Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호

아티클
12/15/2023

Azure Virtual Desktop은 Azure에서 실행되는 클라우드 VDI(가상 데스크톱 인프라) 서비스입니다. 최종 사용자가 Azure Virtual Desktop에 연결하면 해당 세션은 호스트 풀의 세션 호스트에서 제공됩니다. 호스트 풀은 세션 호스트로 Azure Virtual Desktop에 등록한 Azure 가상 머신의 컬렉션입니다. 이러한 가상 머신은 가상 네트워크에서 실행되고 가상 네트워크 보안 제어 적용 대상입니다. 원활한 작동을 위해 Azure Virtual Desktop 서비스에 대한 아웃바운드 인터넷 액세스가 필요하며, 최종 사용자에 대한 아웃바운드 인터넷 액세스가 필요할 수도 있습니다. Azure Firewall을 통해 사용자 환경을 잠그고 아웃바운드 트래픽을 필터링할 수 있습니다.

이 문서의 지침에 따라 Azure Firewall을 사용하여 Azure Virtual Desktop 호스트 풀에 대한 추가 보호를 제공하세요.

필수 조건

배포된 Azure Virtual Desktop 환경 및 호스트 풀. 자세한 내용은 Azure Virtual Desktop 배포를 참조하세요.
하나 이상의 Firewall Manager 정책을 사용하여 Azure Firewall 배포.
네트워크 규칙에서 FQDN을 사용하기 위해 방화벽 정책에서 사용하도록 설정된 DNS 및 DNS 프록시.

Azure Virtual Desktop 용어에 대해 자세히 알아보려면 Azure Virtual Desktop 용어를 참조하세요.

Azure Virtual Desktop에 대한 호스트 풀 아웃바운드 액세스

Azure Virtual Desktop에 대해 만든 Azure 가상 머신이 제대로 작동하려면 여러 FQDN(정규화된 도메인 이름)에 액세스할 수 있어야 합니다. Azure Firewall은 이 구성을 간소화하기 위해 Azure Virtual Desktop FQDN 태그 WindowsVirtualDesktop을 사용합니다. Azure Firewall 정책을 만들고 네트워크 규칙 및 애플리케이션 규칙에 대한 규칙 컬렉션을 만들어야 합니다. 규칙 컬렉션에 우선 순위와 허용 또는 거부 작업을 지정합니다.

Azure Firewall 정책을 만들고 네트워크 규칙 및 애플리케이션 규칙에 대한 규칙 컬렉션을 만들어야 합니다. 규칙 컬렉션에 우선 순위와 허용 또는 거부 작업을 지정합니다. 아래 표에서 특정 AVD 호스트 풀을 "원본"으로 식별하기 위해 IP 그룹을 만들어 나타낼 수 있습니다.

네트워크 규칙 만들기

다음 표에서는 컨트롤 플레인 및 핵심 종속 서비스에 대한 아웃바운드 액세스를 허용하는 필수 규칙을 나열합니다. 자세한 내용은 Azure Virtual Desktop에 대한 필수 FQDN 및 엔드포인트를 참조하세요.

Azure 클라우드
미국 정부용 Azure

이름	소스 형식	원본	프로토콜	대상 포트	대상 형식	대상
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`login.microsoftonline.com`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	서비스 태그	`WindowsVirtualDesktop`, `AzureFrontDoor.Frontend`, `AzureMonitor`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`gcs.prod.monitoring.core.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP, UDP	53	IP 주소	[사용된 DNS 서버의 주소]
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	1688	IP 주소	`azkms.core.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	1688	IP 주소	`kms.core.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`mrsglobalsteus2prod.blob.core.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`wvdportalstorageblob.blob.core.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	80	FQDN	`oneocsp.microsoft.com`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	80	FQDN	`www.microsoft.com`

이름	소스 형식	원본	프로토콜	대상 포트	대상 형식	대상
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`login.microsoftonline.us`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	서비스 태그	`WindowsVirtualDesktop`, `AzureMonitor`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`gcs.monitoring.core.usgovcloudapi.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP, UDP	53	IP 주소	*
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	1688	IP 주소	`kms.core.usgovcloudapi.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`mrsglobalstugviffx.blob.core.usgovcloudapi.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`wvdportalstorageblob.blob.core.usgovcloudapi.net`
규칙 이름	IP 주소 또는 범위	IP 그룹, VNet 또는 서브넷 IP 주소	TCP	80	FQDN	`ocsp.msocsp.com`

참고 항목

일부 배포에는 DNS 규칙이 필요하지 않을 수 있습니다. 예를 들어 Microsoft Entra Domain Services 도메인 컨트롤러는 DNS 쿼리를 Azure DNS 168.63.129.16으로 전달합니다.

