Du suchst nach Wegen, deine Azure Virtual Desktop (AVD)-Umgebung sicherer zu machen? Dann ist das Zero-Trust-Modell genau das Richtige für dich. Angesichts steigender Cyber-Bedrohungen ist es entscheidend, sensible Informationen in deiner AVD-Umgebung durch konsequenten Zero Trust zu schützen und so die Sicherheit und Compliance zu gewährleisten.
Zero Trust ist ein Sicherheitskonzept, bei dem jeder Nutzer, jedes Gerät und jeder Dienst seine Vertrauenswürdigkeit immer wieder beweisen muss. Es überprüft und validiert regelmäßig Identitäten, Geräte und Datenzugriffe, um Risiken zu minimieren. Mit Zero-Trust-Prinzipien auf AVD verhinderst du unbefugten Zugriff auf deine Daten und Ressourcen.
Diese Anleitung zeigt dir, wie du eine Zero-Trust-Umgebung für Azure Virtual Desktop einrichtest. Wir stützen uns auf die empfohlenen Informationen der Microsoft Knowledge Base. Durch die folgenden Schritte kannst du sicherstellen, dass nur authentifizierte und autorisierte Nutzer und Geräte auf Ressourcen in deiner Azure-Virtual-Desktop-Umgebung zugreifen können. So stärkst du die Gesamtsicherheit deines Unternehmens.
AVD unterstützt verschiedene Identitäten wie Azure Active Directory (Azure AD), Active Directory Domain Services (AD DS) und hybride Identitäten. Wende Zero-Trust-Prinzipien auf diese Identitäten an, um den Zugriff auf autorisierte Nutzer zu beschränken. Erstelle am besten ein dediziertes Benutzerkonto mit den geringsten Rechten, um Sitzungshosts mit Azure AD oder AD DS zu verbinden.
Endpunkte wie Geräte und virtuelle Maschinen sind die Zugangspunkte für Nutzer zur AVD-Umgebung. Wende Zero-Trust-Prinzipien auf diese Endpunkte an, indem du Microsoft Defender for Endpoint und Microsoft Endpoint Manager nutzt. Damit setzt du Sicherheitsrichtlinien um und erfüllst Compliance-Anforderungen.
AVD speichert Daten im Ruhezustand, bei der Übertragung und bei der Verwendung. Für die eingesetzten Speicherressourcen in der AVD-Bereitstellung ist es wichtig, Zero-Trust-Prinzipien anzuwenden. So sicherst du Daten, überprüfst Nutzer und kontrollierst den Zugriff mit den geringsten Rechten. Private Endpunkte für Speicherkonten und die logische Trennung kritischer Daten durch Netzwerkkontrollen können die Sicherheit zusätzlich verbessern.
Eine Hub-and-Spoke-Architektur in AVD bietet zentrale Konnektivität für virtuelle Netzwerke mit mehreren Spokes. Durch die Implementierung von Zero-Trust-Prinzipien für diese VNets kannst du ausgehenden Datenverkehr von Sitzungshosts filtern und verschiedene Host-Pools in separaten VNets mittels NSG isolieren.
Sitzungshosts sind virtuelle Maschinen, die in einem Spoke-VNet ausgeführt werden. Wende Zero-Trust-Prinzipien auf diese virtuellen Maschinen an, indem du getrennte Organisationseinheiten (OUs) erstellst, wenn du sie über Gruppenrichtlinien in AD DS verwaltest. Nutze außerdem Microsoft Defender for Endpoint für VDI-Geräte.
AVD bietet integrierte fortschrittliche Sicherheitsfunktionen. Du kannst den Sicherheitsschutz aber verbessern, indem du bewährte AVD-Sicherheitspraktiken und die Azure-Sicherheitsgrundlagen implementierst. Beachte die wichtigsten Designüberlegungen und Empfehlungen für Sicherheit, Governance und Compliance in Azure Virtual Desktop Landing Zones.
Verwaltung und kontinuierliche Überwachung sind entscheidend, um bösartiges Verhalten in deiner AVD-Umgebung zu verhindern. Azure Virtual Desktop Insights hilft dir, Daten zu protokollieren und Diagnose- sowie Nutzungsdaten zu melden. Microsoft Intune und RDP Properties unterstützen dich bei der Verwaltung und Festlegung granularer Richtlinien für AVD.
Zusätzlich zu den genannten Schritten solltest du die AVD-Sicherheit verbessern, indem du Zero-Trust-Prinzipien auf deine Druckinfrastruktur anwendest.
Wie bei allen anderen Endpunkten muss der Zugriff auf Drucker autorisiert und kontrolliert werden. Eine dedizierte Drucklösung wie ezeep kann hier helfen. Mit einer kleinen Hardware-Appliance, dem ezeep Hub, stellt ezeep eine sichere Verbindung zwischen der Cloud und den Druckern über den Azure IOT Service her. Eine permanente Autorisierung und Authentifizierung ist vorhanden, um den sicheren Zugriff auf die Drucker zu verwalten.
ezeep erhöht die Sicherheit weiter, indem es die Druckdaten verschlüsselt. Der Hub selbst verbindet sich nur über eine ausgehende Verbindung über 443/HTTPS und mit TLS 1.2 oder höher mit der ezeep Cloud. Die Cloud-Drucklösung ist vollständig in Azure AD integriert und lässt sich bequem über ein Webportal verwalten. Da keine Druckertreiber auf den virtuellen Desktops oder Endgeräten benötigt werden, kann ezeep den Administrationsaufwand für das AVD-Drucken deutlich reduzieren. Nach dem Anlegen eines ezeep-Kontos im Azure Marketplace musst du lediglich einen zusätzlichen Agent auf der Maschine installieren. Darüber hinaus kannst du Kartenleser an den Hub anschließen, um eine weitere Authentifizierung am Drucker zu ermöglichen.
Weitere Details findest du hier:
https://learn.microsoft.com/en-us/security/zero-trust/azure-infrastructure-avd.
Dieses E-Book (PDF) hilft dir, die Sicherheit in deiner Druckumgebung zu verbessern und zeigt die Vorteile von Zero Trust auf.