Azure虚拟桌面的安全基线

AVD安全基线

AVD的安全基线是基于Azure Security Benchmark 2.0的。

网络安全

NS-1：内部网络安全
现有的网络规划必须和企业的划分原则相一致。任何对公司来说是核心高危的系统，都应该单独隔离起来，然后用NSG或者firewall来保护。
使用ASC中的动态网络加固功能来 配置NSG，从而限制端口和源IP。
基于应用程序和企业划分原则，用NSG来限制或允许内部资源之间的流量。对于well-defined application，可以使用deny by default，permit by exception的方法。如果应用程序之间有太多的互联，采用默认的准入拒绝规则就可能不会普遍适用。也可以使用Azure firewall来集中管理。
对于AVD来说，VM附属的ASG，必须允许出站访问一些终结点。

NS-2：将私有网络相互连接
使用Azure ER或者Azure 虚拟私有网络来创建Azure数据中心和本地基建的连接。ER连接不会通过公网，更加可靠安全高速低延迟。
对于point-to-site 和 site-to-site VPN，你就可以连接到本地的设备或者本地的虚拟网络。
使用peering将两个虚拟网络连接起来。对于peering的虚拟网络之间的流量也是保持私有的，只会走Azure骨干网络。

NS-4：保护应用程序和服务免受外部网络攻击
使用Azure Firewall来保护应用程序和服务免受恶意流量攻击。将AVD资源保护起来，采用DDoS防护，应用程序防护，禁止恶意网络流量。建议启用DDoS标准防护。
NS-6：简化网络安全规则
使用虚拟网络标签来定义网络访问控制，NSG或者firewall。使用服务标签，而不是特定的IP地址网段来创建安全规则。

身份标识管理

IM-1：标准的AAD作为集中的身份验证系统。
AVD默认采用AAD作为身份标识提供商。
AAD提供身份标识安全分数来帮助你评价身份标识的安全态势。建议经常查看安全分数来保证AAD遵从最佳实践。
AAD支持外部身份标识，也就是允许非微软的庄户来鼎炉应用程序和资源。

IM-2： 安全自动地管理应用程序标识
对于非用户的账户，AVD支持Azure 托管标识，比如服务账户或自动化账户。我们建议使用Azure托管标识功能来通信，而不是使用人工创建的账户。
AVD建议使用AAD来创建服务主体来限制服务主题对证书凭据的访问。

IM-3：使用AAD SSO
AVD可以使用AAD来提高Azure资源、云应用程序、本地应用程序的访问。

特权访问

PA-3：定期审查用户访问
AVD使用AAD账户来管理资源，审查用户账户、访问权限分配，以确保访问权限是合理的。
可以使用AAD access review来审查组的成员，访问企业应用程序，角色分配等等。AAD reporting也可以提供日志，来方便找出长期不使用的账户。
此外，Azure PIM可以用来配置报警，当大量的管理员权限账户被创建的话，可以用来找出长期不使用的、错误配置的管理员账户。

PA-6：使用特权访问工作站
安全隔离的工作站对于特殊安全的角色至关重要，比如管理员、开发人员、关键服务操作员。使用安全的用户工作站或者Azure 堡垒机来执行管理员工作。
使用AAD Microsoft Defender ATP或者Microosft Intune来部署安全托管的用户工作站，来执行管理权限的任务。

PA-7：最小权限原则
AVD需配置RBAC来管理AVD的资源。JIM PIM，access review

数据保护

DP-1: 对敏感数据进行分类、打标签
可以使用PIM来管理敏感信息，Office document on Azure on-premises，其他地点。
可以使用Azure SQL 数据保护来进行SQL数据库里面数据的分类和打标签。
DP-2：保护敏感数据
使用RBAC来限制访问，基于网络的访问控制，基于服务的访问控制，比如SQL的数据都要加密。
DP-3：监控敏感数据非授权传输
监控数据的非授权传输到公司外。监控这些异常活动，避免数据泄露。
DP-4：数据传输加密
为了控制访问权限，数据传输需要防止out of band攻击，可以使用加密来防止攻击。
AVD支持数据加密，TLS v1.2。如果是私有网络的话，就是不要需要进行加密，一般是对外部流量和公网网络进行加密。对于HTTP流量，确保所有连接Azure资源都用TLS 1.2来进行协商。对于所有的远程管理，都要用SHH RDP over TLS来进行管理。

资产管理

AM-1：确保安全团队能够对资产进行管理
确保安全团队能够有安全读者的权限。
AM-2：确保安全团队可以访问inventory和metadata
将Azure资源、组、订阅打标签。比如给生成、开发环境进行打标签。
AM-3：使用批准的Azure服务
使用Azure Policy来审计限制服务的使用。
AM-5：仅允许批准的应用程序允许再VM上
使用Azure虚拟机Inventory来自动收集所有运行再虚拟机上的软件，包括软件名称、版本、发行商、更新实践。

日志和威胁检测

LT-1：启用威胁检测
使用ASC，ASC是内置的安全监测。Azure Defender对AVD来说可以提供多一层安全智能防护，检测异常的、潜在危险的访问尝试。
也可以将AVD的日志转发到SIEM。确保Azure的资源会进行威胁防护监控。

LT-2：启用Azure IAM威胁防护
AAD提供用户日志，可以再AAD reporting里面看，也可以再Azure Monitor和Sentinel SIEM里面看。
登录日志
AAD审计日志，添加人员操作，移除人员操作
危险登录
危险用户

LT-3：网络活动日志
AVD不需要DNS查询日志，但是这些资源可以产生流日至，可以收集NSG的日志，Azure Firewall 日志和WAF日志。

LT-4：启用Azure资源日志
活动日志，自动启用的，包括AVD资源的增删改。

LT-5：集中日志管理
集中进行日志存储。

安全态势管理和漏洞管理

PV-3：建立安全的计算资源配置
采用ASC和Policy来建立安全的配置，比如VM 容器得安全配置。
可以使用自定义得操作系统镜像，或者Azure自动化状态配置来确保操作系统配置正确。

PV-4：维持安全的资源配置
使用Azure安全中心和Policy来进行定义评估和修复。
ASC也可以进行容器镜像漏洞扫描，持续进行docker配置监控。

PV-5：安全自定义的系统和容器镜像
AVD允许客户管理自己的操作系统镜像。使用RBAC来确保只有授权先的账户才可以访问镜像。使用shared image gallary来把镜像share给其他用户或者服务主体。

PV-6：进行软件漏洞评估
AVD允许你自己部署粗你寄，将他们注册到类似于SQL的数据库服务。
AVD可以使用第三方漏洞评估，再进行评估扫描的时候，请使用JIT的方式提供特权账户。

PV-7：快速自动地修复软件漏洞
AVD不使用第三方软件，但是，AVD允许你部署自己的虚拟机，并将其注册到服务里面。
Azure 自动更新管理或者第三方解决方案，可以用来确保最新的安全更新被安装上。
使用第三方补丁解决方案，或者System Center
PV-8：定期进行攻防演练
AVD不允许客户进行渗透测试。

终结点安全

ES-1： 使用终结点检测和响应（EDR）
AVD不提供专门的终结点检测和响应流程，可以启用EDR。

ES-2：使用集中的现代杀毒软件
使用集中管理的杀毒软件。
ASC可以自动识别一些常用的杀毒软件。

ES-3：确保杀毒软件和签名及时进行更新

备份和回复

BR-1：确保定期进行备份
对VM SQL HANA数据库，file share进行备份。

BR-2：加密备份数据
Azure常规的备份时自动加密的。

BR-3确保使用客户自己托管的密钥