Segurança e governação

Este artigo fornece as principais considerações de design e recomendações para segurança, governança e conformidade nas zonas de aterrissagem da Área de Trabalho Virtual do Azure de acordo com a Estrutura de Adoção de Nuvem da Microsoft.

Analise as seções a seguir para encontrar os controles de segurança e a governança recomendados para sua zona de aterrissagem da Área de Trabalho Virtual do Azure.

Identidade

• Proteja o acesso do usuário à Área de Trabalho Virtual do Azure estabelecendo a Política de Acesso Condicional do Microsoft Entra com a autenticação multifator do Microsoft Entra ou uma ferramenta de autenticação multifator de parceiro. Considere os locais, dispositivos e comportamentos de entrada dos usuários e adicione controles extras, conforme necessário, com base em seus padrões de acesso. Para obter mais informações sobre como habilitar a autenticação multifator do Azure para a Área de Trabalho Virtual do Azure, consulte Habilitar a autenticação multifator do Azure para a Área de Trabalho Virtual do Azure.

• Atribua o menor privilégio necessário definindo funções administrativas, operacionais e de engenharia às funções RBAC do Azure. Para limitar o acesso a funções de alto privilégio na zona de aterrissagem da Área de Trabalho Virtual do Azure, considere a integração com o Azure Privileged Identity Management (PIM). Manter o conhecimento de qual equipe é responsável por cada área administrativa específica ajuda a determinar as funções e a configuração do RBAC (controle de acesso baseado em função) do Azure.

• Use a Identidade Gerenciada do Azure ou a entidade de serviço com credenciais de certificado para automação e serviços para a Área de Trabalho Virtual do Azure. Atribua o menor privilégio à conta de automação e ao escopo limitados à(s) zona(s) de aterrissagem da Área de Trabalho Virtual do Azure. Você pode usar o Cofre da Chave do Azure com identidades gerenciadas do Azure para que os ambientes de tempo de execução (como uma Função do Azure) possam recuperar credenciais de automação do cofre de chaves.

• Certifique-se de coletar o log de atividades do usuário e do administrador para a ID do Microsoft Entra e a(s) zona(s) de aterrissagem da Área de Trabalho Virtual do Azure. Monitore esses logs com sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM). Você pode coletar logs de várias fontes, como:

  • Registo de Atividades do Azure
  • Registro de atividades do Microsoft Entra
  • Microsoft Entra ID
  • Anfitriões de sessão
  • Logs do Cofre de Chaves

• Use grupos do Microsoft Entra em vez de usuários individuais ao atribuir acesso a grupos de aplicativos da Área de Trabalho Virtual do Azure. Considere o uso de grupos de segurança existentes mapeados para funções de negócios em sua organização, o que permite reutilizar processos de provisionamento e desprovisionamento de usuários existentes.

Rede

• Provisione ou reutilize uma rede virtual dedicada para sua(s) zona(s) de aterrissagem da Área de Trabalho Virtual do Azure. Planeje o espaço de endereço IP para acomodar a escala de seus hosts de sessão. Estabeleça o tamanho da sub-rede de linha de base com base no número mínimo e máximo de hosts de sessão por pool de hosts. Mapeie os requisitos da sua unidade de negócios para seus grupos de hosts.

• Use NSGs (Grupos de Segurança de Rede) e/ou o Firewall do Azure (ou dispositivo de firewall de terceiros) para estabelecer a microssegmentação. Use marcas de serviço de Rede Virtual do Azure e grupos de serviço de aplicativo (ASGs) para definir controles de acesso à rede em grupos de segurança de rede ou um Firewall do Azure configurado para seus recursos da Área de Trabalho Virtual do Azure. Verifique se o acesso de saída do host de sessão às URLs necessárias é ignorado pelo proxy (se usado em hosts de sessão) e pelo Firewall do Azure (ou dispositivo de firewall de terceiros).

• Com base em seus aplicativos e estratégia de segmentação empresarial, restrinja o tráfego entre seus hosts de sessão e recursos internos por meio de regras de grupo de segurança ou do Firewall do Azure (ou um dispositivo de firewall de terceiros) em escala.

• Habilite a proteção padrão de DDoS do Azure para o Firewall do Azure (ou um dispositivo de firewall de terceiros) para ajudar a proteger sua(s) zona(s) de aterrissagem da Área de Trabalho Virtual do Azure.

