Azure Virtual Desktop come soluzione di accesso remoto Zero Trust
Azure Virtual Desktop come soluzione di accesso remoto Zero Trust

Azure Virtual Desktop come soluzione di accesso remoto Zero Trust

Autore: Gian Mattia Lolli

Come rendere sicuro l'accesso remoto alla tua azienda con AVD in un modello Zero Trust: una soluzione che garantisce agli utenti – sia interni che esterni - un accesso sicuro, veloce e a costi contenuti all’infrastruttura, indipendentemente dalla rete e dalla macchina d’origine, mantenendo i paradigmi di sicurezza inalterati.

im

Sfide dell'Accesso Remoto Tradizionale

Per permettere l’accesso remoto al personale interno e ai consulenti esterni, molte aziende utilizzano ancora VPN tradizionali o RDS Gateway su sistemi Windows Server. Questi metodi, sebbene diffusi e funzionali, presentano diversi punti critici e difficoltà di gestione, come: l’acquisto e il rinnovo di certificati pubblici (attenzione alle recenti riduzioni della durata dei certificati TLS), l’effort di gestione dell’infrastruttura in alta disponibilità, l'aggiornamento dei sistemi e i costi di licensing collegati.

La Soluzione: Azure Virtual Desktop e Zero Trust model

L’ Evoluzione che presentiamo si basa sulla tecnologia Azure Virtual Desktop (AVD) in un modello architetturale moderno e sicuro.

Azure Virtual Desktop (AVD) è il servizio di virtualizzazione del desktop e app di Microsoft su Azure. Consente alle aziende di presentare desktop e app virtuali sicuri e scalabili ovunque e da qualunque dispositivo, supportando hosts Windows Server, Windows 10 e Windows 11, in ambienti sia a mono che multisessione. AVD supporta un’ampia gamma di casi d’uso, adattandosi perfettamente ad essere configurato per erogare sia singole macchine dedicate ad ambienti personali specifici, che pool da migliaia di utenti su decine di hosts condivisi.

Architettura Azure sicura: quando configurato come ambiente di accesso dall’esterno, le macchine Windows 11 Multi-Session sono ospitate su una o più vNET Azure dedicate, in un modello Hub&Spoke, all’interno della subscription Azure del cliente. Le macchine sono protette da Network Security Groups (NSG) e firewall (Azure Firewall, Fortigate o equivalenti) che controllano il traffico verso le destinazioni interne previste. L’accesso alla rete interna è garantito attraverso VPN Site-to-Site o circuiti ExpressRoute e vNET peering.

Accesso sicuro e controllato: l'accesso al desktop da parte degli utenti avviene tramite la Windows App disponibile su tutti gli store o tramite browser, passando attraverso Conditional Access. Gli utenti accedono all’ambiente con i propri account cloud only, senza diritti amministrativi, e con autenticazione multi-fattore (MFA) ad ogni logon. I session hosts sono supportati sia in Entra (scenario preferibile) che in Hybrid Join.

Tiering e accesso Interno: è possibile creare Hostpool dedicati per diversi ambienti interni (Es: T0, T1, OT), garantendo una separazione fisica in modo da rispettare eventuali specifiche di tiering già presenti in azienda. Gli utenti, una volta autenticati sul desktop del corretto pool, possono accedere alle macchine interne utilizzando credenziali amministrative (tipicamente non sincronizzate), con accesso diretto in RDP filtrato da regole firewall o ulteriormente protetto da un PAM come Cyberark, Safeguard o altre soluzioni.

Gestione e sicurezza: i session host sono gestiti e messi in sicurezza tramite Intune e Defender for Endpoint, ma possono integrarsi facilmente con qualsiasi processo o soluzione di endpoint management già presente in azienda. Come da specifiche Zero Trust, di default sono disabilitate tutte le redirezioni, come file, clipboard, stampanti e dispositivi.

Riduzione dei costi e Monitoring: i session host vengono accesi e deallocati automaticamente in base al carico utente, azzerando i costi computazionali Azure quando non in uso (particolarmente indicato a fronte di piani pay-as-you-go). Le ottimizzazioni applicabili al sistema operativo Windows 11 in ambienti VDI riducono notevolmente il footprint di risorse richiesto da ogni sessione utente, permettendo di ospitare decine di sessioni contemporaneamente sul medesimo session host, aumentando la densità per tipologia di macchina e riducendo ulteriormente i costi operativi. 

Vantaggi della Soluzione

In conclusione, Azure Virtual Desktop offre una soluzione di accesso remoto sicuro, cloud native, efficiente e a costi contenuti, garantendo una gestione semplificata e numerosi vantaggi rispetto ai metodi tradizionali di accesso remoto:

  • Sicurezza migliorata: l'approccio Zero Trust e l'uso di MFA ad ogni logon migliorano significativamente la sicurezza dell'accesso remoto. La separazione fisica tra gli ambienti è compatibile con i paradigmi di Tiering.
  • Gestione semplificata: la gestione centralizzata tramite Intune e Defender for Endpoint semplifica la sicurezza e la gestione dei session hosts. La gestione della piattaforma di HA, Brokering, Gateway, ripubblicazione e il rinnovo dei certificati è completamente gestito da Microsoft.
  • Riduzione dei costi: elimina i costi di licensing e gestione relativi agli ambienti RDS o VPN. I costi della soluzione si riducono alla licenza minima Windows Enterprise per utente e ai costi computazionali Azure, ottimizzabili tramite auto-scaling e utilizzo di session host Multi-session che consentono la riduzione del footprint di risorse.
  • Performance: le performance offerte dal posizionamento delle macchine sulla region in Italy North è considerato “Like Local” con 2-6 msec di latenza tipica in tutto il nord italia.

Vuoi saperne di più? Scopri subito come vincere la sfida al cambiamento  

Gian Mattia Lolli

Gian Mattia Lolli

Website

User Endpoint Solution Architect per Impresoft 4ward, Gian Mattia Lolli combina una profonda competenza nelle soluzioni di gestione degli endpoint con una solida esperienza in ambito VDI, infrastrutturale e cloud. Con un percorso professionale ventennale che affonda le radici nella progettazione e gestione di ambienti sicuri e scalabili, Mattia guida l’adozione di tecnologie moderne come Desktop as a Service e soluzioni cloud-based, con un focus particolare su sicurezza, cost reduction, compliance ed esperienza utente.