Compartir a través de

Principios de conectividad de Windows 365

Antes de planear la red para Windows 365, es esencial comprender los principios de conectividad que garantizan que los usuarios tengan acceso seguro, confiable y de alto rendimiento a su equipo en la nube. Este artículo le ayuda a comprender las instrucciones más recientes para optimizar de forma segura este tráfico crítico.

Las redes empresariales tradicionales están diseñadas principalmente para proporcionar acceso a aplicaciones y datos hospedados en un centro de datos operado por la empresa. Estas redes se basan en la seguridad perimetral, que incluye firewalls, sistemas de detección de intrusiones y herramientas de inspección de tráfico para protegerse del mundo exterior que no es de confianza. Este modelo tradicional supone que los usuarios acceden a aplicaciones y datos desde la red corporativa, ya sea directamente desde sitios corporativos o de forma remota a través de conexiones de red privada virtual (VPN). Esta arquitectura está optimizada para controles centralizados y protección, pero puede introducir latencia y complejidad al acceder a servicios basados en la nube.

Windows 365 puede ofrecer una experiencia totalmente basada en SaaS para un equipo en la nube, lo que permite a las organizaciones proporcionar entornos de escritorio seguros, confiables y de alto rendimiento a los usuarios de todo el mundo. Por lo tanto, la conectividad con la infraestructura proporcionada para permitir esta conectividad global sin problemas necesita una optimización especial para garantizar el máximo rendimiento y calidad posibles a los usuarios finales.

Arquitectura de Windows 365

Windows 365 es un servicio de software como servicio (SaaS) distribuido geográficamente. Los equipos en la nube se pueden implementar en varias regiones globales para satisfacer las necesidades de usuario y organización.

La conectividad entre el usuario y su equipo en la nube debe diseñarse según las instrucciones proporcionadas. Este enfoque ayuda a optimizar el rendimiento mediante la infraestructura perimetral de servicio y red global de Microsoft más cercana al usuario y al equipo en la nube, en lugar de basar el diseño en la ubicación del destino.

  • Microsoft opera una de las redes globales más grandes, ofreciendo conexiones de alta disponibilidad, ancho de banda alto y baja latencia entre los centros de datos y el perímetro de Internet. Con 185 puntos de presencia de red globales (PDP) y creciendo, esta infraestructura acerca la conectividad a los usuarios.

  • Windows 365 usa puntos de entrada de servicio distribuidos globalmente, incluido un servicio de puerta de enlace para conexiones de protocolo de control de transmisión (TCP) basadas en protocolo de escritorio remoto (RDP) y retransmisiones TURN para conexiones de Protocolo de datagrama de usuario (UDP). Estos puntos de entrada se colocan cerca de los usuarios, dondequiera que se encuentren, para garantizar una conectividad óptima.

  • Los equipos en la nube pueden acceder directamente a la red troncal de Microsoft para llegar a estas puertas de servicio una vez que un usuario se conecta a ellos. Si se enruta correctamente, el tráfico a los puntos de conexión hospedados por Microsoft nunca toca Internet desde el equipo en la nube.

El uso correcto de los tres elementos ayuda a garantizar una conectividad rápida y confiable entre los usuarios y sus pc en la nube, independientemente de dónde se encuentren los usuarios.

Elementos de conectividad que se van a comprender

Windows 365 los requisitos de conectividad se pueden agrupar en tres categorías:

a.     Conectividad RDP

El tráfico RDP forma la conexión principal entre el usuario final y su equipo en la nube. Usa los mismos puntos de conexión de salida tanto en el dispositivo físico como en el equipo en la nube. La optimización de este tráfico es esencial para garantizar una conectividad confiable y de alto rendimiento

b.     Conectividad del servicio cloud side

Este tráfico es esencial para aprovisionar equipos en la nube y operar el servicio. La mayoría de los puntos de conexión se hospedan en la red troncal de Microsoft, por lo que el enrutamiento del tráfico directamente a ellos mejora el rendimiento y la confiabilidad. También proporciona los niveles más altos de seguridad, ya que el tráfico no atraviesa la red pública de Internet.

