Azure Firewall gebruiken om Azure Virtual Desktop-implementaties te beveiligen
Azure Virtual Desktop is een VDI-service (Virtual Desktop Infrastructure) in de cloud die wordt uitgevoerd in Azure. Wanneer een eindgebruiker verbinding maakt met Azure Virtual Desktop, is de sessie afkomstig van een sessiehost in een hostgroep. Een hostgroep is een verzameling virtuele Azure-machines die zich registreren bij Azure Virtual Desktop als sessiehosts. Deze virtuele machines worden uitgevoerd in uw virtuele netwerk en zijn onderworpen aan de beveiligingsmaatregelen van het virtuele netwerk. Ze hebben uitgaande internettoegang nodig tot de Azure Virtual Desktop-service om goed te kunnen functioneren en mogelijk ook uitgaande internettoegang nodig voor eindgebruikers. Met Azure Firewall kunt u uw omgeving vergrendelen en uitgaand verkeer filteren.
Volg de richtlijnen in dit artikel om extra beveiliging te bieden voor uw Azure Virtual Desktop-hostgroep met behulp van Azure Firewall.
Vereisten
- Een geïmplementeerde Azure Virtual Desktop-omgeving en hostgroep. Zie Azure Virtual Desktop implementeren voor meer informatie.
- Een Azure Firewall geïmplementeerd met ten minste één Firewall Manager-beleid.
- DNS en DNS-proxy ingeschakeld in het firewallbeleid voor het gebruik van FQDN in netwerkregels.
Zie De terminologie van Azure Virtual Desktop voor meer informatie over De terminologie van Azure Virtual Desktop.
Uitgaande toegang van hostpool tot Azure Virtual Desktop
De virtuele Azure-machines die u voor Azure Virtual Desktop maakt, moeten toegang hebben tot verschillende FQDN's (Fully Qualified Domain Names) om goed te kunnen functioneren. Azure Firewall maakt gebruik van de FQDN-tag WindowsVirtualDesktop van Azure Virtual Desktop om deze configuratie te vereenvoudigen. U moet een Azure Firewall-beleid maken en regelverzamelingen maken voor netwerkregels en toepassingsregels. Geef de regelverzameling een prioriteit en een actie toestaan of weigeren .
U moet een Azure Firewall-beleid maken en regelverzamelingen maken voor netwerkregels en toepassingsregels. Geef de regelverzameling een prioriteit en een actie toestaan of weigeren. Als u een specifieke AVD-hostgroep wilt identificeren als bron in de onderstaande tabellen, kan de IP-groep worden gemaakt om deze te vertegenwoordigen.
Netwerkregels maken
De volgende tabel bevat de verplichte regels om uitgaande toegang tot het besturingsvlak en de kernafhankelijke services toe te staan. Zie Vereiste FQDN's en eindpunten voor Azure Virtual Desktop voor meer informatie.
| Naam | Source type | Bron | Protocol | Doelpoorten | Doeltype | Doel |
|---|---|---|---|---|---|---|
| Naam van regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 443 | FQDN | login.microsoftonline.com |
| Naam van regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 443 | Servicetag | WindowsVirtualDesktop, AzureFrontDoor.Frontend, AzureMonitor |
| Naam van regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 443 | FQDN | gcs.prod.monitoring.core.windows.net |
| Naam van regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP, UDP | 53 | IP-adres | [Adres van de gebruikte DNS-server] |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 1688 | IP-adres | azkms.core.windows.net |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 1688 | IP-adres | kms.core.windows.net |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 443 | FQDN | mrsglobalsteus2prod.blob.core.windows.net |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 443 | FQDN | wvdportalstorageblob.blob.core.windows.net |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 80 | FQDN | oneocsp.microsoft.com |
| Naam van de regel | IP-adres of -groep | IP-groep, VNet of subnet-IP-adres | TCP | 80 | FQDN | www.microsoft.com |
Notitie
Sommige implementaties hebben mogelijk geen DNS-regels nodig. Microsoft Entra Domain Services-domeincontrollers sturen bijvoorbeeld DNS-query's door naar Azure DNS op 168.63.129.16.
