居家辦公政策要求許多IT組織解決容量、網(wǎng)絡、安全和治理的根本變化。許多員工在家工作時不受與本地服務相關的分層安全政策的保護。Azure上的虛擬桌面基礎設施 (VDI) 部署可以幫助組織快速響應這種不斷變化的環(huán)境。但是,您需要一種方法來保護進出這些 VDI 部署的互聯(lián)網(wǎng)訪問。
Azure 虛擬桌面(Azure Virtual Desktop,舊稱Windows Virtual Desktop)是一種在 Azure 中運行的綜合桌面和應用程序虛擬化服務。它是唯一提供簡化管理、多會話 Windows 10 的 VDI,并且針對 Office 365進行優(yōu)化。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應用,并獲得內(nèi)置的安全性和合規(guī)性功能。在這篇文章中,我們探討如何使用Azure 防火墻進行安全且經(jīng)濟高效的 Azure 虛擬桌面保護。
1Azure 虛擬桌面組件
Azure 虛擬桌面服務以共享責任模式提供:
客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方,使用他們喜歡的客戶端設備連接到Windows 桌面和應用程序。
微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機器之間的連接(包括 Windows 10 多會話)。
Windows 10 多會話虛擬計算機托管在客戶管理的Azure虛擬網(wǎng)絡主機池中。
Azure虛擬桌面不需要您打開任何入站訪問您的虛擬網(wǎng)絡。但是,為了確??蛻艄芾淼奶摂M計算機與服務之間的平臺連接,必須啟用一組主機池虛擬網(wǎng)絡的出站網(wǎng)絡連接。雖然這些依賴性可以使用網(wǎng)絡安全組進行配置,但此配置僅限于網(wǎng)絡級流量過濾。對于應用程序級別的保護,您可以使用Azure 防火墻或第三方網(wǎng)絡虛擬設備(Network Virtual Appliance,NVA)。有關部署 NVA 之前要考慮的最佳實踐,請參閱部署網(wǎng)絡虛擬設備之前要考慮的最佳實踐。
2主機池出站訪問 Azure 虛擬桌面
Azure 防火墻是一種以云為本的防火墻,作為一種服務(FWaaS),它允許您使用 DevOps 方法集中管理和記錄所有流量。該服務支持應用程序和網(wǎng)絡級過濾規(guī)則,并與 Microsoft 威脅智能(Microsoft ThreatIntelligence)源集成,用于過濾已知的惡意 IP 地址和域名。Azure 防火墻具有內(nèi)置自動縮放的特性。
Azure 防火墻提供 Azure虛擬桌面 FQDN 標簽,以簡化主機池對 Azure虛擬桌面的出站訪問。使用以下步驟允許出站平臺流量:
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由 (UDR) 以通過 Azure 防火墻路由所有流量。
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由(UDR)以通過 Azure 防火墻路由所有流量。
創(chuàng)建應用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標簽名稱仍沿用舊的
WindowsVirtualDesktop)FQDN標簽。源 IP 地址范圍是主機池虛擬網(wǎng)絡,協(xié)議是https,目的地是WindowsVirtualDesltop
Azure 虛擬桌面主機池所需的存儲和服務總線帳戶集都是特定的部署,尚不能捕獲在 Azure 虛擬桌面FQDN 標簽中。此外,還需要網(wǎng)絡規(guī)則集合,以便允許從您的活動目錄域服務(ADDS)部署和 KMS,從虛擬計算機訪問 Windows 激活服務的 DNS 訪問。要配置這些附加依賴項的訪問權(quán)限,請參閱使用 Azure 防火墻來保護Azure 虛擬桌面部署
3主機池出站訪問互聯(lián)網(wǎng)
根據(jù)您的組織需求,您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問。由于 Azure虛擬桌面會話在客戶管理的虛擬計算機上運行,因此它們還受制于您的虛擬網(wǎng)絡安全控制。如果允許的目的地列表定義明確(例如Office 365 訪問),您可以使用 Azure 防火墻應用程序和網(wǎng)絡規(guī)則來配置所需的訪問。這樣最終用戶流量會直接路由到互聯(lián)網(wǎng),以獲得最佳性能。
如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關過濾出站用戶互聯(lián)網(wǎng)流量,您可以將 Azure虛擬桌面主機池上運行的 Web 瀏覽器或其他應用程序配置為使用特定的代理。例如,請參閱如何使用 Microsoft Edge 命令行選項來配置代理設置。這些代理設置僅影響您的最終用戶互聯(lián)網(wǎng)訪問,允許直接通過 Azure 防火墻進行出站流量。
4附Azure 虛擬桌面定價
Azure 虛擬桌面定價包括兩個部分:
用戶訪問權(quán)限:
許可證權(quán)利:如果擁有符合條件的 Windows、Microsoft 365 或 Microsoft 遠程桌面服務 (RDS) 客戶端訪問許可證 (CAL),則無需支付額外費用。
Azure 基礎結(jié)構(gòu)成本
除用戶訪問權(quán)限以外,你還需使用 Azure 帳戶來部署和管理虛擬化環(huán)境。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件。
虛擬機
存儲
操作系統(tǒng) (OS) 存儲
數(shù)據(jù)磁盤(僅限個人桌面)
用戶配置文件存儲
聯(lián)網(wǎng)
Azure 虛擬桌面虛擬機 (VM)(包括 Azure 上的 Citrix 云和 VMWare Horizon 云)按 Linux 計算費率收費,適用于 Windows 10 單會話、Windows 10 多會話和 Windows Server。
5更多信息
有我們上面內(nèi)容的更多信息,請參閱以下博客、文檔和視頻關。
什么是Azure 虛擬桌面
使用 Azure 防火墻保護Azure 虛擬桌面部署。