Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する
Azure Virtual Desktop 環境で許可されていないネットワーク トラフィックを防ぐために、Azure Firewall を使用してネットワーク トラフィックを制限できます。 このユニットでは、Azure Firewall でこのトラフィックをフィルター処理する方法を説明します。
Azure Firewall とは
Azure Firewall は、Azure 仮想ネットワークのリソースを、受信および送信に伴う脅威から保護するクラウドベースのマネージド ネットワーク セキュリティ サービスであることを思い起こしてください。 Azure Firewall は、ハブ仮想ネットワーク内にプロビジョニングされます。 スポーク仮想ネットワークとオンプレミス ネットワークとの間のトラフィックは、ハブ ネットワーク内のファイアウォールを通過します。
インターネットとの間のトラフィックは、既定ではすべて拒否されます。 トラフィックが許可されるのは、構成されているファイアウォール規則などのさまざまなテストに合格した場合のみです。
Azure Firewall は、インターネットとの間のトラフィックに対してだけでなく、内部的にも機能します。 内部トラフィックのフィルター処理には、スポーク間のトラフィックと、オンプレミス ネットワークおよび Azure 仮想ネットワーク間のハイブリッド クラウド トラフィックが含まれます。
Azure Virtual Desktop とは
Azure Virtual Desktop は、クラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。 Azure Virtual Desktop は、リモートのデスクトップやアプリへのアクセスに使用できるアプリを備えた Windows、Mac、iOS、Android、Linux などのデバイスで動作します。 また、ほとんどの最新のブラウザーを使用して、Azure Virtual Desktop でホストされているエクスペリエンスにアクセスすることもできます。
Azure Firewall が Azure Virtual Desktop のトラフィックをフィルター処理する方法
エンド ユーザーが Azure Virtual Desktop 仮想マシンに接続すると、その仮想マシンはホスト プールに属することになります。 ホスト プールとは、Azure Virtual Desktop サービスにセッション ホストとして登録する Azure 仮想マシン (VM) のコレクションです。 これらの VM は Azure 仮想ネットワーク内で実行され、仮想ネットワークのセキュリティ制御の対象となります。
Azure Virtual Desktop を機能させるには、ホスト プールに Azure Virtual Desktop サービスへの送信インターネット アクセスが必要になります。 ホスト プールには、ユーザーの送信インターネット アクセスも必要になる場合があります。 Azure Firewall を使用して、環境をロックダウンしたり、送信ネットワーク トラフィックをフィルター処理したりすることができます。
次の図は、Azure Firewall が Azure Virtual Desktop サービスとホスト プールのトラフィックをフィルター処理するしくみを示しています。
次の表で、図のラベルについて説明します。
| Label | 説明 |
|---|---|
| A | Azure Virtual Desktop サービスへのホスト プールの送信ネットワーク アクセスは、Azure Firewall によってフィルター処理されます。 |
| B | アプリケーションとネットワークのファイアウォール規則および脅威インテリジェンスで、ホスト プール仮想ネットワークからのユーザー送信アクセスをフィルター処理します。 |
| C | ファイアウォールとオンプレミス間のトラフィックがフィルター処理されます。 Azure Firewall で、オンプレミス プロキシにユーザー トラフィックも送信できます。 |