Hybride skyapper har minst ett lag i skyen og andre lokalt. Med tjenestene i Azure kan du fullstendig avvikle perimeternettverket (DMZen) og omvendte proxy-servere. Det er heller ikke nødvendig med VPN-forbindelser for å gi tilgang til interne applikasjoner. Du gjør dem tilgjengelig via Internett uten å åpne for innkommende porter i brannmuren. Agenter kjører på innsiden og oppretter utgående forbindelser til Azure. Skytjenester i Azure lytter etter forespørsler og kommuniserer med agentene. Den eldste av disse teknologiene er Azure AD Application Proxy. Av nyere dato er Azure Relay og Azure App Service Hybrid Connection.
Azure AD Application Proxy
Azure AD Application Proxy sørger for sikker tilgang til interne applikasjoner fra Internett. Tjenesten gir mer sikkerhet enn konvensjonelle VPN- eller omvendte proxy-løsninger og er lettere å sette opp. Brukere gis adgang like enkelt og trygt som om de jobber med Microsoft 365. Det er støtte for:
- Nettapper som bruker integrert Windows-autentisering
- Nettapper med hode- eller formbasert autentisering
- Applikasjoner som publiseres via Remote Desktop Gateway
- SharePoint lokalt
Brukere logger på via web med samme brukernavn som i Microsoft 365 eller Azure og kan benytte en HTML-basert klient. Det er støtte for integrert engangspålogging (SSO – single sign-on).
Fordelen er at dette er transparent for brukere, samtidig som de slipper å stri med å opprette et VPN. Alle sikkerhetsmekanismer i Azure AD er tilgjengelige, så som betinget tilgang, passord- og identitetsbeskyttelse pluss overvåking. Du behøver ikke tilpasse applikasjonene. Det er ingen åpne porter ut mot Internett fordi trafikken initialiseres fra innsiden. Løsningen er lekende lett å sette opp, administrere og vedlikeholde. Brukere behøver ikke å komme inn i bedriftsnettverket når de befinner seg utenfor. Men internt anbefales det at de går utenom Azure AD App Proxy om det er på samme nett.
Om du finner ut at du skal flytte noen av applikasjonene opp i skyen, fører det ikke til endringer i brukertilgangen. Du sparer omkostninger ved at du ikke trenger foreta endringer i infrastrukturen eller sette opp en gateway inn. Med fjernarbeid er det viktig at ansatte har trygg tilgang til appene de trenger, uansett hvor de jobber fra. I grafikken ovenfor nevnes IaaS, Infrastructure as a Service (infrastruktur som tjeneste). Det kan være dine egne apper som kjører på virtuelle maskiner lokalt, i Azure eller hos tredjeparter, som Google Cloud Platform (GCP) eller Amazon Web Services (AWS).
Du konfigurerer appen i Enterprise applications i portalen for Azure Active Directory (AD). Du gir den et navn, angir intern adresse og ekstern nettadresse. Du bruker typisk sikker HTTPS mot Internett. Om du velger msapproxy.net, legges det automatisk til et SSL/TLS-sertifikat. For eget domenet må du skaffe deg et offentlig sertifikat og importere det i Azure. Du har valget mellom pre-autentisering av Azure AD eller slippe datastrømmen rett gjennom og la lokalt AD ta seg av godkjenningen.
Med pre-autentisering i Azure AD får du ekstra beskyttelse. Forespørsler som ikke er legitime, avvises allerede ved inngangsdøren. For gyldige brukere returnerer Azure AD et tilgangstoken. Application Proxy Connector kommuniserer med lokalt AD. Denne godkjenningsprosessen gir adgang til nettapper eller applikasjoner publisert via Remote Desktop Gateway.
Lokalt kjører disse to tjenestene. For feiltoleranse bør du installerer minst to koblinger på forskjellige servere. Noen øyeblikk etter at agentene er installert, vil du se dem under Services. Azure Relay og Azure App Service Hybrid Connection, som behandles nedenfor, er basert på beslektede teknologier.
