Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure

  • Artigo

A Área de Trabalho Virtual do Azure é um serviço de infraestrutura de área de trabalho virtual (VDI) na nuvem que é executado no Azure. Quando um usuário final se conecta à Área de Trabalho Virtual do Azure, sua sessão vem de um host de sessão em um pool de hosts. Um pool de hosts é uma coleção de máquinas virtuais do Azure que se registram na Área de Trabalho Virtual do Azure como hosts de sessão. Essas máquinas virtuais são executadas em sua rede virtual e estão sujeitas aos controles de segurança de rede virtual. Eles precisam de acesso de saída à Internet para o serviço de Área de Trabalho Virtual do Azure para funcionar corretamente e também podem precisar de acesso de saída à Internet para usuários finais. O Firewall do Azure pode ajudá-lo a bloquear seu ambiente e filtrar o tráfego de saída.

Um diagrama mostrando a arquitetura do Firewall do Azure com a Área de Trabalho Virtual do Azure.

Siga as diretrizes neste artigo para fornecer proteção extra para seu pool de hosts da Área de Trabalho Virtual do Azure usando o Firewall do Azure.

Pré-requisitos

  • Um ambiente de Área de Trabalho Virtual do Azure implantado e um pool de hosts. Para obter mais informações, consulte Implantar a Área de Trabalho Virtual do Azure.
  • Um Firewall do Azure implantado com pelo menos uma Política do Gerenciador de Firewall.
  • DNS e Proxy DNS habilitados na Diretiva de Firewall para usar FQDN em Regras de Rede.

Para saber mais sobre a terminologia da Área de Trabalho Virtual do Azure, consulte Terminologia da Área de Trabalho Virtual do Azure.

Acesso de saída do pool de hosts à Área de Trabalho Virtual do Azure

As máquinas virtuais do Azure que você cria para a Área de Trabalho Virtual do Azure devem ter acesso a vários FQDNs (Nomes de Domínio Totalmente Qualificados) para funcionar corretamente. O Firewall do Azure usa a marca WindowsVirtualDesktop FQDN da Área de Trabalho Virtual do Azure para simplificar essa configuração. Você precisará criar uma Política de Firewall do Azure e criar Coleções de Regras para Regras de Rede e Regras de Aplicativos. Dê à Coleção de Regras uma prioridade e uma ação de permissão ou negação .

Você precisa criar regras para cada um dos FQDNs e pontos de extremidade necessários. A lista está disponível em FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure. Para identificar um pool de hosts específico como Origem, você pode criar um Grupo IP com cada host de sessão para representá-lo.

Importante

Recomendamos que você não use a inspeção TLS com a Área de Trabalho Virtual do Azure. Para obter mais informações, consulte as diretrizes do servidor proxy.

Exemplo de política de firewall do Azure

Todas as regras obrigatórias e opcionais mencionadas acima podem ser facilmente implantadas em uma única Política de Firewall do Azure usando o modelo publicado em https://github.com/Azure/RDS-Templates/tree/master/AzureFirewallPolicyForAVD. Antes de implantar em produção, recomendamos revisar todas as regras de rede e aplicativo definidas, garantir o alinhamento com a documentação oficial da Área de Trabalho Virtual do Azure e os requisitos de segurança.

Acesso de saída do pool de hosts à Internet

Dependendo das necessidades da sua organização, convém habilitar o acesso seguro à Internet de saída para seus usuários finais. Se a lista de destinos permitidos estiver bem definida (por exemplo, para acesso ao Microsoft 365), você poderá usar o aplicativo do Firewall do Azure e as regras de rede para configurar o acesso necessário. Isso encaminha o tráfego do usuário final diretamente para a Internet para obter o melhor desempenho. Se precisar de permitir a conectividade de rede para o Windows 365 ou Intune, consulte Requisitos de rede para o Windows 365 e Pontos de extremidade de rede para o Intune.

Se quiser filtrar o tráfego de entrada do usuário pela Internet usando um gateway da Web seguro local existente, você pode configurar navegadores da Web ou outros aplicativos em execução no pool de hosts da Área de Trabalho Virtual do Azure com uma configuração de proxy explícita. Por exemplo, consulte Como usar as opções de linha de comando do Microsoft Edge para definir configurações de proxy. Estas definições de proxy apenas influenciam o acesso à Internet do utilizador final, permitindo o tráfego de saída da plataforma de Ambiente de Trabalho Virtual do Azure diretamente através da Firewall do Azure.

Controlar o acesso do usuário à Web

Os administradores podem permitir ou negar o acesso do usuário a diferentes categorias de sites. Adicione uma regra à sua Coleção de Aplicativos a partir do seu endereço IP específico às categorias da Web que você deseja permitir ou negar. Analise todas as categorias da web.

Próximo passo