c.     Conectividad de cliente físico

Además de las conexiones RDP que se describen aquí, todos los demás requisitos de punto de conexión físicos del lado cliente se pueden tratar como tráfico web normal y administrarse según las prácticas estándar de la organización.

principios de conectividad de Windows 365

Microsoft recomienda los siguientes principios para lograr una conectividad y un rendimiento óptimos. El objetivo principal en el diseño de red para Windows 365 es minimizar la latencia mediante la reducción del tiempo de ida y vuelta (RTT) entre la red en Microsoft Global Network. Esta red troncal interconecta todos los centros de datos de Microsoft y proporciona baja latencia entre las ubicaciones del centro de datos y el perímetro de red, cerca de los usuarios. Para obtener el mejor rendimiento y confiabilidad al conectarse desde el equipo en la nube, aplique las siguientes optimizaciones:

1. Implemente el equipo en la nube lo más cerca posible al usuario.

Colocar el equipo en la nube lo más cerca posible de la ubicación del usuario final ayuda a minimizar la latencia. Microsoft ofrece opciones de implementación en muchas regiones Azure de todo el mundo. La elección de la región más cercana al usuario reduce la latencia entre el usuario y su pc en la nube, lo que proporciona el mejor rendimiento.

En algunos casos, es posible que la implementación local de PC en la nube no sea posible debido a los requisitos de cumplimiento o a las restricciones de latencia de datos de la aplicación. Cuando no es posible la implementación local, la optimización de nivel de red se vuelve más crítica para mantener el rendimiento a distancias más largas.

Independientemente de dónde se implemente el equipo en la nube, siga estos principios de red para garantizar el máximo rendimiento y confiabilidad.

2. Identificar y diferenciar el tráfico Windows 365

La identificación de Windows 365 tráfico de red es el primer paso para poder diferenciar ese tráfico del tráfico de red genérico enlazado a Internet cuando corresponda. Windows 365 conectividad se puede optimizar implementando una combinación de enfoques como:

Optimización de rutas de red

  • Omisión de VPN/Secure Web Gateway (SWG)

  • Reglas de firewall

  • Configuración del proxy del explorador.

  • Omisión de dispositivos de inspección de red para determinados puntos de conexión.

Los detalles de los puntos de conexión necesarios para el servicio se pueden resumir en una de las tres categorías siguientes.

a.      RDP: requisitos idénticos tanto en la nube como en el dispositivo físico

b.     Conectividad del servicio cloud side

c.      Requisitos de conectividad de cliente físico

El tráfico en las áreas (a) y (b) necesita una optimización especial, mientras que el tráfico en (c) no. El desglose de los puntos de conexión dentro de estas categorías se puede encontrar dentro de los vínculos proporcionados. Los detalles de estos puntos de conexión se pueden encontrar en la documentación requisitos de red.

3. Conexiones de red de salida localmente

Para los puntos de conexión recomendados, el tráfico debe salir localmente y directo,

  • En el caso del equipo en la nube, el tráfico se debe enrutar directamente desde la red virtual a la red de Azure evitando cualquier túnel VPN, puertas de enlace web seguras, servidores proxy o salida local.

  • En el caso de los dispositivos de cliente físico, deje que el tráfico del servicio clave salga lo más cerca posible del usuario (por ejemplo. a través de una salida de SD-WAN local o un proveedor de servicios de Internet (ISP) local en lugar de enviarlo primero a un sitio central.

Optimización de Escritorio remoto

Diagrama 1: Optimización de RDP con interrupción local

Esta imagen muestra lo siguiente:

  • La salida local del tráfico RDP en Chennai garantiza que el tráfico entra en la red global de Microsoft en la ubicación de emparejamiento de Chennai.
  • Las puertas frontales del servicio local (puertas de enlace de Escritorio remoto y retransmisiones TURN) minimizan la latencia manteniendo las conexiones cercanas al usuario.
  • El elemento backhaul de larga distancia desde la puerta principal del servicio hasta el equipo en la nube en el centro de EE. UU. se ejecuta completamente en la red de Microsoft, lo que proporciona una ruta de acceso optimizada, de ancho de banda alto y de baja latencia con vínculos redundantes.
  • Este diseño ofrece la menor latencia posible, alto rendimiento, menor riesgo de desconexiones y una excelente experiencia de usuario, evitando la red pública de Internet para la mayoría de la ruta de acceso.
  • Cuando se configura correctamente, el tráfico RDP desde el equipo en la nube hasta la puerta principal del servicio permanece completamente en la red de Microsoft y nunca atraviesa la red pública de Internet.

