Windows 365 ortamlarını yönetmek ve güvenliğini sağlamak için Azure Güvenlik Duvarı kullanma
Bu makalede, Azure Güvenlik Duvarı kullanarak Windows 365 ortamınızı basitleştirme ve koruma açıklanmaktadır. Burada açıklanan örnek mimari, doğrudan ve iyileştirilmiş bir bağlantı yolu aracılığıyla gerekli uç noktalara düşük bakım ve otomatik erişim sağlar. Bu mimari örneğini ortamınızda çoğaltmak için Azure Güvenlik Duvarı ağ kurallarını ve tam etki alanı adı (FQDN) etiketlerini kullanabilirsiniz.
Not
Bu makale, Azure ağ bağlantıları (ANC) ile Windows 365 dağıtan müşteriler için geçerlidir. Bu makale, Microsoft tarafından barındırılan ağları kullanan ortamlar için geçerli değildir. Her bir ağ dağıtımı hakkında daha fazla bilgi için bkz. Windows 365 ağ dağıtım seçenekleri.
Windows 365 hizmeti, çoğu Microsoft'un altyapısında yer alan kritik hizmet uç noktalarına iyileştirilmiş, proksitsiz bağlantı gerektirir. İnternet üzerinden şirket içi ağları kullanarak bu kaynaklara bağlanmak verimli değildir ve önerilmez. Bu tür bağlantıların yapılandırılması ve yönetilmesi de karmaşık olabilir.
Örneğin, ANC dağıtım modelini kullanan bazı Windows 365 müşterilerinin ExpressRoute veya Siteden Siteye VPN kullanan bir şirket içi ortama doğrudan bağlantısı olabilir. Giden trafik, şirket içi trafikle aynı şekilde mevcut bir ara sunucu kullanılarak yönlendirilebilir. Bu bağlantı stratejisi Windows 365 ortamlar için iyileştirilmemiştir ve performansta önemli bir etki yaratma olasılığı vardır.
Bunun yerine, en iyi duruma getirilmiş, güvenli, düşük bakım ve otomatik erişim sağlamak için ANC Windows 365 ortamlarınızla Azure Güvenlik Duvarı kullanabilirsiniz.
Windows 365 için gerekli uç noktalar
Windows 365 aşağıdaki uç noktalara erişim gerektirir:
Ayrıca, ortamdan iyileştirilmiş bağlantıyı yapılandırırken diğer Microsoft hizmetlerine (Office 365 gibi) erişimi de göz önünde bulundurabilirsiniz.
Belirli hizmetlere yönelik FQDN etiketleri, bu kuralların basit bir şekilde yapılandırılmasına ve korunmasına yardımcı olmak amacıyla Azure Güvenlik Duvarı için kullanılabilir ve bu belgenin ilerleyen bölümlerinde ele alınmaktadır.
Azure Güvenlik Duvarı ve FQDN etiketlerini kullanan örnek mimari
Azure'da ağı yapılandırmanın birçok yolu vardır. Burada şunları kullanırız:
- Giden erişimi yönetmeye Azure Güvenlik Duvarı sahip tek bir sanal ağ.
- VNet'i şirket içi ortama geri bağlamak için bir ExpressRoute bağlantı hattı.
Bu diyagramdaki trafik akışı:
- Contoso Kurumsal Ağ: Bu şirket içi IP alt ağı, ExpressRoute ağ geçidi aracılığıyla sanal ağa tanıtılır. Bu aralığa giden tüm trafik (10.0.0.0/8) ExpressRoute bağlantı hattı üzerinden gönderilir.
- Windows 365 alt ağından gelen diğer tüm trafik, 0.0.0.0/0 kullanıcı tanımlı yol (UDR) yoluyla Azure güvenlik duvarına gönderilir. Sonraki atlama IP'si Azure Güvenlik Duvarı özel IP'sine ayarlanır.
- Güvenlik Duvarı'nın uygulama kuralları (ve FQDN etiketleri) ve gerekli Windows 365 uç noktaları için yapılandırılmış ağ kuralları vardır. Kurallara uyan trafiğe izin verilir. Açıkça izin verilmeyen diğer tüm trafik engellenir.
