaufnahmeschutz aktivieren, werden Remoteinhalte automatisch in Screenshots und Bildschirmfreigaben blockiert oder ausgeblendet. Der Remotedesktopclient blendet auch Inhalte vor Schadsoftware aus, die den Bildschirm erfasst.
• Verwenden Sie Microsoft Defender Antivirus, um Ihre VMs zu schützen. Weitere Informationen finden Sie unter Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung.
• Aktivieren Sie Windows Defender Anwendungssteuerung. Definieren Sie Richtlinien für Ihre Treiber und Anwendungen, unabhängig davon, ob Sie ihnen vertrauen oder nicht.
• Melden Sie Benutzer ab, wenn sie inaktiv sind, um Ressourcen zu erhalten und nicht autorisierten Zugriff zu verhindern. Weitere Informationen finden Sie unter Einrichten einer maximalen Inaktivitätszeit und Trennungsrichtlinien.
• Aktivieren Sie Microsoft Defender für Cloud for Cloud Security Posture Management (CSPM). Weitere Informationen finden Sie unter Onboarding nicht persistenter VDI-Geräte (Virtual Desktop Infrastructure) in Microsoft 365 Defender.

Entwurfsüberlegungen für zentrale Plattform-, Identitäts- und Netzwerkteams

Auswirkung: Sicherheit

Identität ist ein grundlegendes Entwurfsprinzip für Azure Virtual Desktop. Identität ist auch ein wichtiger Entwurfsbereich, den Sie als erstklassiges Anliegen in Ihrem Architekturprozess behandeln sollten.

Identitätsentwurf für Azure Virtual Desktop

Azure Virtual Desktop unterstützt verschiedene Arten von Identitäten für den Zugriff auf Unternehmensressourcen und -anwendungen. Als Workloadbesitzer können Sie je nach Ihren geschäftlichen und organisatorischen Anforderungen aus verschiedenen Arten von Identitätsanbietern auswählen. Überprüfen Sie die Identitätsentwurfsbereiche in diesem Abschnitt, um zu bewerten, was für Ihre Workload am besten geeignet ist.

Weitere Informationen zum Auswählen und Implementieren einer Identitäts- und Authentifizierungsstrategie finden Sie unter Unterstützte Identitäten und Authentifizierungsmethoden.

Empfehlungen

• Erstellen Sie ein dediziertes Benutzerkonto mit den geringsten Berechtigungen. Wenn Sie Sitzungshosts bereitstellen, verwenden Sie dieses Konto, um die Sitzungshosts einer Microsoft Entra Domain Services- oder AD DS-Domäne hinzuzufügen.
• Mehrstufige Authentifizierung erforderlich Um die Sicherheit Ihrer gesamten Bereitstellung zu verbessern, erzwingen Sie die mehrstufige Authentifizierung für alle Benutzer und Administratoren in Azure Virtual Desktop. Weitere Informationen finden Sie unter Erzwingen der mehrstufigen Authentifizierung Microsoft Entra ID für Azure Virtual Desktop mithilfe des bedingten Zugriffs.
• Aktivieren Sie den bedingten Zugriff Microsoft Entra ID. Wenn Sie den bedingten Zugriff verwenden, können Sie Risiken verwalten, bevor Sie Benutzern Zugriff auf Ihre Azure Virtual Desktop-Umgebung gewähren. Bei der Entscheidung, welchen Benutzern Der Zugriff gewährt werden soll, sollten Sie auch berücksichtigen, wer jeder Benutzer ist, wie er sich anmeldet und welches Gerät er verwendet.

Sicherer Netzwerkentwurf für Azure Virtual Desktop

Ohne Netzwerksicherheitsmaßnahmen können Angreifer Zugriff auf Ihre Ressourcen erhalten. Um Ihre Ressourcen zu schützen, ist es wichtig, Steuerelemente für den Netzwerkdatenverkehr zu platzieren. Geeignete Netzwerksicherheitskontrollen können Ihnen helfen, Angreifer zu erkennen und zu stoppen, die Zugang zu Ihren Cloudbereitstellungen erhalten.