Use una interrupción local de Internet cerca del usuario para que el tráfico entre a la red global de Microsoft rápidamente. Este enfoque permite a los puntos de entrada cercanos de Microsoft optimizar la conexión y ayudar a garantizar un acceso confiable al equipo en la nube, independientemente de su ubicación de hospedaje.

Esta infraestructura incluye:

  • Más de 185 puntos de presencia en el perímetro de Internet

  • Más de 165 000 millas de fibra óptica y cableado submarino que conectan a los usuarios a la nube de Microsoft

  • Puertas de enlace RDP para RDP basado en TCP en más de 40 regiones Azure

  • Retransmisiones TURN para RDP basado en UDP en más de 40 regiones Azure

Los puntos de conexión locales de Internet conectan a los usuarios a Windows 365 infraestructura cerca de su ubicación. Desde allí, todo el tráfico al equipo en la nube viaja a través de la red global segura, de alta velocidad y baja latencia de Microsoft.

4. Evalúe la omisión de servidores proxy, VPN, puertas de enlace web seguras y dispositivos de inspección de tráfico.

Los clientes empresariales deben revisar sus controles de seguridad para Windows 365 tráfico y permitir una ruta de acceso directa para el tráfico de servicio clave. De este modo, se reduce la dependencia de herramientas de seguridad costosas e intrusivas que pueden dañar el rendimiento y la confiabilidad. La mayoría de las redes empresariales aplican la seguridad de red para el tráfico de Internet mediante tecnologías como servidores proxy, inspección de seguridad de la capa de transporte (TLS), inspección de paquetes y sistemas de prevención de pérdida de datos. Estas tecnologías proporcionan una mitigación de riesgos importante para las solicitudes genéricas de Internet, pero pueden reducir drásticamente el rendimiento, la escalabilidad y la calidad de la experiencia del usuario final cuando se aplican a determinados puntos de conexión de Windows 365. Se recomiendan las siguientes optimizaciones de red para todos los puntos de conexión de Windows 365 resaltados:

Para el tráfico RDP:

  • Omita el tráfico del descifrado, la interceptación, la inspección profunda de paquetes y el filtrado de contenido de paquetes de red & TLS tanto en el equipo en la nube como en el lado del dispositivo físico. No se admite la inspección de este tráfico y no ofrece ninguna ventaja.

  • Dentro de Azure usar una ruta definida por el usuario (UDR) para enviar tráfico RDP directo a Internet evitando cualquier dispositivo de inspección, como un firewall. Por ejemplo, envíe directamente a una puerta de enlace NAT, evitando la ruta de acceso del firewall. Consulte Windows 365 documentación de Azure Firewall para obtener un ejemplo detallado.

  • Excluya el tráfico RDP de vpn, puerta de enlace web segura (SWG) y túneles de proxy configurados en equipos en la nube y dispositivos físicos.

  • Proporcione una ruta de acceso directa para que el tráfico llegue a Internet en el lado del cliente físico de la misma manera que se hace para el tráfico multimedia de Teams.

  • Proporcione una interrupción local de Internet para el tráfico RDP del cliente físico en lugar de volver a realizar el backhauling a una salida central o remota, para que pueda usar la infraestructura de servicio cercana de Microsoft y la red global.

Para los requisitos de conectividad del servicio de lado en la nube:

  • Asegúrese de que la ruta predeterminada envía tráfico a un punto de salida de Azure (por ejemplo, un Azure Firewall) en lugar de volver a compilarlo de forma local.

  • Excluya Windows 365 tráfico del descifrado, la interceptación, la inspección profunda de paquetes y el filtrado de contenido de TLS para evitar problemas de rendimiento y confiabilidad. Cuando sea necesario filtrar, permitirlo directamente a través de Azure Firewall.

  • Omita las configuraciones de VPN, Puerta de enlace web segura (SWG) y proxy para Windows 365 tráfico.