• Se você usar proxy para acesso de saída à Internet de seus hosts de sessão:

  • Configure servidores proxy na mesma geografia que os hosts e clientes de sessão da Área de Trabalho Virtual do Azure (se estiver usando provedores de proxy em nuvem).
  • Não use a inspeção TLS. Na Área de Trabalho Virtual do Azure, o tráfego é criptografado em trânsito por padrão.
  • Evite a configuração de proxy que requer autenticação do usuário. Os componentes da Área de Trabalho Virtual do Azure no host da sessão são executados no contexto de seu sistema operacional, portanto, eles não oferecem suporte a servidores proxy que exigem autenticação. O proxy de todo o sistema deve estar habilitado para que você configure o proxy no nível do host no host da sessão.

• Verifique se os usuários finais têm acesso às URLs de cliente da Área de Trabalho Virtual do Azure. Se o agente/configuração de proxy for usado nos dispositivos dos usuários, certifique-se de ignorar as URLs do cliente da Área de Trabalho Virtual do Azure também.

• Use o acesso Just-in-Time para administração e solução de problemas de seus hosts de sessão. Evite conceder acesso RDP direto a hosts de sessão. Os anfitriões de sessão AVD utilizam o transporte Reverse Connect para estabelecer sessões remotas.

• Use os recursos de proteção de rede adaptável no Microsoft Defender for Cloud para encontrar configurações de grupo de segurança de rede que limitam portas e IPs de origem com referência a regras de tráfego de rede externa.

• Colete seus logs do Firewall do Azure (ou dispositivo de firewall de terceiros) com o Azure Monitor ou uma solução de monitoramento de parceiros. Você também deve monitorar logs por SIEM, usando o Microsoft Sentinel ou um serviço semelhante.

• Use apenas um ponto de extremidade privado para arquivos do Azure que são usados para contêineres de Perfil FSLogix.

• Configure o RDP Shortpath para complementar o transporte de conexão inversa.

Anfitriões de sessão

• Crie uma Unidade Organizacional (UO) dedicada no Ative Directory para os hosts de sessão da Área de Trabalho Virtual do Azure. Aplique a Política de Grupo dedicada aos seus anfitriões de sessão para gerir controlos como:

  • Habilite a proteção de captura de tela para impedir que informações confidenciais da tela sejam capturadas nos pontos de extremidade do cliente.
  • Defina políticas de tempo máximo de inatividade/desconexão e bloqueios de tela.
  • Oculte mapeamentos de unidades locais e remotas no Windows Explorer.
  • Opcionalmente, parâmetros de configuração para FSLogix Profile Containers e FSLogix Cloud Cache.

• Controle o redirecionamento de dispositivos para seus hosts de sessão. Os dispositivos normalmente desativados incluem acesso ao disco rígido local e restrições USB ou de porta. Limitar o redirecionamento da câmera e a impressão remota pode ajudar a proteger os dados da sua organização. Desative o redirecionamento da área de transferência para impedir que o conteúdo remoto seja copiado para pontos de extremidade.

• Habilite o antivírus Endpoint Protection de última geração, como o Microsoft Defender for Endpoint , em seus hosts de sessão. Se você usar uma solução de ponto de extremidade de parceiro, certifique-se de que o Microsoft Defender for Cloud seja capaz de verificar seu estado. Você também deve incluir exclusões de antivírus FSLogix Profile Container. O Microsoft Defender for Endpoint integra-se diretamente com várias soluções Microsoft Defender, incluindo:

  • Microsoft Defender para Cloud
  • Microsoft Sentinel
  • Intune

• Habilite avaliações de gerenciamento de ameaças e vulnerabilidades. Integre a solução de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud ou uma solução de gerenciamento de vulnerabilidades de terceiros). O Microsoft Defender for Cloud integra-se nativamente com a solução de avaliação de vulnerabilidades da Qualys.

• Use o controle de aplicativos por meio do Windows Defender Application Control (WDAC) ou do AppLocker para garantir que os aplicativos sejam confiáveis antes da execução. As políticas de controle de aplicativos também podem bloquear scripts não assinados e MSIs e restringir a execução do Windows PowerShell no Modo de Linguagem Restrita.

• Habilite a inicialização confiável para máquinas virtuais do Azure Gen2 para habilitar recursos como Inicialização Segura, vTPM e segurança baseada em virtualização (VBS). O Microsoft Defender for Cloud pode monitorar hosts de sessão configurados com inicialização confiável.

• Randomize senhas de administrador local usando o Windows LAPS para proteger contra ataques pass-the-hash e de travessia lateral.

