Menggunakan Azure Firewall untuk melindungi penyebaran Azure Virtual Desktop

  • Artikel

Azure Virtual Desktop adalah layanan infrastruktur desktop virtual cloud (VDI) yang berjalan di Azure. Saat pengguna akhir terhubung ke Azure Virtual Desktop, sesi mereka berasal dari host sesi di kumpulan host. Kumpulan host adalah kumpulan mesin virtual Azure yang mendaftar ke Azure Virtual Desktop sebagai host sesi. Komputer virtual ini dijalankan di jaringan virtual Anda dan tunduk pada kontrol keamanan jaringan virtual. Mereka memerlukan akses internet keluar ke layanan Azure Virtual Desktop untuk beroperasi dengan benar dan mungkin juga memerlukan akses internet keluar untuk pengguna akhir. Azure Firewall dapat membantu Anda mengunci lingkungan Anda dan memfilter lalu lintas keluar.

Diagram yang memperlihatkan arsitektur Azure Firewall dengan Azure Virtual Desktop.

Ikuti panduan dalam artikel ini guna memberikan perlindungan tambahan untuk kumpulan host Azure Virtual Desktop Anda menggunakan Azure Firewall.

Prasyarat

  • Lingkungan dan kumpulan host Azure Virtual Desktop yang disebarkan. Untuk informasi selengkapnya, lihat Menyebarkan Azure Virtual Desktop.
  • Azure Firewall disebarkan dengan setidaknya satu Kebijakan Firewall Manager.
  • DNS dan Proksi DNS diaktifkan dalam Kebijakan Firewall untuk menggunakan FQDN dalam Aturan Jaringan.

Untuk mempelajari selengkapnya tentang terminologi Azure Virtual Desktop, lihat Terminologi Azure Virtual Desktop.

Akses keluar kumpulan host ke Azure Virtual Desktop

Mesin virtual Azure yang Anda buat untuk Azure Virtual Desktop harus memiliki akses ke beberapa Nama Domain yang Memenuhi Syarat (FQDN) agar berfungsi dengan benar. Azure Firewall menggunakan tag WindowsVirtualDesktop Azure Virtual Desktop FQDN untuk menyederhanakan konfigurasi ini. Anda harus membuat Kebijakan Azure Firewall dan membuat Kumpulan Aturan untuk Aturan Jaringan dan Aturan Aplikasi. Prioritaskan Kumpulan Aturan dan tindakan izinkan atau tolak .

Anda perlu membuat aturan untuk setiap FQDN dan titik akhir yang diperlukan. Daftar ini tersedia di FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop. Untuk mengidentifikasi kumpulan host tertentu sebagai Sumber, Anda dapat membuat Grup IP dengan setiap host sesi untuk mewakilinya.

Penting

Kami menyarankan Anda untuk tidak menggunakan inspeksi TLS dengan Azure Virtual Desktop. Untuk informasi selengkapnya, lihat panduan server proxy.

Sampel Kebijakan Azure Firewall

Semua aturan wajib dan opsional yang disebutkan di atas dapat dengan mudah disebarkan dalam satu Azure Firewall Policy menggunakan templat yang diterbitkan di https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Sebelum menyebarkan ke produksi, sebaiknya tinjau semua aturan jaringan dan aplikasi yang ditentukan, pastikan keselarasan dengan dokumentasi resmi Azure Virtual Desktop dan persyaratan keamanan.

Akses keluar ke internet untuk kumpulan host

Bergantung pada kebutuhan organisasi, Anda mungkin ingin mengaktifkan akses internet keluar yang aman untuk pengguna akhir. Jika daftar tujuan yang diizinkan ditentukan dengan baik (misalnya, untuk akses Microsoft 365), Anda dapat menggunakan aplikasi Azure Firewall dan aturan jaringan untuk mengonfigurasi akses yang diperlukan. Hal ini merutekan lalu lintas pengguna akhir langsung ke internet untuk performa terbaik. Jika Anda perlu mengizinkan konektivitas jaringan untuk Windows 365 atau Intune, lihat Persyaratan jaringan untuk Windows 365 dan Titik akhir jaringan untuk Intune.

Jika Anda ingin memfilter lalu lintas internet pengguna keluar dengan menggunakan gateway web aman lokal yang sudah ada, Anda dapat mengonfigurasi browser web atau aplikasi lain yang berjalan di kumpulan host Azure Virtual Desktop dengan konfigurasi proksi eksplisit. Misalnya, lihat Cara menggunakan opsi baris perintah Microsoft Azure Stack Edge untuk mengonfigurasikan pengaturan proksi. Pengaturan proksi ini hanya memengaruhi akses internet pengguna akhir Anda, memungkinkan lalu lintas keluar platform Azure Virtual Desktop secara langsung melalui Azure Firewall.

Mengontrol akses pengguna ke web

Admin dapat mengizinkan atau menolak akses pengguna ke berbagai kategori situs web. Tambahkan aturan ke Koleksi Aplikasi Anda dari alamat IP spesifik ke kategori web yang ingin Anda izinkan atau tolak. Tinjau semua kategori web.

Langkah selanjutnya