使用 Azure 防火墻實(shí)現(xiàn)安全且經(jīng)濟(jì)高效的 Azure 虛擬桌面保護(hù)

來(lái)源: Azure上云直升機(jī)
作者:An Wang
時(shí)間:2021-12-23
14483
居家辦公政策要求許多IT組織解決容量、網(wǎng)絡(luò)、安全和治理的根本變化。許多員工在家工作時(shí)不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境。但是,您需要一種方法來(lái)保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問(wèn)。

居家辦公政策要求許多IT組織解決容量、網(wǎng)絡(luò)、安全和治理的根本變化。許多員工在家工作時(shí)不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境。但是,您需要一種方法來(lái)保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問(wèn)。

Azure 虛擬桌面(Azure Virtual Desktop,舊稱Windows Virtual Desktop)是一種在 Azure 中運(yùn)行的綜合桌面和應(yīng)用程序虛擬化服務(wù)。它是唯一提供簡(jiǎn)化管理、多會(huì)話 Windows 10 的 VDI,并且針對(duì) Office 365進(jìn)行優(yōu)化。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應(yīng)用,并獲得內(nèi)置的安全性和合規(guī)性功能。在這篇文章中,我們探討如何使用Azure 防火墻進(jìn)行安全且經(jīng)濟(jì)高效的 Azure 虛擬桌面保護(hù)。

1Azure 虛擬桌面組件

Azure 虛擬桌面服務(wù)以共享責(zé)任模式提供:

  1. 客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方,使用他們喜歡的客戶端設(shè)備連接到Windows 桌面和應(yīng)用程序。

  2. 微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機(jī)器之間的連接(包括 Windows 10 多會(huì)話)。

  3. Windows 10 多會(huì)話虛擬計(jì)算機(jī)托管在客戶管理的Azure虛擬網(wǎng)絡(luò)主機(jī)池中。

Azure虛擬桌面不需要您打開(kāi)任何入站訪問(wèn)您的虛擬網(wǎng)絡(luò)。但是,為了確保客戶管理的虛擬計(jì)算機(jī)與服務(wù)之間的平臺(tái)連接,必須啟用一組主機(jī)池虛擬網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接。雖然這些依賴性可以使用網(wǎng)絡(luò)安全組進(jìn)行配置,但此配置僅限于網(wǎng)絡(luò)級(jí)流量過(guò)濾。對(duì)于應(yīng)用程序級(jí)別的保護(hù),您可以使用Azure 防火墻或第三方網(wǎng)絡(luò)虛擬設(shè)備(Network Virtual Appliance,NVA)。有關(guān)部署 NVA 之前要考慮的最佳實(shí)踐,請(qǐng)參閱部署網(wǎng)絡(luò)虛擬設(shè)備之前要考慮的最佳實(shí)踐。

2主機(jī)池出站訪問(wèn) Azure 虛擬桌面

Azure 防火墻是一種以云為本的防火墻,作為一種服務(wù)(FWaaS),它允許您使用 DevOps 方法集中管理和記錄所有流量。該服務(wù)支持應(yīng)用程序和網(wǎng)絡(luò)級(jí)過(guò)濾規(guī)則,并與 Microsoft 威脅智能(Microsoft ThreatIntelligence)源集成,用于過(guò)濾已知的惡意 IP 地址和域名。Azure 防火墻具有內(nèi)置自動(dòng)縮放的特性。

Azure 防火墻提供 Azure虛擬桌面 FQDN 標(biāo)簽,以簡(jiǎn)化主機(jī)池對(duì) Azure虛擬桌面的出站訪問(wèn)。使用以下步驟允許出站平臺(tái)流量:

  • 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由 (UDR) 以通過(guò) Azure 防火墻路由所有流量。

  • 部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由(UDR)以通過(guò) Azure 防火墻路由所有流量。

  • 創(chuàng)建應(yīng)用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標(biāo)簽名稱仍沿用舊的

    WindowsVirtualDesktop)FQDN標(biāo)簽。源 IP 地址范圍是主機(jī)池虛擬網(wǎng)絡(luò),協(xié)議是https,目的地是WindowsVirtualDesltop

  • Azure  虛擬桌面主機(jī)池所需的存儲(chǔ)和服務(wù)總線帳戶集都是特定的部署,尚不能捕獲在 Azure 虛擬桌面FQDN 標(biāo)簽中。此外,還需要網(wǎng)絡(luò)規(guī)則集合,以便允許從您的活動(dòng)目錄域服務(wù)(ADDS)部署和 KMS,從虛擬計(jì)算機(jī)訪問(wèn) Windows 激活服務(wù)的 DNS 訪問(wèn)。要配置這些附加依賴項(xiàng)的訪問(wèn)權(quán)限,請(qǐng)參閱使用 Azure 防火墻來(lái)保護(hù)Azure 虛擬桌面部署

3主機(jī)池出站訪問(wèn)互聯(lián)網(wǎng)

根據(jù)您的組織需求,您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問(wèn)。由于 Azure虛擬桌面會(huì)話在客戶管理的虛擬計(jì)算機(jī)上運(yùn)行,因此它們還受制于您的虛擬網(wǎng)絡(luò)安全控制。如果允許的目的地列表定義明確(例如Office 365 訪問(wèn)),您可以使用 Azure 防火墻應(yīng)用程序和網(wǎng)絡(luò)規(guī)則來(lái)配置所需的訪問(wèn)。這樣最終用戶流量會(huì)直接路由到互聯(lián)網(wǎng),以獲得最佳性能。

