Azure Firewall 사용하여 Windows 365 환경 관리 및 보호
이 문서에서는 Azure Firewall 사용하여 Windows 365 환경을 단순화하고 보호하는 방법을 설명합니다. 여기에 설명된 예제 아키텍처는 직접적이고 최적화된 연결 경로를 통해 필요한 엔드포인트에 대한 낮은 유지 관리 및 자동화된 액세스를 제공합니다. Azure Firewall 네트워크 규칙 및 FQDN(정규화된 도메인 이름) 태그를 사용하여 사용자 환경에서 이 아키텍처 예제를 복제할 수 있습니다.
참고
이 문서는 ANC(Azure 네트워크 연결)를 사용하여 Windows 365 배포하는 고객에게 적용됩니다. 이 문서는 Microsoft 호스팅 네트워크를 사용하는 환경에는 적용되지 않습니다. 각각에 대한 자세한 내용은 Windows 365 네트워킹 배포 옵션을 참조하세요.
Windows 365 서비스에는 중요한 서비스 엔드포인트에 최적화되고 프록시되지 않은 연결이 필요하며, 그 중 상당수는 Microsoft의 인프라 내에 있습니다. 인터넷을 통해 온-프레미스 네트워크를 사용하여 이러한 리소스에 연결하는 것은 비효율적이며 권장되지 않습니다. 이러한 연결은 구성 및 관리가 복잡할 수도 있습니다.
예를 들어 ANC 배포 모델을 사용하는 일부 Windows 365 고객은 ExpressRoute 또는 사이트 간의 VPN을 사용하는 온-프레미스 환경으로 직접 연결할 수 있습니다. 아웃바운드 트래픽은 온-프레미스 트래픽과 동일한 방식으로 기존 프록시 서버를 사용하여 라우팅될 수 있습니다. 이 연결 전략은 Windows 365 환경에 최적화되지 않으며 성능에 상당한 영향을 미칠 가능성이 높습니다.
대신 ANC Windows 365 환경에서 Azure Firewall 사용하여 최적화되고 안전하며 유지 관리가 낮으며 자동화된 액세스를 제공할 수 있습니다.
Windows 365 필요한 엔드포인트
Windows 365 다음 엔드포인트에 액세스해야 합니다.
환경에서 최적화된 연결을 구성할 때 다른 Microsoft 서비스(예: Office 365)에 대한 액세스를 고려할 수도 있습니다.
특정 서비스에 대한 FQDN 태그는 Azure Firewall 간단한 방법으로 이러한 규칙을 구성하고 유지 관리하는 데 도움이 되며 이 문서의 뒷부분에서 설명합니다.
Azure Firewall 및 FQDN 태그를 사용하는 예제 아키텍처
Azure 내에서 네트워킹을 구성하는 방법에는 여러 가지가 있습니다. 여기서는 다음을 사용합니다.
- Azure Firewall 아웃바운드 액세스를 관리하는 단일 VNet입니다.
- VNet을 온-프레미스 환경에 다시 연결하는 ExpressRoute 회로입니다.
이 다이어그램의 트래픽 흐름:
- Contoso 회사 네트워크: 이 온-프레미스 IP 서브넷은 ExpressRoute 게이트웨이를 통해 VNet에 보급됩니다. 이 범위(10.0.0.0/8)에 대한 모든 트래픽은 ExpressRoute 회로를 통해 전송됩니다.
- Windows 365 서브넷의 다른 모든 트래픽은 0.0.0.0/0의 UDR(사용자 정의 경로) 경로를 통해 Azure 방화벽으로 전송됩니다. 다음 홉 IP는 Azure Firewall 개인 IP로 설정됩니다.
- 방화벽에는 애플리케이션 규칙(및 FQDN 태그)과 필요한 Windows 365 엔드포인트에 대해 구성된 네트워크 규칙이 있습니다. 규칙을 준수하는 트래픽은 허용됩니다. 명시적으로 허용되지 않는 다른 트래픽은 차단됩니다.