Mens appene du publiserer via Azure AD Application Proxy vil dukke opp under Mine apper på My Apps (microsoft.com). Det forenkler ytterligere tilgangen for brukerne dine.
Azure Relay
Bruk Azure Relay i stedet for Azure AD Application Proxy når applikasjonen ikke krever Azure AD-autentisering. Tjenesten lar deg også eksponere arbeidsbelastninger som kjører på ditt interne bedriftsnettverk på en sikker måte. Her er det heller ingen inngående porter som må åpnes i brannmuren, og det er unødvendig med VPN. Azure Relay støtter følgende scenarioer mellom lokale tjenester og applikasjoner som kjører i Azure:
- Tradisjonell enveis-, forespørsel/svar- og peer-to-peer-kommunikasjon
- Hendelsesdistribusjon for å aktivere publiserings-/abonnementsscenarioer
- Toveis og ubufret socket-kommunikasjon på tvers av nettverksgrenser
Det er støtte for standard web-sockets, åpne protokoller og programmeringsmodeller for eksterne prosedyrekall (RPCer).
Azure App Service Hybrid Connection
Azure App Service Hybrid Connection lar deg koble en Azure Web App til en applikasjonsressurs på et hvilket som helst nettverk som er i stand til å sende utgående forespørsler til Azure på port 443. Et typisk scenario er at du har webservere i DMZen som kommuniserer med en SQL Server internt i nettverket ditt. Nå kan du flytte webtjenestene dine til Azure Apps og la dem aksessere SQL Server. Det lar deg utnytte alle fordeler i Azure, samtidig som data lagres lokalt. Azure App Service Hybrid Connection kan kommunisere med hvilken som helst ressurs forutsatt at den kan fungere som et TCP-endepunkt. Du bruker en reléagent som er i stand til å koble til internt nettverk samt etablere tilkobling til Azure. Det er ikke nødvendig å åpne inngående porter på brannmurene i DMZen. Det krever heller ingen VPN- eller ExpressRoute-tilkobling.
App Service Hybrid Connection er lett å ta i bruk. Du laster ned en agent og foretar noen konfigurasjoner. Men dette oppsettet får du alle fordeler av nettapper i Azure: avanserte støtte for DevOps (noe utviklerne dine har glede av), automatisk skalering, høy tilgjengelighet, beskyttelse mot en rekke former for tjenestenektangrep (DDoS) og Web Application Firewall med alle funksjoner for overvåking og varsling.
Avsluttende ord
Til vanlig publiserer vi nettsteder og applikasjoner til Internett med en modell som avbildet ovenfor. Webserveren bruker SQL Server som backend. Den omvendte proxyen figurerer som stedfortreder for apper som gjøres tilgjengelig på Internett. For innkommende trafikk gjennom ytre brannmur åpner vi typisk for TCP 443. Portåpningene i indre brannmur er ofte mer omfattende. Vi beskytter oss mot angrep utenfra ved å sette opp tilgangskontrollister og mekanismer for pakke-inspeksjon, gjerne ved å plusse på med systemer for å oppdage og avverge forsøk på innbrudd. Alt dette kan lett utvikle seg til å bli en kostbar affære kombinert med mye arbeid.
Med teknologiene i Azure for hybride skyapplikasjoner slipper vi alt dette. Det blir enklere, rimeligere og sikrere. Hele DMZen kan avvikles. Azure er ikke et alt eller ingenting. Tvert imot: Du tar i bruk de tjenestene som forenkler og forbedrer infrastrukturen. Med tanke på Azure AD Application Proxy må jeg få lov til å sitere min utmerkede kollega Jens Tore Fremmegård: «Så lenge lokale applikasjoner er nettbaserte, støtter moderne pålogging (MSAL) eller kan kjøres via RDS Gateway, er VPN å anse som en teknologi som snart kun er å finne innen arkeologien.»