• Verifique se os anfitriões de sessão são monitorizados pelo Azure Monitor ou por uma solução de monitorização de parceiros através de Hubs de Eventos.

• Estabeleça uma estratégia de gerenciamento de patches para seus hosts de sessão. O Microsoft Endpoint Configuration Manager permite que os hosts de sessão da Área de Trabalho Virtual do Azure recebam atualizações automaticamente. Você deve corrigir imagens de base pelo menos uma vez a cada 30 dias. Considere usar o Azure Image Builder (AIB) para estabelecer seu próprio pipeline de imagens para a imagem base da Área de Trabalho Virtual do Azure.

Para obter mais informações sobre as práticas recomendadas para a segurança do host de sessão da Área de Trabalho Virtual do Azure, consulte Práticas recomendadas de segurança do host de sessão.

Para obter uma lista detalhada das práticas recomendadas para a segurança da VM do Azure, consulte Recomendações de segurança para máquinas virtuais no Azure.

Proteção de dados

• O Microsoft Azure criptografa dados em repouso para protegê-los de ataques "fora da banda", como tentativas de acessar o armazenamento subjacente. Essa criptografia ajuda a garantir que os invasores não possam ler ou modificar facilmente seus dados. A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em repouso envolve:

  • Criptografia de disco usando chaves gerenciadas pelo cliente. Os utilizadores fornecem a sua própria chave para encriptação de disco. Eles podem trazer suas próprias chaves para o Cofre de Chaves (uma prática conhecida como BYOK – Bring Your Own Key) ou gerar novas chaves no Cofre de Chaves do Azure para criptografar os recursos desejados (incluindo discos de host de sessão).
  • Criptografia de infraestrutura usando chaves gerenciadas pela plataforma. Por padrão, os discos são automaticamente criptografados em repouso por meio de chaves de criptografia gerenciadas pela plataforma.
  • Criptografia no host da VM (servidor do Azure ao qual sua VM está alocada). O disco temporário de cada máquina virtual e os dados de cache de disco de SO/disco de dados são armazenados no host da VM. Quando a criptografia no host da VM está habilitada, esses dados são criptografados em repouso e fluem criptografados para o serviço de armazenamento a ser persistido.

• Implante uma solução de proteção de informações como o Microsoft Purview Information Protection ou uma solução de terceiros, que garante que informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da sua organização.

• Use o Consultor de Políticas de Segurança para Aplicativos Microsoft 365 para empresas para melhorar a segurança da implantação do Office. Essa ferramenta identifica as políticas que você pode aplicar à sua implantação para obter mais segurança e também recomenda políticas com base em seus efeitos sobre a segurança e a produtividade.

• Configure a autenticação baseada em identidade para os Arquivos do Azure usados para Perfis de Usuário FSLogix por meio dos Serviços de Domínio Ative Directory (AD DS) locais e dos Serviços de Domínio Microsoft Entra. Configure as permissões NTFS para que os utilizadores autorizados possam aceder aos seus Ficheiros do Azure.

Gestão de custos

• Use as Tags do Azure para organizar os custos de criação, gerenciamento e implantação de recursos da Área de Trabalho Virtual do Azure. Para identificar o custo de computação associado à Área de Trabalho Virtual do Azure, marque todos os seus pools de hosts e máquinas virtuais. Marque os recursos Arquivos do Azure ou Arquivos NetApp do Azure para controlar o custo de armazenamento associado aos Contêineres de Perfil de Usuário FSLogix, imagens personalizadas do sistema operacional e anexação de aplicativo MSIX (se usado).

• Defina as marcas mínimas sugeridas a serem definidas em todos os recursos da Área de Trabalho Virtual do Azure. Você pode definir marcas do Azure durante a implantação ou após o provisionamento. Considere usar definições internas da Política do Azure para impor regras de marcação.

• Defina orçamento(s) no Microsoft Cost Management para gerenciar proativamente os custos de uso do Azure. Quando os limites de orçamento criados são excedidos, as notificações são acionadas.

• Crie alertas de Gerenciamento de Custos para monitorar o uso e os gastos do Azure na zona de aterrissagem da Área de Trabalho Virtual do Azure.

• Configure o recurso Iniciar VM no Connect para economizar custos, permitindo que os usuários finais ativem suas VMs somente quando precisarem delas.

