Azure Active Directory Application Proxy er en løsning som sørger for ekstern tilgang til lokale ressurser. Den lar deg publisere interne applikasjoner til brukere utenfor bedriftsnettverket ditt. Brukertilgangen kommer inn via proxy-tjenesten i Microsofts skyplattform Azure, som formidler forespørslene videre til lokalnettet ditt. Du kan slippe trafikken rett gjennom. Eller så kan du pre-autentisere påloggingen og dra nytte av sikkerhetsmekanismene i Azure Active Directory (AD) og Microsoft Intune.
Med Microsofts program-proxy unngår du de vanlige utfordringene knyttet til å gi brukere adgang utenfra. Det krever ingen komplisert infrastruktur med perimeternettverk eller DMZ (demilitarisert sone). Du trenger ikke reservere offentlige IP-adresser. Det er ingen hull fra Internett i brannmuren. Ofte er det ikke engang nødvendig med et eget sertifikat for trygg oppkobling. Du overlater det til Microsoft å håndtere høy tilgjengelighet og beskytte deg mot trusler som distribuert tjenestenekt. Azure AD Application Proxy blir rimeligere og fungerer sammen med de fleste enheter.
Konfigurasjon med tradisjonell DMZ
Til vanlig publiserer vi nettsteder og applikasjoner til Internett med en modell som avbildet ovenfor. Webserveren bruker SQL Server som backend. Den omvendte proxyen figurerer som stedfortreder for apper som gjøres tilgjengelig på Internett. For innkommende trafikk gjennom ytre brannmur åpner vi typisk for TCP 443. Portåpningene i indre brannmur er ofte mer omfattende. Vi beskytter oss mot angrep utenfra ved å sette opp tilgangskontrollister og mekanismer for pakke-inspeksjon, gjerne ved å plusse på med systemer for å oppdage og avverge forsøk på innbrudd. Alt dette kan lett utvikle seg til å bli en kostbar affære kombinert med mye arbeid.
Sikker tilgang via Azure
Azure AD Application Proxy forenkler den konvensjonelle konfigurasjonen ovenfor i betydelig grad. Vi behøver ingen DMZ lenger, dermed heller ikke to lag med brannmurer. Den omvendte proxy-serveren utgår. Webserveren plasseres i det interne nettverket og kommuniserer direkte med SQL Server. Det må ikke åpnes for en eneste port for trafikk som kommer inn. Beskyttelsen forflyttes fra nettverksperimeter til en mer moderne identitetsdrevet tilnærming.
Med Azure AD Application Proxy ser tilgangen fra Internett sånn ut: Brukere går inn på nettstedene du har publisert. Her kanaliseres datastrømmen enten videre, eller så må bruker først logge seg på i Azure AD. Proxy-tjenesten kommuniserer direkte med koblinger (connectors) på innsiden av lokalnettet ditt, utenom en eventuell DMZ. Disse bindepunktene omtales også som lettvektsagenter og legger beslag på få serverressurser. Sånn styrer du klar av «sveitserost-syndromet» med alle åpninger i brannmuren inn fra Internett.
For å pre-autentisere lokale brukere må du synkronisere lokalt AD med Azure AD. Dette er antakelig noe du allerede har gjort med Office 365. Ved forhåndsgodkjenning stenger du uvedkommende ute allerede før de er kommet seg inn. Du har fordelen med alle funksjoner for identitetsbeskyttelse i Azure AD, som multifaktor-autentisering med betinget tilgang og Azure AD Identity Protection – sammen med omfattende overvåking og rapportering. Stort sikrere kan du ikke få det.
Ekstern tilgang som tjeneste
Azure AD Application Proxy betegnes som «ekstern tilgang som tjeneste». Den utvider Azure AD til å omfatte lokale ressurser. Microsoft selv fremhever disse kjennetegn ved program-proxyen:
- Enkelhet. Du kan benytte applikasjoner uten endringer. Tjenesten krever ingen servere i DMZen. Dermed reduserer du fotavtrykket lokalt.
- Kjapp utrulling. Du får publisert applikasjoner i løpet av få minutter, mens gammeldagse løsninger er langt mer arbeids- og tidkrevende.
- Produktivitet. Brukerne dine får tilgang til alle applikasjoner «når som helst, hvor som helst, fra hva som helst». Du har ett sentralt administrasjonspunkt i Azure AD.
- Beskyttelse. Du får skyskalert sikkerhet. Det opprettes ingen innkommende tilkoblinger til nettverket ditt. Agenter på innsiden tar seg av dataoverføringen.