애플리케이션 규칙 Azure Firewall
다이어그램의 환경은 다음 Azure Firewall 애플리케이션 규칙(설명선 3에 적용됨)을 사용하여 설정되었습니다. Contoso 온-프레미스 서브넷으로 향하는 모든 트래픽은 방화벽으로 전달됩니다. 이러한 규칙을 사용하면 정의된 트래픽이 대상으로 송신할 수 있습니다. Azure Firewall 배포하는 방법에 대한 자세한 내용은 Azure Portal 사용하여 Azure Firewall 배포 및 구성을 참조하세요.
| 규칙 설명 | 대상 유형 | FQDN 태그 이름 | Protocol(프로토콜) | TLS 검사 | 필수/선택 사항 |
|---|---|---|---|---|---|
| FQDN Windows 365 | FQDN 태그 | Windows365 | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 필수 |
| FQDN Intune | FQDN 태그 | MicrosoftIntune | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 필수 |
| FQDN Office 365 | FQDN 태그 | Office365 | HTTP: 80, HTTPS: 443 | 범주를 허용하는 & 최적화에 권장되지 않음 | 선택 사항이지만 권장됨 |
| Windows 업데이트 | FQDN 태그 | WindowsUpdate | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 옵션 |
| Citrix HDX Plus | FQDN 태그 | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 선택 사항(Citrix HDX Plus를 사용하는 경우에만 필요) |
Windows365 태그
Windows365 태그에는 수동으로 입력해야 하는 비표준 포트가 있는 엔드포인트를 제외하고 필요한 AVD(Azure Virtual Desktop) 엔드포인트가 포함됩니다(네트워크 규칙 섹션 참조).
Windows365 태그에는 Intune 포함되지 않습니다. MicrosoftIntune 태그는 별도로 사용할 수 있습니다.
Windows365 FQDN 태그에는 이 문서의 별도 행에 필수 로 나열된 엔드포인트를 제외한 모든 필수 엔드포인트가 포함되어 있으며, 이 엔드포인트는 별도로 구성해야 합니다. FQDN 태그는 서비스 태그와 다릅니다. 예를 들어 WindowsVirtualDesktop 서비스 태그에는 *.wvd.microsoft.com 확인되는 IP 주소만 포함됩니다.
네트워크 규칙
Azure Firewall 현재 FQDN 태그에서 비표준 포트를 처리하지 않습니다. Windows 365 몇 가지 비표준 포트 요구 사항이 있으므로 다음 규칙을 FQDN 태그 외에 네트워크 규칙으로 수동으로 추가해야 합니다.
| 규칙 설명 | 대상 유형 | FQDN/IP | Protocol(프로토콜) | 포트/s | TLS 검사 | 필수/선택 사항 |
|---|---|---|---|---|---|---|
| Windows 정품 인증 | FQDN | azkms.core.windows.net | TCP | 1688 | 권장되지 않음 | 필수 |
| 등록 | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
| TURN을 통한 UDP 연결 | IP | 20.202.0.0/16 | UDP | 3478 | 권장하지 않음 | 필수 |
| TURN 연결 | IP | 20.202.0.0/16 | TCP | 443 | 권장하지 않음 | 필수 |
| 등록 | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | 권장되지 않음 | 필수 |
파트너 보안 솔루션 옵션
Windows 365 환경을 보호하는 다른 방법은 Windows 365 서비스에 필요한 엔드포인트에 액세스하는 자동화된 규칙 집합을 제공하는 파트너 보안 솔루션 옵션입니다. 이러한 옵션은 다음과 같습니다.
- Check Point Software Technologies updatable Objects
다음 단계
Windows 365 아키텍처에 대해 자세히 알아보세요.
FQDNS에 대한 자세한 내용은 FQDN 태그 개요를 참조하세요.
서비스 태그에 대한 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기