居家辦公政策要求許多IT組織解決容量��、網(wǎng)絡(luò)、安全和治理的根本變化。許多員工在家工作時(shí)不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境。但是����,您需要一種方法來(lái)保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問(wèn)��。
居家辦公政策要求許多IT組織解決容量�、網(wǎng)絡(luò)、安全和治理的根本變化��。許多員工在家工作時(shí)不受與本地服務(wù)相關(guān)的分層安全政策的保護(hù)����。Azure上的虛擬桌面基礎(chǔ)設(shè)施 (VDI) 部署可以幫助組織快速響應(yīng)這種不斷變化的環(huán)境。但是�����,您需要一種方法來(lái)保護(hù)進(jìn)出這些 VDI 部署的互聯(lián)網(wǎng)訪問(wèn)。
Azure 虛擬桌面(Azure Virtual Desktop���,舊稱Windows Virtual Desktop)是一種在 Azure 中運(yùn)行的綜合桌面和應(yīng)用程序虛擬化服務(wù)。它是唯一提供簡(jiǎn)化管理��、多會(huì)話 Windows 10 的 VDI�,并且針對(duì) Office 365進(jìn)行優(yōu)化。您可以在幾分鐘內(nèi)在 Azure 上部署和縮放 Windows 桌面和應(yīng)用��,并獲得內(nèi)置的安全性和合規(guī)性功能�����。在這篇文章中���,我們探討如何使用Azure 防火墻進(jìn)行安全且經(jīng)濟(jì)高效的 Azure 虛擬桌面保護(hù)�����。
1Azure 虛擬桌面組件
Azure 虛擬桌面服務(wù)以共享責(zé)任模式提供:
客戶管理的RD客戶端從互聯(lián)網(wǎng)上的任何地方����,使用他們喜歡的客戶端設(shè)備連接到Windows 桌面和應(yīng)用程序。
微軟管理的AVD可處理 Azure 中的 RD 客戶端和Windows 虛擬機(jī)器之間的連接(包括 Windows 10 多會(huì)話)�����。
Windows 10 多會(huì)話虛擬計(jì)算機(jī)托管在客戶管理的Azure虛擬網(wǎng)絡(luò)主機(jī)池中����。
Azure虛擬桌面不需要您打開(kāi)任何入站訪問(wèn)您的虛擬網(wǎng)絡(luò)。但是�,為了確保客戶管理的虛擬計(jì)算機(jī)與服務(wù)之間的平臺(tái)連接�,必須啟用一組主機(jī)池虛擬網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接。雖然這些依賴性可以使用網(wǎng)絡(luò)安全組進(jìn)行配置���,但此配置僅限于網(wǎng)絡(luò)級(jí)流量過(guò)濾����。對(duì)于應(yīng)用程序級(jí)別的保護(hù)���,您可以使用Azure 防火墻或第三方網(wǎng)絡(luò)虛擬設(shè)備(Network Virtual Appliance����,NVA)����。有關(guān)部署 NVA 之前要考慮的最佳實(shí)踐�,請(qǐng)參閱部署網(wǎng)絡(luò)虛擬設(shè)備之前要考慮的最佳實(shí)踐�����。
2主機(jī)池出站訪問(wèn) Azure 虛擬桌面
Azure 防火墻是一種以云為本的防火墻��,作為一種服務(wù)(FWaaS)�����,它允許您使用 DevOps 方法集中管理和記錄所有流量����。該服務(wù)支持應(yīng)用程序和網(wǎng)絡(luò)級(jí)過(guò)濾規(guī)則�����,并與 Microsoft 威脅智能(Microsoft ThreatIntelligence)源集成����,用于過(guò)濾已知的惡意 IP 地址和域名。Azure 防火墻具有內(nèi)置自動(dòng)縮放的特性�。
Azure 防火墻提供 Azure虛擬桌面 FQDN 標(biāo)簽����,以簡(jiǎn)化主機(jī)池對(duì) Azure虛擬桌面的出站訪問(wèn)�。使用以下步驟允許出站平臺(tái)流量:
