Considerazioni sulla sicurezza e sulla gestione delle identità e degli accessi (IAM) per i carichi di lavoro di Desktop virtuale Azure
Questo articolo illustra l'area di progettazione di sicurezza e IAM di un carico di lavoro di Desktop virtuale Azure. Desktop virtuale Azure è un servizio gestito che fornisce un piano di controllo Microsoft per l'infrastruttura desktop virtuale. Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure per controllare le identità e gestire l'accesso. In qualità di proprietario del carico di lavoro, è anche possibile applicare altri principi Zero Trust appropriati per i requisiti dell'organizzazione. Gli esempi includono il principio di verifica in modo esplicito e il principio di accesso con privilegi minimi .
Importante
Questo articolo fa parte della serie di carichi di lavoro di Desktop virtuale Azure Well-Architected Framework di Azure . Se non si ha familiarità con questa serie, è consigliabile iniziare con Che cos'è un carico di lavoro di Desktop virtuale Azure?.
Usare il controllo degli accessi in base al ruolo
Impatto: sicurezza, eccellenza operativa
Il controllo degli accessi in base al ruolo supporta la separazione dei compiti per i vari team e utenti che gestiscono la distribuzione di Desktop virtuale Azure. Come parte della progettazione della zona di destinazione, è necessario decidere chi assume i vari ruoli. È quindi necessario creare un gruppo di sicurezza per ogni ruolo per semplificare l'aggiunta e la rimozione di utenti da e verso i ruoli.
Desktop virtuale Azure offre ruoli di Azure personalizzati progettati per ogni area funzionale. Per informazioni sulla configurazione di questi ruoli, vedere Ruoli predefiniti per Desktop virtuale Azure. È anche possibile creare e definire ruoli personalizzati di Azure come parte del Cloud Adoption Framework per la distribuzione di Azure. Potrebbe essere necessario combinare ruoli controllo degli accessi in base al ruolo specifici di Desktop virtuale Azure con altri ruoli controllo degli accessi in base al ruolo di Azure. Questo approccio offre il set completo di autorizzazioni necessarie agli utenti per Desktop virtuale Azure e per altri servizi di Azure, ad esempio macchine virtuali e rete.
Consigli
- Definire i ruoli per i team e gli utenti che gestiscono le distribuzioni di Desktop virtuale Azure.
- Definire i ruoli predefiniti di Azure per separare le responsabilità di gestione per pool di host, gruppi di applicazioni e aree di lavoro.
- Creare un gruppo di sicurezza per ogni ruolo.
Migliorare la sicurezza degli host di sessione
Impatto: Sicurezza
Desktop virtuale Azure usa Remote Desktop Protocol (RDP) per la comunicazione tra il server terminal o gli host di sessione e il client dell'utente finale.
RDP è un protocollo multicanale in grado di consentire e negare canali virtuali separati che contengono le informazioni seguenti:
- Dati di presentazione
- Comunicazioni dei dispositivi seriali
- Informazioni sulle licenze
- Dati altamente crittografati, ad esempio l'attività della tastiera e del mouse
Per migliorare la sicurezza, è possibile configurare le proprietà RDP della connessione centralmente in Desktop virtuale Azure.
Consigli
- Limitare l'accesso a Esplora risorse nascondendo i mapping delle unità locali e remote. Questa strategia impedisce agli utenti di individuare informazioni riservate sulle configurazioni di sistema e sugli utenti.
- Impedire l'esecuzione di software indesiderati negli host di sessione. È possibile abilitare AppLocker per una maggiore sicurezza negli host di sessione. Questa funzionalità garantisce che solo le app specificate possano essere eseguite nell'host.
- Usare la protezione dell'acquisizione dello schermo e la filigrana per impedire l'acquisizione di informazioni riservate sugli endpoint client. Quando si attiva la protezione dell'acquisizione dello schermo, il contenuto remoto viene bloccato o nascosto automaticamente in screenshot e condivisione dello schermo. Il client Desktop remoto nasconde anche il contenuto da software dannoso che acquisisce lo schermo.
- Usare Microsoft Defender Antivirus per proteggere le macchine virtuali. Per altre informazioni, vedere Configurare Microsoft Defender Antivirus in un ambiente desktop remoto o di infrastruttura desktop virtuale.
- Attivare Windows Defender controllo applicazione. Definire i criteri per i driver e le applicazioni, indipendentemente dal fatto che siano attendibili o meno.
- Disconnettere gli utenti quando sono inattivi per mantenere le risorse e impedire l'accesso non autorizzato. Per altre informazioni, vedere Stabilire il tempo massimo di inattività e i criteri di disconnessione.
- Attivare Microsoft Defender per Cloud for Cloud for Cloud security posture management (CSPM). Per altre informazioni, vedere Eseguire l'onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft 365 Defender.
