Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de planear a sua rede para Windows 365, é essencial compreender os princípios de conectividade que garantem que os seus utilizadores têm acesso seguro, fiável e de elevado desempenho aos respetivos PC na Cloud. Este artigo ajuda-o a compreender as orientações mais recentes para otimizar este tráfego crítico de forma segura.
As redes empresariais tradicionais foram concebidas principalmente para fornecer acesso a aplicações e dados alojados no datacenter operado pela empresa. Estas redes dependem da segurança de perímetro, que inclui firewalls, sistemas de deteção de intrusões e ferramentas de inspeção de tráfego para proteger do mundo exterior não fidedigno. Este modelo tradicional pressupõe que os utilizadores acedem a aplicações e dados a partir da rede empresarial, diretamente a partir de sites empresariais ou remotamente através de ligações de Rede Privada Virtual (VPN). Esta arquitetura está otimizada para controlos e proteção centralizados, mas pode introduzir latência e complexidade ao aceder aos serviços baseados na cloud.
Windows 365 pode proporcionar uma experiência totalmente baseada em SaaS para um PC na Cloud, permitindo que as organizações forneçam ambientes de trabalho seguros, fiáveis e de alto desempenho aos utilizadores em todo o mundo. Assim, a conectividade à infraestrutura fornecida para permitir esta conectividade globalmente totalmente integrada precisa de uma otimização especial para garantir o desempenho e a qualidade mais elevados possíveis para os utilizadores finais.
Arquitetura do Windows 365
Windows 365 é um serviço SaaS (Software como Serviço) distribuído geograficamente. Os PCs na cloud podem ser implementados em várias regiões globais para satisfazer as necessidades do utilizador e da organização.
A conectividade entre o utilizador e o PC na Cloud deve ser concebida de acordo com as orientações fornecidas. Esta abordagem ajuda a otimizar o desempenho ao utilizar a infraestrutura de limite de serviço e de rede global da Microsoft mais próxima do utilizador e do PC na Cloud, em vez de basear a estrutura na localização do destino.
A Microsoft opera uma das maiores redes globais, oferecendo ligações de alta disponibilidade, largura de banda elevada e baixa latência entre datacenters e o edge da Internet. Com 185 pontos de presença de rede globais (PoPs) e em crescimento, esta infraestrutura aproxima a conectividade dos seus utilizadores.
Windows 365 utiliza pontos de entrada de serviço distribuídos globalmente, incluindo um serviço de Gateway para ligações RDP (Remote Desktop Protocol) baseadas em Protocolo de Controlo de Transmissão (TCP) e reencaminhamentos TURN para ligações UDP (User Datagram Protocol). Estes pontos de entrada estão posicionados perto dos utilizadores, onde quer que estejam localizados, para garantir uma conectividade ideal.
Os PCs na cloud conseguem aceder diretamente à rede principal da Microsoft para aceder a estes front doors de serviço assim que um utilizador se ligar aos mesmos. Se for corretamente encaminhado, o tráfego para os pontos finais alojados da Microsoft nunca toca na Internet a partir do CLOUD PC.
A utilização correta dos três elementos ajuda a garantir uma conectividade rápida e fiável entre os utilizadores e os respetivos PCs na Cloud, independentemente da localização dos utilizadores.
Elementos de conectividade a compreender
Windows 365 requisitos de conectividade podem ser agrupados em três categorias:
a. Conectividade RDP
O tráfego RDP forma a ligação principal entre o utilizador final e o respetivo PC na Cloud. Utiliza os mesmos pontos finais de saída no dispositivo físico e no CLOUD PC. A otimização deste tráfego é essencial para garantir uma conectividade fiável e de elevado desempenho
b. Conectividade do serviço Cloud Side
Este tráfego é essencial para aprovisionar PCs na Cloud e operar o serviço. A maioria dos pontos finais está alojada na estrutura principal da Microsoft, pelo que encaminhar o tráfego diretamente para os mesmos melhora o desempenho e a fiabilidade. Também fornece os níveis mais elevados de segurança, uma vez que o tráfego não atravessa a Internet pública.
c. Conectividade física do cliente
Para além das ligações RDP descritas aqui, todos os outros requisitos de pontos finais físicos do lado do cliente podem ser tratados como tráfego Web normal e geridos de acordo com as práticas padrão da sua organização.