Uygulama kurallarını Azure Güvenlik Duvarı
Diyagramdaki ortam aşağıdaki Azure Güvenlik Duvarı uygulama kuralları kullanılarak ayarlanmıştır (açıklama balonu 3'te uygulanır). Contoso şirket içi alt akını hedefleyen tüm trafik güvenlik duvarına yönlendirilir. Bu kurallar tanımlı trafiğin hedefine çıkışını sağlar. Azure Güvenlik Duvarı dağıtma hakkında daha fazla bilgi için bkz. Azure portal kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.
| Kural Açıklaması | Hedef türü | FQDN etiket adı | Protokol | TLS denetimi | Gerekli/İsteğe Bağlı |
|---|---|---|---|---|---|
| FQDN'leri Windows 365 | FQDN Etiketi | Windows365 | HTTP: 80, HTTPS: 443 | Önerilmez | Gerekli |
| FQDN'leri Intune | FQDN Etiketi | MicrosoftIntune | HTTP: 80, HTTPS: 443 | Önerilmez | Gerekli |
| FQDN'leri Office 365 | FQDN Etiketi | Office365 | HTTP: 80, HTTPS: 443 | İyileştirme & izin ver kategorileri için önerilmez | İsteğe bağlı, ancak önerilir |
| Windows Update | FQDN Etiketi | WindowsUpdate | HTTP: 80, HTTPS: 443 | Önerilmez | İsteğe bağlı |
| Citrix HDX Plus | FQDN Etiketi | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | Önerilmez | İsteğe bağlı (yalnızca Citrix HDX Plus kullanılırken gereklidir) |
Azure Güvenlik Duvarı, İnternet'e giden bağlantı sağlamak için genel IP adresleriyle ilişkilendirilebilir. İlk Genel IP, giden SNAT sağlamak için rastgele seçilir. Sonraki kullanılabilir genel IP, ilk IP'den tüm SNAT bağlantı noktaları tükendikten sonra kullanılır. Yüksek aktarım hızı gerektiren senaryolarda Azure NAT Ağ Geçidi'nin kullanılması önerilir. NAT Gateway giden bağlantıyı dinamik olarak ölçeklendirir ve bir Azure Güvenlik Duvarı ile tümleştirilebilir. Yönergeler için NAT Gateway'i Azure Güvenlik Duvarı ile tümleştirme öğreticisine bakın.
Windows365 etiketi
Windows365 etiketi, el ile girilmesi gereken standart olmayan bağlantı noktalarına sahip uç noktalar dışında gerekli Azure Sanal Masaüstü (AVD) uç noktalarını içerir (Ağ kuralları bölümüne bakın).
Windows365 etiketi Intune içermez. MicrosoftIntune etiketi ayrı olarak kullanılabilir.
Windows365 FQDN etiketi, bu belgenin ayrı satırlarında Gerekli olarak listelenen ve ayrı olarak yapılandırılması gereken uç noktalar dışında tüm gerekli uç noktaları içerir. FQDN etiketleri bir hizmet etiketinden farklıdır. Örneğin, WindowsVirtualDesktop hizmet etiketi yalnızca *.wvd.microsoft.com çözümlediğini IP adreslerini içerir.
Ağ kuralları
Azure Güvenlik Duvarı şu anda FQDN etiketindeki standart olmayan bağlantı noktalarını işlemez. Windows 365 standart olmayan birkaç bağlantı noktası gereksinimi vardır, bu nedenle aşağıdaki kuralların FQDN etiketlerine ek olarak Ağ Kuralları olarak el ile eklenmesi gerekir.
| Kural Açıklaması | Hedef türü | FQDN/IP | Protokol | Bağlantı noktası/sn | TLS denetimi | Gerekli/İsteğe Bağlı |
|---|---|---|---|---|---|---|
| Windows Etkinleştirme | FQDN | azkms.core.windows.net | TCP | 1688 | Önerilmez | Gerekli |
| Kayıt | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | Önerilmez | Gerekli |
| TURN aracılığıyla UDP bağlantısı | IP | 20.202.0.0/16 | UDP | 3478 | Önerilmez | Gerekli |
| TURN bağlantısı | IP | 20.202.0.0/16 | TCP | 443 | Önerilmez | Gerekli |
| Kayıt | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | Önerilmez | Gerekli |
İş ortağı güvenlik çözümü seçenekleri
Windows 365 ortamınızı korumaya yardımcı olmanın diğer yolları, Windows 365 hizmeti için gerekli uç noktalara erişmek için otomatik kural kümeleri sağlayan iş ortağı güvenlik çözümü seçenekleridir. Bu tür seçenekler şunlardır:
- Check Point Yazılım Teknolojileri Güncelleştirilebilir Nesneleri
Sonraki adımlar
Windows 365 mimarisi hakkında daha fazla bilgi edinin.
FQDNS hakkında daha fazla bilgi edinmek için bkz. FQDN etiketlerine genel bakış.
Hizmet etiketleri hakkında daha fazla bilgi edinmek için bkz. Sanal ağ hizmet etiketleri.