Azure Virtual Desktop (AVD) ist ein Cloud-basierter Desktop- und Anwendungsvirtualisierungsdienst, der Unternehmen eine sichere und skalierbare Umgebung für die Ausführung ihrer Tätigkeiten bietet. Angesichts der zunehmenden Cyber-Bedrohungen müssen Unternehmen auf der Hut sein, dass ihre AVD-Umgebungen sicher bleiben und dass sensible Informationen vor Cyber-Bedrohungen und Datenschutzverletzungen geschützt sind.
Infolgedessen hat die Verbreitung von Zero-Trust-Sicherheitsprinzipien in Unternehmen weltweit zugenommen. Zero Trust ist ein Sicherheitskonzept, bei dem Nutzer.innen, Geräte und Dienste quasi beweisen müssen, dass ihnen vertraut werden kann. Es zielt darauf ab, Risiken durch die ständige Überprüfung und Validierung von Identitäten, Geräten und Datenzugriff zu minimieren. Die Anwendung von Zero-Trust-Prinzipien auf AVD kann dazu beitragen, den unbefugten Zugriff auf Daten und Ressourcen zu verhindern und so die Sicherheit und Konformität der Bereitstellung zu gewährleisten.
So richtest du eine Zero-Trust-Umgebung für Azure Virtual Desktop ein:
Diese Anleitung bietet einen detaillierten, schrittweisen Ansatz zur Einrichtung einer Zero Trust-Umgebung für Azure Virtual Desktop. Sie stützt sich auf die empfohlenen und geprüften Informationen, die in der Microsoft Knowledge Base verfügbar sind – eine maßgebliche Quelle für Informationen über Microsoft-Produkte und -Dienste ist. Wenn du die unten beschriebenen Schritte befolgst, kannst du sicherstellen, dass nur authentifizierte und autorisierte Benutzer.innen und Geräte auf Ressourcen in deiner Azure-Virtual-Desktop-Umgebung zugreifen können. So kannst du die Gesamtsicherheit deines Unternehmens erhöhen.
Schritt 1: Sichere deine Identitäten mit Zero Trust
AVD unterstützt verschiedene Arten von Identitäten, wie Azure Active Directory (Azure AD), Active Directory Domain Services (AD DS) und hybride Identitäten. Es ist wichtig, Zero-Trust-Prinzipien auf diese Identitäten anzuwenden, um sicherzustellen, dass nur autorisierte Benutzer.innen auf die AVD-Umgebung zugreifen können. Es wird empfohlen, ein dediziertes Benutzerkonto mit den geringsten Privilegien zu erstellen, um Sitzungshosts mit Azure AD oder AD DS während der Sitzungshostbereitstellung zu verbinden.
Schritt 2: Sichere deine Endpunkte mit Zero Trust
Endpunkte, wie z.B. Geräte und virtuelle Maschinen, sind die Einstiegspunkte für den Zugriff von Benutzern auf die AVD-Umgebung. Es wird empfohlen, die Zero-Trust-Prinzipien auf diese Endpunkte anzuwenden, indem Microsoft Defender for Endpoint und Microsoft Endpoint Manager zur Durchsetzung von Sicherheitsrichtlinien und zur Einhaltung von Compliance-Anforderungen eingesetzt werden.
Schritt 3: Azure Virtual Desktop-Speicherressourcen
AVD speichert Daten im Ruhezustand, bei der Übertragung und bei der Verwendung. Es ist wichtig, Zero-Trust-Prinzipien für die in der AVD-Bereitstellung verwendeten Speicherressourcen zu implementieren, um die Daten zu sichern, Benutzer.innen zu verifizieren und den Zugriff mit den geringsten Privilegien zu kontrollieren. Die Implementierung privater Endpunkte für Speicherkonten und die logische Trennung kritischer Daten durch Netzwerkkontrollen können die Sicherheit weiter erhöhen.
