Azure Virtual Desktop-környezetek védelme az Azure Firewall használatával

  • Cikk

Az Azure Virtual Desktop egy felhőalapú virtuális asztali infrastruktúra (VDI) szolgáltatás, amely az Azure-ban fut. Amikor egy végfelhasználó csatlakozik az Azure Virtual Desktophoz, a munkamenet egy gazdagépkészlet munkamenet-gazdagépéről származik. A gazdagépkészlet olyan Azure-beli virtuális gépek gyűjteménye, amelyek munkamenet-gazdagépként regisztrálnak az Azure Virtual Desktopban. Ezek a virtuális gépek a virtuális hálózaton futnak, és a virtuális hálózati biztonsági vezérlőkre vonatkoznak. A megfelelő működéshez kimenő internetkapcsolatra van szükségük az Azure Virtual Desktop szolgáltatáshoz, és a végfelhasználók számára kimenő internet-hozzáférésre is szükség lehet. Az Azure Firewall segíthet a környezet zárolásában és a kimenő forgalom szűrésében.

Az Azure Firewall és az Azure Virtual Desktop architektúráját bemutató ábra.

Az Azure Virtual Desktop gazdagépkészletének az Azure Firewall használatával történő további védelméhez kövesse a cikkben szereplő irányelveket.

Előfeltételek

  • Üzembe helyezett Azure Virtual Desktop-környezet és gazdagépkészlet. További információ: Az Azure Virtual Desktop üzembe helyezése.
  • Legalább egy Firewall Manager-szabályzattal üzembe helyezett Azure Firewall.
  • A tűzfalszabályzatban engedélyezett DNS- és DNS-proxy az FQDN hálózati szabályokban való használatára.

Az Azure Virtual Desktop terminológiájáról további információt az Azure Virtual Desktop terminológiája című témakörben talál.

Gazdagépkészlet kimenő hozzáférése az Azure Virtual Desktophoz

Az Azure Virtual Desktophoz létrehozott Azure-beli virtuális gépeknek több teljes tartománynévhez (FQDN-hez) kell hozzáféréssel rendelkezniük a megfelelő működéshez. Az Azure Firewall az Azure Virtual Desktop FQDN-címkéjével WindowsVirtualDesktop egyszerűsíti ezt a konfigurációt. Létre kell hoznia egy Azure Firewall-szabályzatot, és szabálygyűjteményeket kell létrehoznia a hálózati szabályokhoz és az alkalmazások szabályaihoz. Adjon prioritást a szabálygyűjteménynek, és engedélyezze vagy tiltsa le a műveletet.

Szabályokat kell létrehoznia az egyes szükséges teljes tartománynevekhez és végpontokhoz. A lista elérhető az Azure Virtual Desktophoz szükséges teljes tartományneveken és végpontokon. Ha egy adott gazdagépkészletet forrásként szeretne azonosítani, létrehozhat egy IP-csoportot az egyes munkamenet-gazdagépekkel annak megjelenítéséhez.

Fontos

Javasoljuk, hogy ne használjon TLS-ellenőrzést az Azure Virtual Desktopban. További információkért tekintse meg a proxykiszolgáló irányelveit.

Azure Firewall-szabályzat minta

A fent említett kötelező és választható szabályok egyszerűen üzembe helyezhetők egyetlen Azure Firewall-szabályzatban a következő https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVDhelyen közzétett sablon használatával: . Az éles üzembe helyezés előtt javasoljuk, hogy tekintse át az összes definiált hálózati és alkalmazásszabályt, és gondoskodjon az Azure Virtual Desktop hivatalos dokumentációjával és biztonsági követelményeivel való összhangról.

Gazdagépkészlet kimenő internet-hozzáférése

A szervezet igényeitől függően érdemes lehet engedélyezni a biztonságos kimenő internet-hozzáférést a végfelhasználók számára. Ha az engedélyezett célhelyek listája jól definiált (például Microsoft 365-hozzáférés esetén), az Azure Firewall alkalmazásával és hálózati szabályaival konfigurálhatja a szükséges hozzáférést. Ez a legjobb teljesítmény érdekében közvetlenül az internetre irányítja a végfelhasználói forgalmat. Ha engedélyeznie kell a hálózati kapcsolatot a Windows 365-höz vagy az Intune-hoz, tekintse meg a Windows 365 és az Intune hálózati végpontjaira vonatkozó hálózati követelményeket.

Ha egy meglévő helyszíni biztonságos webátjáróval szeretné szűrni a kimenő felhasználói internetes forgalmat, explicit proxykonfigurációval konfigurálhatja az Azure Virtual Desktop gazdagépkészletén futó webböngészőket vagy más alkalmazásokat. Lásd például a Microsoft Edge parancssori beállításait a proxybeállítások konfigurálásához. Ezek a proxybeállítások csak a végfelhasználói internet-hozzáférést befolyásolják, így az Azure Virtual Desktop platform kimenő forgalmát közvetlenül az Azure Firewallon keresztül engedélyezi.

A felhasználók webes hozzáférésének szabályozása

Rendszergazda engedélyezhetik vagy letilthatják a felhasználók hozzáférését a különböző webhelykategóriákhoz. Adjon hozzá egy szabályt az alkalmazásgyűjteményhez a megadott IP-címről az engedélyezni vagy megtagadni kívánt webkategóriákba. Tekintse át az összes webes kategóriát.

Következő lépés