Considerazioni sulla progettazione per i team centrali di piattaforma, identità e rete
Impatto: Sicurezza
L'identità è un principio di progettazione fondamentale per Desktop virtuale Azure. L'identità è anche un'area di progettazione chiave che è consigliabile considerare come un problema di prima classe all'interno del processo architettonico.
Progettazione delle identità per Desktop virtuale Azure
Desktop virtuale Azure supporta diversi tipi di identità per l'accesso alle risorse e alle applicazioni aziendali. In qualità di proprietario del carico di lavoro, è possibile scegliere tra diversi tipi di provider di identità in base alle esigenze aziendali e organizzative. Esaminare le aree di progettazione delle identità in questa sezione per valutare il meglio per il carico di lavoro.
| Progettazione delle identità | Riepilogo |
|---|---|
| identità di Active Directory Domain Services (AD DS) | Gli utenti devono essere individuabili tramite Microsoft Entra ID per accedere a Desktop virtuale Azure. Di conseguenza, le identità utente esistenti solo in Servizi di dominio Active Directory non sono supportate. Le distribuzioni di Active Directory autonome con Active Directory Federation Services (AD FS) non sono supportate. |
| Identità ibrida | Desktop virtuale Azure supporta le identità ibride tramite Microsoft Entra ID, incluse le identità federate tramite AD FS. È possibile gestire queste identità utente in Active Directory Domain Services e sincronizzarle con Microsoft Entra ID usando Microsoft Entra Connect. È anche possibile usare Microsoft Entra ID per gestire queste identità e sincronizzarle con Servizi di dominio Active Directory. |
| Identità solo cloud | Desktop virtuale Azure supporta le identità solo cloud quando si usano macchine virtuali aggiunte usando Microsoft Entra ID. Questi utenti vengono creati e gestiti direttamente in Microsoft Entra ID. |
Importante
Desktop virtuale Azure non supporta account business-to-business, account Microsoft o identità esterne.
Per altre informazioni sulla selezione e l'implementazione di una strategia di identità e autenticazione, vedere Identità e metodi di autenticazione supportati.
Consigli
- Creare un account utente dedicato con privilegi minimi. Quando si distribuiscono gli host di sessione, usare questo account per aggiungere gli host di sessione a un dominio di Microsoft Entra Domain Services o Active Directory Domain Services.
- Richiedere l'autenticazione a più fattori. Per migliorare la sicurezza dell'intera distribuzione, applicare l'autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure. Per altre informazioni, vedere Applicare l'autenticazione a più fattori Microsoft Entra ID per Desktop virtuale Azure usando l'accesso condizionale.
- Attivare l'accesso condizionale Microsoft Entra ID. Quando si usa l'accesso condizionale, è possibile gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale Azure. Nel processo di decidere a quali utenti concedere l'accesso, è necessario considerare anche chi è ogni utente, come accede e a quale dispositivo sta usando.
Progettazione di rete sicura per Desktop virtuale Azure
Senza misure di sicurezza di rete, gli utenti malintenzionati possono accedere alle risorse. Per proteggere le risorse, è importante inserire controlli sul traffico di rete. I controlli di sicurezza di rete appropriati consentono di rilevare e arrestare gli utenti malintenzionati che ottengono l'ingresso nelle distribuzioni cloud.
Consigli
- Usare un'architettura hub-spoke. È fondamentale distinguere tra i servizi condivisi e i servizi dell'applicazione Desktop virtuale Azure. Un'architettura hub-spoke è un buon approccio alla sicurezza. È consigliabile mantenere le risorse specifiche del carico di lavoro nella propria rete virtuale separata dai servizi condivisi nell'hub. Esempi di servizi condivisi includono servizi di gestione e DNS (Domain Name System).
- Usare i gruppi di sicurezza di rete. È possibile usare i gruppi di sicurezza di rete per filtrare il traffico di rete da e verso il carico di lavoro di Desktop virtuale Azure. I tag del servizio e le regole del gruppo di sicurezza di rete consentono di consentire o negare l'accesso all'applicazione Desktop virtuale Azure. Ad esempio, è possibile consentire l'accesso alle porte dell'applicazione Desktop virtuale Azure dagli intervalli di indirizzi IP locali ed è possibile negare l'accesso da Internet pubblico. Per altre informazioni, vedere Gruppi di sicurezza di rete. Per distribuire Desktop virtuale Azure e renderlo disponibile agli utenti, è necessario consentire URL specifici a cui le macchine virtuali host sessione possano accedere in qualsiasi momento. Per un elenco di questi URL, vedere URL obbligatori per Desktop virtuale Azure.
- Isolare i pool di host inserendo ogni pool di host in una rete virtuale separata. Usare i gruppi di sicurezza di rete con gli URL richiesti da Desktop virtuale Azure per ogni subnet.
