Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra la procedura per applicare le principle di Zero Trust a una distribuzione Desktop virtuale Azure nei modi seguenti:
| principio Zero Trust | Definizione | Incontrato da |
|---|---|---|
| Verificare esplicitamente | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Verificare le identità e gli endpoint degli utenti di Desktop virtuale Azure e proteggere l'accesso agli host di sessione. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
|
| Presunzione di violazione | Ridurre al minimo il raggio di esplosione e l'accesso ai segmenti. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
|
Per altre informazioni su come applicare i principi di Zero Trust in un ambiente Azure IaaS, vedere Apply Zero Trust principles to Azure IaaS overview.
Architettura di riferimento
In questo articolo viene usata l'architettura di riferimento seguente per Hub e Spoke per illustrare un ambiente distribuito comunemente e come applicare i principi di Zero Trust per Desktop virtuale Azure con l'accesso degli utenti tramite Internet. È supportata anche l'architettura rete WAN virtuale di Azure oltre all'accesso privato tramite una rete gestita con RDP Shortpath per Desktop virtuale Azure.
L'ambiente Azure per Desktop virtuale Azure include:
| Componente | Descrizione |
|---|---|
| Un | Archiviazione di Azure Servizi per i profili utente di Desktop virtuale Azure. |
| B | Una VNet hub di connettività. |
| C | Una rete virtuale spoke con carichi di lavoro basati su macchine virtuali host di sessione di Desktop virtuale Azure. |
| D | Piano di controllo Desktop virtuale Azure. |
| E | Un piano di gestione Desktop virtuale Azure. |
| F | Servizi PaaS dipendenti, tra cui Microsoft Entra ID, portale di Microsoft Azure, controllo degli accessi in base al ruolo e Monitoraggio di Azure. |
| G | Azure Compute Gallery |
Gli utenti o gli amministratori che accedono all'ambiente di Azure possono provenire da Internet, dalle sedi degli uffici o dai data center locali.
L'architettura di riferimento è allineata all'architettura descritta nella zona di destinazione su larga scala per imprese del Cloud Adoption Framework per Desktop virtuale Azure.
Architettura logica
In questo diagramma l'infrastruttura di Azure per una distribuzione di Desktop virtuale Azure è contenuta in un tenant Microsoft Entra.
Gli elementi dell'architettura logica sono:
Sottoscrizione Azure per Desktop virtuale Azure
È possibile distribuire le risorse in più sottoscrizioni, in cui ogni sottoscrizione può contenere ruoli diversi, ad esempio la sottoscrizione di rete o la sottoscrizione di sicurezza. Questo è descritto in Cloud Adoption Framework e Azure Landing Zone. Le diverse sottoscrizioni possono anche contenere ambienti diversi, ad esempio ambienti di produzione, sviluppo e test. Dipende dal modo in cui si vuole separare l'ambiente e il numero di risorse disponibili in ogni ambiente. Una o più sottoscrizioni possono essere gestite insieme usando un gruppo di gestione. In questo modo è possibile applicare autorizzazioni con il controllo degli accessi in base al ruolo (RBAC) ai criteri di Azure a un gruppo di sottoscrizioni anziché configurare ogni sottoscrizione singolarmente.
Desktop virtuale Azure gruppo di risorse
Un gruppo di risorse Desktop virtuale Azure isola i Key Vaults, gli oggetti di servizio Desktop virtuale Azure e gli endpoint privati.
Gruppo di risorse di archiviazione
Un gruppo di risorse di archiviazione isola gli endpoint privati e i set di dati del servizio File di Azure.
Gruppo di risorse per macchine virtuali host di sessione
Un gruppo di risorse dedicato isola le macchine virtuali per gli host di sessione, il set di crittografia del disco e un gruppo di sicurezza delle applicazioni.
Gruppo di risorse della rete virtuale satellite (spoke)
Un gruppo di risorse dedicato isola le risorse della rete virtuale spoke e un gruppo di sicurezza di rete, che gli specialisti di rete dell'organizzazione possono gestire.
Che cos'è in questo articolo?
