Použití Azure Firewall ke správě a zabezpečení prostředí Windows 365
Tento článek vysvětluje, jak zjednodušit a chránit prostředí Windows 365 pomocí Azure Firewall. Zde popsaná ukázková architektura poskytuje nízkou údržbu a automatizovaný přístup k požadovaným koncovým bodům prostřednictvím přímé a optimalizované cesty připojení. K replikaci tohoto příkladu architektury ve vašem prostředí můžete použít Azure Firewall pravidel sítě a plně kvalifikovaných značek názvu domény (FQDN).
Poznámka
Tento článek se týká zákazníků, kteří nasazují Windows 365 se síťovými připojeními Azure (ANC). Tento článek se nevztahuje na prostředí, která používají sítě hostované Microsoftem. Další informace o jednotlivých možnostech najdete v tématu Windows 365 možnosti nasazení sítě.
Služba Windows 365 vyžaduje optimalizované, nexidované připojení ke klíčovým koncovým bodům služby, z nichž mnohé se nacházejí v infrastruktuře Microsoftu. Připojení k těmto prostředkům pomocí místních sítí přes internet je neefektivní a nedoporučuje se. Tato připojení mohou být také složitá při konfiguraci a správě.
Například někteří zákazníci Windows 365, kteří používají model nasazení ANC, můžou mít přímé připojení zpět k místnímu prostředí, které používá ExpressRoute nebo VPN typu site-to-site. Odchozí provoz může být směrován pomocí existujícího proxy serveru stejným způsobem jako místní provoz. Tato strategie připojení není optimalizovaná pro Windows 365 prostředí a pravděpodobně bude mít významný dopad na výkon.
Místo toho můžete použít Azure Firewall s prostředími Windows 365 ANC k zajištění optimalizovaného, zabezpečeného a automatizovaného přístupu s nízkou údržbou.
Požadované koncové body pro Windows 365
Windows 365 vyžaduje přístup k následujícím koncovým bodům:
Při konfiguraci optimalizovaného připojení z prostředí můžete také zvážit přístup k dalším službám Microsoftu (například Office 365).
Značky plně kvalifikovaného názvu domény pro určité služby jsou k dispozici pro Azure Firewall, které vám pomůžou tato pravidla jednoduše nakonfigurovat a udržovat, a jsou popsány dále v tomto dokumentu.
Příklad architektury využívající značky Azure Firewall a plně kvalifikovaný název domény
Sítě v rámci Azure je možné nakonfigurovat mnoha způsoby. Tady používáme:
- Jedna virtuální síť s Azure Firewall správou odchozího přístupu.
- Okruh ExpressRoute pro připojení virtuální sítě zpět k místnímu prostředí
Tok provozu v tomto diagramu:
- Podniková síť Contoso: Tato místní podsíť PROTOKOLU IP se inzeruje do virtuální sítě prostřednictvím brány ExpressRoute. Veškerý provoz do tohoto rozsahu (10.0.0.0/8) se odesílá prostřednictvím okruhu ExpressRoute.
- Veškerý ostatní provoz z podsítě Windows 365 se odesílá do brány Azure Firewall přes trasu definovanou uživatelem (UDR) 0.0.0.0/0. IP adresa dalšího segmentu směrování je nastavená na privátní IP adresu Azure Firewall.
- Brána firewall má nakonfigurovaná pravidla aplikace (a značky plně kvalifikovaného názvu domény) a pravidla sítě pro Windows 365 požadované koncové body. Provoz, který je v souladu s pravidly, je povolený. Všechny ostatní přenosy, které nejsou explicitně povoleny, se zablokují.
