Azure Virtual Desktop에 대한 아웃바운드 네트워크 액세스 허용
Azure Virtual Desktop과 같은 워크로드를 보호하기 위해 Azure Firewall 배포를 계획하는 경우 적절한 네트워크 트래픽을 허용하기 위해 배포할 규칙을 알아야 합니다.
회계 회사의 예에서 Azure Virtual Desktop 환경에는 권한 없는 네트워크 트래픽이 있을 수 없습니다. Azure Firewall을 사용하여 Azure Virtual Desktop에 대한 아웃바운드 네트워크 트래픽을 제한하려고 합니다.
Azure Virtual Desktop이 작동하려면 호스트 풀에 Azure Virtual Desktop 서비스에 대한 아웃바운드 인터넷 액세스가 필요합니다. 또한 호스트 풀에는 사용자에 대한 아웃바운드 인터넷 액세스도 필요할 수 있습니다.
방화벽 규칙 만들기
Azure Virtual Desktop에 적절한 네트워크 트래픽을 허용하려면 애플리케이션 및 네트워크 방화벽 규칙을 만들어야 합니다. Azure Virtual Desktop 및 지원 서비스에 대한 호스트 풀 아웃바운드 네트워크 액세스를 허용해야 합니다. 조직의 요구 사항에 따라 최종 사용자에 대한 보안 아웃바운드 인터넷 액세스를 사용하도록 설정할 수 있습니다.
애플리케이션 규칙 구성
Azure Virtual Desktop에 대한 호스트 풀 아웃바운드 네트워크 액세스를 허용하려면 다음 두 가지 규칙을 사용하여 애플리케이션 규칙 컬렉션을 만듭니다.
| 규칙 | 설명 |
|---|---|
| Azure Virtual Desktop 허용 | WindowsVirtualDesktop FQDN 태그를 사용하여 호스트 풀 가상 네트워크의 트래픽을 허용합니다. |
| 스토리지 및 서비스 버스 계정 허용 | 대상 FQDN을 사용하여 호스트 풀에서 사용하는 스토리지 및 서비스 버스 계정 세트에 대한 호스트 풀 가상 네트워크의 액세스를 허용합니다. 와일드카드 FQDN을 사용하여 필요한 액세스를 사용하도록 설정하거나 더 자세히 제한하기 위해 정확한 FQDN을 추가합니다. |
다음 표에는 스토리지 및 서비스 버스 계정을 허용하는 규칙을 만드는 데 사용할 수 있는 대상 옵션이 나와 있습니다.
| 옵션 | 사용할 FQDN |
|---|---|
| 와일드카드 FQDN | *xt.blob.core.windows.net, *eh.servicebus.windows.net |
| 정확한 FQDN | Azure Monitor 로그에서 다음 Log Analytics 쿼리를 사용하여 호스트 풀에서 사용하는 정확한 필수 FQDN을 나열합니다. |
AzureDiagnostics
| where Category == "AzureFirewallApplicationRule"
| search "Deny"
| search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
| parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
| project TimeGenerated,Protocol,FQDN
두 규칙을 모두 추가하면 규칙 컬렉션이 다음 스크린샷과 비슷합니다.
다음 연습에서는 애플리케이션 규칙 컬렉션을 만드는 특정 단계를 안내합니다.
네트워크 규칙 구성
Azure Virtual Desktop이 작동하도록 허용하려면 DNS 및 Windows 활성화 서비스에 대한 Azure Firewall 규칙을 추가해야 합니다.
네트워크 규칙 컬렉션을 만들고, 다음 규칙을 추가합니다.
| 규칙 | 설명 |
|---|---|
| DNS 허용 | 53 TCP 및 UDP 포트에 대해 Active Directory 도메인 서버 개인 IP 주소에서 *로의 트래픽을 허용합니다. 일부 배포에는 DNS 규칙이 필요하지 않을 수 있습니다. 예를 들어, Microsoft Entra Domain Services는 DNS 쿼리를 168.63.129.16의 Azure DNS로 전달합니다. |
| KMS 허용 | Azure Virtual Desktop VM에서 Windows 활성화 서비스 1688 TCP 포트로의 트래픽을 허용합니다. |
두 네트워크 규칙을 모두 추가하면 규칙 컬렉션이 다음 스크린샷과 비슷합니다.
다음 연습에서는 네트워크 규칙 컬렉션을 만드는 특정 단계를 안내합니다.
사용자에 대한 보안 아웃바운드 인터넷 액세스 허용
사용자에 대한 아웃바운드 인터넷 액세스를 허용하려면 더 많은 Azure Firewall 애플리케이션 및 네트워크 규칙을 만들어야 할 수 있습니다.
Microsoft 365와 같이 허용 대상 목록이 잘 정의된 경우 Azure Firewall 애플리케이션 및 네트워크 규칙을 사용하여 최종 사용자 트래픽을 대상으로 직접 라우팅합니다. Office 365 IP 주소 및 URL 웹 서비스에 대한 자세한 내용은 이 모듈의 요약 섹션에 나열된 리소스를 참조하세요.
기존의 온-프레미스 보안 웹 게이트웨이를 사용하여 아웃바운드 사용자 인터넷 트래픽을 필터링할 수 있습니다. 이렇게 하려면 명시적 프록시 구성을 사용하여 Azure Virtual Desktop 호스트 풀에서 실행되는 웹 브라우저 또는 다른 애플리케이션을 구성할 수 있습니다. 예를 들어 Microsoft Edge 명령줄 옵션을 사용하여 프록시 설정을 구성할 수 있습니다. 이러한 프록시 설정은 사용자에 대한 인터넷 액세스에만 영향을 주며, Azure Firewall을 통해 직접 Azure Virtual Desktop 서비스 아웃바운드 트래픽을 허용합니다. 자세한 내용은 이 모듈의 요약 섹션에 나열된 리소스를 참조하세요.