Windows 365 princípios de conectividade
A Microsoft recomenda os seguintes princípios para alcançar uma conectividade e um desempenho ideais. O principal objetivo na estrutura de rede para Windows 365 é minimizar a latência ao reduzir o tempo de ida e volta (RTT) entre a sua rede para a Rede Global da Microsoft. Este backbone de rede interliga todos os datacenters da Microsoft e fornece baixa latência entre as localizações do datacenter e a periferia da rede, perto dos seus utilizadores. Para obter o melhor desempenho e fiabilidade ao ligar a partir do CLOUD PC, aplique as seguintes otimizações:
1. Implementar o PC na Cloud o mais próximo possível do utilizador
Colocar o CLOUD PC o mais próximo possível da localização do utilizador final ajuda a minimizar a latência. A Microsoft oferece opções de implementação em muitas regiões Azure em todo o mundo. Escolher a região mais próxima do utilizador reduz a latência entre o utilizador e o PC na Cloud, proporcionando o melhor desempenho.
Em alguns casos, a implementação local do Cloud PC pode não ser possível devido a requisitos de conformidade ou restrições de latência de dados da aplicação. Quando a implementação local não é possível, a otimização ao nível da rede torna-se mais crítica para manter o desempenho em distâncias mais longas.
Independentemente de onde o CLOUD PC está implementado, siga estes princípios de rede para garantir o máximo desempenho e fiabilidade.
2. Identificar e diferenciar Windows 365 tráfego
Identificar Windows 365 tráfego de rede é o primeiro passo para conseguir diferenciar esse tráfego do tráfego de rede genérico vinculado à Internet, se adequado. Windows 365 conectividade pode ser otimizada ao implementar uma combinação de abordagens como:
Otimização da rota de rede
Ignorar VPN/Gateway Web Seguro (SWG)
Regras de firewall
Definições de proxy do browser.
Ignorar dispositivos de inspeção de rede para determinados pontos finais.
Os detalhes dos pontos finais necessários para o serviço podem ser resumidos numa das três categorias seguintes
a. RDP – Requisitos idênticos no lado da Cloud e do dispositivo físico
b. Conectividade do serviço Cloud Side
c. Requisitos de conectividade do cliente físico
O tráfego nas áreas (a) e (b) precisa de uma otimização especial, enquanto o tráfego em (c) não. A discriminação dos pontos finais nestas categorias pode ser encontrada nas ligações fornecidas. Os detalhes destes pontos finais podem ser encontrados na documentação Requisitos de Rede.
3. Ligações de Rede de Saída localmente
Para os pontos finais aconselhados, o tráfego deve ser acedido localmente e direto,
Para o lado do PC na Cloud, o tráfego deve ser encaminhado diretamente para fora da VNet para a rede do Azure, evitando túneis VPN, Gateways Web Seguros, proxies ou saída no local.
Para dispositivos cliente físicos, permita que o tráfego do serviço de chaves saia o mais próximo possível do utilizador (por exemplo. através de uma saída SD-WAN local ou do Fornecedor de Serviços Internet (ISP) em vez de enviá-lo de volta para um site central primeiro.
Diagrama 1: Otimização de RDP com análise local
Esta imagem demonstra o seguinte:
- A saída local do tráfego RDP em Chennai garante que o tráfego entra na rede global da Microsoft na localização de peering de Chennai.
- As front doors do serviço local (Gateways de Ambiente de Trabalho Remoto e Reencaminhamentos TURN) minimizam a latência ao manter as ligações próximas do utilizador.
- O elemento backhaul de longa distância do front door do serviço para o Cloud PC nos E.U.A. Central funciona inteiramente na rede da Microsoft, proporcionando um caminho otimizado, de alta largura de banda e de baixa latência com ligações redundantes.
