Azure Firewall を使用してセキュアでコスト効果の高い Windows Virtual Desktop 保護を実現

2020年5月11日 に投稿済み

Principal Program Manager, Azure Networking

この記事は Windows Virtual Desktop プログラム マネージャーである Pavithra Thiruvengadam 氏との共著によるものです

在宅勤務ポリシーによって、多くの IT 組織は容量、ネットワーク、セキュリティ、およびガバナンスを根本的に変更する必要があります。多くの従業員は、在宅勤務時にオンプレミス サービスに関連付けられた多層化セキュリティで保護されていません。Azure での仮想デスクトップ インフラストラクチャ (VDI) 展開は、組織がこの変化する環境に対応できるようサポートします。しかし、これらの VDI 展開との受信または送信インターネット アクセスを保護する方法が必要です

Windows Virtual Desktop は、Azure で稼働する包括的なデスクトップおよびアプリケーションの仮想化サービスです。このサービスは、唯一の VDI であり、管理を単純化、マルチセッションの Windows 10、および Office 365 の最適化を提供します。Azure 上で Windows デスクトップとアプリを数分で展開およびスケーリングし、組み込みのセキュリティとコンプライアンス機能を入手できます。この記事では、Azure Firewall を使用してセキュアでコスト効果の高い Windows Virtual Desktop 保護を実現する方法を説明します。

Windows Virtual Desktop のコンポーネント

Windows Virtual Desktop の大まかなアーキテクチャ

Windows Virtual Desktop サービスは、以下のような共同責任モデルで提供されます。

  • お客様が管理する RD クライアントは、インターネット上のどこからでも、お気に入りのクライアント デバイスを使用して Windows デスクトップとアプリケーションに接続します。
  • マイクロソフトが管理する Azure サービスは、RD クライアントと Azure の Windows 仮想マシン (Windows 10 マルチセッションを含む) 間の接続を処理します。
  • Azure のお客様が管理する仮想ネットワークは、ホスト プール内で Windows 10 のマルチセッションを実行する仮想マシンをホストします。

Windows Virtual Desktop では、仮想ネットワークへの受信アクセスを開く必要はありません。しかし、お客様が管理する仮想マシンとサービスとの間でプラットフォーム接続性を確保するには、ホスト プールの仮想ネットワークに対して、一連の送信ネットワーク接続を許可する必要があります。これらの依存関係はネットワーク セキュリティ グループを使用して構成できますが、この構成はネットワーク レベルのトラフィック フィルタリングにのみ限定されます。アプリケーションレベルの保護については、Azure Firewall またはサード パーティのネットワーク仮想アプライアンス (NVA) を使用できます。NVA をデプロイする前に考慮する必要のあるベスト プラクティスについては、ネットワーク仮想アプライアンスをデプロイする前に検討すべきベスト プラクティスを参照してください。

Windows Virtual Desktop を保護する Azure Firewall

Windows Virtual Desktop へのホスト プールの送信アクセス

Azure Firewall はクラウド ネイティブのサービスとしてのファイアウォール (FWaaS) オファリングで、DevOps アプローチを使用してトラフィック フローすべてを一元的に管理およびログ記録することを可能にします。このサービスは、アプリケーション レベルとネットワーク レベルの両方のフィルタリング ルールをサポートし、既知の悪意のある IP アドレスおよびドメインのフィルタリングのために Microsoft Threat Intelligence と統合されています。Azure Firewall は、組み込みの自動スケーリングによる高い可用性を備えています。

Azure Firewall は Windows Virtual Desktop FQDN タグを提供することで、Windows Virtual Desktop へのホスト プールの送信アクセスを簡素化します。送信方向のプラットフォーム トラフィックを許可するには、以下の手順を使用します。

  • Azure Firewall をデプロイし、Windows Virtual Desktop のホスト プールのサブネットのユーザー定義のルート (UDR) を構成して、すべてのトラフィックが Azure Firewall を経由するようにします。
  • アプリケーション ルール コレクションを作成し、ルールを追加して WindowsVirtualDesktop FQDN タグを有効にします。ソース IP アドレスの範囲はホスト プールの仮想ネットワークで、プロトコルは https で、宛先は WindowsVirtualDesktop です。


    Azure Firewall の Windows Virtual Desktop FQDN タグ

  • Windows Virtual Desktop ホスト プールに必要なストレージおよび Service Bus アカウントのセットはデプロイ固有であり、WindowsVirtualDesktop FQDN タグにまだ取得されていません。また、Windows のライセンス認証サービスへの Active Directory Domain Services (ADDS) デプロイメントからの DNS アクセスと仮想マシンからの KMS アクセスを許可するには、ネットワーク ルール コレクションが必要です。これらの追加の依存関係のためのアクセスを構成するには、Azure Firewall を使用して Windows Virtual Desktop デプロイを保護する (英語) を参照してください。

インターネットへのホスト プールの送信アクセス

組織の必要に応じて、エンド ユーザー向けにセキュアな送信インターネット アクセスを有効にすることができます。Windows Virtual Desktop セッションはお客様の管理する仮想マシン上で実行されているため、それらもお客様の仮想ネットワーク セキュリティの制御の対象となります。許可される宛先のリストが明確に定義されている場合 (たとえば Office 365 アクセスなど) は、Azure Firewall アプリケーションとネットワーク ルールを使用して必要なアクセスを構成できます。これにより、最適なパフォーマンスを実現するようエンド ユーザー トラフィックがインターネットに直接ルーティングされます。

既存のオンプレミスのセキュア Web ゲートウェイを使用してユーザーの送信インターネット トラフィックをフィルタリングしたい場合は、Web ブラウザーまたはその他の Windows Virtual Desktop ホスト プール上で実行されているアプリケーションを明示的なプロキシ設定で構成できます。詳細については、Microsoft Edge コマンド ライン オプションを使用してプロキシ設定を構成する方法を参照してください。これらのプロキシ設定はエンド ユーザーのインターネット アクセスのみに影響し、送信トラフィックが直接 Azure Firewall を経由するようになります。

次のステップ

上記で説明した内容の詳細については、以下のブログ、ドキュメント、およびビデオをご覧ください。