Para la conectividad de cliente físico

  • Excluya el tráfico RDP de vpn, puerta de enlace web segura (SWG) y túneles de proxy configurados en el dispositivo.

  • Proporcione una interrupción directa y local de Internet para todo el tráfico RDP con el fin de minimizar la latencia y mejorar la confiabilidad.

  • Deshabilite la inspección de TLS en la ruta de salida del tráfico RDP para evitar la interrupción de la sesión.

  • Controle todos los demás puntos de conexión como tráfico web estándar según el modelo de conectividad externa normal de su organización.

Windows 365 consideraciones de seguridad

Al implementar optimizaciones para Windows 365 conectividad, tenga en cuenta estos puntos:

  • La mayoría de los puntos de conexión necesarios son solo de servicio. Existen para operar el servicio Windows 365 y no llevan datos generados por el usuario.

  • El tráfico del Protocolo de Escritorio remoto (RDP) es la excepción, los datos como el redireccionamiento del Portapapeles se llevan dentro de este tráfico, pero su ruta de acceso está aislada a la conexión entre el dispositivo físico y el equipo en la nube.

  • La inspección o el enrutamiento no optimizado pueden dañar el rendimiento. Técnicas como la inspección profunda de paquetes, la interceptación de TLS o el backhauling suelen introducir latencia y reducir la confiabilidad.

  • La inspección de TLS no proporciona ninguna ventaja para estos puntos de conexión. Los puntos de conexión ya usan TLS para una comunicación segura y los datos están relacionados con el servicio.

  • El tráfico RDP está cifrado de forma doble. Las herramientas de inspección insertadas tradicionales no pueden descifrarla.

  • El tráfico de gran volumen puede sobrecargar los dispositivos de seguridad. Cuando se produce este escenario, se pueden interrumpir otros servicios críticos que comparten la misma infraestructura.

  • La mayoría de los puntos de conexión se hospedan dentro de la infraestructura de Microsoft.

  • La salida local directa a la red troncal de Azure es la ruta de acceso más eficaz y segura. Desde el equipo en la nube, el tráfico permanece en la red global de Microsoft sin atravesar la red pública de Internet.

  • La mayoría del tráfico ya está cifrado tls, lo que protege la confidencialidad en tránsito.

  • El tráfico en el puerto TCP 80 no lleva datos privados. Es necesario para funciones específicas, como las comprobaciones de la lista de revocación de certificados (CRL) y la comunicación de tejido de Azure.

Las excepciones están claramente documentadas. El tráfico que no cumple estos criterios se identifica en los requisitos de punto de conexión de Windows 365 y puede seguir las rutas de acceso estándar a Internet.

Simplificación de la implementación

Windows 365 ofrece dos opciones para la conectividad de red. Elegir el adecuado puede reducir significativamente la complejidad, el costo y el riesgo.

  • Azure Conexión de red (ANC): con ANC, se administra la conectividad subyacente. La implementación de estos requisitos suele implicar semanas o meses de trabajo para configurar redes, reglas de firewall, UDR, ExpressRoute y grupos de seguridad de red (NSG), además de mantenimiento continuo. Refleja una extensión de red corporativa tradicional de la que muchas organizaciones se están alejando.

  • Red hospedada de Microsoft: La opción Microsoft Hosted Network permite una implementación rápida con una sobrecarga de red mínima. Microsoft diseña, mantiene y protege el entorno para garantizar una conectividad óptima. La tarea principal es asegurarse de que el tráfico clave omite los túneles VPN o SWG, que suele ser rápido de configurar. Este modelo se alinea con los principios de Confianza cero y funciona bien con las soluciones modernas de SWG y acceso privado.

Muchas organizaciones ya usan un enfoque similar para los empleados remotos, proporcionando equipos portátiles administrados mediante la administración moderna de puntos de conexión y Confianza cero. Microsoft Hosted Network aplica el mismo concepto a los equipos en la nube, tratándolos como dispositivos domésticos seguros que solo realizan conexiones salientes. Este diseño acorta las escalas de tiempo del proyecto, aumenta la flexibilidad y simplifica la administración continua.

Obtenga más información sobre esta opción de diseño en Windows 365 documentación de opciones de implementación.

  • Last updated on