- Este design proporciona a menor latência possível, elevado desempenho, risco reduzido de desligamentos e uma excelente experiência de utilizador, evitando a Internet pública na maior parte do caminho.
- Quando configurado corretamente, o tráfego RDP do PC na Cloud para o front door do serviço permanece totalmente na rede da Microsoft e nunca atravessa a Internet pública.
Utilize uma fuga de Internet local perto do utilizador para que o tráfego entre rapidamente na rede global da Microsoft. Esta abordagem permite que os pontos de entrada da Microsoft nas proximidades otimizem a ligação e ajudam a garantir um acesso fiável ao PC na Cloud, independentemente da localização de alojamento.
Esta infraestrutura inclui:
Mais de 185 pontos de presença na internet
Mais de 165.000 milhas de fibra óptica e cablagem submarina que liga os utilizadores à Microsoft Cloud
Gateways RDP para RDP baseado em TCP em mais de 40 regiões Azure
Reencaminhamentos TURN para RDP baseado em UDP em mais de 40 regiões Azure
As fugas de internet locais ligam os utilizadores a Windows 365 infraestrutura perto da respetiva localização. A partir daí, todo o tráfego para o Cloud PC percorre a rede global segura, de alta velocidade e de baixa latência da Microsoft.
4. Avalie a ignorar proxies, VPNs, Gateways Web Seguros e dispositivos de inspeção de tráfego.
Os clientes empresariais devem rever os respetivos controlos de segurança para Windows 365 tráfego e permitir um caminho direto para o tráfego do serviço de chaves. Ao fazê-lo, reduz a dependência de ferramentas de segurança dispendiosas e intrusivas que podem prejudicar o desempenho e a fiabilidade. A maioria das redes empresariais impõe segurança de rede para o tráfego de Internet através de tecnologias como proxies, inspeção TLS (Transport Layer Security), inspeção de pacotes e sistemas de prevenção de perda de dados. Estas tecnologias fornecem uma mitigação de risco importante para pedidos genéricos da Internet, mas podem reduzir significativamente o desempenho, a escalabilidade e a qualidade da experiência do utilizador final quando aplicadas a determinados pontos finais Windows 365. As seguintes otimizações de rede são recomendadas para todos os pontos finais Windows 365 realçados:
Para Tráfego RDP:
Ignore o tráfego da desencriptação do TLS, da intercepção, da inspeção de pacotes profunda e do pacote de rede & filtragem de conteúdo no lado do PC na Cloud e no lado do dispositivo Físico. A inspeção deste tráfego não é suportada e não oferece qualquer benefício.
No Azure utilizar uma Rota Definida pelo Utilizador (UDR) para enviar tráfego RDP diretamente para a Internet, evitando qualquer dispositivo de inspeção, como uma Firewall. Por exemplo, envie diretamente para um NAT Gateway, evitando o caminho da Firewall. Veja Windows 365 Firewall do Azure documentação para obter um exemplo detalhado.
Exclua o tráfego RDP da VPN, do Gateway Web Seguro (SWG) e dos túneis proxy configurados em PCs na Cloud e em dispositivos físicos.
Forneça um caminho direto para que o tráfego chegue à Internet no lado do cliente físico da mesma forma que é feito para o tráfego de multimédia do Teams.
Forneça uma fuga de Internet local para o tráfego RDP do cliente físico em vez de fazer backhauling para uma saída central ou remota, para que possa utilizar a infraestrutura de serviços nas proximidades da Microsoft e a rede global.
Para requisitos de Conectividade do Serviço Cloud Side:
Certifique-se de que a rota predefinida envia tráfego para um ponto de saída Azure (por exemplo, uma Firewall do Azure) em vez de o fazer no local.
Exclua Windows 365 tráfego da desencriptação do TLS, intercepção, inspeção de pacotes profunda e filtragem de conteúdo para evitar problemas de desempenho e fiabilidade. Quando a filtragem for necessária, permita-a diretamente através de Firewall do Azure.
Ignore as configurações de VPN, Gateway Web Seguro (SWG) e proxy para Windows 365 tráfego.
