Usar o Firewall do Azure para proteger as implantações da Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço de VDI (infraestrutura de área de trabalho virtual) em nuvem executado no Azure. Quando um usuário final se conecta à Área de Trabalho Virtual do Azure, sua sessão vem de um host de sessão em um pool de hosts. Um pool de host é uma coleção de máquinas virtuais do Azure que se registram na Área de Trabalho Virtual do Azure como hosts da sessão. Essas máquinas virtuais são executadas na rede virtual e estão sujeitas aos controles de segurança da rede virtual. Elas precisam obter o acesso de saída da Internet ao serviço de Área de Trabalho Virtual do Azure para operar corretamente e podem precisar do acesso de saída da Internet para os usuários finais. O Firewall do Azure pode ajudar você a bloquear seu ambiente e filtrar o tráfego de saída.
Siga as diretrizes deste artigo para fornecer proteção adicional ao pool de host da Área de Trabalho Virtual do Azure usando o Firewall do Azure.
Pré-requisitos
- Um ambiente da Área de Trabalho Virtual do Azure e um pool de host implantados. Para obter mais informações, confira Implantar a Área de Trabalho Virtual do Azure.
- Um Firewall do Azure implantado com pelo menos uma Política do Gerenciador de Firewall.
- DNS e Proxy DNS habilitados na Política de Firewall para usar o FQDN nas Regras de Rede.
Para saber mais sobre a terminologia da Área de Trabalho Virtual do Azure, confira a terminologia da Área de Trabalho Virtual do Azure.
Acesso de saída do pool de host à Área de Trabalho Virtual do Azure
As máquinas virtuais do Azure criadas para a Área de Trabalho Virtual do Azure precisam ter acesso a vários FQDNs (nomes de domínio totalmente qualificados) para funcionar corretamente. O Firewall do Azure usa a marca de FQDN da Área de Trabalho Virtual do Azure WindowsVirtualDesktop para simplificar essa configuração. Você precisa criar uma política de Firewall do Azure, e criar Coleções de Regras para Regras de Rede e Regras de Aplicativos. Dê à Coleção de Regras uma prioridade e uma ação de permitir ou negar.
Você precisa criar uma política de Firewall do Azure, e criar Coleções de Regras para Regras de Rede e Regras de Aplicativos. Dê à Coleção de Regras uma prioridade e uma ação de permitir ou negar. Para identificar um Pool de Host do AVD específico como "Origem" nas tabelas abaixo, o Grupo de IP pode ser criado para representá-lo.
Criar regras de rede
A tabela a seguir lista as regras obrigatórias para permitir o acesso de saída ao plano de controle e aos serviços dependentes principais. Para obter mais informações, consulte FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure.
| Name | Tipo de origem | Fonte | Protocolo | Portas de destino | Tipo de destino | Destino |
|---|---|---|---|---|---|---|
| Nome da Regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 443 | FQDN | login.microsoftonline.com |
| Nome da Regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 443 | Marca de serviço | WindowsVirtualDesktop, AzureFrontDoor.Frontend, AzureMonitor |
| Nome da Regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 443 | FQDN | gcs.prod.monitoring.core.windows.net |
| Nome da Regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP, UDP | 53 | Endereço IP | [Endereço do servidor DNS utilizado] |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 1688 | Endereço IP | azkms.core.windows.net |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 1688 | Endereço IP | kms.core.windows.net |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 443 | FQDN | mrsglobalsteus2prod.blob.core.windows.net |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 443 | FQDN | wvdportalstorageblob.blob.core.windows.net |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 80 | FQDN | oneocsp.microsoft.com |
| Nome da regra | Endereço IP ou grupo | Grupo IP, VNet ou Endereço IP de Sub-rede | TCP | 80 | FQDN | www.microsoft.com |
Observação
Algumas implantações podem não precisar de regras DNS. Por exemplo, os controladores de domínio dos Serviços de Domínio Microsoft Entra encaminham consultas DNS para o DNS do Azure em 168.63.129.16.
