Azure Firewall을 사용하여 Windows 365 환경 관리 및 보호
이 문서에서는 Azure Firewall을 사용하여 Windows 365 환경을 단순화하고 보호하는 방법을 설명합니다. 여기에 설명된 예제 아키텍처는 직접적이고 최적화된 연결 경로를 통해 필요한 엔드포인트에 대한 낮은 유지 관리 및 자동화된 액세스를 제공합니다. Azure Firewall 네트워크 규칙 및 FQDN(정규화된 도메인 이름) 태그를 사용하여 사용자 환경에서 이 아키텍처 예제를 복제할 수 있습니다.
참고
이 문서는 ANC(Azure 네트워크 연결)를 사용하여 Windows 365를 배포하는 고객에게 적용됩니다. 이 문서는 Microsoft 호스팅 네트워크를 사용하는 환경에는 적용되지 않습니다. 각각에 대한 자세한 내용은 Windows 365 네트워킹 배포 옵션을 참조하세요.
Windows 365 서비스에는 중요한 서비스 엔드포인트에 최적화된 비프로시드 연결이 필요하며, 그 중 상당수는 Microsoft의 인프라 내에 있습니다. 인터넷을 통해 온-프레미스 네트워크를 사용하여 이러한 리소스에 연결하는 것은 비효율적이며 권장되지 않습니다. 이러한 연결은 구성 및 관리가 복잡할 수도 있습니다.
예를 들어 ANC 배포 모델을 사용하는 일부 Windows 365 고객은 ExpressRoute 또는 사이트 간의 VPN을 사용하는 온-프레미스 환경으로 직접 연결할 수 있습니다. 아웃바운드 트래픽은 온-프레미스 트래픽과 동일한 방식으로 기존 프록시 서버를 사용하여 라우팅될 수 있습니다. 이 연결 전략은 Windows 365 환경에 최적화되지 않으며 성능에 상당한 영향을 미칠 가능성이 높습니다.
대신 ANC Windows 365 환경과 함께 Azure Firewall을 사용하여 최적화되고 안전하며 유지 관리가 낮으며 자동화된 액세스를 제공할 수 있습니다.
Windows 365에 필요한 엔드포인트
Windows 365에서는 다음 엔드포인트에 액세스해야 합니다.
환경에서 최적화된 연결을 구성할 때 다른 Microsoft 서비스(예: Office 365)에 대한 액세스를 고려할 수도 있습니다.
특정 서비스에 대한 FQDN 태그는 Azure Firewall에서 간단한 방법으로 이러한 규칙을 구성하고 유지 관리하는 데 도움이 되며 이 문서의 뒷부분에서 설명합니다.
Azure Firewall 및 FQDN 태그를 사용하는 예제 아키텍처
Azure 내에서 네트워킹을 구성하는 방법에는 여러 가지가 있습니다. 여기서는 다음을 사용합니다.
- 아웃바운드 액세스를 관리하는 Azure Firewall이 있는 단일 VNet입니다.
- VNet을 온-프레미스 환경에 다시 연결하는 ExpressRoute 회로입니다.
이 다이어그램의 트래픽 흐름:
- Contoso 회사 네트워크: 이 온-프레미스 IP 서브넷은 ExpressRoute 게이트웨이를 통해 VNet에 보급됩니다. 이 범위(10.0.0.0/8)에 대한 모든 트래픽은 ExpressRoute 회로를 통해 전송됩니다.
- Windows 365 서브넷의 다른 모든 트래픽은 0.0.0.0/0의 UDR(사용자 정의 경로) 경로를 통해 Azure 방화벽으로 전송됩니다. 다음 홉 IP는 Azure Firewall의 개인 IP로 설정됩니다.
- 방화벽에는 Windows 365 필수 엔드포인트에 대해 구성된 애플리케이션 규칙(및 FQDN 태그) 및 네트워크 규칙이 있습니다. 규칙을 준수하는 트래픽은 허용됩니다. 명시적으로 허용되지 않는 다른 트래픽은 차단됩니다.
Azure Firewall 애플리케이션 규칙
다이어그램의 환경은 다음 Azure Firewall 애플리케이션 규칙(설명선 3에 적용됨)을 사용하여 설정되었습니다. Contoso 온-프레미스 서브넷으로 향하는 모든 트래픽은 방화벽으로 전달됩니다. 이러한 규칙을 사용하면 정의된 트래픽이 대상으로 송신할 수 있습니다. Azure Firewall 배포에 대한 자세한 내용은 Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요.
