Acceso seguro a la red
Como se describió anteriormente, Azure Virtual Desktop es una oferta de servicio compartido. Microsoft administra partes del servicio en nombre del cliente y proporciona puntos de conexión seguros para conectar clientes y anfitriones de sesión.
Azure Virtual Desktop usa el Protocolo de escritorio remoto (RDP) para proporcionar visualización remota y capacidades de entrada a través de conexiones de red. El flujo de datos de conexión para Azure Virtual Desktop se inicia con una búsqueda DNS del centro de datos de Azure más cercano.
- Cuando se autentica en Microsoft Entra ID, se devuelve un token al cliente de Servicios de Escritorio remoto.
- La puerta de enlace comprueba el token con el agente de conexión.
- El agente consulta la base de datos de Azure SQL para obtener los recursos asignados al usuario.
- La puerta de enlace y el agente seleccionan el host de sesión del cliente conectado.
- El host de sesión crea una conexión inversa al cliente mediante la puerta de enlace de Azure Virtual Desktop.
No se abre ningún puerto de entrada. En esta versión, la puerta de enlace actúa como un proxy inverso inteligente. La puerta de enlace administra toda la conectividad de sesión, con solo píxeles que lleguen al cliente. La imagen siguiente muestra el proceso de conexión en cinco pasos para Azure Virtual Desktop que se ejecuta en Azure.
Limitar el tráfico de Azure Virtual Desktop con las etiquetas de servicio de NSG.
Las etiquetas de servicio simplifican la seguridad para las máquinas virtuales de Azure. Como las redes virtuales de Azure se usan en una implementación de Azure Virtual Desktop, las etiquetas de servicio hacen que sea más fácil restringir el acceso a la red solo a los servicios de Azure. Puede usar etiquetas de servicio en las reglas del grupo de seguridad de red (NSG) para permitir o denegar el tráfico a un servicio de Azure específico globalmente o por región de Azure.
NSG
Un NSG es un conjunto de reglas de seguridad que conceden o deniegan flujo de tráfico de red hacia o desde los recursos de Azure. Cada regla puede especificar las propiedades siguientes: nombre, prioridad, origen o destino, protocolo, dirección, rango de puertos y acción. Los NSG son un servicio de seguridad de red de nivel 3 y 4.
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure. Ayuda a minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red. Microsoft administra los prefijos de dirección que incluye la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones. Un administrador de Azure no puede crear su propia etiqueta de servicio ni especificar qué direcciones IP están incluidas en una etiqueta.
Use etiquetas de servicio dentro de sus reglas NSG para ajustar el tráfico de red al servicio de Azure Virtual Desktop de Azure de forma global o regional. Puede usar etiquetas de servicio de Azure Firewall en el campo Destino de reglas de red. Puede usarlas en lugar de direcciones IP específicas.
Azure Firewall para protección de nivel de aplicación
Las máquinas virtuales que están en el grupo de host de Azure Virtual Desktop están sujetas a controles de seguridad de red virtual. Necesitan el acceso a Internet de salida al servicio de Azure Virtual Desktop para funcionar correctamente. Es posible que también necesiten acceso a Internet de salida para los usuarios. Puede usar Azure Firewall para bloquear su entorno y filtrar el tráfico saliente.
Para funcionar correctamente, los hosts de Azure Virtual Desktop necesitan tener acceso a nombres de dominio completos (FQDN). Azure Firewall proporciona una etiqueta de FQDN de Azure Virtual Desktop para simplificar esta configuración.
Los pasos para permitir el tráfico de salida y configurar las reglas de firewall están más allá del ámbito de este módulo. En el resumen de este módulo se incluyen vínculos para obtener más información.