Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra i passaggi per applicare i principi di Zero Trust a una distribuzione di Desktop virtuale Azure nei modi seguenti:
| Principio zero trust | Definizione | Incontrato da |
|---|---|---|
| Verificare esplicitamente | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Verificare le identità e gli endpoint degli utenti di Azure Virtual Desktop e proteggere l'accesso agli host di sessione. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
|
| Presunzione di violazione | Ridurre al minimo il raggio di esplosione e l'accesso ai segmenti. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
|
Per altre informazioni su come applicare i principi di Zero Trust in un ambiente IaaS di Azure, vedere La panoramica sull'applicazione dei principi Zero Trust ad Azure IaaS.
Architettura di riferimento
In questo articolo viene usata l'architettura di riferimento seguente per Hub e Spoke per illustrare un ambiente distribuito comunemente e come applicare i principi di Zero Trust per Desktop virtuale Azure con l'accesso degli utenti tramite Internet. L'architettura di Azure rete WAN virtuale è supportata anche oltre all'accesso privato tramite una rete gestita con RDP Shortpath per Desktop virtuale Azure.
L'ambiente Azure per Azure Virtual Desktop include:
| Componente | Descrizione |
|---|---|
| Un | Servizi di archiviazione di Azure per i profili utente di Desktop virtuale di Azure. |
| B | Una VNet hub di connettività. |
| C | Una rete virtuale spoke con sessione di Desktop virtuale Azure ospita carichi di lavoro basati su macchine virtuali. |
| D | Piano di controllo di Desktop virtuale Azure. |
| E | Piano di gestione di Desktop virtuale Azure. |
| F | Servizi PaaS dipendenti, tra cui MICROSOFT Entra ID, Microsoft Defender per il cloud, controllo degli accessi in base al ruolo e Monitoraggio di Azure. |
| G | Azure Galleria di Calcolo. |
Gli utenti o gli amministratori che accedono all'ambiente Di Azure possono provenire da Internet, posizioni dell'ufficio o data center locali.
L'architettura di riferimento è allineata all'architettura descritta nella zona di atterraggio a scala aziendale per Azure Virtual Desktop del Cloud Adoption Framework.
Architettura logica
In questo diagramma l'infrastruttura di Azure per una distribuzione di Desktop virtuale Azure è contenuta all'interno di un tenant di Microsoft Entra ID.
Gli elementi dell'architettura logica sono:
Sottoscrizione di Azure per il tuo Azure Virtual Desktop
È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo argomento è descritto in Cloud Adoption Framework e nella zona di destinazione di Azure. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dal modo in cui si vuole separare l'ambiente e il numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. Ciò consente di applicare autorizzazioni tramite RBAC e policy di Azure a un gruppo di sottoscrizioni anziché configurare ogni sottoscrizione singolarmente.
Gruppo di risorse di Desktop virtuale Azure
Un gruppo di risorse di Azure Virtual Desktop isola i Key Vaults, gli oggetti servizio di Azure Virtual Desktop e gli endpoint privati.
Gruppo di risorse di archiviazione
Un gruppo di risorse di archiviazione isola gli endpoint privati e i set di dati del servizio File di Azure.
Gruppo di risorse per macchine virtuali host di sessione
Un gruppo di risorse dedicato isola le macchine virtuali per gli host di sessione, il set di crittografia dei dischi e un gruppo di sicurezza applicativa.
Gruppo di risorse della rete virtuale satellite (spoke)
Un gruppo di risorse dedicato isola le risorse della rete virtuale spoke e un gruppo di sicurezza di rete, che gli specialisti di rete dell'organizzazione possono gestire.
Che cos'è in questo articolo?
Questo articolo illustra i passaggi per applicare i principi di Zero Trust nell'architettura di riferimento di Desktop virtuale Azure.
| Passaggio | Attività | Principi zero trust applicati |
|---|---|---|
| 1 | Proteggere le identità con Zero Trust. | Verificare esplicitamente |
| 2 | Proteggere gli endpoint con Zero Trust. | Verificare esplicitamente |
| 3 | Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 4 | Applicare i principi Zero Trust alle reti virtuali Azure Virtual Desktop hub e spoke. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 5 | Applicare i principi di Zero Trust all'host di sessione di Azure Virtual Desktop. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 6 | Distribuire sicurezza, governance e conformità su Azure Virtual Desktop. | Presunzione di violazione |
| 7 | Distribuire la gestione e il monitoraggio sicuri nel Desktop Virtuale di Azure. | Presunzione di violazione |
Passaggio 1: Proteggere le identità con Zero Trust
Per applicare i principi Zero Trust alle identità usate in Desktop virtuale Azure:
- Desktop virtuale Azure supporta diversi tipi di identità. Usare le informazioni in Protezione dell'identità con Zero Trust per assicurarsi che i tipi di identità scelti siano conformi ai principi Zero Trust.