- Applicare la sicurezza di rete e delle applicazioni. I controlli di sicurezza delle applicazioni e di rete sono misure di sicurezza di base per ogni carico di lavoro di Desktop virtuale Azure. La rete host sessione di Desktop virtuale Azure e l'applicazione richiedono rigorosi controlli di sicurezza e baseline.
- Evitare l'accesso RDP diretto agli host sessione nell'ambiente disabilitando o bloccando la porta RDP. Se è necessario un accesso RDP diretto per scopi amministrativi o per la risoluzione dei problemi, usare Azure Bastion per connettersi agli host sessione.
- Usare collegamento privato di Azure con Desktop virtuale Azure per mantenere il traffico all'interno della rete Microsoft e migliorare la sicurezza. Quando si crea un endpoint privato, il traffico tra la rete virtuale e il servizio rimane nella rete Microsoft. Non è più necessario esporre il servizio alla rete Internet pubblica. È anche possibile usare una rete privata virtuale (VPN) o Azure ExpressRoute in modo che gli utenti con un client Desktop remoto possano connettersi alla rete virtuale.
- Usare Firewall di Azure per proteggere Desktop virtuale Azure. Gli host di sessione di Desktop virtuale Azure vengono eseguiti nella rete virtuale e sono soggetti ai controlli di sicurezza della rete virtuale. Se le applicazioni o gli utenti necessitano dell'accesso a Internet in uscita, è consigliabile usare Firewall di Azure per proteggerle e bloccare l'ambiente.
Crittografa i dati in transito
Impatto: Sicurezza
La crittografia in transito si applica allo stato dei dati che passano da una posizione a un'altra. È possibile crittografare i dati in transito in diversi modi, a seconda della natura della connessione. Per altre informazioni, vedere Crittografia dei dati in transito.
Desktop virtuale Azure usa Transport Layer Security (TLS) versione 1.2 per tutte le connessioni avviate da client e host di sessione ai componenti dell'infrastruttura di Desktop virtuale Azure. Desktop virtuale Azure usa le stesse crittografie TLS 1.2 di Frontdoor di Azure. È importante assicurarsi che i computer client e gli host di sessione possano usare queste crittografie. Per il trasporto con connessione inversa, l'host client e sessione si connettono al gateway Desktop virtuale Azure. L'host client e sessione stabilisce quindi una connessione TCP (Transmission Control Protocol). Successivamente, l'host client e sessione convalidano il certificato del gateway Desktop virtuale Azure. RDP viene usato per stabilire il trasporto di base. RDP stabilisce quindi una connessione TLS annidata tra il client e l'host di sessione usando i certificati host di sessione.
Per altre informazioni sulla connettività di rete, vedere Informazioni sulla connettività di rete di Desktop virtuale Azure.
Consigli
- Informazioni su come Desktop virtuale Azure crittografa i dati in transito.
- Assicurarsi che i computer client e gli host di sessione possano usare le crittografie TLS 1.2 usate da Frontdoor di Azure.
Usare il confidential computing per crittografare i dati in uso
Impatto: sicurezza, efficienza delle prestazioni
Usare il confidential computing per proteggere i dati in uso quando si opera in settori regolamentati, ad esempio enti pubblici, servizi finanziari e istituti sanitari.
È possibile usare macchine virtuali riservate per Desktop virtuale Azure. Le macchine virtuali riservate aumentano la privacy e la sicurezza dei dati proteggendo i dati in uso. La serie di macchine virtuali riservate Azure DCasv5 e ECasv5 fornisce un ambiente di esecuzione attendibile basato su hardware. Questo ambiente include funzionalità di sicurezza SECURE Encrypted Virtualization-Secure SEV-SNP (Advanced Micro Devices) Secure Encrypted Virtualization-Secure.This environment features Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Queste funzionalità rafforzano le protezioni guest per negare l'hypervisor e altri codici di gestione host che accedono alla memoria e allo stato della macchina virtuale. Consentono inoltre di proteggersi dall'accesso degli operatori e di crittografare i dati in uso.
Le macchine virtuali riservate offrono supporto per le versioni 22H1, 22H2 e future di Windows 11. È previsto il supporto di macchine virtuali riservate per Windows 10. La crittografia dischi del sistema operativo riservato è disponibile per le macchine virtuali riservate. Inoltre, il monitoraggio dell'integrità è disponibile durante il provisioning del pool di host di Desktop virtuale Azure per le macchine virtuali riservate.
Per altre informazioni, vedere le risorse seguenti:
Consigli
- Usare il confidential computing per proteggere i dati in uso.
- Usare la serie di macchine virtuali riservate Azure DCasv5 ed ECasv5 per creare un ambiente TEE basato su hardware.
Risorse di sicurezza di Desktop virtuale Azure correlate
Passaggi successivi
Dopo aver esaminato le procedure consigliate per la protezione di Desktop virtuale Azure, esaminare le procedure operative di gestione per raggiungere l'eccellenza aziendale.
Usare lo strumento di valutazione per valutare le scelte di progettazione.