Schritt 4: Spoke- und Hub-VNets in Azure Virtual Desktop
Eine Hub-and-Spoke-Architektur in AVD bietet eine zentrale Konnektivität für virtuelle Netzwerke mit mehreren Spokes. Die Implementierung von Zero Trust-Prinzipien für diese VNets kann dazu beitragen, ausgehenden Datenverkehr von Sitzungshosts zu filtern und verschiedene Host-Pools in separaten VNets mithilfe von NSG zu isolieren.
Schritt 5: Azure Virtual Desktop Session Hosts
Sitzungshosts sind virtuelle Maschinen, die innerhalb eines Spoke-VNet ausgeführt werden. Es ist wichtig, die Zero-Trust-Prinzipien auf diese virtuellen Maschinen anzuwenden, indem getrennte Organisationseinheiten (OUs) erstellt werden, wenn sie über Gruppenrichtlinien in AD DS verwaltet werden, und Microsoft Defender for Endpoint für VDI-Geräte verwendet wird.
Schritt 6: Bereitstellung von Sicherheit, Governance und Compliance für Azure Virtual Desktop
AVD verfügt über integrierte fortschrittliche Sicherheitsfunktionen, aber Unternehmen können ihren Sicherheitsschutz verbessern, indem sie bewährte AVD-Sicherheitspraktiken und die Azure-Sicherheitsgrundlagen implementieren und die wichtigsten Designüberlegungen und Empfehlungen für Sicherheit, Governance und Compliance in Azure Virtual Desktop Landing Zones befolgen.
Schritt 7: Sichere Verwaltung und Überwachung für Azure Virtual Desktop bereitstellen
Verwaltung und kontinuierliche Überwachung sind entscheidend, um sicherzustellen, dass die AVD-Umgebung kein bösartiges Verhalten an den Tag legt. Azure Virtual Desktop Insights kann Unternehmen dabei helfen, Daten zu protokollieren und Diagnose- und Nutzungsdaten zu melden, während Microsoft Intune und RDP Properties bei der Verwaltung und Festlegung granularer Richtlinien für AVD helfen können.
Schritt 8: Zero Trust Printing mit ezeep und dem ezeep Hub
Zusätzlich zu den oben genannten Schritten sollten Unternehmen ihre AVD-Sicherheit verbessern, indem sie die Zero-Trust-Prinzipien auf ihre Druckinfrastruktur anwenden.
Wie bei allen anderen Endpunkten muss auch der Zugriff auf Drucker autorisiert und kontrolliert werden. In diesem speziellen Fall kann eine dedizierte Drucklösung, wie ezeep Blue, helfen. Mit einer kleinen Hardware-Appliance, dem ezeep Hub, stellt ezeep eine sichere Verbindung zwischen der Cloud und den Druckern über den Azure IOT Service her. Eine permanente Autorisierung und Authentifizierung ist vorhanden, um den sicheren Zugriff auf die Drucker zu verwalten.
ezeep erhöht die Sicherheit weiter, indem es die Druckdaten verschlüsselt. Der Hub selbst verbindet sich nur über eine ausgehende Verbindung über 443/HTTPS und mit TLS 1.2 oder höher mit der ezeep Cloud. Die Cloud-Lösung ist vollständig in Azure AD integriert und kann bequem über ein Webportal verwaltet werden. Da keine Druckertreiber auf den virtuellen Desktops oder Endgeräten benötigt werden, kann ezeep den Administrationsaufwand für das AVD-Drucken deutlich reduzieren. Nach dem Anlegen eines ezeep-Kontos im Azure Marketplace muss lediglich ein zusätzlicher Agent auf der Maschine installiert werden. Darüber hinaus können Kartenleser an den Hub angeschlossen werden, um eine weitere Authentifizierung am Drucker zu ermöglichen.
Weitere Details findest du hier:
https://learn.microsoft.com/en-us/security/zero-trust/azure-infrastructure-avd.
Kostenloses Whitepaper zur Drucksicherheit
Dieses E-Book (PDF) hilft dir, die Sicherheit in deiner Druckumgebung zu verbessern und zeigt die Vorteile von Zero Trust auf.