Applikasjoner og autentisering
For tilgang med nettleser kan du bruke integrert Windows-godkjennelse – NTLM eller Kerberos med begrenset delegering – foruten form- og hode-basert autentisering. Det er støtte for moderne klientapper som benytter Active Directory Authentication Library (ADAL). For andre applikasjoner kan du velge eksternt skrivebord.
Azure AD Application Proxy i praksis
Her skal vi først sette opp en enkel webapplikasjon med såkalt passthrough-autentisering, dvs. vi slipper trafikken rett gjennom uten forhåndsgodkjent pålogging. Dernest publiserer vi Windows Admin Center, en webbasert løsning for å administrere servere. Tilgangen krever all mulig beskyttelse, les pre-autentisering i Azure AD. Men først må vi opprette minst ett koblingspunkt.
Laste ned og registrere koblinger
Logg deg på Azure-portalen (https://portal.azure.com). Velg Azure Active Directory og Application proxy. Klikk på Download connector service.
Installasjonen er standard. Underveis blir du bedt om å logge deg på tenanten din med en bruker som har rollen global administrator.
For feiltoleranse bør du installerer minst to koblinger. Noen øyeblikk etter at agentene er installert, vil du se dem her. Lokalt installeres to tjenester:
Konfigurere en applikasjon
For å publisere lokale applikasjoner velg Enterprise applications. Her klikker du på New application.
Webapplikasjon uten pre-autentisering
Oppgi et navn og en intern nettadresse (internal Url). Pre-autentiseringen skal være Passthrough. Vi har tre muligheter for en offentlig nettadresse. Om vi velger den som slutter på msappproxy.net, behøver vi ikke legge til et sertifikat:
Vi bruker jokertegn-sertifikatet *. msappproxy.net for webapp-ayla.msappproxy.net. Men vi kunne også valgt adressen webapp.sildeviga.no. Da hadde vi måttet gjøre to ting:
- Lagt opp en CNAME-post i DNS-sonen for domenet og pekt på webapp-ayla.msappproxy.net.
- Lagt til et gyldig sertifikat.
Windows Admin Center med pre-autentisering
Her er det valgt pre-autentisering og satt opp en mapping mellom eksterne og interne nettadresser.
Windows Admin Center er fremtiden for å administrere Windows-servere. Men det er en helt annen historie vi skal komme tilbake til. Poenget her er at du kan publisere tjenesten på en sikker måte over Internett. Ved å kreve pre-autentisering mot Azure AD er dette innebygd i påloggingen for tenanten:
Det er ikke mulig å velge svake passord, noe som hindres av Azure AD Password Protection.
Bruker kan tilbakestille passordet ved behov. Dette sørger selvbetjeningsfunksjonen for.
Det kreves multifaktor-autentisering (MFA) i tillegg til brukernavn og passord.
Brukeridentiteten er beskyttet av Azure Active Directory Identity Protection.
Enhetene som benyttes til påloggingen, må være registrert i Microsoft Intune og være i samsvar med sikkerhetskravene.
Denne type sikkerhet som tar utgangspunkt i brukeridentiteten, gir en mye bedre beskyttelse enn applikasjoner som publiseres på tradisjonell måte via en DMZ.
Tilgangspanelprogrammer
Du kan logge deg på myapps.microsoft.com og få tilgang til de publiserte applikasjonene derfra. Her ser du både Webapp og Windows Admin Center. I likhet med andre apper kan du sette dem opp for engangspålogging (single sign-on – SSO).
Sammendrag
Azure AD Application Proxy sørger for en ensartet og sammenhengende tilgang til interne ressurser uten virtuelle private nettverk (VPN). Du kan dele med partnere, eksterne brukere og andre ansatte. Du kan benytte løsningen for SharePoint, Jira og andre webbaserte applikasjoner. Nå er det også støtte for eksternt skrivebord (remote desktop) og applikasjoner som ikke er Windows-basert. Hele løsningen er godt innlemmet i Azure.
Publisering uten forhåndsgodkjennelse (passthrough) sørger for en grei og kjapp metode for å gjøre nettsteder og applikasjoner tilgjengelig på Internett. Eventuell brukerautentisering kan foretas lokalt. Den opplagte nytten er reduserte krav til infrastruktur. Med pre-autentisering har du alle fordeler som identitetsbeskyttelsen i Azure har å by på. Azure AD Application Proxy kan bli et første skritt for å ta i bruk Microsofts infrastruktur- og plattformtjenester. Neste naturlige skritt vil da være å flytte webtjenestene opp i nettskyen.
