Het feit dat veel organisaties tot op zekere hoogte werken vanuit de Modern Workplace zorgt ervoor dat traditionele beveiligingsmethoden – gebaseerd op een netwerkperimeter – niet langer voldoen. In dat geval biedt het Zero Trust securitymodel een goed alternatief. In plaats van automatisch vertrouwen te geven aan gebruikers binnen het netwerk, beveilig je je organisatienetwerk door continue controle en validatie van identiteit, apparaatstatus, locatie en gedrag. Maar hoe pas je dit model eigenlijk toe binnen Azure Virtual Desktop?

Zero Trust kan je op basis van vier pijlers effectief implementeren in AVD. Namelijk Conditional Access, Multi-Factor Authenticatie (MFA), Netwerksegmentatie en Endpoint Hardening. Maar hoe pas je dit precies toe en wat levert het op?

Wat is Zero Trust?

Zero Trust is een modern beveiligingsmodel dat uitgaat van het principe dat je niks zomaar kunt vertrouwen en alles moet verifiëren. Dit gaat over gebruikers, apparaten, applicaties én netwerkverkeer. Allemaal in tegenstelling tot de traditionele netwerkbeveiliging, waarbij gebruikers en apparaten binnen het bedrijfsnetwerk automatisch als vertrouwd worden beschouwd. Met Zero Trust wordt alleen toegang verleend aan entiteiten na een strikte en continue verificatie, ongeacht waar de entiteit zich bevindt. Het doel ervan is om de kans op cyberincidenten te verminderen en gevoelige informatie op die manier beter te beschermen. Dit is extra belangrijk in een tijd van op afstand werken en werken in de Cloud.

Zero Trust is gebaseerd op drie kernprincipes:

1. Verificatie. Authenticeer en autoriseer op basis van alle beschikbare gegevens, zoals gebruikersidentiteit, locatie, apparaatstatus, service en dataclassificatie
2. Minimale toegang. Beperk toegangsrechten tot het absolute minimum dat nodig is voor een gebruiker of workload
3. Veronderstel een inbreuk. Houd altijd rekening met het feit dat een aanvaller al binnen kan zijn

En wat is Azure Virtual Desktop?

Zero Trust in AVD betekent dat toegang tot virtuele desktopomgevingen nooit vanzelfsprekend is – ook niet binnen het bedrijfsnetwerk. Maar nog een stapje terug: wat houdt Azure Virtual Desktop precies in?

Azure Virtual Desktop is een app- en desktop-virtualisatieservice die in Azure wordt uitgevoerd. Het is daarmee een Cloud-gebaseerde virtualisatiedienst die een oplossing biedt voor organisaties op zoek naar een makkelijke en bovenal veilige manier om werknemers op afstand te laten werken. Een groot voordeel van Azure Virtual Desktop is dat het een virtuele werkplek realiseert. Deze werkplek is niet alleen functioneel, maar ook veilig, betrouwbaar en flexibel. Dit is mogelijk door de sterke integratie met andere Microsoft-applicaties en diensten van Azure.

1. Conditional Access: digitale toegangsregels

Met Azure AD Conditional Access stel je dynamische toegangsvoorwaarden in voor gebruikers die verbinding maken met AVD. Dit stelt je in staat om beleid op te stellen voor:

• De identiteit van de gebruiker
• Het type apparaat dat wordt gebruikt
• De locatie van de aanmelding
• De risicobeoordeling van de sessie

Dit voorkomt dat onbeveiligde of onbekende apparaten toegang krijgen tot bedrijfsresources, zélfs als de gebruikersnaam en het wachtwoord correct zijn ingevoerd.

Tip: Gebruik de ‘report-only mode’ bij het testen van nieuwe CA-policies om impact te beoordelen zonder direct tegen blokkades aan te lopen.

