Menerapkan prinsip Zero Trust ke penyebaran Azure Virtual Desktop
Artikel ini menyediakan langkah-langkah untuk menerapkan prinsip Zero Trust ke penyebaran Azure Virtual Desktop dengan cara berikut:
| Prinsip Zero Trust | Definisi | Terpenuhi oleh |
|---|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. | Verifikasi identitas dan titik akhir pengguna Azure Virtual Desktop dan amankan akses ke host sesi. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. |
|
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. |
|
Untuk informasi selengkapnya tentang cara menerapkan prinsip Zero Trust di seluruh lingkungan Azure IaaS, lihat gambaran umum Menerapkan Zero Trust ke Azure IaaS.
Arsitektur referensi
Dalam artikel ini, kami menggunakan arsitektur referensi berikut untuk Hub dan Spoke untuk menunjukkan lingkungan yang umum disebarkan dan cara menerapkan prinsip Zero Trust untuk Azure Virtual Desktop dengan akses pengguna melalui Internet. Arsitektur Azure Virtual WAN juga didukung selain akses privat melalui jaringan terkelola dengan RDP Shortpath untuk Azure Virtual Desktop.
Lingkungan Azure untuk Azure Virtual Desktop meliputi:
| Komponen | Deskripsi |
|---|---|
| A | Azure Storage Services untuk profil pengguna Azure Virtual Desktop. |
| B | VNet hub konektivitas. |
| C | VNet spoke dengan beban kerja berbasis komputer virtual host sesi Azure Virtual Desktop. |
| D | Sarana Kontrol Azure Virtual Desktop. |
| E | Bidang Manajemen Azure Virtual Desktop. |
| F | Layanan PaaS dependen termasuk ID Microsoft Entra, Microsoft Defender untuk Cloud, kontrol akses berbasis peran (RBAC), dan Azure Monitor. |
| G | Azure Compute Gallery. |
Pengguna atau admin yang mengakses lingkungan Azure dapat berasal dari internet, lokasi kantor, atau pusat data lokal.
Arsitektur referensi selaras dengan arsitektur yang dijelaskan di zona pendaratan skala Perusahaan untuk Azure Virtual Desktop Cloud Adoption Framework.
Arsitektur logis
Dalam diagram ini, infrastruktur Azure untuk penyebaran Azure Virtual Desktop terkandung dalam penyewa ID Microsoft Entra.
Elemen arsitektur logis adalah:
Langganan Azure untuk Azure Virtual Desktop Anda
Anda dapat mendistribusikan sumber daya dalam lebih dari satu langganan, di mana setiap langganan dapat memiliki peran yang berbeda, seperti langganan jaringan, atau langganan keamanan. Ini dijelaskan dalam Cloud Adoption Framework dan Azure Landing Zone. Langganan yang berbeda juga dapat menampung lingkungan yang berbeda, seperti lingkungan produksi, pengembangan, dan pengujian. Ini tergantung pada bagaimana Anda ingin memisahkan lingkungan Anda dan jumlah sumber daya yang Anda miliki di masing-masing. Satu atau beberapa langganan dapat dikelola bersama-sama menggunakan Grup Manajemen. Ini memberi Anda kemampuan untuk menerapkan izin dengan kebijakan RBAC dan Azure ke sekelompok langganan alih-alih menyiapkan setiap langganan satu per satu.
Grup sumber daya Azure Virtual Desktop
Grup sumber daya Azure Virtual Desktop mengisolasi Key Vault, objek layanan Azure Virtual Desktop, dan titik akhir privat.
Grup sumber daya penyimpanan
Grup sumber daya penyimpanan mengisolasi titik akhir privat layanan Azure Files dan himpunan data.
Grup sumber daya komputer virtual host sesi
Grup sumber daya khusus mengisolasi komputer virtual untuk host sesi mereka Virtual Machines, Disk Encryption Set, dan Kelompok Keamanan Aplikasi.