- Creare un account utente dedicato con privilegi minimi per aggiungere gli host di sessione a un dominio di Microsoft Entra Domain Services o a un dominio AD DS durante la distribuzione dell'host di sessione.
Passaggio 2: Proteggere gli endpoint con Zero Trust
Gli endpoint sono i dispositivi tramite cui gli utenti accedono all'ambiente Desktop virtuale Azure e alle macchine virtuali host di sessione. Usare le istruzioni riportate in Panoramica sull'integrazione degli endpoint e usare Microsoft Defender per endpoint e Microsoft Endpoint Manager per assicurarsi che gli endpoint rispettino i requisiti di sicurezza e conformità.
Passaggio 3: Applicare principi Zero Trust alle risorse di archiviazione di Desktop virtuale Azure
Implementare i passaggi descritti in Applicare principi Zero Trust all'archiviazione in Azure per le risorse di archiviazione usate nella distribuzione di Desktop virtuale Azure. Questi passaggi assicurano che:
- Proteggi i dati di Azure Virtual Desktop a riposo, in transito e in uso.
- Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi.
- Implementare endpoint privati per gli account di archiviazione.
- Separare logicamente i dati critici con i controlli di rete. Ad esempio, account di archiviazione separati per pool di host diversi e altri scopi, come con le condivisioni di file per l'attacco applicazioni MSIX.
- Usare Defender per l'archiviazione per la protezione automatizzata dalle minacce.
Nota
In alcune progettazioni, Azure NetApp Files è il servizio di archiviazione preferito per i profili FSLogix per Desktop virtuale Azure tramite una condivisione SMB. Azure NetApp Files offre funzionalità di sicurezza predefinite che includono sottoreti delegate e benchmark di sicurezza.
Passaggio 4: Applicare i principi Zero Trust alle reti virtuali Azure Virtual Desktop hub e spoke
Una rete virtuale "hub" è un punto centrale di connettività per più reti virtuali "spoke". Implementare i passaggi descritti in Applicare principi Zero Trust a una rete virtuale hub in Azure per la rete virtuale dell'hub usata per filtrare il traffico in uscita dagli host di sessione.
Una spoke VNet isola il carico di lavoro di Azure Virtual Desktop e contiene le macchine virtuali di host di sessione. Implementare i passaggi descritti in Applicare principi Zero Trust alla rete virtuale spoke in Azure per la rete virtuale spoke che contiene l'host o le macchine virtuali di sessione.
Isolare pool di host diversi in VNet separate usando NSG (Gruppo di Sicurezza di Rete) con l'URL necessario per Azure Virtual Desktop per ciascuna subnet. Quando si distribuiscono gli endpoint privati, inserirli nella subnet appropriata nella VNet in base al loro ruolo.
Firewall di Azure o un firewall dell'appliance virtuale di rete (NVA) possono essere usati per controllare e limitare il traffico in uscita dagli host di sessione di Desktop Virtuale Azure. Usare le istruzioni riportate qui per Firewall di Azure per proteggere gli host di sessione. Forzare il traffico attraverso il firewall con Route Definite dall'Utente (UDR) collegate alla subnet del pool di host. Esaminare l'elenco completo degli URL di Desktop virtuale Azure necessari per configurare il firewall. Firewall di Azure fornisce un FQDN Tag di Azure Virtual Desktop per semplificare questa configurazione.
Passaggio 5: Applicare i principi Zero Trust agli host di sessione di Desktop virtuale Azure
Gli host di sessione sono macchine virtuali eseguite all'interno di una rete virtuale spoke. Implementare i passaggi descritti in Applicare principi Zero Trust alle macchine virtuali in Azure per le macchine virtuali create per gli host di sessione.
I pool di host devono avere unità organizzative separate se gestiti da politiche di gruppo nei Servizi di dominio Active Directory (AD DS).
Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. È possibile usare Microsoft Defender per endpoint per gli host di sessione. Per altre informazioni, vedere Dispositivi VDI (Virtual Desktop Infrastructure).
Passaggio 6: Implementare sicurezza, governance e conformità su Azure Virtual Desktop
Il servizio Desktop virtuale Azure consente di usare il collegamento privato di Azure per connettersi privatamente alle risorse creando endpoint privati.
Desktop virtuale Azure include funzionalità di sicurezza avanzate predefinite per proteggere gli host sessione. Tuttavia, consulta gli articoli seguenti per migliorare le difese di sicurezza dell'ambiente Desktop virtuale Azure e degli host di sessione.
- Procedure consigliate per la sicurezza di Desktop virtuale Azure
- Baseline di sicurezza di Azure per Desktop virtuale Azure
Inoltre, consulta le considerazioni e le raccomandazioni principali sulla progettazione per la sicurezza, la governance e la conformità nelle zone di destinazione di Azure Virtual Desktop in conformità con il Cloud Adoption Framework di Microsoft.
Passaggio 7: Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure
La gestione e il monitoraggio continuo sono importanti per garantire che l'ambiente Desktop virtuale Azure non sia coinvolto in comportamenti dannosi. Usare Azure Virtual Desktop Insights per registrare i dati e segnalare i dati di diagnostica e di utilizzo.
Vedere questi articoli aggiuntivi:
- Esaminare le raccomandazioni di Azure Advisor per Azure Virtual Desktop.
- Usare Microsoft Intune per la gestione granulare dei criteri.
- Esaminare e impostare le proprietà RDP per le impostazioni granulari a livello di pool di host.
Formazione consigliata
Proteggere la distribuzione di un desktop virtuale di Azure
| Formazione | Proteggere una distribuzione di Desktop virtuale Azure |
|---|---|
|
Informazioni sulle funzionalità di sicurezza Microsoft che consentono di proteggere le applicazioni e i dati nella distribuzione di Desktop virtuale Microsoft Azure. |
Proteggere la distribuzione di Desktop virtuale Azure con Azure
| Formazione | Proteggere la distribuzione di Desktop virtuale Azure con Azure |
|---|---|
|
È possibile distribuire Firewall di Azure, instradare tutto il traffico di rete attraverso Firewall di Azure e configurare regole. Instradare il traffico di rete in uscita dal pool di host di Desktop virtuale Azure verso il servizio tramite Firewall di Azure. |
Gestire la sicurezza e l'accesso per Desktop virtuale Azure
| Formazione | Gestire l'accesso e la sicurezza per Desktop virtuale Azure |
|---|---|
|
Informazioni su come pianificare e implementare ruoli di Azure per Desktop virtuale Azure e implementare i criteri di accesso condizionale per le connessioni remote. Questo percorso di apprendimento è allineato all'esame AZ-140: Configurazione e gestione di Desktop virtuale Microsoft Azure. |
Progettare identità utente e profili
| Formazione | Progettare per le identità e i profili degli utenti |
|---|---|
|
Gli utenti devono poter accedere a tali applicazioni sia in locale che nel cloud. È possibile usare il client Desktop remoto per desktop Windows per accedere a desktop e app Windows da remoto da un altro dispositivo Windows. |
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure
Passaggi successivi
Vedere questi articoli aggiuntivi per l'applicazione dei principi Zero Trust ad Azure:
- Panoramica di Azure IaaS
- Rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Illustrazioni tecniche
È possibile scaricare le illustrazioni usate in questo articolo. Utilizzare il file di Visio per modificare queste illustrazioni per un uso personalizzato.
Per altre illustrazioni tecniche, fare clic qui.
Riferimenti
Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Che cos'è Azure - Microsoft Servizi cloud
- Infrastruttura distribuita come servizio (IaaS) di Azure
- Macchine virtuali (VM) per Linux e Windows
- Introduzione all'Archiviazione di Azure - Archiviazione cloud su Azure
- Rete virtuale di Azure
- Introduzione alla sicurezza di Azure
- Linee guida per l'implementazione zero trust
- Panoramica di Microsoft Cloud Security Benchmark
- Panoramica delle baseline di sicurezza per Azure
- Creazione del primo livello di difesa con i servizi di sicurezza di Azure - Centro architetture di Azure
- Architetture di riferimento della cybersecurity Microsoft - Documentazione sulla sicurezza