Para conectividade do Cliente Físico
Exclua o tráfego RDP da VPN, do Gateway Web Seguro (SWG) e dos túneis proxy configurados no dispositivo.
Forneça uma fuga direta e local da Internet para todo o tráfego RDP para minimizar a latência e melhorar a fiabilidade.
Desative a inspeção TLS no caminho de saída do tráfego RDP para evitar a interrupção da sessão.
Processe todos os outros pontos finais como tráfego Web padrão de acordo com o modelo de conectividade externa normal da sua organização.
considerações de segurança Windows 365
Ao implementar otimizações para conectividade Windows 365, tenha estes pontos em mente:
A maioria dos pontos finais necessários são apenas de serviço. Existem para operar o serviço Windows 365 e não transportam dados gerados pelo utilizador.
O Tráfego do Protocolo RDP (Remote Desktop Protocol) é a exceção, sendo que os dados, como o redirecionamento da área de transferência, são transportados dentro deste tráfego, mas o caminho é isolado para a ligação entre o dispositivo físico e o PC na Cloud.
A inspeção ou o encaminhamento não otimizado podem prejudicar o desempenho. Técnicas como a inspeção de pacotes profunda, a intercepção de TLS ou o backhauling muitas vezes introduzem latência e reduzem a fiabilidade.
A inspeção TLS não oferece qualquer benefício para estes pontos finais. Os pontos finais já utilizam o TLS para uma comunicação segura e os dados estão relacionados com o serviço.
O tráfego RDP é encriptado duas vezes. As ferramentas de inspeção inline tradicionais não podem desencriptá-la.
O tráfego de grande volume pode sobrecarregar as aplicações de segurança. Quando este cenário ocorre, outros serviços críticos que partilham a mesma infraestrutura podem ser interrompidos.
A maioria dos pontos finais está alojada na infraestrutura da Microsoft.
A saída local direta para a estrutura principal do Azure é o caminho mais eficiente e seguro. A partir do CLOUD PC, o tráfego permanece na rede global da Microsoft sem atravessar a Internet pública.
A maioria do tráfego já está encriptada por TLS, o que protege a confidencialidade em trânsito.
O tráfego na porta TCP 80 não transporta dados privados. É necessário para funções específicas, como Azure verificações da lista de revogação de certificados (CRL) e comunicação de recursos de infraestrutura.
Todas as exceções estão claramente documentadas. O tráfego que não cumpre estes critérios é identificado nos Windows 365 requisitos de ponto final e pode seguir caminhos padrão da Internet.
Simplificar a Implementação
Windows 365 oferece duas opções de conectividade de rede. Escolher o correto pode reduzir significativamente a complexidade, o custo e o risco.
Azure Ligação de Rede (ANC): com o ANC, gere a conectividade subjacente. A implementação destes requisitos envolve frequentemente semanas ou meses de trabalho para configurar redes, regras de firewall, UDRs, ExpressRoute e Grupos de Segurança de Rede (NSGs), além de manutenção contínua. Espelha uma extensão de rede empresarial tradicional, da qual muitas organizações se estão a afastar.
Rede Alojada da Microsoft: A opção Rede Alojada da Microsoft permite uma implementação rápida com um overhead de rede mínimo. A Microsoft concebe, mantém e protege o ambiente para garantir uma conectividade ideal. A tarefa principal é garantir que o tráfego de chave ignora os túneis VPN ou SWG, que normalmente é rápido de configurar. Este modelo está alinhado com Confiança Zero princípios e funciona bem com soluções modernas de SWG e Acesso Privado.
Muitas organizações já utilizam uma abordagem semelhante para funcionários remotos, fornecendo portáteis geridos através da gestão moderna de pontos finais e Confiança Zero. A Rede Alojada da Microsoft aplica o mesmo conceito aos PCs na Cloud, tratando-os como dispositivos domésticos seguros que apenas fazem ligações de saída. Esta estrutura reduz as linhas cronológicas do projeto, aumenta a flexibilidade e simplifica a gestão contínua.
Leia mais sobre esta opção de design na documentação opções de Implementação do Windows 365.