使用 Azure 防火墻實現(xiàn)安全且經(jīng)濟高效的 Azure 虛擬桌面保護

居家辦公政策要求許多IT組織解決容量、網(wǎng)絡(luò)、安全和治理的根本變化。許多員工在家工作時不受與本地服務(wù)相關(guān)的分層安全政策的保護。Azure上的虛擬桌面基礎(chǔ)設(shè)施 （VDI） 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境。但是，您需要一種方法來保護進出這些 VDI 部署的互聯(lián)網(wǎng)訪問。

Azure 虛擬桌面（Azure Virtual Desktop，舊稱Windows Virtual Desktop）是一種在 Azure 中運行的綜合桌面和應(yīng)用程序虛擬化服務(wù)。它是唯一提供簡化管理、多會話 Windows 10 的 VDI，并且針對 Office 365進行優(yōu)化。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應(yīng)用，并獲得內(nèi)置的安全性和合規(guī)性功能。在這篇文章中，我們探討如何使用Azure 防火墻進行安全且經(jīng)濟高效的 Azure 虛擬桌面保護。

1Azure 虛擬桌面組件

Azure 虛擬桌面服務(wù)以共享責任模式提供：

1. 客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方，使用他們喜歡的客戶端設(shè)備連接到Windows 桌面和應(yīng)用程序。

2. 微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機器之間的連接（包括 Windows 10 多會話）。

3. Windows 10 多會話虛擬計算機托管在客戶管理的Azure虛擬網(wǎng)絡(luò)主機池中。

Azure虛擬桌面不需要您打開任何入站訪問您的虛擬網(wǎng)絡(luò)。但是，為了確保客戶管理的虛擬計算機與服務(wù)之間的平臺連接，必須啟用一組主機池虛擬網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接。雖然這些依賴性可以使用網(wǎng)絡(luò)安全組進行配置，但此配置僅限于網(wǎng)絡(luò)級流量過濾。對于應(yīng)用程序級別的保護，您可以使用Azure 防火墻或第三方網(wǎng)絡(luò)虛擬設(shè)備（Network Virtual Appliance，NVA）。有關(guān)部署 NVA 之前要考慮的最佳實踐，請參閱部署網(wǎng)絡(luò)虛擬設(shè)備之前要考慮的最佳實踐。

2主機池出站訪問 Azure 虛擬桌面

Azure 防火墻是一種以云為本的防火墻，作為一種服務(wù)（FWaaS），它允許您使用 DevOps 方法集中管理和記錄所有流量。該服務(wù)支持應(yīng)用程序和網(wǎng)絡(luò)級過濾規(guī)則，并與 Microsoft 威脅智能（Microsoft ThreatIntelligence）源集成，用于過濾已知的惡意 IP 地址和域名。Azure 防火墻具有內(nèi)置自動縮放的特性。

Azure 防火墻提供 Azure虛擬桌面 FQDN 標簽，以簡化主機池對 Azure虛擬桌面的出站訪問。使用以下步驟允許出站平臺流量：

• 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由 （UDR） 以通過 Azure 防火墻路由所有流量。

• 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機池子網(wǎng)用戶定義路由（UDR）以通過 Azure 防火墻路由所有流量。
  

• 創(chuàng)建應(yīng)用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標簽名稱仍沿用舊的

  WindowsVirtualDesktop)FQDN標簽。源 IP 地址范圍是主機池虛擬網(wǎng)絡(luò)，協(xié)議是https，目的地是WindowsVirtualDesltop

• Azure  虛擬桌面主機池所需的存儲和服務(wù)總線帳戶集都是特定的部署，尚不能捕獲在 Azure 虛擬桌面FQDN 標簽中。此外，還需要網(wǎng)絡(luò)規(guī)則集合，以便允許從您的活動目錄域服務(wù)（ADDS）部署和 KMS，從虛擬計算機訪問 Windows 激活服務(wù)的 DNS 訪問。要配置這些附加依賴項的訪問權(quán)限，請參閱使用 Azure 防火墻來保護Azure 虛擬桌面部署

3主機池出站訪問互聯(lián)網(wǎng)

根據(jù)您的組織需求，您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問。由于 Azure虛擬桌面會話在客戶管理的虛擬計算機上運行，因此它們還受制于您的虛擬網(wǎng)絡(luò)安全控制。如果允許的目的地列表定義明確（例如Office 365 訪問），您可以使用 Azure 防火墻應(yīng)用程序和網(wǎng)絡(luò)規(guī)則來配置所需的訪問。這樣最終用戶流量會直接路由到互聯(lián)網(wǎng)，以獲得最佳性能。

如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關(guān)過濾出站用戶互聯(lián)網(wǎng)流量，您可以將 Azure虛擬桌面主機池上運行的 Web 瀏覽器或其他應(yīng)用程序配置為使用特定的代理。例如，請參閱如何使用 Microsoft Edge 命令行選項來配置代理設(shè)置。這些代理設(shè)置僅影響您的最終用戶互聯(lián)網(wǎng)訪問，允許直接通過 Azure 防火墻進行出站流量。

4附Azure 虛擬桌面定價

Azure 虛擬桌面定價包括兩個部分：

1. 用戶訪問權(quán)限：

   許可證權(quán)利：如果擁有符合條件的 Windows、Microsoft 365 或 Microsoft 遠程桌面服務(wù) (RDS) 客戶端訪問許可證 (CAL)，則無需支付額外費用。

2. Azure 基礎(chǔ)結(jié)構(gòu)成本

   除用戶訪問權(quán)限以外，你還需使用 Azure 帳戶來部署和管理虛擬化環(huán)境。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件。

• 虛擬機

• 存儲

操作系統(tǒng) (OS) 存儲

數(shù)據(jù)磁盤（僅限個人桌面）

用戶配置文件存儲

• 聯(lián)網(wǎng)

Azure 虛擬桌面虛擬機 (VM)（包括 Azure 上的 Citrix 云和 VMWare Horizon 云）按 Linux 計算費率收費，適用于 Windows 10 單會話、Windows 10 多會話和 Windows Server。

5更多信息

有我們上面內(nèi)容的更多信息，請參閱以下博客、文檔和視頻關(guān)。

• 什么是Azure 虛擬桌面

• 使用 Azure 防火墻保護Azure 虛擬桌面部署。