Azure Firewall pravidla aplikace
Prostředí v diagramu bylo nastaveno pomocí následujících Azure Firewall pravidel aplikace (použitých v bublinovém popisku 3). Veškerý provoz, který není určený pro místní podsíť Contoso, se směruje do brány firewall. Tato pravidla umožňují, aby definovaný provoz odcháděl do cíle. Další informace o nasazení Azure Firewall najdete v tématu Nasazení a konfigurace Azure Firewall pomocí Azure Portal.
| Popis pravidla | Typ cíle | Název značky plně kvalifikovaného názvu domény | Protocol (Protokol) | Kontrola protokolu TLS | Povinné/volitelné |
|---|---|---|---|---|---|
| plně kvalifikované názvy domén Windows 365 | Značka plně kvalifikovaného názvu domény | Windows365 | HTTP: 80, HTTPS: 443 | Nedoporučuje se | Povinný |
| plně kvalifikované názvy domén Intune | Značka plně kvalifikovaného názvu domény | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Nedoporučuje se | Povinný |
| plně kvalifikované názvy domén Office 365 | Značka plně kvalifikovaného názvu domény | Office365 | HTTP: 80, HTTPS: 443 | Nedoporučujeme optimalizovat kategorie & povolit | Volitelné, ale doporučené |
| Windows Update | Značka plně kvalifikovaného názvu domény | WindowsUpdate | HTTP: 80, HTTPS: 443 | Nedoporučuje se | Nepovinný |
| Citrix HDX Plus | Značka plně kvalifikovaného názvu domény | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Nedoporučuje se | Volitelné (povinné pouze při použití Citrix HDX Plus) |
Azure Firewall je možné přidružit k veřejným IP adres, aby bylo možné poskytovat odchozí připojení k internetu. První veřejná IP adresa je vybraná náhodně, aby poskytovala odchozí SNAT. Další dostupná veřejná IP adresa se použije po vyčerpání všech portů SNAT z první IP adresy. Ve scénářích, které vyžadují vysokou propustnost, se doporučuje využít službu Azure NAT Gateway. SLUŽBA NAT Gateway dynamicky škáluje odchozí připojení a dá se integrovat s Azure Firewall. Pokyny najdete v kurzu integrace služby NAT Gateway s Azure Firewall.
Značka Windows365
Značka Windows365 obsahuje požadované koncové body služby Azure Virtual Desktop (AVD), s výjimkou koncových bodů s nestandardními porty, které je potřeba zadat ručně (viz část Pravidla sítě).
Značka Windows365 neobsahuje Intune. Značku MicrosoftIntune je možné použít samostatně.
Značka plně kvalifikovaného názvu domény Windows365 obsahuje všechny požadované koncové body s výjimkou koncových bodů uvedených jako Povinné v samostatných řádcích tohoto dokumentu, které je potřeba nakonfigurovat samostatně. Značky plně kvalifikovaného názvu domény se liší od značky služby. Například značka služby WindowsVirtualDesktop obsahuje pouze IP adresy, na které se překládá *.wvd.microsoft.com.
Pravidla sítě
Azure Firewall momentálně nezpracovává nestandardní porty ve značce FQDN. Windows 365 má několik nestandardních požadavků na port, takže kromě značek plně kvalifikovaného názvu domény je potřeba přidat následující pravidla ručně jako pravidla sítě.
| Popis pravidla | Typ cíle | Plně kvalifikovaný název domény nebo IP adresa | Protocol (Protokol) | Port/s | Kontrola protokolu TLS | Povinné/volitelné |
|---|---|---|---|---|---|---|
| Aktivace Windows | FQDN | azkms.core.windows.net | TCP | 1688 | Nedoporučuje se | Povinný |
| Registrace | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Nedoporučuje se | Povinný |
| Připojení UDP přes TURN | IP adresa | 20.202.0.0/16 | Protokol udp | 3478 | Nedoporučuje se | Povinný |
| TURN connectivity | IP adresa | 20.202.0.0/16 | TCP | 443 | Nedoporučuje se | Povinný |
| Registrace | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Nedoporučuje se | Povinný |
Možnosti řešení zabezpečení partnerů
Dalšími způsoby ochrany prostředí Windows 365 jsou možnosti řešení zabezpečení partnerů, které poskytují automatizované sady pravidel pro přístup k požadovaným koncovým bodům pro službu Windows 365. Mezi tyto možnosti patří:
- Check Point aktualizovatelné objekty softwarových technologií
Další kroky
Přečtěte si další informace o architektuře Windows 365.
Další informace o plně kvalifikovaném názvu domény najdete v tématu Přehled značek plně kvalifikovaných názvů domén.
Další informace o značkách služeb najdete v tématu Značky služeb virtuální sítě.