Questo articolo illustra i passaggi per applicare i principi di Zero Trust nell'architettura di riferimento Desktop virtuale Azure.
| Passaggio | Attività | Principio di Zero Trust applicato |
|---|---|---|
| 1 | Proteggere le identità con Zero Trust. | Verificare esplicitamente |
| 2 | Proteggere gli endpoint con Zero Trust. | Verificare esplicitamente |
| 3 | Applicare principi Zero Trust alle risorse di archiviazione Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 4 | Applicare i principi Zero Trust alle VNets di reti virtuali hub-spoke di Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 5 | Applicare i principi di Zero Trust all'host della sessione di Desktop virtuale Azure. | Verificare in modo esplicito Usare l'accesso con privilegi minimi Presunzione di violazione |
| 6 | Distribuire sicurezza, governance e conformità su Desktop virtuale Azure. | Presunzione di violazione |
| 7 | Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure. | Presunzione di violazione |
Passaggio 1: Proteggere le identità con Zero Trust
Per applicare i principi di Zero Trust alle identità usate in Desktop virtuale Azure:
- Desktop virtuale Azure supporta tipi diversi di identities. Utilizzare le informazioni di Proteggere l'identità con Zero Trust affinché le tipologie di identità scelte siano conformi ai principi Zero Trust.
- Creare un account utente dedicato con privilegi minimi per aggiungere la sessione host a un dominio Microsoft Entra Domain Services o AD DS durante l'implementazione della sessione host.
Passaggio 2: Proteggere gli endpoint con Zero Trust
Gli endpoint sono i dispositivi tramite cui gli utenti accedono alle macchine virtuali dell'host di sessione e dell'ambiente Desktop virtuale Azure. Usare le istruzioni nella panoramica dell'integrazione di Endpoint e usare Microsoft Defender per endpoint e Microsoft Intune per assicurarsi che gli endpoint rispettino i requisiti di sicurezza e conformità.
Passaggio 3: Applicare i principi di Zero Trust alle risorse di archiviazione Desktop virtuale Azure
Implementare i passaggi descritti in applicare i principi Zero Trust per l'archiviazione in Azure per le risorse di archiviazione usate nella distribuzione di Desktop virtuale Azure. Questi passaggi assicurano che:
- Proteggi i dati su Desktop virtuale Azure inattivi, in transito e in uso.
- Verificare gli utenti e controllare l'accesso ai dati di archiviazione con i privilegi minimi.
- Implementare endpoint privati per gli account di archiviazione.
- Separare logicamente i dati critici con i controlli di rete. Ad esempio, account di archiviazione separati per pool di host diversi e altri scopi, come con le condivisioni di file per l'attacco applicazioni MSIX.
- Usare Defender per l'archiviazione per la protezione automatizzata dalle minacce.
Nota
In alcune progettazioni, Azure NetApp files è il servizio di archiviazione preferito per i profili FSLogix per Desktop virtuale Azure tramite una condivisione SMB. Azure NetApp Files offre funzionalità di sicurezza predefinite che includono subnetdelegate e security benchmark.
Passaggio 4: Applicare i principi di Zero Trust alle reti virtuali hub-spoke Desktop virtuale Azure
Una rete virtuale "hub" è un punto centrale di connettività per più reti virtuali "spoke". Implementare i passaggi descritti in principi Zero Trust per una rete virtuale hub in Azure per la rete virtuale hub usata per filtrare il traffico in uscita dagli host di sessione.
Una rete virtuale spoke isola il carico di lavoro di Desktop virtuale Azure e contiene le macchine virtuali host della sessione. Implementare i passaggi descritti in Apply dei principi Zero Trust per la rete virtuale spoke in Azure per la rete virtuale spoke che contiene l'host di sessione o le macchine virtuali.
Isolare pool di host diversi in reti virtuali separate usando NSG con l'URL necessario per Desktop virtuale Azure per ogni subnet. Quando si distribuiscono gli endpoint privati, inserirli nella subnet appropriata nella VNet in base al loro ruolo.
Firewall di Azure o un'appliance virtuale di rete (NVA) possono essere usati per controllare e limitare il traffico in uscita dagli host di sessione di Desktop virtuale Azure. Usare le istruzioni qui per Firewall di Azure, per proteggere gli host di sessione. Forzare il traffico attraverso il firewall con Route Definite dall'Utente (UDR) collegate alla subnet del pool di host. Esaminare l'elenco completo degli URL necessari Desktop virtuale Azure per configurare il firewall. Firewall di Azure fornisce un tag Desktop virtuale Azure FQDN per semplificare questa configurazione.
Passaggio 5: Applicare i principi di Zero Trust agli host sessione di Desktop virtuale Azure
Gli host di sessione sono macchine virtuali eseguite all'interno di una rete virtuale spoke. Implementare i passaggi in Applica i principi dello Zero Trust alle macchine virtuali in Azure per le macchine virtuali create per gli host di sessione.
I pool Host devono avere unità organizzative separate se gestite da criteri group in Active Directory Domain Services (AD DS).
Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendale progettata per aiutare le reti aziendali a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. È possibile usare Microsoft Defender per endpoint per gli host di sessione. Per altre informazioni, vedere Dispositivi VDI (Virtual Desktop Infrastructure).
