Windows虛擬桌面是一項(xiàng)在Azure中運(yùn)行的全面桌面和應(yīng)用程序虛擬化服務(wù),可簡(jiǎn)化虛擬桌面基礎(chǔ)結(jié)構(gòu)(VDI)的管理。
Windows虛擬桌面是一項(xiàng)在Azure中運(yùn)行的全面桌面和應(yīng)用程序虛擬化服務(wù)��,可簡(jiǎn)化虛擬桌面基礎(chǔ)結(jié)構(gòu)(VDI)的管理。
在組織進(jìn)行這種轉(zhuǎn)變時(shí),使他們的員工保持生產(chǎn)力�����,IT和安全專業(yè)人員需要確保Windows虛擬桌面的部署符合安全最佳實(shí)踐��,因此不會(huì)給業(yè)務(wù)增加不必要的風(fēng)險(xiǎn)����。在此博客中,我們將探討Azure安全中心如何幫助您維護(hù)Windows虛擬桌面環(huán)境配置的衛(wèi)生性和合規(guī)性����,并保護(hù)其免受威脅。
Windows虛擬桌面主機(jī)池體系結(jié)構(gòu)概述
設(shè)置Windows虛擬桌面環(huán)境時(shí)���,首先需要?jiǎng)?chuàng)建一個(gè)主機(jī)池��,該主機(jī)池是一個(gè)或多個(gè)相同虛擬機(jī)(VM)的集合���。為了支持遠(yuǎn)程勞動(dòng)力用例,這些VM通常將運(yùn)行Windows 10多會(huì)話OS。下面是該體系結(jié)構(gòu)的概述:通過檢查主機(jī)池詳細(xì)信息并單擊資源組名稱��,可以找到在主機(jī)池中運(yùn)行的VM:
這將顯示資源組詳細(xì)信息��。按虛擬機(jī)篩選將顯示VM列表:
資源組Windows虛擬桌面VM列表��。
使用Azure安全中心保護(hù)Windows虛擬桌面部署的安全
考慮到共享責(zé)任模型�����,以下是客戶在Windows虛擬桌面部署中負(fù)責(zé)的安全需求:
網(wǎng)絡(luò)����。
部署配置。
會(huì)話主機(jī)操作系統(tǒng)���。
應(yīng)用程序安全性���。
身份
這些需求應(yīng)在安全態(tài)勢(shì)和威脅防護(hù)兩方面進(jìn)行審查。這是一個(gè)例子:
VM網(wǎng)絡(luò)層的配置錯(cuò)誤會(huì)增加攻擊面�����,并導(dǎo)致端點(diǎn)受損��。我們要確保的一件事是,應(yīng)該在Windows Virtual Desktop虛擬機(jī)上關(guān)閉所有管理端口����。
一旦您的用戶連接到他們的Windows虛擬桌面會(huì)話,就可以操縱他們?yōu)g覽到惡意站點(diǎn)或連接到惡意計(jì)算機(jī)��。萬一機(jī)器上有惡意軟件�����,也可能發(fā)生這種情況�����。分析網(wǎng)絡(luò)流量以檢測(cè)您的計(jì)算機(jī)是否已與命令和控制中心進(jìn)行通信是另一個(gè)保護(hù)層�����。
Azure安全中心為Windows虛擬桌面VM提供了以下安全狀態(tài)管理和威脅防護(hù)功能:
安全配置評(píng)估和安全評(píng)分���。
經(jīng)過行業(yè)測(cè)試的漏洞評(píng)估。
主機(jī)級(jí)別檢測(cè)��。
無代理云網(wǎng)絡(luò)微細(xì)分和檢測(cè)���。
文件完整性監(jiān)控����。
及時(shí)訪問虛擬機(jī)。
自適應(yīng)應(yīng)用程序控件�����。
下表映射了Windows虛擬桌面安全需求的Azure安全中心保護(hù)功能:
將Azure安全中心保護(hù)功能映射到Windows虛擬桌面安全需求���。
切換到Azure安全中心門戶����,我們可以在“計(jì)算和應(yīng)用”下看到Windows虛擬桌面主機(jī)池虛擬機(jī)��,然后是“虛擬機(jī)和服務(wù)器”選項(xiàng)卡����,以及它們各自的安全分?jǐn)?shù)和狀態(tài):
向下鉆取到特定的VM將顯示完整的建議列表以及嚴(yán)重性級(jí)別:
還評(píng)估了這些虛擬機(jī)是否符合內(nèi)置或自定義的不同法規(guī)要求,并且任何法規(guī)遵從問題都將在“法規(guī)遵從性”儀表板下標(biāo)出��。
另外����,安全警報(bào)將顯示在“威脅防護(hù)”下��,然后顯示“安全警報(bào)”:
在威脅防護(hù)刀片下顯示虛擬機(jī)安全性結(jié)果�����,然后顯示安全性警報(bào)����。
安全警報(bào)和建議都可以從“安全中心”門戶中使用和管理�����,也可以導(dǎo)出到其他工具中以進(jìn)行進(jìn)一步的分析和修復(fù)�����。一個(gè)很好的例子是將Azure安全中心與Azure Sentinel集成為監(jiān)視Windows虛擬桌面環(huán)境的一部分�����。
為Windows虛擬桌面環(huán)境啟用Azure安全中心
Azure安全中心免費(fèi)層為Windows虛擬桌面部署提供安全建議和安全評(píng)分��。
要啟用所有保護(hù)功能��,您應(yīng)該遵循以下兩個(gè)步驟:
確保您具有Azure安全中心標(biāo)準(zhǔn)層(如下所示)����。
為虛擬機(jī)啟用威脅防護(hù)。
在Azure安全中心中為虛擬機(jī)啟用威脅防護(hù)�����。
最后一點(diǎn)�����。如果您將Azure Devops CI/CD管道與Windows 10 Azure VM映像一起使用����,以作為連續(xù)構(gòu)建和部署Windows虛擬桌面解決方案的解決方案,則極有可能使用Azure Key Vault進(jìn)行秘密管理���。如果尚未啟用��,則下一站就是為Azure Key Vault設(shè)置威脅防護(hù)���。
閩公網(wǎng)安備 35010202001226號(hào)
