使用 Azure 防火墻實現(xiàn)安全且經(jīng)濟高效的 Azure 虛擬桌面保護

來源: Azure上云直升機
作者:An Wang
時間:2021-12-23
14445
居家辦公政策要求許多IT組織解決容量、網(wǎng)絡、安全和治理的根本變化。許多員工在家工作時不受與本地服務相關的分層安全政策的保護。Azure上的虛擬桌面基礎設施 (VDI) 部署可以幫助組織快速響應這種不斷變化的環(huán)境。但是,您需要一種方法來保護進出這些 VDI 部署的互聯(lián)網(wǎng)訪問。

居家辦公政策要求許多IT組織解決容量、網(wǎng)絡、安全和治理的根本變化。許多員工在家工作時不受與本地服務相關的分層安全政策的保護。Azure上的虛擬桌面基礎設施 (VDI) 部署可以幫助組織快速響應這種不斷變化的環(huán)境。但是,您需要一種方法來保護進出這些 VDI 部署的互聯(lián)網(wǎng)訪問。

Azure 虛擬桌面(Azure Virtual Desktop,舊稱Windows Virtual Desktop)是一種在 Azure 中運行的綜合桌面和應用程序虛擬化服務。它是唯一提供簡化管理、多會話 Windows 10 的 VDI,并且針對 Office 365進行優(yōu)化。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應用,并獲得內(nèi)置的安全性和合規(guī)性功能。在這篇文章中,我們探討如何使用Azure 防火墻進行安全且經(jīng)濟高效的 Azure 虛擬桌面保護。

1Azure 虛擬桌面組件

Azure 虛擬桌面服務以共享責任模式提供:

  1. 客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方,使用他們喜歡的客戶端設備連接到Windows 桌面和應用程序。

  2. 微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機器之間的連接(包括 Windows 10 多會話)。

  3. Windows 10 多會話虛擬計算機托管在客戶管理的Azure虛擬網(wǎng)絡主機池中。

Azure虛擬桌面不需要您打開任何入站訪問您的虛擬網(wǎng)絡。但是,為了確??蛻艄芾淼奶摂M計算機與服務之間的平臺連接,必須啟用一組主機池虛擬網(wǎng)絡的出站網(wǎng)絡連接。雖然這些依賴性可以使用網(wǎng)絡安全組進行配置,但此配置僅限于網(wǎng)絡級流量過濾。對于應用程序級別的保護,您可以使用Azure 防火墻或第三方網(wǎng)絡虛擬設備(Network Virtual Appliance,NVA)。有關部署 NVA 之前要考慮的最佳實踐,請參閱部署網(wǎng)絡虛擬設備之前要考慮的最佳實踐。

2主機池出站訪問 Azure 虛擬桌面

Azure 防火墻是一種以云為本的防火墻,作為一種服務(FWaaS),它允許您使用 DevOps 方法集中管理和記錄所有流量。該服務支持應用程序和網(wǎng)絡級過濾規(guī)則,并與 Microsoft 威脅智能(Microsoft ThreatIntelligence)源集成,用于過濾已知的惡意 IP 地址和域名。Azure 防火墻具有內(nèi)置自動縮放的特性。

Azure 防火墻提供 Azure虛擬桌面 FQDN 標簽,以簡化主機池對 Azure虛擬桌面的出站訪問。使用以下步驟允許出站平臺流量:

  • 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由 (UDR) 以通過 Azure 防火墻路由所有流量。

  • 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由(UDR)以通過 Azure 防火墻路由所有流量。

  • 創(chuàng)建應用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標簽名稱仍沿用舊的

    WindowsVirtualDesktop)FQDN標簽。源 IP 地址范圍是主機池虛擬網(wǎng)絡,協(xié)議是https,目的地是WindowsVirtualDesltop

  • Azure  虛擬桌面主機池所需的存儲和服務總線帳戶集都是特定的部署,尚不能捕獲在 Azure 虛擬桌面FQDN 標簽中。此外,還需要網(wǎng)絡規(guī)則集合,以便允許從您的活動目錄域服務(ADDS)部署和 KMS,從虛擬計算機訪問 Windows 激活服務的 DNS 訪問。要配置這些附加依賴項的訪問權(quán)限,請參閱使用 Azure 防火墻來保護Azure 虛擬桌面部署

3主機池出站訪問互聯(lián)網(wǎng)

根據(jù)您的組織需求,您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問。由于 Azure虛擬桌面會話在客戶管理的虛擬計算機上運行,因此它們還受制于您的虛擬網(wǎng)絡安全控制。如果允許的目的地列表定義明確(例如Office 365 訪問),您可以使用 Azure 防火墻應用程序和網(wǎng)絡規(guī)則來配置所需的訪問。這樣最終用戶流量會直接路由到互聯(lián)網(wǎng),以獲得最佳性能。

如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關過濾出站用戶互聯(lián)網(wǎng)流量,您可以將 Azure虛擬桌面主機池上運行的 Web 瀏覽器或其他應用程序配置為使用特定的代理。例如,請參閱如何使用 Microsoft Edge 命令行選項來配置代理設置。這些代理設置僅影響您的最終用戶互聯(lián)網(wǎng)訪問,允許直接通過 Azure 防火墻進行出站流量。

4附Azure 虛擬桌面定價

Azure 虛擬桌面定價包括兩個部分:

  1. 用戶訪問權(quán)限:

    許可證權(quán)利:如果擁有符合條件的 Windows、Microsoft 365 或 Microsoft 遠程桌面服務 (RDS) 客戶端訪問許可證 (CAL),則無需支付額外費用。

  2. Azure 基礎結(jié)構(gòu)成本

    除用戶訪問權(quán)限以外,你還需使用 Azure 帳戶來部署和管理虛擬化環(huán)境。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件。

  • 虛擬機

  • 存儲

操作系統(tǒng) (OS) 存儲

數(shù)據(jù)磁盤(僅限個人桌面)

用戶配置文件存儲

  • 聯(lián)網(wǎng)

Azure 虛擬桌面虛擬機 (VM)(包括 Azure 上的 Citrix 云和 VMWare Horizon 云)按 Linux 計算費率收費,適用于 Windows 10 單會話、Windows 10 多會話和 Windows Server。

5更多信息

有我們上面內(nèi)容的更多信息,請參閱以下博客、文檔和視頻關。

  • 什么是Azure 虛擬桌面

  • 使用 Azure 防火墻保護Azure 虛擬桌面部署。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Azure上云直升機,本站不擁有所有權(quán),不承擔相關法律責任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務商推薦
更多