Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop

  • Artículo

Azure Virtual Desktop es un servicio de infraestructura de escritorio virtual (VDI) en la nube que se ejecuta en Azure. Cuando un usuario final se conecta a Azure Virtual Desktop, su sesión procede de un host de sesión de un grupo de hosts. Un grupo de hosts es una colección de máquinas virtuales de Azure que se registran en Azure Virtual Desktop como hosts de sesión. Estas máquinas virtuales se ejecutan en la red virtual y están sujetas a sus controles de seguridad. Necesitan acceso saliente a Internet para que el servicio Azure Virtual Desktop funcione correctamente y es posible que también necesiten acceso saliente a Internet para los usuarios finales. Azure Firewall puede ayudarle a bloquear su entorno y a filtrar el tráfico saliente.

Diagrama que muestra la arquitectura de Azure Firewall con Azure Virtual Desktop

Siga las instrucciones de este artículo para proporcionar protección extra para el grupo de hosts de Azure Virtual Desktop mediante Azure Firewall.

Requisitos previos

  • Un entorno de Azure Virtual Desktop implementado y un grupo de hosts. Para más información, consulte Implementar Azure Virtual Desktop.
  • Una instancia de Azure Firewall implementada con al menos una directiva de Firewall Manager.
  • Un DNS y un proxy DNS habilitados en la directiva de firewall para usar FQDN en las reglas de red.

Para más información sobre la terminología de Azure Virtual Desktop, consulte Terminología de Azure Virtual Desktop.

Acceso de salida del grupo de hosts a Azure Virtual Desktop

Las máquinas virtuales de Azure que cree para Azure Virtual Desktop deben tener acceso a varios nombres de dominio completos (FQDN) para que funcionen correctamente. Azure Firewall usa la etiqueta WindowsVirtualDesktop FQDN de Azure Virtual Desktop para simplificar esta configuración. Tendrá que crear una directiva de Azure Firewall y colecciones de reglas para reglas de red y reglas de aplicaciones. Asigne una prioridad a la colección de reglas y una acción de permitir o denegar.

Debe crear reglas para cada uno de los FQDN y puntos de conexión necesarios. La lista está disponible en FQDN y puntos de conexión necesarios para Azure Virtual Desktop. Para identificar un grupo de hosts específico como origen, puede crear un grupo de IP con cada host de sesión para representarlo.

Importante

Se recomienda no utilizar la inspección de TLS con Azure Virtual Desktop. Para más información, consulte las directrices del servidor proxy.

Ejemplo de directiva de Azure Firewall

Todas las reglas obligatorias y opcionales mencionadas anteriormente se pueden implementar fácilmente en una misma directiva de Azure Firewall mediante la plantilla publicada en https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Antes de realizar la implementación en producción, se recomienda revisar todas las reglas de red y aplicación definidas y procurar que todo está en sintonía con la documentación oficial de Azure Virtual Desktop y los requisitos de seguridad.

Acceso de salida del grupo de hosts a Internet

En función de las necesidades de la organización, es posible que quiera habilitar un acceso seguro de salida a Internet para los usuarios finales. Si la lista de destinos permitidos está bien definida (por ejemplo, para el acceso a Microsoft 365) puede usar reglas de red y de aplicación de Azure Firewall para configurar el acceso necesario. De esta forma, el tráfico del usuario final se enruta directamente a Internet para obtener el mejor rendimiento. Si tiene que permitir la conectividad de red para Windows 365 o Intune, vea Requisitos de red para Windows 365 y Puntos de conexión de red para Intune.

Si quiere filtrar el tráfico saliente de Internet de los usuarios mediante una puerta de enlace web segura local existente, puede configurar exploradores web u otras aplicaciones que se ejecuten en el grupo de hosts de Azure Virtual Desktop con una configuración de proxy explícita. Por ejemplo, consulte Cómo usar las opciones de línea de comandos de Microsoft Edge para establecer la configuración de proxy. Esta configuración de proxy solo afecta al acceso a Internet del usuario final, de modo que permite el tráfico saliente de la plataforma Azure Virtual Desktop directamente mediante Azure Firewall.

Control del acceso de los usuarios a la web

Los administradores pueden permitir o denegar el acceso de los usuarios a diferentes categorías de sitios web. Agregue una regla a la colección de aplicaciones desde la dirección IP específica a las categorías web que quiera permitir o denegar. Revise todas las categorías web.

Paso siguiente