Azure Active Directory Application Proxy er en løsning som sørger for ekstern tilgang til lokale ressurser. Den lar deg publisere interne applikasjoner til brukere utenfor bedriftsnettverket ditt. Brukertilgangen kommer inn via proxy-tjenesten i Microsofts skyplattform Azure, som formidler forespørslene videre til lokalnettet ditt. Du kan slippe trafikken rett gjennom. Eller så kan du pre-autentisere påloggingen og dra nytte av sikkerhetsmekanismene i Azure Active Directory (AD) og Microsoft Intune.
Med Microsofts program-proxy unngår du de vanlige utfordringene knyttet til å gi brukere adgang utenfra. Det krever ingen komplisert infrastruktur med perimeternettverk eller DMZ (demilitarisert sone). Du trenger ikke reservere offentlige IP-adresser. Det er ingen hull fra Internett i brannmuren. Ofte er det ikke engang nødvendig med et eget sertifikat for trygg oppkobling. Du overlater det til Microsoft å håndtere høy tilgjengelighet og beskytte deg mot trusler som distribuert tjenestenekt. Azure AD Application Proxy blir rimeligere og fungerer sammen med de fleste enheter.
Til vanlig publiserer vi nettsteder og applikasjoner til Internett med en modell som avbildet ovenfor. Webserveren bruker SQL Server som backend. Den omvendte proxyen figurerer som stedfortreder for apper som gjøres tilgjengelig på Internett. For innkommende trafikk gjennom ytre brannmur åpner vi typisk for TCP 443. Portåpningene i indre brannmur er ofte mer omfattende. Vi beskytter oss mot angrep utenfra ved å sette opp tilgangskontrollister og mekanismer for pakke-inspeksjon, gjerne ved å plusse på med systemer for å oppdage og avverge forsøk på innbrudd. Alt dette kan lett utvikle seg til å bli en kostbar affære kombinert med mye arbeid.
Azure AD Application Proxy forenkler den konvensjonelle konfigurasjonen ovenfor i betydelig grad. Vi behøver ingen DMZ lenger, dermed heller ikke to lag med brannmurer. Den omvendte proxy-serveren utgår. Webserveren plasseres i det interne nettverket og kommuniserer direkte med SQL Server. Det må ikke åpnes for en eneste port for trafikk som kommer inn. Beskyttelsen forflyttes fra nettverksperimeter til en mer moderne identitetsdrevet tilnærming.
Med Azure AD Application Proxy ser tilgangen fra Internett sånn ut: Brukere går inn på nettstedene du har publisert. Her kanaliseres datastrømmen enten videre, eller så må bruker først logge seg på i Azure AD. Proxy-tjenesten kommuniserer direkte med koblinger (connectors) på innsiden av lokalnettet ditt, utenom en eventuell DMZ. Disse bindepunktene omtales også som lettvektsagenter og legger beslag på få serverressurser. Sånn styrer du klar av «sveitserost-syndromet» med alle åpninger i brannmuren inn fra Internett.
For å pre-autentisere lokale brukere må du synkronisere lokalt AD med Azure AD. Dette er antakelig noe du allerede har gjort med Office 365. Ved forhåndsgodkjenning stenger du uvedkommende ute allerede før de er kommet seg inn. Du har fordelen med alle funksjoner for identitetsbeskyttelse i Azure AD, som multifaktor-autentisering med betinget tilgang og Azure AD Identity Protection – sammen med omfattende overvåking og rapportering. Stort sikrere kan du ikke få det.
Azure AD Application Proxy betegnes som «ekstern tilgang som tjeneste». Den utvider Azure AD til å omfatte lokale ressurser. Microsoft selv fremhever disse kjennetegn ved program-proxyen:
For tilgang med nettleser kan du bruke integrert Windows-godkjennelse – NTLM eller Kerberos med begrenset delegering – foruten form- og hode-basert autentisering. Det er støtte for moderne klientapper som benytter Active Directory Authentication Library (ADAL). For andre applikasjoner kan du velge eksternt skrivebord.
Her skal vi først sette opp en enkel webapplikasjon med såkalt passthrough-autentisering, dvs. vi slipper trafikken rett gjennom uten forhåndsgodkjent pålogging. Dernest publiserer vi Windows Admin Center, en webbasert løsning for å administrere servere. Tilgangen krever all mulig beskyttelse, les pre-autentisering i Azure AD. Men først må vi opprette minst ett koblingspunkt.
Logg deg på Azure-portalen (https://portal.azure.com). Velg Azure Active Directory og Application proxy. Klikk på Download connector service.
Installasjonen er standard. Underveis blir du bedt om å logge deg på tenanten din med en bruker som har rollen global administrator.
For feiltoleranse bør du installerer minst to koblinger. Noen øyeblikk etter at agentene er installert, vil du se dem her. Lokalt installeres to tjenester:
For å publisere lokale applikasjoner velg Enterprise applications. Her klikker du på New application.
Oppgi et navn og en intern nettadresse (internal Url). Pre-autentiseringen skal være Passthrough. Vi har tre muligheter for en offentlig nettadresse. Om vi velger den som slutter på msappproxy.net, behøver vi ikke legge til et sertifikat:
Vi bruker jokertegn-sertifikatet *. msappproxy.net for webapp-ayla.msappproxy.net. Men vi kunne også valgt adressen webapp.sildeviga.no. Da hadde vi måttet gjøre to ting:
Her er det valgt pre-autentisering og satt opp en mapping mellom eksterne og interne nettadresser.
Windows Admin Center er fremtiden for å administrere Windows-servere. Men det er en helt annen historie vi skal komme tilbake til. Poenget her er at du kan publisere tjenesten på en sikker måte over Internett. Ved å kreve pre-autentisering mot Azure AD er dette innebygd i påloggingen for tenanten:
Denne type sikkerhet som tar utgangspunkt i brukeridentiteten, gir en mye bedre beskyttelse enn applikasjoner som publiseres på tradisjonell måte via en DMZ.
Du kan logge deg på myapps.microsoft.com og få tilgang til de publiserte applikasjonene derfra. Her ser du både Webapp og Windows Admin Center. I likhet med andre apper kan du sette dem opp for engangspålogging (single sign-on – SSO).
Azure AD Application Proxy sørger for en ensartet og sammenhengende tilgang til interne ressurser uten virtuelle private nettverk (VPN). Du kan dele med partnere, eksterne brukere og andre ansatte. Du kan benytte løsningen for SharePoint, Jira og andre webbaserte applikasjoner. Nå er det også støtte for eksternt skrivebord (remote desktop) og applikasjoner som ikke er Windows-basert. Hele løsningen er godt innlemmet i Azure.
Publisering uten forhåndsgodkjennelse (passthrough) sørger for en grei og kjapp metode for å gjøre nettsteder og applikasjoner tilgjengelig på Internett. Eventuell brukerautentisering kan foretas lokalt. Den opplagte nytten er reduserte krav til infrastruktur. Med pre-autentisering har du alle fordeler som identitetsbeskyttelsen i Azure har å by på. Azure AD Application Proxy kan bli et første skritt for å ta i bruk Microsofts infrastruktur- og plattformtjenester. Neste naturlige skritt vil da være å flytte webtjenestene opp i nettskyen.
Azure Active Directory – Identiteter og tilganger i skyen