Grup sumber daya Spoke VNet
Grup sumber daya khusus mengisolasi sumber daya VNet spoke dan Kelompok Keamanan Jaringan, yang dapat dikelola oleh spesialis jaringan di organisasi Anda.
Apa yang ada di artikel ini?
Artikel ini menjelaskan langkah-langkah untuk menerapkan prinsip Zero Trust di seluruh arsitektur referensi Azure Virtual Desktop.
| Langkah | Tugas | Prinsip Zero Trust diterapkan |
|---|---|---|
| 1 | Amankan identitas Anda dengan Zero Trust. | Memverifikasi secara eksplisit |
| 2 | Amankan titik akhir Anda dengan Zero Trust. | Memverifikasi secara eksplisit |
| 3 | Terapkan prinsip Zero Trust ke sumber daya penyimpanan Azure Virtual Desktop. | Verifikasi secara eksplisit Gunakan akses dengan hak istimewa paling sedikit Mengasumsikan pembobolan |
| 4 | Terapkan prinsip Zero Trust ke hub dan spoke Azure Virtual Desktop VNets. | Verifikasi secara eksplisit Gunakan akses dengan hak istimewa paling sedikit Mengasumsikan pembobolan |
| 5 | Terapkan prinsip Zero Trust ke host sesi Azure Virtual Desktop. | Verifikasi secara eksplisit Gunakan akses dengan hak istimewa paling sedikit Mengasumsikan pembobolan |
| 6 | Menyebarkan keamanan, tata kelola, dan kepatuhan ke Azure Virtual Desktop. | Mengasumsikan pembobolan |
| 7 | Menyebarkan manajemen dan pemantauan yang aman ke Azure Virtual Desktop. | Mengasumsikan pembobolan |
Langkah 1: Amankan identitas Anda dengan Zero Trust
Untuk menerapkan prinsip Zero Trust ke identitas yang digunakan di Azure Virtual Desktop:
- Azure Virtual Desktop mendukung berbagai jenis identitas. Gunakan informasi dalam Mengamankan identitas dengan Zero Trust untuk memastikan bahwa jenis identitas yang Anda pilih mematuhi prinsip Zero Trust.
- Buat akun pengguna khusus dengan hak istimewa paling sedikit untuk bergabung dengan host sesi ke domain Microsoft Entra Domain Services atau AD DS selama penyebaran host sesi.
Langkah 2: Amankan titik akhir Anda dengan Zero Trust
Titik akhir adalah perangkat tempat pengguna mengakses lingkungan Azure Virtual Desktop dan komputer virtual host sesi. Gunakan instruksi dalam gambaran umum integrasi Titik akhir dan gunakan Microsoft Defender untuk Titik Akhir dan Microsoft Endpoint Manager untuk memastikan bahwa titik akhir Anda mematuhi persyaratan keamanan dan kepatuhan Anda.
Langkah 3: Menerapkan prinsip Zero Trust ke sumber daya penyimpanan Azure Virtual Desktop
Terapkan langkah-langkah dalam Menerapkan prinsip Zero Trust ke Storage di Azure untuk sumber daya penyimpanan yang digunakan dalam penyebaran Azure Virtual Desktop Anda. Langkah-langkah ini memastikan bahwa Anda:
- Amankan data Azure Virtual Desktop Anda saat tidak aktif, saat transit, dan sedang digunakan.
- Verifikasi pengguna dan kontrol akses ke data penyimpanan dengan hak istimewa paling sedikit.
- Menerapkan titik akhir privat untuk akun penyimpanan.
- Memisahkan data penting secara logis dengan kontrol jaringan. Seperti akun penyimpanan terpisah untuk kumpulan host yang berbeda dan tujuan lain seperti dengan berbagi file lampiran aplikasi MSIX.
- Gunakan Defender for Storage untuk perlindungan ancaman otomatis.
