Azure Security Center による Windows Virtual Desktop 環境の保護

2020年7月16日 に投稿済み

Senior Program Manager

従業員のリモート ワークが大規模に導入されるなか、IT 管理者とセキュリティ専門家は、進化する脅威と闘いながら、すべての従業員をつなげて生産性を維持するように強いプレッシャーをかけられています。

Azure で実行される、デスクトップとアプリケーションの包括的な仮想化サービスである Windows Virtual Desktop は、仮想デスクトップ インフラストラクチャ (VDI) の管理を簡素化します。

組織は、こうした変革を体験しながら従業員の生産性を維持することができます。IT 管理者とセキュリティ専門家は、セキュリティのベスト プラクティスに従って、要求される Windows Virtual Desktop の確実なデプロイを実行し、不要なリスクがビジネスに及ぶのを防ぎます。このブログでは、Azure Security Center が Windows Virtual Desktop 環境構成の検疫およびコンプライアンスの維持と脅威防止に役立つ仕組みについて考察します。

Windows Virtual Desktop ホスト プールのアーキテクチャ概要

Windows Virtual Desktop 環境を構築するときは、1 つ以上の同じ仮想マシン (VM) のコレクションであるホスト プールを最初に作成する必要があります。リモート ワークのユース ケースに対応するために、通常、これらの VM は Windows 10 マルチセッション OS で実行されます。このアーキテクチャの概要を以下に示します。
お客様の Windows Virtual Desktop ホスト プールの VNET グラフ 
ホスト プールの詳細を確認して、リソース グループ名をクリックすると、ホスト プールで実行されている VM がわかります。

 Windows Virtual Desktop ホスト プール ブレード

これにより、リソース グループの詳細が表示されます。Virtual Machine でフィルターすると、VM の一覧が表示されます。

リソース グループの Windows Virtual Desktop のVM 一覧

Azure Security Center による Windows Virtual Desktop デプロイの保護

共同責任モデルで考えると、Windows Virtual Desktop デプロイに対してお客様が責任を負うセキュリティ ニーズとして以下のものが挙げられます。

  • ネットワーク
  • デプロイの構成
  • セッション ホスト OS
  • アプリケーションのセキュリティ
  • ID

これらのニーズは、セキュリティ体制と脅威防止の両面から検討する必要があります。以下に例を挙げます。

  • VM ネットワーク層の構成が不適切な場合は、攻撃対象領域が拡大し、エンドポイントの侵害を招くおそれがあります。そのため、Windows Virtual Desktop 仮想マシンですべての管理ポートが閉じられていることを確認するようにしてください。
  • Windows Virtual Desktop のセッションに接続したユーザーは、悪意のある Web サイトの閲覧や悪意のあるマシンへの接続を行うように操作されるかもしれません。これは、マシンがマルウェアに感染している場合にも起こり得ます。ネットワーク トラフィックを分析して、コマンド アンド コントロール センターの可能性がある対象とマシンが通信していることを突き止めれば、もう 1 つの保護層となります。

Azure Security Center は、Windows Virtual Desktop VM に対して、以下に示すセキュリティ体制の管理機能と脅威防止機能を備えています。

  • セキュリティ構成の評価とセキュリティ スコア
  • 業界標準の脆弱性評価
  • ホスト レベル検出
  • エージェントレス クラウド ネットワークのマイクロセグメンテーションおよび検出
  • ファイルの整合性の監視
  • ジャスト イン タイムの VM アクセス
  • 適応型アプリケーション制御

次の表は、Azure Security Center の保護機能と Windows Virtual Desktop のセキュリティ ニーズにおける対応関係を示しています。

Azure Security Center の保護機能と Windows Virtual Desktop のセキュリティ ニーズの対応関係

次の Azure Security Center リファレンス ガイドにより、推奨事項とアラートの詳細な一覧を参照できます。

Azure Security Center のポータルに切り替えると、[仮想マシンおよびサーバー] タブの [計算とアプリ] に Windows Virtual Desktop ホスト プールの VM がそれぞれのセキュリティ スコアと状態とともに表示されています。

 Azure Security Center のポータルでは、[仮想マシンおよびサーバー] タブの [計算とアプリ] に Windows Virtual Desktop ホスト プールの VM がそれぞれのセキュリティ スコアと状態とともに表示されています。

特定の VM にドリル ダウンすると、推奨事項の全一覧と重大度レベルが表示されます。

特定の VM における推奨事項の全一覧と重大度レベルの表示 

これらの VM ではさまざまな規制要件 (組み込みまたはカスタム) への準拠も評価され、コンプライアンスの問題がある場合は、規制コンプライアンス ダッシュボードでフラグが設定されます。

さらに、[セキュリティ アラート][Threat Protection] にセキュリティ アラートが表示されます。

[セキュリティ アラート] の [Threat Protection] ブレードに表示された VM のセキュリティの所見

セキュリティ アラートと推奨事項はどちらも Security Center ポータルから利用、管理できます。または、他のツールにエクスポートし、分析や修正をさらに加えることもできます。その好例となるのが、Windows Virtual Desktop 環境の監視の一環として Azure Security Center と Azure Sentinel を統合する (英語) です。

Windows Virtual Desktop 環境に対する Azure Security Center の有効化

Azure Security Center の Free レベルは、Windows Virtual Desktop デプロイに対するセキュリティの推奨事項とセキュリティ スコアを提供します。

すべての保護機能を有効にするには、次の 2 つの手順を実行します。

  1. Azure Security Center の Standard レベルを保有していることを確認します (下の図を参照)。
  2. 仮想マシンに対する脅威防止を有効にします。

Azure Security Center で仮想マシンに対する脅威防止を有効化

最後にヒントを 1 つ紹介します。Windows Virtual Desktop ソリューションを継続的に構築、展開するソリューションとして、Azure DevOps CI/CD パイプラインと Windows 10 Azure VM イメージを併用している場合は、シークレット管理に Azure Key Vault を使用する可能性が高くなります。まだ有効化していない場合は、次のステップとして、Azure Key Vault の脅威防止 (英語) を設定します。

Windows Virtual Desktop 環境をどのように保護していますか。ほかにもアイデアはたくさんあるはずです。GitHub リポジトリ (英語) へのアイデアのコミュニティ投稿をお待ちしています。