Empfehlungen

• Verwenden Sie eine Hub-Spoke-Architektur. Es ist wichtig, zwischen freigegebenen Diensten und Azure Virtual Desktop-Anwendungsdiensten zu unterscheiden. Eine Hub-Spoke-Architektur ist ein guter Ansatz für die Sicherheit. Sie sollten workloadspezifische Ressourcen in ihrem eigenen virtuellen Netzwerk aufbewahren, das von freigegebenen Diensten im Hub getrennt ist. Beispiele für freigegebene Dienste sind Verwaltungs- und DNS-Dienste (Domain Name System).
• Verwenden von Netzwerksicherheitsgruppen. Sie können Netzwerksicherheitsgruppen verwenden, um Netzwerkdatenverkehr zu und aus Ihrer Azure Virtual Desktop-Workload zu filtern. Diensttags und Netzwerksicherheitsgruppenregeln bieten Ihnen eine Möglichkeit, den Zugriff auf Ihre Azure Virtual Desktop-Anwendung zuzulassen oder zu verweigern. Für instance können Sie den Zugriff auf die Azure Virtual Desktop-Anwendungsports aus lokalen IP-Adressbereichen zulassen und den Zugriff über das öffentliche Internet verweigern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen. Um Azure Virtual Desktop bereitzustellen und ihren Benutzern zur Verfügung zu stellen, müssen Sie bestimmte URLs zulassen, auf die Ihre Sitzungshost-VMs jederzeit zugreifen können. Eine Liste dieser URLs finden Sie unter Erforderliche URLs für Azure Virtual Desktop.
• Isolieren Sie Ihre Hostpools, indem Sie jeden Hostpool in einem separaten virtuellen Netzwerk platzieren. Verwenden Sie Netzwerksicherheitsgruppen mit den URLs, die Azure Virtual Desktop für jedes Subnetz benötigt.
• Erzwingen der Netzwerk- und Anwendungssicherheit. Netzwerk- und Anwendungssicherheitskontrollen sind grundlegende Sicherheitsmaßnahmen für jede Azure Virtual Desktop-Workload. Das Netzwerk und die Anwendung des Azure Virtual Desktop-Sitzungshosts erfordern strenge Sicherheitsüberprüfungen und Baselinekontrollen.
• Vermeiden Sie direkten RDP-Zugriff auf Sitzungshosts in Ihrer Umgebung, indem Sie den RDP-Port deaktivieren oder blockieren. Wenn Sie zu Verwaltungszwecken oder zur Problembehandlung direkten RDP-Zugriff benötigen, verwenden Sie Azure Bastion, um eine Verbindung mit Sitzungshosts herzustellen.
• Verwenden Sie Azure Private Link mit Azure Virtual Desktop, um den Datenverkehr im Microsoft-Netzwerk beizubehalten und die Sicherheit zu verbessern. Wenn Sie einen privaten Endpunkt erstellen, verbleibt der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst im Microsoft-Netzwerk. Sie müssen Ihren Dienst nicht mehr für das öffentliche Internet verfügbar machen. Sie können auch ein virtuelles privates Netzwerk (VPN) oder Azure ExpressRoute verwenden, damit Benutzer mit einem Remotedesktopclient eine Verbindung mit Ihrem virtuellen Netzwerk herstellen können.
• Verwenden Sie Azure Firewall, um Azure Virtual Desktop zu schützen. Azure Virtual Desktop-Sitzungshosts werden in Ihrem virtuellen Netzwerk ausgeführt und unterliegen den Sicherheitskontrollen für virtuelle Netzwerke. Wenn Ihre Anwendungen oder Benutzer ausgehenden Internetzugriff benötigen, wird empfohlen, dass Sie Azure Firewall verwenden, um sie zu schützen und Ihre Umgebung zu sperren.

Verschlüsseln von Daten während der Übertragung

Auswirkung: Sicherheit

Die Verschlüsselung während der Übertragung gilt für den Status der Daten, die von einem Speicherort zu einem anderen verschoben werden. Sie können Daten während der Übertragung je nach Art der Verbindung auf verschiedene Arten verschlüsseln. Weitere Informationen finden Sie unter Verschlüsselung von Daten während der Übertragung.

