Cloud Perspectives blog

Ofir Monza posts

Senior Program Manager

Best practices
Jul 16, 2020
3 min read

Azure Security Center による Windows Virtual Desktop 環境の保護

By Ofir Monza, Senior Program Manager

従業員のリモートワークが大規模に導入されるなか、IT 管理者とセキュリティ専門家は、進化する脅威と闘いながら、すべての従業員をつなげて生産性を維持するように強いプレッシャーをかけられています。 Azure で実行される、デスクトップとアプリケーションの包括的な仮想化サービスである Windows Virtual Desktop は、仮想デスクトップインフラストラクチャ (VDI) の管理を簡素化します。組織は、こうした変革を体験しながら従業員の生産性を維持することができます。IT 管理者とセキュリティ専門家は、セキュリティのベストプラクティスに従って、要求される Windows Virtual Desktop の確実なデプロイを実行し、不要なリスクがビジネスに及ぶのを防ぎます。このブログでは、Azure Security Center が Windows Virtual Desktop 環境構成の検疫およびコンプライアンスの維持と脅威防止に役立つ仕組みについて考察します。 Windows Virtual Desktop ホストプールのアーキテクチャ概要 Windows Virtual Desktop 環境を構築するときは、1 つ以上の同じ仮想マシン (VM) のコレクションであるホストプールを最初に作成する必要があります。リモートワークのユースケースに対応するために、通常、これらの VM は Windows 10

従業員のリモートワークが大規模に導入されるなか、IT 管理者とセキュリティ専門家は、進化する脅威と闘いながら、すべての従業員をつなげて生産性を維持するように強いプレッシャーをかけられています。

Azure で実行される、デスクトップとアプリケーションの包括的な仮想化サービスである Windows Virtual Desktop は、仮想デスクトップインフラストラクチャ (VDI) の管理を簡素化します。

組織は、こうした変革を体験しながら従業員の生産性を維持することができます。IT 管理者とセキュリティ専門家は、セキュリティのベストプラクティスに従って、要求される Windows Virtual Desktop の確実なデプロイを実行し、不要なリスクがビジネスに及ぶのを防ぎます。このブログでは、Azure Security Center が Windows Virtual Desktop 環境構成の検疫およびコンプライアンスの維持と脅威防止に役立つ仕組みについて考察します。

Windows Virtual Desktop ホストプールのアーキテクチャ概要

Windows Virtual Desktop 環境を構築するときは、1 つ以上の同じ仮想マシン (VM) のコレクションであるホストプールを最初に作成する必要があります。リモートワークのユースケースに対応するために、通常、これらの VM は Windows 10 マルチセッション OS で実行されます。このアーキテクチャの概要を以下に示します。

ホストプールの詳細を確認して、リソースグループ名をクリックすると、ホストプールで実行されている VM がわかります。

これにより、リソースグループの詳細が表示されます。Virtual Machine でフィルターすると、VM の一覧が表示されます。

Azure Security Center による Windows Virtual Desktop デプロイの保護

共同責任モデルで考えると、Windows Virtual Desktop デプロイに対してお客様が責任を負うセキュリティニーズとして以下のものが挙げられます。

ネットワーク
デプロイの構成
セッションホスト OS
アプリケーションのセキュリティ
ID

これらのニーズは、セキュリティ体制と脅威防止の両面から検討する必要があります。以下に例を挙げます。

VM ネットワーク層の構成が不適切な場合は、攻撃対象領域が拡大し、エンドポイントの侵害を招くおそれがあります。そのため、Windows Virtual Desktop 仮想マシンですべての管理ポートが閉じられていることを確認するようにしてください。
Windows Virtual Desktop のセッションに接続したユーザーは、悪意のある Web サイトの閲覧や悪意のあるマシンへの接続を行うように操作されるかもしれません。これは、マシンがマルウェアに感染している場合にも起こり得ます。ネットワークトラフィックを分析して、コマンドアンドコントロールセンターの可能性がある対象とマシンが通信していることを突き止めれば、もう 1 つの保護層となります。

Azure Security Center は、Windows Virtual Desktop VM に対して、以下に示すセキュリティ体制の管理機能と脅威防止機能を備えています。

セキュリティ構成の評価とセキュリティスコア
業界標準の脆弱性評価
ホストレベル検出
エージェントレスクラウドネットワークのマイクロセグメンテーションおよび検出
ファイルの整合性の監視
ジャストインタイムの VM アクセス
適応型アプリケーション制御

次の表は、Azure Security Center の保護機能と Windows Virtual Desktop のセキュリティニーズにおける対応関係を示しています。

次の Azure Security Center リファレンスガイドにより、推奨事項とアラートの詳細な一覧を参照できます。

Azure Security Center のポータルに切り替えると、[仮想マシンおよびサーバー] タブの [計算とアプリ] に Windows Virtual Desktop ホストプールの VM がそれぞれのセキュリティスコアと状態とともに表示されています。

特定の VM にドリルダウンすると、推奨事項の全一覧と重大度レベルが表示されます。

これらの VM ではさまざまな規制要件 (組み込みまたはカスタム) への準拠も評価され、コンプライアンスの問題がある場合は、規制コンプライアンスダッシュボードでフラグが設定されます。

さらに、[セキュリティアラート] の [Threat Protection] にセキュリティアラートが表示されます。

セキュリティアラートと推奨事項はどちらも Security Center ポータルから利用、管理できます。または、他のツールにエクスポートし、分析や修正をさらに加えることもできます。その好例となるのが、Windows Virtual Desktop 環境の監視の一環として Azure Security Center と Azure Sentinel を統合する (英語) です。

Windows Virtual Desktop 環境に対する Azure Security Center の有効化

Azure Security Center の Free レベルは、Windows Virtual Desktop デプロイに対するセキュリティの推奨事項とセキュリティスコアを提供します。

すべての保護機能を有効にするには、次の 2 つの手順を実行します。

Azure Security Center の Standard レベルを保有していることを確認します (下の図を参照)。
仮想マシンに対する脅威防止を有効にします。

最後にヒントを 1 つ紹介します。Windows Virtual Desktop ソリューションを継続的に構築、展開するソリューションとして、Azure DevOps CI/CD パイプラインと Windows 10 Azure VM イメージを併用している場合は、シークレット管理に Azure Key Vault を使用する可能性が高くなります。まだ有効化していない場合は、次のステップとして、Azure Key Vault の脅威防止 (英語) を設定します。

Windows Virtual Desktop 環境をどのように保護していますか。ほかにもアイデアはたくさんあるはずです。GitHub リポジトリ (英語) へのアイデアのコミュニティ投稿をお待ちしています。