Použití služby Azure Firewall k ochraně nasazení služby Azure Virtual Desktop

  • Článek

Azure Virtual Desktop je služba VDI (Cloud Virtual Desktop Infrastructure), která běží v Azure. Když se koncový uživatel připojí k Azure Virtual Desktopu, jeho relace pochází z hostitele relace ve fondu hostitelů. Fond hostitelů je kolekce virtuálních počítačů Azure, které se registrují k Azure Virtual Desktopu jako hostitelé relací. Tyto virtuální počítače běží ve vaší virtuální síti a podléhají kontrolním mechanismům zabezpečení virtuální sítě. Potřebují odchozí internetový přístup ke službě Azure Virtual Desktop, aby fungovaly správně, a můžou také potřebovat odchozí přístup k internetu pro koncové uživatele. Azure Firewall vám může pomoct uzamknout prostředí a filtrovat odchozí provoz.

Diagram znázorňující architekturu služby Azure Firewall se službou Azure Virtual Desktop

Postupujte podle pokynů v tomto článku, abyste zajistili dodatečnou ochranu fondu hostitelů služby Azure Virtual Desktop pomocí služby Azure Firewall.

Požadavky

Další informace o terminologii služby Azure Virtual Desktop najdete v terminologii služby Azure Virtual Desktop.

Odchozí přístup fondu hostitelů ke službě Azure Virtual Desktop

Virtuální počítače Azure, které vytvoříte pro Azure Virtual Desktop, musí mít přístup k několika plně kvalifikovaným názvům domén , aby správně fungovaly. Azure Firewall používá k zjednodušení této konfigurace značku WindowsVirtualDesktop plně kvalifikovaného názvu domény služby Azure Virtual Desktop. Budete muset vytvořit zásady služby Azure Firewall a vytvořit kolekce pravidel pro pravidla sítě a aplikace. Udělte kolekci pravidel prioritu a akci povolit nebo odepřít .

Musíte vytvořit pravidla pro každý z požadovaných plně kvalifikovaných názvů domén a koncových bodů. Seznam je k dispozici v požadovaných plně kvalifikovaných náscích domény a koncových bodech pro Azure Virtual Desktop. Pokud chcete identifikovat konkrétní fond hostitelů jako zdroj, můžete vytvořit skupinu IP adres s každým hostitelem relace, který ho bude reprezentovat.

Důležité

Doporučujeme nepoužívat kontrolu protokolu TLS ve službě Azure Virtual Desktop. Další informace najdete v pokynech k proxy serveru.

Ukázka zásad služby Azure Firewall

Všechna povinná a volitelná pravidla uvedená výše je možné snadno nasadit do jedné zásady služby Azure Firewall pomocí šablony publikované na adrese https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Před nasazením do produkčního prostředí doporučujeme zkontrolovat všechna definovaná pravidla sítě a aplikací a zajistit soulad s oficiální dokumentací a požadavky na zabezpečení služby Azure Virtual Desktop.

Odchozí přístup fondu hostitelů k internetu

V závislosti na potřebách vaší organizace můžete chtít koncovým uživatelům povolit zabezpečený odchozí internetový přístup. Pokud je seznam povolených cílů dobře definovaný (například pro přístup k Microsoftu 365), můžete ke konfiguraci požadovaného přístupu použít aplikaci Azure Firewall a pravidla sítě. Tím se směruje provoz koncových uživatelů přímo na internet, aby byl nejlepší výkon. Pokud potřebujete povolit síťové připojení pro Windows 365 nebo Intune, přečtěte si požadavky na síť pro Windows 365 a koncové body sítě pro Intune.

Pokud chcete filtrovat odchozí internetový provoz uživatelů pomocí existující místní zabezpečené webové brány, můžete nakonfigurovat webové prohlížeče nebo jiné aplikace spuštěné ve fondu hostitelů služby Azure Virtual Desktop s explicitní konfigurací proxy serveru. Podívejte se například na postup použití možností příkazového řádku Microsoft Edge ke konfiguraci nastavení proxy serveru. Tato nastavení proxy serveru ovlivňují pouze přístup k internetu koncového uživatele, což umožňuje odchozí provoz platformy Azure Virtual Desktop přímo přes Azure Firewall.

Řízení přístupu uživatelů k webu

Správa můžou uživatelům povolit nebo odepřít přístup k různým kategoriím webů. Přidejte do kolekce aplikací pravidlo z vaší konkrétní IP adresy do webových kategorií, které chcete povolit nebo odepřít. Zkontrolujte všechny webové kategorie.

Další krok