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由 (UDR) 以通過(guò) Azure 防火墻路由所有流量。
部署 Azure 防火墻并配置您的 Azure 虛擬桌面主機(jī)池子網(wǎng)用戶定義路由(UDR)以通過(guò) Azure 防火墻路由所有流量����。
創(chuàng)建應(yīng)用程序規(guī)則集合并添加規(guī)則以啟用WindowsVirtualDesltop(標(biāo)簽名稱仍沿用舊的
WindowsVirtualDesktop)FQDN標(biāo)簽。源 IP 地址范圍是主機(jī)池虛擬網(wǎng)絡(luò)����,協(xié)議是https,目的地是WindowsVirtualDesltop
3主機(jī)池出站訪問(wèn)互聯(lián)網(wǎng)
根據(jù)您的組織需求����,您可能需要為最終用戶啟用安全的出站互聯(lián)網(wǎng)訪問(wèn)��。由于 Azure虛擬桌面會(huì)話在客戶管理的虛擬計(jì)算機(jī)上運(yùn)行�����,因此它們還受制于您的虛擬網(wǎng)絡(luò)安全控制�����。如果允許的目的地列表定義明確(例如Office 365 訪問(wèn)),您可以使用 Azure 防火墻應(yīng)用程序和網(wǎng)絡(luò)規(guī)則來(lái)配置所需的訪問(wèn)���。這樣最終用戶流量會(huì)直接路由到互聯(lián)網(wǎng)���,以獲得最佳性能。
如果您想使用現(xiàn)有的本地安全 Web 網(wǎng)關(guān)過(guò)濾出站用戶互聯(lián)網(wǎng)流量�,您可以將 Azure虛擬桌面主機(jī)池上運(yùn)行的 Web 瀏覽器或其他應(yīng)用程序配置為使用特定的代理。例如���,請(qǐng)參閱如何使用 Microsoft Edge 命令行選項(xiàng)來(lái)配置代理設(shè)置��。這些代理設(shè)置僅影響您的最終用戶互聯(lián)網(wǎng)訪問(wèn)�����,允許直接通過(guò) Azure 防火墻進(jìn)行出站流量���。
4附Azure 虛擬桌面定價(jià)
Azure 虛擬桌面定價(jià)包括兩個(gè)部分:
用戶訪問(wèn)權(quán)限:
許可證權(quán)利:如果擁有符合條件的 Windows���、Microsoft 365 或 Microsoft 遠(yuǎn)程桌面服務(wù) (RDS) 客戶端訪問(wèn)許可證 (CAL),則無(wú)需支付額外費(fèi)用�。
Azure 基礎(chǔ)結(jié)構(gòu)成本
除用戶訪問(wèn)權(quán)限以外,你還需使用 Azure 帳戶來(lái)部署和管理虛擬化環(huán)境�。這些是托管 Azure 虛擬桌面部署通常所需的 Azure 組件。
操作系統(tǒng) (OS) 存儲(chǔ)
數(shù)據(jù)磁盤(pán)(僅限個(gè)人桌面)
用戶配置文件存儲(chǔ)
Azure 虛擬桌面虛擬機(jī) (VM)(包括 Azure 上的 Citrix 云和 VMWare Horizon 云)按 Linux 計(jì)算費(fèi)率收費(fèi)�����,適用于 Windows 10 單會(huì)話����、Windows 10 多會(huì)話和 Windows Server。
5更多信息
有我們上面內(nèi)容的更多信息���,請(qǐng)參閱以下博客�、文檔和視頻關(guān)����。
立即登錄���,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于Azure上云直升機(jī)����,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個(gè)人觀點(diǎn)���,不代表快出海對(duì)觀點(diǎn)贊同或支持���。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號(hào)