Afhankelijk van gebruik en scenario kunnen optionele netwerkregels worden gebruikt:
| Naam | Source type | Bron | Protocol | Doelpoorten | Doeltype | Doel |
|---|---|---|---|---|---|---|
| Naam van regel | IP-adres of -groep | IP-groep of VNet- of subnet-IP-adres | UDP | 123 | FQDN | time.windows.com |
| Naam van regel | IP-adres of -groep | IP-groep of VNet- of subnet-IP-adres | TCP | 443 | FQDN | login.windows.net |
| Naam van regel | IP-adres of -groep | IP-groep of VNet- of subnet-IP-adres | TCP | 443 | FQDN | www.msftconnecttest.com |
Toepassingsregels maken
Afhankelijk van gebruik en scenario kunnen optionele toepassingsregels worden gebruikt:
| Naam | Source type | Bron | Protocol | Doeltype | Doel |
|---|---|---|---|---|---|
| Naam van regel | IP-adres of -groep | IP-adres van VNet of subnet | Https:443 | FQDN-tag | WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService |
| Naam van regel | IP-adres of -groep | IP-adres van VNet of subnet | Https:443 | FQDN | *.events.data.microsoft.com |
| Naam van regel | IP-adres of -groep | IP-adres van VNet of subnet | Https:443 | FQDN | *.sfx.ms |
| Naam van regel | IP-adres of -groep | IP-adres van VNet of subnet | Https:443 | FQDN | *.digicert.com |
| Naam van regel | IP-adres of -groep | IP-adres van VNet of subnet | Https:443 | FQDN | *.azure-dns.com, *.azure-dns.net |
Belangrijk
U wordt aangeraden geen TLS-inspectie te gebruiken met Azure Virtual Desktop. Zie de richtlijnen voor de proxyserver voor meer informatie.
Azure Firewall Policy-voorbeeld
Alle verplichte en optionele regels die worden vermeld, kunnen eenvoudig worden geïmplementeerd in één Azure Firewall-beleid met behulp van de sjabloon die is gepubliceerd op https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Voordat u in productie gaat implementeren, raden we u aan om alle gedefinieerde netwerk- en toepassingsregels te controleren, zodat deze zijn afgestemd op de officiële documentatie en beveiligingsvereisten van Azure Virtual Desktop.
Uitgaande toegang van hostpool tot internet
Afhankelijk van de behoeften van uw organisatie wilt u mogelijk beveiligde uitgaande internettoegang voor uw eindgebruikers inschakelen. Als de lijst met toegestane bestemmingen goed is gedefinieerd (bijvoorbeeld voor Microsoft 365-toegang), kunt u Azure Firewall-toepassings- en netwerkregels gebruiken om de vereiste toegang te configureren. Hiermee wordt verkeer van eindgebruikers rechtstreeks naar internet gerouteerd voor de beste prestaties. Als u netwerkconnectiviteit voor Windows 365 of Intune wilt toestaan, raadpleegt u netwerkvereisten voor Windows 365 - en netwerkeindpunten voor Intune.
Als u uitgaand internetverkeer van gebruikers wilt filteren met behulp van een bestaande on-premises beveiligde webgateway, kunt u webbrowsers of andere toepassingen configureren die worden uitgevoerd in de Hostgroep van Azure Virtual Desktop met een expliciete proxyconfiguratie. Zie Bijvoorbeeld Hoe u de opdrachtregelopties van Microsoft Edge gebruikt om proxyinstellingen te configureren. Deze proxy-instellingen beïnvloeden alleen de internettoegang van uw eindgebruiker, waardoor uitgaand verkeer van het Azure Virtual Desktop-platform rechtstreeks via Azure Firewall wordt toegestaan.
Gebruikerstoegang tot internet beheren
Beheer s kunnen gebruikerstoegang tot verschillende websitecategorieën toestaan of weigeren. Voeg een regel toe aan uw toepassingsverzameling van uw specifieke IP-adres aan webcategorieën die u wilt toestaan of weigeren. Bekijk alle webcategorieën.
Volgende stap
- Meer informatie over Azure Virtual Desktop: Wat is Azure Virtual Desktop?