Passaggio 6: Distribuire sicurezza, governance e conformità su Desktop virtuale Azure
Desktop virtuale Azure servizio consente di usare collegamento privato di Azure per connettersi privatamente alle risorse creando endpoint privati.
Desktop virtuale Azure include funzionalità di sicurezza avanzate predefinite per proteggere gli host sessione. Tuttavia, vedere gli articoli seguenti per migliorare le difese di sicurezza degli host di sessione e dell'ambiente Desktop virtuale Azure:
- Migliori pratiche di sicurezza per Desktop virtuale Azure
- Azure baseline di sicurezza per Desktop virtuale Azure
Vedere inoltre le considerazioni e le raccomandazioni principali sulla progettazione per sicurezza, governance e conformità nelle aree di destinazione di Desktop virtuale Azure in conformità al Cloud Adoption Framework di Microsoft.
Passaggio 7: Distribuire la gestione e il monitoraggio sicuri in Desktop virtuale Azure
La gestione e il monitoraggio continuo sono importanti per garantire che l'ambiente Desktop virtuale Azure non sia coinvolto in comportamenti dannosi. Usare Desktop virtuale Azure Insights per registrare i dati e segnalare i dati di diagnostica e di utilizzo.
Vedere questi articoli aggiuntivi:
- Esaminare le raccomandazioni di Azure Advisor per Desktop virtuale Azure.
- Usare Microsoft Intune per la gestione granulare dei criteri.
- Esaminare e impostare le proprietà RDP per le impostazioni granulari a livello di pool di host.
Formazione consigliata
Proteggi una distribuzione di Desktop Virtuale di Azure
| Formazione | Secure an Desktop virtuale Azure deployment |
|---|---|
|
Informazioni sulle funzionalità di sicurezza Microsoft che consentono di proteggere le applicazioni e i dati nella distribuzione di Microsoft Desktop virtuale Azure. |
Inizio
Proteggere la distribuzione Desktop virtuale Azure usando Azure
| Formazione | Proteggi la tua distribuzione di Desktop virtuale Azure utilizzando Azure |
|---|---|
|
Distribuire Firewall di Azure, instradare tutto il traffico di rete attraverso Firewall di Azure e configurare le regole. Indirizzare il traffico di rete in uscita dal pool di host Desktop virtuale Azure al servizio tramite Firewall di Azure. |
Inizio
Gestire l'accesso e la sicurezza per Desktop virtuale Azure
| Formazione | Gestisci l'accesso e la sicurezza per Desktop virtuale Azure |
|---|---|
|
Informazioni su come pianificare e implementare ruoli di Azure per Desktop virtuale Azure e implementare criteri di accesso condizionale per le connessioni remote. Questo percorso di apprendimento è allineato all'esame AZ-140: Configurazione e funzionamento di Microsoft Desktop virtuale Azure. |
Inizio
Progettare identità utente e profili
| Formazione | Progettare per le identità e i profili degli utenti |
|---|---|
|
Gli utenti devono poter accedere a tali applicazioni sia in locale che nel cloud. Si usa il client Desktop remoto per Windows Desktop per accedere alle app e ai desktop Windows in remoto da un altro dispositivo Windows. |
Inizio
Per altre informazioni sulla sicurezza in Azure, vedere queste risorse nel catalogo Microsoft:
Sicurezza in Azure
Passaggi successivi
Vedere questi articoli aggiuntivi per l'applicazione dei principi di Zero Trust a Azure:
- Panoramica di Azure IaaS
- Azure Storage
- Macchine virtuali
- Reti virtuali spoke
- reti virtuali spoke con servizi PaaS di Azure
- Reti virtuali hub
- rete WAN virtuale di Azure
- Applicazioni IaaS in Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Illustrazioni tecniche
È possibile scaricare le illustrazioni usate in questo articolo. Usare il file Visio per modificare queste illustrazioni per un uso personalizzato.
Per altre illustrazioni tecniche, fare clic qui.
Riferimenti
Fare riferimento ai collegamenti seguenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Che è Azure - Servizi cloud Microsoft
- Azure Infrastructure as a Service (IaaS)
- Macchine virtuali (VM) per Linux e Windows
- Introduzione ad Archiviazione di Azure - Archiviazione cloud su Azure
- Rete virtuale di Azure
- Introduzione alla sicurezza Azure
- Zero Trust linee guida per l'implementazione
- Panoramica di Microsoft Cloud Security Benchmark
- Panoramica delle baseline di sicurezza per Azure:
- Building the first layer of defense with Azure security services - Azure Architecture Center
- Architetture di riferimento della cybersecurity Microsoft - Documentazione sulla sicurezza