Catatan
Dalam beberapa desain, file Azure NetApp adalah layanan penyimpanan pilihan untuk profil FSLogix untuk Azure Virtual Desktop melalui berbagi SMB. Azure NetApp Files menyediakan fitur keamanan bawaan yang mencakup subnet yang didelegasikan dan tolok ukur keamanan.
Langkah 4: Terapkan prinsip Zero Trust ke hub dan spoke VNet Azure Virtual Desktop
VNet hub adalah titik pusat konektivitas untuk beberapa jaringan virtual spoke. Terapkan langkah-langkah dalam Menerapkan prinsip Zero Trust ke jaringan virtual hub di Azure untuk VNet hub yang digunakan untuk memfilter lalu lintas keluar dari host sesi Anda.
VNet spoke mengisolasi beban kerja Azure Virtual Desktop dan berisi komputer virtual host sesi. Terapkan langkah-langkah dalam Menerapkan prinsip Zero Trust ke jaringan virtual spoke di Azure untuk VNet spoke yang berisi host sesi/komputer virtual.
Isolasi kumpulan host yang berbeda pada VNet terpisah menggunakan NSG dengan URL yang diperlukan untuk Azure Virtual Desktop untuk setiap subnet. Saat menyebarkan titik akhir privat menempatkannya di subnet yang sesuai di VNet berdasarkan perannya.
Firewall Azure atau firewall appliance virtual jaringan (NVA) dapat digunakan untuk mengontrol dan membatasi lalu lintas keluar host sesi Azure Virtual Desktop. Gunakan instruksi di sini untuk Azure Firewall untuk melindungi host sesi. Paksa lalu lintas melalui firewall dengan Rute yang Ditentukan Pengguna (UDR) yang ditautkan ke subnet kumpulan host. Tinjau daftar lengkap URL Azure Virtual Desktop yang diperlukan untuk mengonfigurasi firewall Anda. Azure Firewall menyediakan Tag FQDN Azure Virtual Desktop untuk menyederhanakan konfigurasi ini.
Langkah 5: Menerapkan prinsip Zero Trust ke host sesi Azure Virtual Desktop
Host sesi adalah komputer virtual yang berjalan di dalam VNet spoke. Terapkan langkah-langkah dalam Menerapkan prinsip Zero Trust ke komputer virtual di Azure untuk komputer virtual yang dibuat untuk host sesi Anda.
Kumpulan host harus memiliki unit organisasi (OU) yang dipisahkan jika dikelola oleh kebijakan grup di Active Directory Domain Services (AD DS).
Pertahanan Microsoft untuk Titik Akhir adalah platform keamanan titik akhir perusahaan yang dirancang untuk membantu jaringan perusahaan mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman tingkat lanjut. Anda dapat menggunakan Microsoft Defender untuk Titik Akhir untuk host sesi. untuk informasi selengkapnya, lihat perangkat infrastruktur desktop virtual (VDI).
Langkah 6: Menyebarkan keamanan, tata kelola, dan kepatuhan ke Azure Virtual Desktop
Layanan Azure Virtual Desktop memungkinkan Anda menggunakan Azure Private Link untuk menyambungkan secara privat ke sumber daya Anda dengan membuat titik akhir privat.
Azure Virtual Desktop memiliki fitur keamanan tingkat lanjut bawaan untuk melindungi host sesi. Namun, lihat artikel berikut untuk meningkatkan pertahanan keamanan lingkungan Azure Virtual Desktop dan host sesi Anda:
- Praktik terbaik keamanan Azure Virtual Desktop
- Garis besar keamanan Azure untuk Azure Virtual Desktop
Selain itu, lihat pertimbangan dan rekomendasi desain utama untuk keamanan, tata kelola, dan kepatuhan di zona pendaratan Azure Virtual Desktop sesuai dengan Cloud Adoption Framework Microsoft.
