Hardened AI VDI mit DLP – was Claude sieht, was nie geht
Der Hardened AI VDI Pool ist die einzige Umgebung, von der aus Claude Code mit anonymisierten Produktionsdaten arbeiten darf. DLP, MDM, Egress-Allowlist, Session-Recording – wie die Schichten zusammen wirken und was sie wirklich blockieren.
Was der Hardened AI VDI Pool ist
In BAMVP gibt es zwei VDI-Pools im Azure Virtual Desktop: - Dev VDI Pool (für Standard-Entwicklung mit synthetischen Fixtures) - Hardened AI VDI Pool (für AI-gestützte Bug-Repro mit anonymisierten QAS-Daten)
Diese Einordnung beschreibt den zweiten Pool. Hier ist die einzige Stelle, an der Claude Code mit ehemals-PRD-jetzt-anonymisierten Daten arbeiten darf.
Die vier Schichten der Härtung
mermaid
flowchart TD
L1[Schicht 1<br/>MDM/Intune-Image<br/>kein Browser, kein USB]
L2[Schicht 2<br/>DLP-Endpoint<br/>blockt Copy/Paste raus]
L3[Schicht 3<br/>Egress-Allowlist<br/>nur api.anthropic.com + GitHub]
L4[Schicht 4<br/>Session-Recording<br/>Keyboard + Screen, 90 Tage]
L1 --> L2 --> L3 --> L4
L4 --> Out[Was rauskommt:<br/>Anthropic-Calls + Git-Pushes]
Schicht 1 – MDM/Intune-Image
Das Image ist ein AVD locked image mit Custom-Configuration:
- Kein Browser ausser für console.anthropic.com (über Application Gateway proxiert)
- Kein USB-Storage erkennbar
- Keine Custom-Software-Installation (User ist nicht lokaler Admin)
- Updates kommen via WSUS, kontrolliert
- Pre-installed: VS Code, Node, @anthropic-ai/cli, @sap/cds-dk, git, redact-bug-snippet.js
Was diese Schicht blockt: User installiert Tor-Browser → geht nicht. Steckt USB-Stick → wird nicht erkannt. Fügt private Browser-Tab hinzu → keine Möglichkeit.
Schicht 2 – DLP-Endpoint
Microsoft Defender for Endpoint mit DLP-Policies: - Copy nach Cloud-Storage ausser Anthropic-Console-Upload: blockiert - Print-to-PDF: blockiert - Drag-and-Drop ausserhalb der VDI: blockiert - Screen-Capture-Sharing (Teams, Zoom): blockiert ausser wenn aufgezeichnet
Was diese Schicht blockt: User kopiert anonymisierten Slice in Slack → DLP unterbricht und alarmiert. User macht Screenshot, klebt in privates Email → DLP markiert die Bilddatei und blockt.
Wichtig: DLP ist nicht perfekt. Free-Text in der Anthropic-Console kann theoretisch PRD-Reste enthalten. Aber: das passt zu Schicht 4 (Session-Recording).
Schicht 3 – Egress-Allowlist
Network-Policy auf VNet-Ebene:
- api.anthropic.com:443 (TLS 1.3, mit Egress-Inspection)
- console.anthropic.com:443 (für Token-Management)
- github.com:443 und *.githubusercontent.com:443 (Repo + Actions-Artefakte)
- BTP-spezifische Endpunkte (XSUAA-Endpoints für JIT-Operations)
Alles andere: blockiert. Egress zu anderen Cloud-Storages, Pastebins, etc. – geht nicht.
Was diese Schicht blockt: User will einen anonymisierten Slice in eine Pastebin-Alternative laden → Connection-Refused. User will via Browser irgendwo „nur kurz testen“ → ausserhalb der Allowlist, geht nicht.
Schicht 4 – Session-Recording
Jede VDI-Session wird aufgezeichnet:
- Keyboard-Strokes
- Screen-Capture (1 fps reicht für Audit)
- Speicherung in Azure mit immutable_blob_storage (Write-Once)
- Retention: 90 Tage Standard, 7 Jahre für Vorfälle
Was diese Schicht blockt: User macht etwas Unschönes, hofft auf Vergesslichkeit → Audit kann zurückspulen. Abschreckungseffekt ist der grössere Hebel als die forensische Aufarbeitung.
Compliance-Hinweis: Mitarbeiter müssen die Session-Recording-Policy unterschreiben (Datenschutz-Folgenabschätzung dokumentiert), und eine sichtbare Banner im VDI weist sie täglich darauf hin.
Was alle vier Schichten zusammen leisten
Sie schaffen ein Datenfluss-Architektur statt Policy-Hoffnung: - Ohne DLP wäre die Policy „bitte nichts kopieren“ reine Disziplin - Ohne Egress-Allowlist wäre die Policy „bitte nicht zu Pastebin gehen“ reine Disziplin - Ohne Session-Recording wäre die Policy „bitte nichts unschönes machen“ reine Disziplin
Vier Schichten + Mensch sind besser als ein Mensch + viele Policies.
Was sie nicht leisten
- Schutz vor User mit Boot-Stick im physischen Endgerät → MDM-Layer schützt nicht den Boot-Vorgang
- Schutz vor screenshot-vom-Privat-Handy → Session-Recording erkennt es nicht in Echtzeit, Audit-Spur ist nachträglich
- Schutz vor User der bewusst PRD-Daten ins Anonymisierungs-Skript einbaut → Code-Review ist die Verteidigung, nicht VDI
Operations-Aufwand
- Image-Update alle 4 Wochen (typisch)
- Allowlist-Pflege bei neuen Tool-Anforderungen (~ 1×/Quartal)
- DLP-Regel-Review bei neuen Use-Cases (~ 2×/Jahr)
- Session-Recording-Storage-Cost: ~3-5 GB pro User pro Jahr (~10 CHF)
Total Operations-Aufwand: ~10-15 % FTE pro 50 Hardened-VDI-User.
Wer das einrichten will
Ein Architektur-Review (30 Min) prüft Ihren VDI-Setup gegen die vier Schichten und identifiziert Lücken. Konkret: was fehlt, was kostet die Schliessung, in welcher Reihenfolge.
Stand: 2026-05-10