규칙 설명 | 대상 유형 | FQDN 태그 이름 | Protocol(프로토콜) | TLS 검사 | 필수/선택 사항 |
---|---|---|---|---|---|
Windows 365 FQDN | FQDN 태그 | Windows365 | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 필수 |
Intune FQDN | FQDN 태그 | MicrosoftIntune | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 필수 |
Office 365 FQDN | FQDN 태그 | Office365 | HTTP: 80, HTTPS: 443 | 범주를 허용하는 & 최적화에 권장되지 않음 | 선택 사항이지만 권장됨 |
Windows 업데이트 | FQDN 태그 | WindowsUpdate | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 옵션 |
Citrix HDX Plus | FQDN 태그 | CitrixHDXPlusForWindows365 | HTTP: 80, HTTPS: 443 | 권장되지 않음 | 선택 사항(Citrix HDX Plus를 사용하는 경우에만 필요) |
Azure Firewall을 공용 IP 주소와 연결하여 인터넷에 대한 아웃바운드 연결을 제공할 수 있습니다. 첫 번째 공용 IP는 아웃 바운드 SNAT를 제공하기 위해 임의로 선택됩니다. 첫 번째 IP의 모든 SNAT 포트가 모두 소진된 후 사용 가능한 다음 공용 IP가 사용됩니다. 높은 처리량이 필요한 시나리오에서는 Azure NAT Gateway를 활용하는 것이 좋습니다. NAT Gateway는 아웃바운드 연결을 동적으로 확장하며 Azure Firewall과 통합할 수 있습니다. 지침은 AZURE Firewall과 NAT Gateway 통합 자습서 를 참조하세요.
Windows365 태그
Windows365 태그에는 수동으로 입력해야 하는 비표준 포트가 있는 엔드포인트를 제외하고 필요한 AVD(Azure Virtual Desktop) 엔드포인트가 포함됩니다(네트워크 규칙 섹션 참조).
Windows365 태그에는 Intune이 포함되지 않습니다. MicrosoftIntune 태그는 별도로 사용할 수 있습니다.
Windows365 FQDN 태그에는 이 문서의 별도 행에 필수 로 나열된 엔드포인트를 제외한 모든 필수 엔드포인트가 포함되어 있으며, 이 엔드포인트는 별도로 구성해야 합니다. FQDN 태그는 서비스 태그와 다릅니다. 예를 들어 WindowsVirtualDesktop 서비스 태그에는 *.wvd.microsoft.com 확인되는 IP 주소만 포함됩니다.
네트워크 규칙
Azure Firewall은 현재 FQDN 태그에서 비표준 포트를 처리하지 않습니다. Windows 365에는 몇 가지 비표준 포트 요구 사항이 있으므로 FQDN 태그 외에도 다음 규칙을 네트워크 규칙으로 수동으로 추가해야 합니다.
규칙 설명 | 대상 유형 | FQDN/IP | Protocol(프로토콜) | 포트/s | TLS 검사 | 필수/선택 사항 |
---|---|---|---|---|---|---|
Windows 정품 인증 | FQDN | azkms.core.windows.net | TCP | 1688 | 권장되지 않음 | 필수 |
등록 | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
등록 | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | 권장되지 않음 | 필수 |
TURN을 통한 UDP 연결 | IP | 20.202.0.0/16 | UDP | 3478 | 권장하지 않음 | 필수 |
TURN 연결 | IP | 20.202.0.0/16 | TCP | 443 | 권장하지 않음 | 필수 |
등록 | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | 권장되지 않음 | 필수 |
파트너 보안 솔루션 옵션
Windows 365 환경을 보호하는 다른 방법은 Windows 365 서비스에 필요한 엔드포인트에 액세스하는 자동화된 규칙 집합을 제공하는 파트너 보안 솔루션 옵션입니다. 이러한 옵션은 다음과 같습니다.
- Check Point Software Technologies updatable Objects
다음 단계
Windows 365 아키텍처에 대해 자세히 알아보세요.
FQDNS에 대한 자세한 내용은 FQDN 태그 개요를 참조하세요.
서비스 태그에 대한 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.