Azure Virtual Desktop verwendet TLS-Version 1.2 (Transport Layer Security) für alle Verbindungen, die von Clients und Sitzungshosts mit den Azure Virtual Desktop-Infrastrukturkomponenten initiiert werden. Azure Virtual Desktop verwendet die gleichen TLS 1.2-Verschlüsselungen wie Azure Front Door. Es ist wichtig sicherzustellen, dass Clientcomputer und Sitzungshosts diese Verschlüsselungen verwenden können. Für den Reverse connect-Transport stellen der Client und der Sitzungshost eine Verbindung mit dem Azure Virtual Desktop-Gateway her. Der Client und der Sitzungshost stellen dann eine TCP-Verbindung (Transmission Control Protocol) her. Als Nächstes überprüfen der Client und der Sitzungshost das Azure Virtual Desktop-Gatewayzertifikat. RDP wird verwendet, um den Basistransport einzurichten. RDP stellt dann mithilfe der Sitzungshostzertifikate eine geschachtelte TLS-Verbindung zwischen Client und Sitzungshost her.

Weitere Informationen zur Netzwerkkonnektivität finden Sie unter Grundlegendes zur Netzwerkkonnektivität von Azure Virtual Desktop.

Empfehlungen

• Erfahren Sie, wie Azure Virtual Desktop Daten während der Übertragung verschlüsselt.
• Stellen Sie sicher, dass Clientcomputer und Ihre Sitzungshosts die TLS 1.2-Verschlüsselungen verwenden können, die Von Azure Front Door verwendet werden.

Verwenden von Confidential Computing zum Verschlüsseln der verwendeten Daten

Auswirkung: Sicherheit, Leistungseffizienz

Verwenden Sie Confidential Computing, um verwendete Daten zu schützen, wenn Sie in regulierten Branchen wie Behörden, Finanzdienstleistungen und Gesundheitseinrichtungen tätig sind.

Sie können vertrauliche VMs für Azure Virtual Desktop verwenden. Vertrauliche VMs erhöhen den Datenschutz und die Sicherheit, indem sie die verwendeten Daten schützen. Die vertraulichen Azure DCasv5- und ECasv5-VM-Serien stellen eine hardwarebasierte vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) bereit. Diese Umgebung verfügt über Sicherheitsfunktionen von Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Diese Features verstärken den Gastschutz, um dem Hypervisor und anderen Hostverwaltungscode den Zugriff auf VM-Arbeitsspeicher und -Zustand zu verweigern. Sie tragen auch zum Schutz vor dem Zugriff von Operatoren bei und verschlüsseln die verwendeten Daten.

Vertrauliche VMs bieten Unterstützung für die Versionen 22H1, 22H2 und zukünftige Versionen von Windows 11. Die Unterstützung vertraulicher VMs für Windows 10 ist geplant. Die Verschlüsselung vertraulicher Betriebssystemdatenträger ist für vertrauliche VMs verfügbar. Außerdem ist die Integritätsüberwachung während der Bereitstellung von Azure Virtual Desktop-Hostpools für vertrauliche VMs verfügbar.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Was ist Confidential Computing?
• Virtuelle Azure Confidential Computing-Computer

Empfehlungen

• Verwenden Sie Vertrauliches Computing, um verwendete Daten zu schützen.
• Verwenden Sie die vertraulichen AZURE DCasv5- und ECasv5-VM-Serien, um eine hardwarebasierte TEE-Instanz zu erstellen.

Zugehörige Azure Virtual Desktop-Sicherheitsressourcen

• Azure-Sicherheitsbaseline für Azure Virtual Desktop
• Bewährte Sicherheitsmethoden

Nächste Schritte

Nachdem Sie sich nun mit bewährten Methoden für die Sicherung von Azure Virtual Desktop befasst haben, untersuchen Sie die Betriebsverwaltungsverfahren, um erstklassige Geschäftsprozesse zu erzielen.

Verwenden Sie das Bewertungstool, um Ihre Entwurfsentscheidungen auszuwerten.