사용 및 시나리오에 따라 선택적 네트워크 규칙을 사용할 수 있습니다.

이름	소스 형식	원본	프로토콜	대상 포트	대상 형식	대상
규칙 이름	IP 주소 또는 범위	IP 그룹 또는 VNet 또는 서브넷 IP 주소	UDP	123	FQDN	`time.windows.com`
규칙 이름	IP 주소 또는 범위	IP 그룹 또는 VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`login.windows.net`
규칙 이름	IP 주소 또는 범위	IP 그룹 또는 VNet 또는 서브넷 IP 주소	TCP	443	FQDN	`www.msftconnecttest.com`

애플리케이션 규칙 만들기

사용 및 시나리오에 따라 선택적 애플리케이션 규칙을 사용할 수 있습니다.

이름	소스 형식	원본	프로토콜	대상 형식	대상
규칙 이름	IP 주소 또는 범위	VNet 또는 서브넷 IP 주소	Https:443	FQDN 태그	`WindowsUpdate`, `Windows Diagnostics`, `MicrosoftActiveProtectionService`
규칙 이름	IP 주소 또는 범위	VNet 또는 서브넷 IP 주소	Https:443	FQDN	`*.events.data.microsoft.com`
규칙 이름	IP 주소 또는 범위	VNet 또는 서브넷 IP 주소	Https:443	FQDN	`*.sfx.ms`
규칙 이름	IP 주소 또는 범위	VNet 또는 서브넷 IP 주소	Https:443	FQDN	`*.digicert.com`
규칙 이름	IP 주소 또는 범위	VNet 또는 서브넷 IP 주소	Https:443	FQDN	`.azure-dns.com`, `.azure-dns.net`

Important

Azure Virtual Desktop에서는 TLS 검사를 사용하지 않는 것이 좋습니다. 자세한 내용은 프록시 서버 지침을 참조하세요.

Azure Firewall 정책 샘플

언급한 모든 필수 및 선택적 규칙은 https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD에 게시된 템플릿을 사용하여 단일 Azure Firewall 정책에 쉽게 배포할 수 있습니다. 프로덕션 환경에 배포하기 전에 정의된 모든 네트워크 및 애플리케이션 규칙을 검토하고 Azure Virtual Desktop 공식 설명서 및 보안 요구 사항과 일치하는지 확인하는 것이 좋습니다.

인터넷에 대한 호스트 풀 아웃바운드 액세스

조직의 요구 사항에 따라 최종 사용자에 대한 보안 아웃바운드 인터넷 액세스를 사용하도록 설정할 수 있습니다. 허용되는 대상 목록이 잘 정의된 경우(예: Microsoft 365 액세스) Azure Firewall 애플리케이션 및 네트워크 규칙을 사용하여 필요한 액세스를 구성할 수 있습니다. 그러면 최상의 성능을 위해 최종 사용자 트래픽을 인터넷으로 직접 라우팅합니다. Windows 365 또는 intune에 대한 네트워크 연결을 허용해야 하는 경우 Windows 365에 대한 네트워크 요구 사항 및 intune의 네트워크 엔드포인트를 참조하세요.

기존 온-프레미스 보안 웹 게이트웨이를 사용하여 아웃바운드 사용자 인터넷 트래픽을 필터링하려는 경우 명시적 프록시 구성을 사용하여 Azure Virtual Desktop 호스트 풀에서 실행되는 웹 브라우저 또는 다른 애플리케이션을 구성할 수 있습니다. 예를 들어 Microsoft Edge 명령줄 옵션을 사용하여 프록시 설정을 구성하는 방법을 참조하세요. 이러한 프록시 설정은 최종 사용자 인터넷 액세스에만 영향을 미치며, Azure Firewall을 통해 직접 Azure Virtual Desktop 플랫폼 아웃바운드 트래픽을 허용합니다.

웹에 대한 사용자 액세스 제어

관리자는 다른 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 특정 IP 주소에서 웹 범주로 허용하거나 거부할 애플리케이션 컬렉션에 대한 규칙을 추가합니다. 모든 웹 범주를 검토합니다.

다음 단계

Azure Virtual Desktop에 대해 자세히 알아보기: Azure Virtual Desktop이란?