• Implantar soluções de dimensionamento para hosts de sessão em pool por meio do recurso Automação do Azure ou Autoscale (visualização)

Consistência de recursos

• Use os hosts de sessão pessoal do Intune para Área de Trabalho Virtual do Azure para aplicar configurações existentes ou criar novas configurações e proteger suas VMs com política de conformidade e acesso condicional. A gestão do Intune não depende nem interfere com a gestão do Ambiente de Trabalho Virtual do Azure da mesma máquina virtual.

• A gestão de anfitriões de várias sessões com o Intune permite-lhe gerir ambientes de trabalho remotos multi-sessão do Windows 10 ou Windows 11 Enterprise no centro de administração do Intune, tal como pode gerir um dispositivo cliente Windows 10 ou Windows 11 partilhado. Ao gerenciar essas máquinas virtuais (VMs), pode usar a configuração baseada em dispositivo direcionada a dispositivos ou a configuração baseada em usuário direcionada a usuários.

• Audite e configure a proteção do sistema operacional dos hosts de sessão usando a configuração da máquina do Azure Policy. Use as linhas de base de segurança do Windows como ponto de partida para proteger seu sistema operacional Windows.

• Use as definições internas da Política do Azure para definir as configurações de diagnóstico para recursos da Área de Trabalho Virtual do Azure, como espaços de trabalho, grupos de aplicativos e pools de hosts.

Analise as práticas recomendadas de segurança para a Área de Trabalho Virtual do Azure como um ponto de partida para a segurança em seu ambiente.

Conformidade

Quase todas as organizações devem cumprir várias políticas regulatórias governamentais ou do setor. Analise essas políticas com sua equipe de conformidade e implemente os controles corretos para sua zona de aterrissagem específica da Área de Trabalho Virtual do Azure. Por exemplo, você deve considerar controles para políticas específicas, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) ou o Health Insurance Portability and Accountability Act of 1996 (HIPAA), se sua organização seguir suas estruturas.

• Use o Microsoft Defender for Cloud para aplicar padrões de conformidade adicionais às zonas de aterrissagem da Área de Trabalho Virtual do Azure, se necessário. O Microsoft Defender for Cloud ajuda a simplificar seu processo para atender aos requisitos de conformidade regulatória por meio de seu painel de conformidade regulamentar. Você pode adicionar padrões de conformidade internos ou personalizados ao painel. As normas regulamentares já incorporadas que pode adicionar incluem:

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL e UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP-CSCF v2020
  • ISO 27001:2013
  • Nova Zelândia ISM Restrito
  • CMMC Nível 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• Se sua organização estiver vinculada aos requisitos de residência de dados, considere limitar a implantação de recursos da Área de Trabalho Virtual do Azure (espaços de trabalho, grupos de aplicativos e pools de hosts) às seguintes geografias:

  • Estados Unidos da América
  • Europa
  • Reino Unido
  • Canadá

  Limitar a implantação a essas geografias pode ajudá-lo a garantir que os metadados da Área de Trabalho Virtual do Azure sejam armazenados na região da geografia de recursos da Área de Trabalho Virtual do Azure, já que seus hosts de sessão podem ser implantados em todo o mundo para acomodar sua base de usuários.

• Use a política de grupo e ferramentas de gerenciamento de dispositivos, como o Intune e o Microsoft Endpoint Configuration Manager, para manter uma prática completa de segurança e conformidade para seus hosts de sessão.

• Configure alertas e respostas automatizadas no Microsoft Defender for Cloud para garantir a conformidade geral das zonas de aterrissagem da Área de Trabalho Virtual do Azure.

• Analise o Microsoft Secure Score para medir a postura geral de segurança da organização nos seguintes produtos:

  • Microsoft 365 (incluindo o Exchange Online)
  • Microsoft Entra ID
  • Microsoft Defender para Ponto Final
  • Microsoft Defender para Identidade
  • Defender para Aplicações Cloud
  • Microsoft Stream

• Reveja o Microsoft Defender for Cloud Secure Score para melhorar a conformidade geral de segurança das suas Zonas de Aterragem Virtual do Azure.

Práticas recomendadas de segurança e linhas de base

• Práticas de segurança recomendadas da Área de Trabalho Virtual do Azure
• Linha de base de segurança para a Área de Trabalho Virtual do Azure com base no Benchmark de Segurança do Azure
• Aplicar princípios de Zero Confiança a uma implantação da Área de Trabalho Virtual do Azure

Próximos passos

Saiba mais sobre automação de plataforma e DevOps para um cenário de escala empresarial da Área de Trabalho Virtual do Azure.