如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關(guān)過(guò)濾出站用戶互聯(lián)網(wǎng)流量,您可以將 Azure虛擬桌面主機(jī)池上運(yùn)行的 Web 瀏覽器或其他應(yīng)用程序配置為使用特定的代理。例如,請(qǐng)參閱如何使用 Microsoft Edge 命令行選項(xiàng)來(lái)配置代理設(shè)置。這些代理設(shè)置僅影響您的最終用戶互聯(lián)網(wǎng)訪問(wèn),允許直接通過(guò) Azure 防火墻進(jìn)行出站流量。

4附Azure 虛擬桌面定價(jià)

Azure 虛擬桌面定價(jià)包括兩個(gè)部分:

  1. 用戶訪問(wèn)權(quán)限:

    許可證權(quán)利:如果擁有符合條件的 Windows、Microsoft 365 或 Microsoft 遠(yuǎn)程桌面服務(wù) (RDS) 客戶端訪問(wèn)許可證 (CAL),則無(wú)需支付額外費(fèi)用。

  2. Azure 基礎(chǔ)結(jié)構(gòu)成本

    除用戶訪問(wèn)權(quán)限以外,你還需使用 Azure 帳戶來(lái)部署和管理虛擬化環(huán)境。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件。

  • 虛擬機(jī)

  • 存儲(chǔ)

操作系統(tǒng) (OS) 存儲(chǔ)

數(shù)據(jù)磁盤(pán)(僅限個(gè)人桌面)

用戶配置文件存儲(chǔ)

  • 聯(lián)網(wǎng)

Azure 虛擬桌面虛擬機(jī) (VM)(包括 Azure 上的 Citrix 云和 VMWare Horizon 云)按 Linux 計(jì)算費(fèi)率收費(fèi),適用于 Windows 10 單會(huì)話、Windows 10 多會(huì)話和 Windows Server。

5更多信息

有我們上面內(nèi)容的更多信息,請(qǐng)參閱以下博客、文檔和視頻關(guān)。

  • 什么是Azure 虛擬桌面

  • 使用 Azure 防火墻保護(hù)Azure 虛擬桌面部署。

立即登錄,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于Azure上云直升機(jī),本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
Azure Arc為企業(yè)構(gòu)建安全的云基礎(chǔ)
Azure Arc為企業(yè)構(gòu)建安全的云基礎(chǔ)
隨著人工智能技術(shù)持續(xù)重塑企業(yè)運(yùn)營(yíng)方式,企業(yè)需要能夠處理海量數(shù)據(jù)的系統(tǒng),以支持實(shí)時(shí)洞察,同時(shí)幫助他們應(yīng)對(duì)跨IT和OT環(huán)境(包括云端、邊緣和本地)中運(yùn)營(yíng)、應(yīng)用、數(shù)據(jù)和基礎(chǔ)設(shè)施的協(xié)作難題。
Azure
微軟云
云服務(wù)
2024-12-172024-12-17
釋放.NET 9和Azure的AI技術(shù)與云計(jì)算潛力:更快、更智能、面向未來(lái)
釋放.NET 9和Azure的AI技術(shù)與云計(jì)算潛力:更快、更智能、面向未來(lái)
.NET 9現(xiàn)已正式發(fā)布,它為.NET平臺(tái)的發(fā)展掀開(kāi)了嶄新的一頁(yè),突破了性能、云原生開(kāi)發(fā)和AI技術(shù)集成的邊界。
Azure
微軟云
云服務(wù)
2024-12-162024-12-16
Azure網(wǎng)絡(luò)管理現(xiàn)已具備智能Microsoft Copilot副駕駛能力
Azure網(wǎng)絡(luò)管理現(xiàn)已具備智能Microsoft Copilot副駕駛能力
智能Microsoft Copilot副駕駛for Azure網(wǎng)絡(luò)服務(wù)現(xiàn)已推出公共預(yù)覽版。
Azure
微軟云
云服務(wù)
2024-12-102024-12-10
Microsoft Fabric功能更新,借助AI驅(qū)動(dòng)的數(shù)據(jù)平臺(tái)加速應(yīng)用創(chuàng)新
Microsoft Fabric功能更新,借助AI驅(qū)動(dòng)的數(shù)據(jù)平臺(tái)加速應(yīng)用創(chuàng)新
一年前,我們正式推出了一款端到端數(shù)據(jù)平臺(tái),旨在幫助組織推動(dòng)人工智能轉(zhuǎn)型,并重新定義數(shù)據(jù)的連接、管理和分析方式。
Azure
微軟云
云服務(wù)
2024-12-092024-12-09
掃碼登錄
打開(kāi)掃一掃, 關(guān)注公眾號(hào)后即可登錄/注冊(cè)
加載中
二維碼已失效 請(qǐng)重試
刷新
賬號(hào)登錄/注冊(cè)
個(gè)人VIP
小程序
快出海小程序
公眾號(hào)
快出海公眾號(hào)
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家