Langkah 7: Menyebarkan manajemen dan pemantauan aman ke Azure Virtual Desktop
Manajemen dan pemantauan berkelanjutan penting untuk memastikan bahwa lingkungan Azure Virtual Desktop Anda tidak terlibat dalam perilaku berbahaya. Gunakan Azure Virtual Desktop Insights untuk mencatat data dan melaporkan data diagnostik dan penggunaan.
Lihat artikel tambahan ini:
- Tinjau rekomendasi dari Azure Advisor untuk Azure Virtual Desktop.
- Gunakan Microsoft Intune untuk manajemen kebijakan terperinci.
- Tinjau dan atur Properti RDP untuk pengaturan terperinci pada tingkat kumpulan host.
Pelatihan yang direkomendasikan
Mengamankan penyebaran Azure Virtual Desktop
| Pelatihan | Mengamankan penyebaran Azure Virtual Desktop |
|---|---|
|
Pelajari tentang kemampuan keamanan Microsoft yang membantu menjaga aplikasi dan data Anda tetap aman dalam penyebaran Microsoft Azure Virtual Desktop Anda. |
Melindungi penyebaran Azure Virtual Desktop Anda dengan menggunakan Azure
| Pelatihan | Melindungi penyebaran Azure Virtual Desktop Anda dengan menggunakan Azure |
|---|---|
|
Menyebarkan Azure Firewall, merutekan semua lalu lintas melalui Azure Firewall, dan mengonfigurasikan aturan. Rutekan lalu lintas jaringan keluar dari kumpulan host Azure Virtual Desktop ke layanan melalui Azure Firewall. |
Mengelola akses dan keamanan untuk Azure Virtual Desktop
| Pelatihan | Mengelola akses dan keamanan untuk Azure Virtual Desktop |
|---|---|
|
Pelajari cara merencanakan dan menerapkan peran Azure untuk Azure Virtual Desktop dan menerapkan kebijakan Akses Bersyarat untuk koneksi jarak jauh. Jalur pembelajaran ini selaras dengan ujian AZ-140: Mengonfigurasi dan Mengoperasikan Microsoft Azure Virtual Desktop. |
Desain untuk identitas dan profil pengguna
| Pelatihan | Desain untuk identitas dan profil pengguna |
|---|---|
|
Pengguna Anda memerlukan akses ke aplikasi tersebut baik di lingkungan lokal maupun di cloud. Anda menggunakan klien Desktop Jarak Jauh untuk Desktop Windows untuk mengakses aplikasi dan desktop Windows dari jarak jauh dari perangkat Windows yang berbeda. |
Untuk pelatihan selengkapnya tentang keamanan di Azure, lihat sumber daya ini di katalog Microsoft:
Keamanan di Azure
Langkah berikutnya
Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:
- Gambaran umum Azure IaaS
- Azure Virtual WAN
- Aplikasi IaaS di Amazon Web Services
- Microsoft Sentinel dan Microsoft Defender XDR
Ilustrasi teknis
Anda dapat mengunduh ilustrasi yang digunakan dalam artikel ini. Gunakan file Visio untuk mengubah ilustrasi ini untuk penggunaan Anda sendiri.
Untuk ilustrasi teknis tambahan, klik di sini.
Referensi
Lihat tautan di bawah ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.
- Apa itu Azure - Microsoft Cloud Services
- Azure Infrastructure as a Service (IaaS)
- Komputer Virtual (VM) untuk Linux dan Windows
- Pengantar Azure Storage - Penyimpanan cloud di Azure
- Microsoft Azure Virtual Network
- Pengantar keamanan Azure
- Panduan implementasi Zero Trust
- Gambaran umum tolok ukur keamanan cloud Microsoft
- Garis besar keamanan untuk gambaran umum Azure
- Membangun lapisan pertahanan pertama dengan layanan keamanan Azure - Azure Architecture Center
- Arsitektur Referensi Keamanan Cyber Microsoft - Dokumentasi keamanan