Dependendo do uso e do cenário, as regras de rede opcionais podem ser usadas:
| Nome | Tipo de origem | Fonte | Protocolo | Portas de destino | Tipo de destino | Destino |
|---|---|---|---|---|---|---|
| Nome da Regra | Endereço IP ou grupo | Grupo de IP ou VNet ou Endereço IP da sub-rede | UDP | 123 | FQDN | time.windows.com |
| Nome da Regra | Endereço IP ou grupo | Grupo de IP ou VNet ou Endereço IP da sub-rede | TCP | 443 | FQDN | login.windows.net |
| Nome da Regra | Endereço IP ou grupo | Grupo de IP ou VNet ou Endereço IP da sub-rede | TCP | 443 | FQDN | www.msftconnecttest.com |
Criar regras de aplicativo
Dependendo do uso e do cenário, as regras opcionais do aplicativo podem ser usadas:
| Nome | Tipo de origem | Fonte | Protocolo | Tipo de destino | Destino |
|---|---|---|---|---|---|
| Nome da Regra | Endereço IP ou grupo | O endereço IP da sub-rede ou VNet | Https:443 | Marca FQDN | WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService |
| Nome da Regra | Endereço IP ou grupo | O endereço IP da sub-rede ou VNet | Https:443 | FQDN | *.events.data.microsoft.com |
| Nome da Regra | Endereço IP ou grupo | O endereço IP da sub-rede ou VNet | Https:443 | FQDN | *.sfx.ms |
| Nome da Regra | Endereço IP ou grupo | O endereço IP da sub-rede ou VNet | Https:443 | FQDN | *.digicert.com |
| Nome da Regra | Endereço IP ou grupo | O endereço IP da sub-rede ou VNet | Https:443 | FQDN | *.azure-dns.com, *.azure-dns.net |
Importante
Recomendamos que você não use a inspeção TLS com a Área de Trabalho Virtual do Azure. Para obter mais informações, confira as diretrizes de servidor proxy.
Amostra da Política de Firewall do Azure
Todas as regras obrigatórias e opcionais mencionadas podem ser facilmente implantadas em uma única política de Firewall do Azure usando o modelo publicado em https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Antes de implantar em produção, é recomendável examinar todas as regras de Rede e Aplicativo definidas, garantir o alinhamento com os requisitos oficiais de documentação e segurança da Área de Trabalho Virtual do Azure.
Acesso de saída do pool de host à Internet
Dependendo das necessidades da sua organização, você deve habilitar o acesso seguro de saída à Internet para os usuários finais. Se a lista de destinos permitidos é bem definida (por exemplo, para Acesso do Microsoft 365), use o aplicativo Firewall do Azure e as regras de rede para configurar o acesso necessário. Isso roteia o tráfego do usuário final diretamente para a Internet para oferecer o melhor desempenho. Se você precisar permitir a conectividade de rede para o Windows 365 ou Intune, consulte Requisitos de rede para o Windows 365 e Pontos de extremidade de rede para o Intune.
Caso você deseje filtrar o tráfego da Internet do usuário de saída usando um gateway Web seguro local existente, configure navegadores da Web ou outros aplicativos em execução no pool de host da Área de Trabalho Virtual do Azure com uma configuração de proxy explícita. Por exemplo, confira Como usar as opções de linha de comando do Microsoft Edge para definir as configurações de proxy. Essas configurações de proxy influenciam apenas o acesso à Internet do usuário final, permitindo o tráfego de saída da plataforma de Área de Trabalho Virtual do Azure diretamente por meio do Firewall do Azure.
Controlar o acesso do usuário à Web
Os administradores podem permitir ou negar o acesso do usuário a diferentes categorias de site. Adicione uma regra à Coleção de Aplicativos a partir de seu endereço IP específico às categorias da Web que você deseja permitir ou negar. Revise todas as categorias da Web.
Próxima etapa
- Saiba mais sobre a Área de Trabalho Virtual do Azure: O que é a Área de Trabalho Virtual do Azure?