Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop
Azure Virtual Desktop es un servicio de infraestructura de escritorio virtual (VDI) en la nube que se ejecuta en Azure. Cuando un usuario final se conecta a Azure Virtual Desktop, su sesión procede de un host de sesión de un grupo de hosts. Un grupo de hosts es una colección de máquinas virtuales de Azure que se registran en Azure Virtual Desktop como hosts de sesión. Estas máquinas virtuales se ejecutan en la red virtual y están sujetas a sus controles de seguridad. Necesitan acceso saliente a Internet para que el servicio Azure Virtual Desktop funcione correctamente y es posible que también necesiten acceso saliente a Internet para los usuarios finales. Azure Firewall puede ayudarle a bloquear su entorno y a filtrar el tráfico saliente.
Siga las instrucciones de este artículo para proporcionar protección extra para el grupo de hosts de Azure Virtual Desktop mediante Azure Firewall.
Requisitos previos
- Un entorno de Azure Virtual Desktop implementado y un grupo de hosts. Para más información, consulte Implementar Azure Virtual Desktop.
- Una instancia de Azure Firewall implementada con al menos una directiva de Firewall Manager.
- Un DNS y un proxy DNS habilitados en la directiva de firewall para usar FQDN en las reglas de red.
Para más información sobre la terminología de Azure Virtual Desktop, consulte Terminología de Azure Virtual Desktop.
Acceso de salida del grupo de hosts a Azure Virtual Desktop
Las máquinas virtuales de Azure que cree para Azure Virtual Desktop deben tener acceso a varios nombres de dominio completos (FQDN) para que funcionen correctamente. Azure Firewall usa la etiqueta WindowsVirtualDesktop FQDN de Azure Virtual Desktop para simplificar esta configuración. Tiene que crear una directiva de Azure Firewall y colecciones de reglas para reglas de red y reglas de aplicaciones. Asigne una prioridad a la colección de reglas y una acción de permitir o denegar.
Tiene que crear una directiva de Azure Firewall y colecciones de reglas para reglas de red y reglas de aplicaciones. Asigne una prioridad a la colección de reglas y una acción de permitir o denegar. Para identificar un grupo de hosts de AVD específico como "origen" en las tablas siguientes, se puede crear un grupo de IP para representarlo.
Creación de reglas de red
En la tabla siguiente se enumeran las reglas obligatorias para permitir el acceso saliente al plano de control y a los servicios dependientes principales. Para más información, consulte FQDN y puntos de conexión necesarios para Azure Virtual Desktop.
| NOMBRE | Tipo de origen | Source | Protocolo | Puertos de destino | Tipo de destino | Destination |
|---|---|---|---|---|---|---|
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 443 | FQDN | login.microsoftonline.com |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 443 | Etiqueta de servicio | WindowsVirtualDesktop, AzureFrontDoor.Frontend, AzureMonitor |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 443 | FQDN | gcs.prod.monitoring.core.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP, UDP | 53 | Dirección IP | [Dirección del servidor DNS usado] |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 1688 | Dirección IP | azkms.core.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 1688 | Dirección IP | kms.core.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 443 | FQDN | mrsglobalsteus2prod.blob.core.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 443 | FQDN | wvdportalstorageblob.blob.core.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 80 | FQDN | oneocsp.microsoft.com |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo IP, red virtual o dirección IP de subred | TCP | 80 | FQDN | www.microsoft.com |
Nota
Es posible que algunas implementaciones no necesiten reglas de DNS. Por ejemplo, los controladores de dominio de Microsoft Entra Domain Services reenvía las consultas DNS a Azure DNS en 168.63.129.16.
En función del uso y el escenario, se pueden usar reglas de red opcionales :
| Nombre | Tipo de origen | Source | Protocolo | Puertos de destino | Tipo de destino | Destination |
|---|---|---|---|---|---|---|
| Nombre de la regla | Dirección IP o grupo de IP | Grupo de IP o red virtual o dirección IP de subred | UDP | 123 | FQDN | time.windows.com |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo de IP o red virtual o dirección IP de subred | TCP | 443 | FQDN | login.windows.net |
| Nombre de la regla | Dirección IP o grupo de IP | Grupo de IP o red virtual o dirección IP de subred | TCP | 443 | FQDN | www.msftconnecttest.com |
Creación de reglas de aplicación
En función del uso y el escenario, se pueden usar reglas de aplicación opcionales :
| Nombre | Tipo de origen | Source | Protocolo | Tipo de destino | Destination |
|---|---|---|---|---|---|
| Nombre de la regla | Dirección IP o grupo de IP | Dirección IP de la red virtual o subred | Https:443 | Etiqueta de FQDN | WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService |
| Nombre de la regla | Dirección IP o grupo de IP | Dirección IP de la red virtual o subred | Https:443 | FQDN | *.events.data.microsoft.com |
| Nombre de la regla | Dirección IP o grupo de IP | Dirección IP de la red virtual o subred | Https:443 | FQDN | *.sfx.ms |
| Nombre de la regla | Dirección IP o grupo de IP | Dirección IP de la red virtual o subred | Https:443 | FQDN | *.digicert.com |
| Nombre de la regla | Dirección IP o grupo de IP | Dirección IP de la red virtual o subred | Https:443 | FQDN | *.azure-dns.com, *.azure-dns.net |
Importante
Se recomienda no utilizar la inspección de TLS con Azure Virtual Desktop. Para más información, consulte las directrices del servidor proxy.
Ejemplo de directiva de Azure Firewall
Todas las reglas obligatorias y opcionales mencionadas se pueden implementar fácilmente en una misma directiva de Azure Firewall mediante la plantilla publicada en https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Antes de realizar la implementación en producción, se recomienda revisar todas las reglas de red y aplicación definidas y procurar que todo está en sintonía con la documentación oficial de Azure Virtual Desktop y los requisitos de seguridad.
Acceso de salida del grupo de hosts a Internet
En función de las necesidades de la organización, es posible que quiera habilitar un acceso seguro de salida a Internet para los usuarios finales. Si la lista de destinos permitidos está bien definida (por ejemplo, para el acceso a Microsoft 365) puede usar reglas de red y de aplicación de Azure Firewall para configurar el acceso necesario. De esta forma, el tráfico del usuario final se enruta directamente a Internet para obtener el mejor rendimiento. Si tiene que permitir la conectividad de red para Windows 365 o Intune, vea Requisitos de red para Windows 365 y Puntos de conexión de red para Intune.
Si quiere filtrar el tráfico saliente de Internet de los usuarios mediante una puerta de enlace web segura local existente, puede configurar exploradores web u otras aplicaciones que se ejecuten en el grupo de hosts de Azure Virtual Desktop con una configuración de proxy explícita. Por ejemplo, consulte Cómo usar las opciones de línea de comandos de Microsoft Edge para establecer la configuración de proxy. Esta configuración de proxy solo afecta al acceso a Internet del usuario final, de modo que permite el tráfico saliente de la plataforma Azure Virtual Desktop directamente mediante Azure Firewall.
Control del acceso de los usuarios a la web
Los administradores pueden permitir o denegar el acceso de los usuarios a diferentes categorías de sitios web. Agregue una regla a la colección de aplicaciones desde la dirección IP específica a las categorías web que quiera permitir o denegar. Revise todas las categorías web.
Paso siguiente
- Más información sobre Azure Virtual Desktop: ¿Qué es Azure Virtual Desktop?