Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen
Damit nicht autorisierter Netzwerkdatenverkehr in Ihrer Azure Virtual Desktop-Umgebung verhindert wird, können Sie den Netzwerkdatenverkehr mithilfe von Azure Firewall begrenzen. In dieser Lerneinheit erfahren Sie, wie Azure Firewall diesen Datenverkehr filtert.
Was ist Azure Firewall?
Wie Sie bereits wissen, ist Azure Firewall ein cloudbasierter Sicherheitsdienst, der Ihre virtuellen Azure-Netzwerkressourcen vor eingehenden und ausgehenden Bedrohungen schützt. Azure Firewall wird innerhalb eines virtuellen Hub-Netzwerks bereitgestellt. Der Datenverkehr zwischen virtuellen Spoke-Netzwerken und dem lokalen Netzwerk durchläuft die Firewall im Hub-Netzwerk.
Der gesamte Datenverkehr an und aus dem Internet wird standardmäßig verweigert. Datenverkehr wird nur zugelassen, wenn er verschiedene Tests besteht, z. B. die konfigurierten Firewallregeln.
Azure Firewall funktioniert nicht nur für Datenverkehr an und aus dem Internet, sondern auch intern. Die interne Datenverkehrsfilterung umfasst den Datenverkehr zwischen Spoke-Netzwerken und den Hybrid Cloud-Datenverkehr zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Azure-Netzwerk.
Was ist Azure Virtual Desktop?
Bei Azure Virtual Desktop handelt es sich um einen in der Cloud ausgeführten Dienst für die Desktop- und App-Virtualisierung. Azure Virtual Desktop funktioniert geräteübergreifend (z. B. Windows, Mac, iOS, Android und Linux) mit Apps, die Sie für den Zugriff auf Remotedesktops und -Apps verwenden können. Sie können auch die meisten modernen Browser verwenden, um auf von Azure Virtual Desktop gehostete Umgebungen zuzugreifen.
Wie filtert Azure Firewall den Datenverkehr für Azure Virtual Desktop?
Wenn ein Endbenutzer eine Verbindung mit einem virtuellen Azure Virtual Desktop-Computer herstellt, gehört dieser virtuelle Computer zu einem Hostpool. Ein Hostpool ist eine Sammlung von virtuellen Azure-Computern (VMs), die beim Azure Virtual Desktop-Dienst als Sitzungshosts registriert werden. Diese VMs werden in einem virtuellen Azure-Netzwerk ausgeführt und unterliegen dessen Sicherheitskontrollen.
Damit Azure Virtual Desktop funktioniert, benötigt der Hostpool ausgehenden Internetzugriff auf den Azure Virtual Desktop-Dienst. Der Hostpool benötigt möglicherweise auch ausgehenden Internetzugriff für die Benutzer. Mithilfe von Azure Firewall können Sie Ihre Umgebung sperren und ausgehenden Netzwerkdatenverkehr filtern.
Das folgende Diagramm zeigt, wie der Datenverkehr für den Azure Virtual Desktop-Dienst und Hostpools von Azure Firewall gefiltert wird:
Die folgende Tabelle enthält Erläuterungen zu den Beschriftungen in der Abbildung:
| Label | BESCHREIBUNG |
|---|---|
| A | Der ausgehende Netzwerkzugriff des Hostpools auf den Azure Virtual Desktop-Dienst wird von Azure Firewall gefiltert. |
| b | Anwendungs- und Netzwerkfirewallregeln und Threat Intelligence filtern den ausgehenden Benutzerzugriff aus dem virtuellen Netzwerk des Hostpools. |
| C | Der Datenverkehr von der Firewall zur lokalen Umgebung wird gefiltert. Azure Firewall kann auch Benutzerdatenverkehr an einen lokalen Proxy senden. |