2. Multi-Factor Authenticatie (MFA): extra beveiligingslaag

Multi-Factor Authenticatie is een belangrijk en concreet onderdeel van Zero Trust. Het zorgt ervoor dat gebruikers niet alleen via hun wachtwoord worden geverifieerd, maar ook via een tweede factor zoals een app, SMS, of token.

Met Azure AD MFA kun je:

• Flexibel bepalen wie MFA moet gebruiken en onder welke omstandigheden dit nodig is
• Integreren met bestaande authenticatiemethoden zoals Microsoft Authenticator
• Aanvullende signalen gebruiken, zoals een aanmeldlocatie of het tijdstip van de dag

Waarom gebruik je MFA binnen Azure Virtual Desktop?

Omdat een AVD-omgeving toegankelijk is via het internet en gebruikers zich vanaf verschillende locaties kunnen aanmelden, is MFA je eerste beveiliging tegen cyberaanvallen gebaseerd op inloggegevens.

3. Netwerksegmentatie: minimaliseer aanvalsoppervlak

Hoewel AVD werkt via het publieke internet (zonder VPN), is netwerksegmentatie nog steeds van toepassing. Je kunt namelijk de communicatie tussen resources in Azure beperken tot wat écht noodzakelijk is.

Belangrijke maatregelen daarvoor, zijn:

• Network Security Groups (NSG’s). Beperk inkomend verkeer naar AVD-hosts tot specifieke IP’s of poorten
• Private Endpoints. Gebruik privéverbindingen voor opslagaccounts of FSLogix-profielen zodat verkeer binnen het Azure Virtual Network blijft
• Azure Firewall of Azure Network Manager. Creëer regels die verkeer tussen subnetten, omgevingen of regio’s beperken

Als je netwerk goed is afgeschermd, wordt het voor een aanvaller veel lastiger om zich verder te verspreiden als ze eenmaal binnen zijn, bijvoorbeeld via een AVD-sessiehost.

4. Endpoint Hardening: beveilig devices

Zero Trust betekent ook dat je het apparaat van de eindgebruiker niet zomaar vertrouwt. Zeker bij Bring Your Own Device (BYOD) of externe medewerkers is dit een belangrijk aandachtspunt.

Wat kun je doen?

• Compliance policies via Intune. Zorg ervoor dat alleen apparaten die voldoen aan beveiligingsrichtlijnen (zoals encryptie, antivirus en up-to-date OS) toegang hebben tot AVD
• Microsoft Defender for Endpoint. Integreer AVD-sessiehosts met Defender om onder andere realtime dreigingsdetectie te realiseren. Lees hier meer over Microsoft Defender for Endpoint
• Beperking van RDP-functionaliteit. Blokkeer bijvoorbeeld het kopiëren van bestanden of het delen van het klembord via RDP als dat niet nodig is
• AppLocker of Application Control. Laat alleen goedgekeurde applicaties draaien binnen sessiehosts

Extra voordeel: veel van deze beveiligingsmaatregelen dragen ook bij aan compliance met wet- en regelgevingen als ISO 27001, NEN 7510 of GDPR.

Conclusie: de weg naar Zero Trust in AVD

Zero Trust binnen Azure Virtual Desktop hoeft geen alles-of-niets-aanpak te zijn. Begin met de quick wins zoals MFA en Conditional Access. Daarna kun je stap voor stap uitbreiden met segmentatie, logging, threat detection en endpoint management.

De toepassing van de vier Zero Trust principes in Azure Virtual Desktop samengevat

 

Zero Trust principe	Toepassing in AVD
Verificatie	MFA, Conditional Access
Minimale toegang	NSG’s, RBAC op host pools, AppLocker
Veronderstel een inbreuk	Defender for Endpoint, netwerkisolatie, auditing

 

Wil je een nulmeting doen van jouw AVD-omgeving op basis van Zero Trust principes? Of hulp bij het implementeren van Conditional Access policies of Endpoint Hardening? Neem dan gerust contact met ons op of plan zelf een vrijblijvende afspraak in met Dirk.