استخدام Azure Firewall لحماية عمليات توزيع Azure Virtual Desktop
Azure Virtual Desktop هي خدمة البنية الأساسية لسطح المكتب الظاهري السحابي (VDI) التي تعمل على Azure. عندما يتصل مستخدم ب Azure Virtual Desktop، تأتي جلسته من مضيف جلسة عمل في تجمع مضيف. المجموعة المضيفة هي مجموعة من أجهزة Azure الظاهرية التي يتم تسجيلها إلى Azure Virtual Desktop كأجهزة مضيفة للجلسات. تعمل هذه الأجهزة الظاهرية في الشبكة الظاهرية لديك وتخضع لعناصر تحكم أمان الشبكة الظاهرية. يحتاجون إلى الوصول إلى الإنترنت الصادر إلى خدمة Azure Virtual Desktop للعمل بشكل صحيح وقد يحتاجون أيضا إلى الوصول إلى الإنترنت الصادر للمستخدمين النهائيين. يمكن لجدار حماية Azure أن يساعدك على تأمين البيئة وتصفية حركة المرور الصادرة.
اتبع الإرشادات الواردة في هذه المقالة لتوفير حماية إضافية لتجمع مضيف Azure Virtual Desktop باستخدام Azure Firewall.
المتطلبات الأساسية
- بيئة Azure Virtual Desktop منشورة ومجموعة مضيفة. لمزيد من المعلومات، راجع نشر Azure Virtual Desktop.
- تم نشر Azure Firewall باستخدام نهج إدارة جدار حماية واحد على الأقل.
- تم تمكين DNS وDNS Proxy في نهج جدار الحماية لاستخدام اسم مجال مؤهل بالكامل في قواعد الشبكة.
لمعرفة المزيد حول مصطلحات Azure Virtual Desktop، راجع مصطلحات Azure Virtual Desktop.
الوصول الصادرة للمجموعة المضيفة إلى Azure Virtual Desktop
يجب أن يكون لدى أجهزة Azure الظاهرية التي تقوم بإنشائها لـ Azure Virtual Desktop حق الوصول إلى العديد من أسماء المجال المؤهلة بالكامل (FQDNs) لتعمل بشكل صحيح. يستخدم Azure Firewall علامة WindowsVirtualDesktop FQDN لسطح المكتب الظاهري Azure لتبسيط هذا التكوين. ستحتاج إلى إنشاء نهج Azure Firewall وإنشاء مجموعات قواعد لقواعد الشبكة وقواعد التطبيقات. منح مجموعة القواعد أولوية وإجراء السماح أو الرفض .
تحتاج إلى إنشاء قواعد لكل من FQDNs ونقاط النهاية المطلوبة. تتوفر القائمة في FQDNs المطلوبة ونقاط النهاية ل Azure Virtual Desktop. لتحديد تجمع مضيف معين كمصدر، يمكنك إنشاء مجموعة IP مع كل مضيف جلسة لتمثيله.
هام
نوصي بألا يتم استخدام فحص TLS مع Azure Virtual Desktop. لمزيد من المعلومات، راجع إرشادات الخادم الوكيل.
عينة سياسة جدار حماية Azure
يمكن نشر جميع القواعد الإلزامية والاختيارية المذكورة أعلاه بسهولة في نهج جدار حماية Azure واحد باستخدام القالب المنشور في https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. قبل النشر في الإنتاج، نوصي بمراجعة جميع قواعد الشبكة والتطبيق المحددة، وضمان التوافق مع وثائق Azure Virtual Desktop الرسمية ومتطلبات الأمان.
استضافة تجمع الوصول الصادر إلى الإنترنت
قد تحتاج إلى تمكين الوصول الآمن إلى الإنترنت الصادر للمستخدمين النهائيين بناءً على احتياجات مؤسستك. إذا كانت قائمة الوجهات المسموح بها محددة جيداً (على سبيل المثال، من أجل وصول Microsoft 365)، يمكنك استخدام تطبيق جدار حماية Azure وقواعد الشبكة لتكوين الوصول المطلوب. يقوم هذا بتوجيه حركة مرور المستخدمين النهائيين إلى الإنترنت مباشرةً للحصول على أفضل أداء. إذا كنت تريد السماح باتصال الشبكة لنظام التشغيل Windows 365 أو Intune، فراجع متطلبات الشبكة لنظام التشغيل Windows 365 و نقاط نهاية الشبكة لـIntune .
إذا كنت ترغب في تصفية حركة مرور الإنترنت الصادر للمستخدم باستخدام بوابة ويب آمنة محلية موجودة، يمكنك تكوين مستعرضات الويب أو تطبيقات أخرى تعمل على مجموعة مضيف Azure Virtual Desktop مع تكوين وكيل صريح. على سبيل المثال، راجع كيفية استخدام خيارات سطر أوامر Microsoft Edge لتكوين إعدادات الوكيل. تؤثر إعدادات الوكيل هذه فقط في وصول المستخدم النهائي إلى الإنترنت، ما يسمح بحركة المرور الصادرة للنظام الأساسي لـ Azure Virtual Desktop مباشرةً عبر جدار حماية Azure.
التحكم في وصول المستخدم إلى الويب
يمكن للمسؤولين السماح للمستخدم بالوصول إلى فئات مواقع ويب مختلفة أو رفض وصوله إليها. قم بإضافة قاعدة إلى مجموعة التطبيقات من عنوان IP الخاص بك إلى فئات الويب التي تريد السماح بها أو رفضها. راجع كل فئات الويب.
الخطوة التالية
- تعرّف على المزيد حول Azure Virtual Desktop: ما المقصود بـ Azure Virtual Desktop؟