居家辦公政策要求許多IT組織解決容量���、網(wǎng)絡(luò)、安全和治理的根本變化�。許多員工在家工作時不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境�。但是,您需要一種方法來保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問�����。
居家辦公政策要求許多IT組織解決容量��、網(wǎng)絡(luò)�、安全和治理的根本變化。許多員工在家工作時不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)�����。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境�����。但是,您需要一種方法來保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問�。
Azure 虛擬桌面(Azure Virtual Desktop,舊稱Windows Virtual Desktop)是一種在 Azure 中運(yùn)行的綜合桌面和應(yīng)用程序虛擬化服務(wù)�����。它是唯一提供簡化管理�、多會話 Windows 10 的 VDI,并且針對 Office 365進(jìn)行優(yōu)化����。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應(yīng)用,并獲得內(nèi)置的安全性和合規(guī)性功能��。在這篇文章中��,我們探討如何使用Azure 防火墻進(jìn)行安全且經(jīng)濟(jì)高效的 Azure 虛擬桌面保護(hù)����。
1Azure 虛擬桌面組件
Azure 虛擬桌面服務(wù)以共享責(zé)任模式提供:
客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方,使用他們喜歡的客戶端設(shè)備連接到Windows 桌面和應(yīng)用程序�����。
微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機(jī)器之間的連接(包括 Windows 10 多會話)。
Windows 10 多會話虛擬計算機(jī)托管在客戶管理的Azure虛擬網(wǎng)絡(luò)主機(jī)池中��。
Azure虛擬桌面不需要您打開任何入站訪問您的虛擬網(wǎng)絡(luò)��。但是�����,為了確?����?蛻艄芾淼奶摂M計算機(jī)與服務(wù)之間的平臺連接�����,必須啟用一組主機(jī)池虛擬網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接��。雖然這些依賴性可以使用網(wǎng)絡(luò)安全組進(jìn)行配置���,但此配置僅限于網(wǎng)絡(luò)級流量過濾。對于應(yīng)用程序級別的保護(hù)��,您可以使用Azure 防火墻或第三方網(wǎng)絡(luò)虛擬設(shè)備(Network Virtual Appliance����,NVA)�����。有關(guān)部署 NVA 之前要考慮的最佳實(shí)踐�����,請參閱部署網(wǎng)絡(luò)虛擬設(shè)備之前要考慮的最佳實(shí)踐��。
2主機(jī)池出站訪問 Azure 虛擬桌面
Azure 防火墻是一種以云為本的防火墻�,作為一種服務(wù)(FWaaS)���,它允許您使用 DevOps 方法集中管理和記錄所有流量�����。該服務(wù)支持應(yīng)用程序和網(wǎng)絡(luò)級過濾規(guī)則�����,并與 Microsoft 威脅智能(Microsoft ThreatIntelligence)源集成���,用于過濾已知的惡意 IP 地址和域名��。Azure 防火墻具有內(nèi)置自動縮放的特性��。
Azure 防火墻提供 Azure虛擬桌面 FQDN 標(biāo)簽����,以簡化主機(jī)池對 Azure虛擬桌面的出站訪問�����。使用以下步驟允許出站平臺流量:
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由 (UDR) 以通過 Azure 防火墻路由所有流量����。
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由(UDR)以通過 Azure 防火墻路由所有流量���。
創(chuàng)建應(yīng)用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標(biāo)簽名稱仍沿用舊的
WindowsVirtualDesktop)FQDN標(biāo)簽�。源 IP 地址范圍是主機(jī)池虛擬網(wǎng)絡(luò)���,協(xié)議是https�����,目的地是WindowsVirtualDesltop
3主機(jī)池出站訪問互聯(lián)網(wǎng)
根據(jù)您的組織需求�,您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問。由于 Azure虛擬桌面會話在客戶管理的虛擬計算機(jī)上運(yùn)行��,因此它們還受制于您的虛擬網(wǎng)絡(luò)安全控制�。如果允許的目的地列表定義明確(例如Office 365 訪問),您可以使用 Azure 防火墻應(yīng)用程序和網(wǎng)絡(luò)規(guī)則來配置所需的訪問�。這樣最終用戶流量會直接路由到互聯(lián)網(wǎng)�����,以獲得最佳性能�。
如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關(guān)過濾出站用戶互聯(lián)網(wǎng)流量�,您可以將 Azure虛擬桌面主機(jī)池上運(yùn)行的 Web 瀏覽器或其他應(yīng)用程序配置為使用特定的代理。例如����,請參閱如何使用 Microsoft Edge 命令行選項來配置代理設(shè)置。這些代理設(shè)置僅影響您的最終用戶互聯(lián)網(wǎng)訪問����,允許直接通過 Azure 防火墻進(jìn)行出站流量。
4附Azure 虛擬桌面定價
Azure 虛擬桌面定價包括兩個部分:
用戶訪問權(quán)限:
許可證權(quán)利:如果擁有符合條件的 Windows��、Microsoft 365 或 Microsoft 遠(yuǎn)程桌面服務(wù) (RDS) 客戶端訪問許可證 (CAL)����,則無需支付額外費(fèi)用�����。
Azure 基礎(chǔ)結(jié)構(gòu)成本
除用戶訪問權(quán)限以外���,你還需使用 Azure 帳戶來部署和管理虛擬化環(huán)境�����。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件����。
操作系統(tǒng) (OS) 存儲
數(shù)據(jù)磁盤(僅限個人桌面)
用戶配置文件存儲
Azure 虛擬桌面虛擬機(jī) (VM)(包括 Azure 上的 Citrix 云和 VMWare Horizon 云)按 Linux 計算費(fèi)率收費(fèi),適用于 Windows 10 單會話���、Windows 10 多會話和 Windows Server���。
5更多信息
有我們上面內(nèi)容的更多信息,請參閱以下博客�、文檔和視頻關(guān)。
立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Azure上云直升機(jī)�����,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持�。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號
