Uso de Azure Firewall para administrar y proteger entornos de Windows 365
En este artículo se explica cómo simplificar y proteger el entorno de Windows 365 mediante Azure Firewall. La arquitectura de ejemplo que se explica aquí proporciona un mantenimiento bajo y acceso automatizado a los puntos de conexión necesarios a través de una ruta de conexión directa y optimizada. Puede usar Azure Firewall reglas de red y etiquetas de nombre de dominio completo (FQDN) para replicar este ejemplo de arquitectura en el entorno.
Nota:
Este artículo se aplica a los clientes que implementan Windows 365 con conexiones de red de Azure (ANC). Este artículo no se aplica a los entornos que usan redes hospedadas por Microsoft. Para obtener más información sobre cada una de ellas, consulte Windows 365 opciones de implementación de redes.
El servicio Windows 365 requiere conectividad optimizada y no proxy a puntos de conexión de servicio críticos, muchos de los cuales residen en la infraestructura de Microsoft. La conexión a estos recursos mediante redes locales a través de Internet es ineficaz y no se recomienda. Estas conexiones también pueden ser complejas de configurar y administrar.
Por ejemplo, algunos Windows 365 clientes que usan el modelo de implementación de ANC podrían tener una conexión directa a un entorno local que use ExpressRoute o VPN de sitio a sitio. El tráfico saliente se puede enrutar mediante un servidor proxy existente de la misma manera que el tráfico local. Esta estrategia de conexión no está optimizada para Windows 365 entornos y es probable que produzca un impacto significativo en el rendimiento.
En su lugar, puede usar Azure Firewall con los entornos de Windows 365 de ANC para proporcionar acceso optimizado, seguro, de bajo mantenimiento y automatizado.
Puntos de conexión necesarios para Windows 365
Windows 365 requiere acceso a los siguientes puntos de conexión:
También puede considerar el acceso a otros servicios de Microsoft (como Office 365) al configurar la conectividad optimizada desde el entorno.
Las etiquetas FQDN de determinados servicios están disponibles para Azure Firewall para ayudar a configurar y mantener estas reglas de forma sencilla y se describen más adelante en este documento.
Arquitectura de ejemplo con etiquetas de Azure Firewall y FQDN
Hay muchas maneras de configurar redes en Azure. Aquí usamos:
- Una sola red virtual con Azure Firewall administrar el acceso saliente.
- Un circuito ExpressRoute para volver a conectar la red virtual al entorno local.
El flujo de tráfico de este diagrama:
- Red corporativa de Contoso: esta subred IP local se anuncia en la red virtual a través de la puerta de enlace de ExpressRoute. Todo el tráfico a este intervalo (10.0.0.0/8) se envía a través del circuito ExpressRoute.
- El resto del tráfico de la subred Windows 365 se envía al firewall de Azure a través de una ruta definida por el usuario (UDR) de 0.0.0.0/0. La dirección IP del próximo salto se establece en la dirección IP privada del Azure Firewall.
- El firewall tiene reglas de aplicación (y etiquetas FQDN) y reglas de red configuradas para el Windows 365 puntos de conexión necesarios. Se permite el tráfico que cumple con las reglas. Se bloquea cualquier otro tráfico no permitido explícitamente.
Azure Firewall reglas de aplicación
El entorno del diagrama se configuró mediante las siguientes reglas de aplicación de Azure Firewall (aplicadas en la llamada 3). Todo el tráfico no destinado a la subred local de Contoso se dirige al firewall. Estas reglas permiten al tráfico definido salir a su destino. Para obtener más información sobre la implementación de Azure Firewall, consulte Implementación y configuración de Azure Firewall mediante el Azure Portal.
| Descripción de la regla | Tipo de destino | Nombre de etiqueta FQDN | Protocolo | Inspección de TLS | Obligatorio/opcional |
|---|---|---|---|---|---|
| FQDN de Windows 365 | Etiqueta FQDN | Windows365 | HTTP: 80, HTTPS: 443 | No recomendado | Obligatorio |
| FQDN de Intune | Etiqueta FQDN | MicrosoftIntune | HTTP: 80, HTTPS: 443 | No recomendado | Obligatorio |
| FQDN de Office 365 | Etiqueta FQDN | Office365 | HTTP: 80, HTTPS: 443 | No se recomienda optimizar & permitir categorías | Opcional, pero recomendado. |
| Windows Update | Etiqueta FQDN | WindowsUpdate | HTTP: 80, HTTPS: 443 | No recomendado | Opcional |
| Citrix HDX Plus | Etiqueta FQDN | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | No recomendado | Opcional (solo se requiere cuando se usa Citrix HDX Plus) |
Etiqueta de Windows365
La etiqueta Windows365 incluye los puntos de conexión de Azure Virtual Desktop (AVD) necesarios, excepto los puntos de conexión con puertos no estándar que deben especificarse manualmente (consulte la sección Reglas de red).
La etiqueta Windows365 no incluye Intune. La etiqueta MicrosoftIntune se puede usar por separado.
La etiqueta FQDN de Windows365 incluye todos los puntos de conexión necesarios, excepto los puntos de conexión que aparecen como Obligatorios en filas independientes de este documento, que se deben configurar por separado. Las etiquetas FQDN son diferentes de las etiquetas de servicio. Por ejemplo, la etiqueta de servicio WindowsVirtualDesktop solo incluye las direcciones IP en las que *.wvd.microsoft.com resuelve.
Reglas de red
Azure Firewall no controla actualmente los puertos no estándar en una etiqueta FQDN. Windows 365 tiene algunos requisitos de puerto no estándar, por lo que las reglas siguientes se deben agregar manualmente como reglas de red además de las etiquetas FQDN.
| Descripción de la regla | Tipo de destino | FQDN/IP | Protocolo | Puerto/s | Inspección de TLS | Obligatorio/opcional |
|---|---|---|---|---|---|---|
| Activación de Windows | FQDN | azkms.core.windows.net | TCP | 1688 | No recomendado | Obligatorio |
| Registro | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Registro | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | No recomendado | Obligatorio |
| Conectividad UDP a través de TURN | IP | 20.202.0.0/16 | UDP | 3478 | No se recomienda | Obligatorio |
| Conectividad TURN | IP | 20.202.0.0/16 | TCP | 443 | No se recomienda | Obligatorio |
| Registro | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | No recomendado | Obligatorio |
Opciones de la solución de seguridad de asociados
Otras formas de ayudar a proteger el entorno de Windows 365 son las opciones de solución de seguridad de asociados que proporcionan conjuntos de reglas automatizados para acceder a los puntos de conexión necesarios para el servicio Windows 365. Estas opciones incluyen:
- Check Point objetos actualizables de tecnologías de software
Pasos siguientes
Obtenga más información sobre Windows 365 arquitectura.
Para más información sobre FQDNS, consulte Introducción a las etiquetas FQDN.
Para más información sobre las etiquetas de servicio, consulte Etiquetas de servicio de red virtual.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de