Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호

  • 아티클

Azure Virtual Desktop은 Azure에서 실행되는 클라우드 VDI(가상 데스크톱 인프라) 서비스입니다. 최종 사용자가 Azure Virtual Desktop에 연결하면 해당 세션은 호스트 풀의 세션 호스트에서 제공됩니다. 호스트 풀은 세션 호스트로 Azure Virtual Desktop에 등록한 Azure 가상 머신의 컬렉션입니다. 이러한 가상 머신은 가상 네트워크에서 실행되고 가상 네트워크 보안 제어 적용 대상입니다. 원활한 작동을 위해 Azure Virtual Desktop 서비스에 대한 아웃바운드 인터넷 액세스가 필요하며, 최종 사용자에 대한 아웃바운드 인터넷 액세스가 필요할 수도 있습니다. Azure Firewall을 통해 사용자 환경을 잠그고 아웃바운드 트래픽을 필터링할 수 있습니다.

Azure Virtual Desktop을 사용한 Azure Firewall의 아키텍처를 보여 주는 다이어그램.

이 문서의 지침에 따라 Azure Firewall을 사용하여 Azure Virtual Desktop 호스트 풀에 대한 추가 보호를 제공하세요.

필수 조건

  • 배포된 Azure Virtual Desktop 환경 및 호스트 풀. 자세한 내용은 Azure Virtual Desktop 배포를 참조하세요.
  • 하나 이상의 Firewall Manager 정책을 사용하여 Azure Firewall 배포.
  • 네트워크 규칙에서 FQDN을 사용하기 위해 방화벽 정책에서 사용하도록 설정된 DNS 및 DNS 프록시.

Azure Virtual Desktop 용어에 대해 자세히 알아보려면 Azure Virtual Desktop 용어를 참조하세요.

Azure Virtual Desktop에 대한 호스트 풀 아웃바운드 액세스

Azure Virtual Desktop에 대해 만든 Azure 가상 머신이 제대로 작동하려면 여러 FQDN(정규화된 도메인 이름)에 액세스할 수 있어야 합니다. Azure Firewall은 이 구성을 간소화하기 위해 Azure Virtual Desktop FQDN 태그 WindowsVirtualDesktop을 사용합니다. Azure Firewall 정책을 만들고 네트워크 규칙 및 애플리케이션 규칙에 대한 규칙 컬렉션을 만들어야 합니다. 규칙 컬렉션에 우선 순위와 허용 또는 거부 작업을 지정합니다.

필요한 각 FQDN 및 엔드포인트에 대한 규칙을 만들어야 합니다. 목록은 Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에서 확인할 수 있습니다. 특정 호스트 풀을 원본로 식별하려면 이를 나타내는 각 세션 호스트로 IP 그룹을 만들 수 있습니다.

Important

Azure Virtual Desktop에서는 TLS 검사를 사용하지 않는 것이 좋습니다. 자세한 내용은 프록시 서버 지침을 참조하세요.

Azure Firewall 정책 샘플

위에서 언급한 모든 필수 및 선택적 규칙은 https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD에 게시된 템플릿을 사용하여 단일 Azure Firewall 정책에 쉽게 배포할 수 있습니다. 프로덕션 환경에 배포하기 전에 정의된 모든 네트워크 및 애플리케이션 규칙을 검토하고 Azure Virtual Desktop 공식 설명서 및 보안 요구 사항과 일치하는지 확인하는 것이 좋습니다.

인터넷에 대한 호스트 풀 아웃바운드 액세스

조직의 요구 사항에 따라 최종 사용자에 대한 보안 아웃바운드 인터넷 액세스를 사용하도록 설정할 수 있습니다. 허용되는 대상 목록이 잘 정의된 경우(예: Microsoft 365 액세스) Azure Firewall 애플리케이션 및 네트워크 규칙을 사용하여 필요한 액세스를 구성할 수 있습니다. 그러면 최상의 성능을 위해 최종 사용자 트래픽을 인터넷으로 직접 라우팅합니다. Windows 365 또는 intune에 대한 네트워크 연결을 허용해야 하는 경우 Windows 365에 대한 네트워크 요구 사항intune의 네트워크 엔드포인트를 참조하세요.

기존 온-프레미스 보안 웹 게이트웨이를 사용하여 아웃바운드 사용자 인터넷 트래픽을 필터링하려는 경우 명시적 프록시 구성을 사용하여 Azure Virtual Desktop 호스트 풀에서 실행되는 웹 브라우저 또는 다른 애플리케이션을 구성할 수 있습니다. 예를 들어 Microsoft Edge 명령줄 옵션을 사용하여 프록시 설정을 구성하는 방법을 참조하세요. 이러한 프록시 설정은 최종 사용자 인터넷 액세스에만 영향을 미치며, Azure Firewall을 통해 직접 Azure Virtual Desktop 플랫폼 아웃바운드 트래픽을 허용합니다.

웹에 대한 사용자 액세스 제어

관리자는 다른 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 특정 IP 주소에서 웹 범주로 허용하거나 거부할 애플리케이션 컬렉션에 대한 규칙을 추가합니다. 모든 웹 범주를 검토합니다.

다음 단계