Поделиться через


Вопросы безопасности для удаленного доступа к приложениям с помощью прокси приложения Microsoft Entra

В этой статье описываются компоненты, которые работают для безопасности пользователей и приложений при использовании прокси приложения Microsoft Entra.

На следующей схеме показано, как идентификатор Microsoft Entra обеспечивает безопасный удаленный доступ к локальным приложениям.

Схема безопасного удаленного доступа через прокси приложения Microsoft Entra

Преимущества безопасности

Прокси приложения Microsoft Entra предлагает множество преимуществ безопасности. Список преимуществ:

  • Аутентифицируемый доступ
  • Условный доступ
  • Завершение трафика
  • Весь исходящий доступ
  • Аналитика и машинное обучение в облаке
  • Удаленный доступ как услуга
  • Служба защиты от распределенных отказов в обслуживании (DDoS) Майкрософт

Аутентифицируемый доступ

Только прошедшие проверку подлинности подключения могут получить доступ к сети при использовании предварительной проверки подлинности Microsoft Entra.

Прокси приложения Microsoft Entra использует службу маркеров безопасности Microsoft Entra (STS) для всей проверки подлинности. Предварительная проверка подлинности, по своей природе, блокирует значительное количество анонимных атак, так как только прошедшие проверку подлинности удостоверения могут получить доступ к внутреннему приложению.

Если вы выбрали passthrough в качестве метода предварительной проверки подлинности, вы не получите это преимущество.

Условный доступ

Примените расширенные параметры политики, прежде чем устанавливать подключения к сети.

Благодаря условному доступу можно определить ограничения в отношении доступа пользователей к приложениям. Вы можете создать политики, ограничивающие вход на основе расположения, надежности аутентификации и профиля риска пользователя.

Вы также можете использовать условный доступ для настройки политик многофакторной проверки подлинности, добавив еще один уровень безопасности для проверки подлинности пользователей. Кроме того, приложения также можно направлять в Microsoft Defender для облака приложения через условный доступ Microsoft Entra для обеспечения мониторинга и управления в режиме реального времени с помощью политик доступа и сеансов.

Завершение трафика

Весь трафик завершается в облаке.

Так как прокси приложения Microsoft Entra является обратным прокси-сервером, весь трафик к серверным приложениям завершается в службе. Сеанс может быть восстановлен только с серверным сервером, что означает, что серверные серверы не предоставляют прямой HTTP-трафик. Конфигурация означает, что вы лучше защищены от целевых атак.

Только исходящий доступ

Для корпоративной сети не требуется открывать входящие подключения.

Соединители частной сети используют только исходящие подключения к службе прокси приложения Microsoft Entra. Нет необходимости открывать порты брандмауэра для входящих подключений. Для традиционных прокси-серверов требуется сеть периметра (также известная как DMZ, демилитаризованная зона или экранированная подсеть) и разрешить доступ к неуверенным подключениям на границе сети. При использовании прокси приложения не требуется сеть периметра, так как все подключения исходящие и выполняются через безопасный канал.

Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Облачная аналитика и машинное обучение

Получите новейшую систему безопасности.

Так как это часть идентификатора Microsoft Entra, прокси приложения использует Защита идентификации Microsoft Entra с данными из Центра реагирования на безопасность Майкрософт и подразделения цифровых преступлений. Вместе мы заранее определяем скомпрометированные учетные записи и предоставляем защиту от входа с высоким риском. Мы учитываем многочисленные факторы, чтобы определить, какие попытки входа являются высоким риском. К этим факторам относятся помеченные флагами зараженные устройства, анонимизация сетей и нетипичные или маловероятные расположения.

Многие из этих отчетов и событий уже сейчас можно использовать в API для интеграции с системами управления сведениями о безопасности и событиями (SIEM).

Удаленный доступ как услуга

Вам больше не нужно беспокоиться о поддержке локальных серверов и установке для них исправлений.

Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. Прокси приложения Microsoft Entra — это служба в масштабе Интернета, которая принадлежит Корпорации Майкрософт, поэтому вы всегда получаете последние исправления безопасности и обновления.

Чтобы повысить безопасность приложений, опубликованных прокси приложения Microsoft Entra, мы блокируем роботов веб-обходчика от индексирования и архивации приложений. Каждый раз, когда робот веб-обходчика пытается получить параметры робота для опубликованного приложения, прокси приложения отвечает с помощью файла robots.txt, который включает в себя User-agent: * Disallow: /.

Служба защиты от распределенных отказов в обслуживании (DDoS) Майкрософт

Приложения, опубликованные через прокси приложения, защищены от атак распределенного типа "отказ в обслуживании" (DDoS). Корпорация Майкрософт автоматически включает эту защиту во всех центрах обработки данных. Служба защиты от атак DDoS Майкрософт обеспечивает мониторинг трафика и устранение распространенных атак на уровне сети в режиме реального времени.

Внутренняя логика

Прокси приложения Microsoft Entra состоит из двух частей:

  • Облачная служба: эта служба выполняется в облаке Майкрософт и где выполняются внешние подключения клиента или пользователя.
  • Локальный соединитель: локальный компонент, соединитель прослушивает запросы из службы прокси приложения Microsoft Entra и обрабатывает подключения к внутренним приложениям.

Поток между соединителем и службой прокси приложения устанавливается, когда:

  • При первоначальной настройке соединителя.
  • Соединитель извлекает сведения о конфигурации из службы прокси приложения.
  • Пользователь получает доступ к опубликованному приложению.

Примечание.

Все связи происходят по протоколу TLS, и они всегда возникают в соединителе в службе прокси приложения. В службе используются только исходящие соединения.

Соединитель использует сертификат клиента для проверки подлинности в службе прокси приложения для почти всех вызовов. Единственным исключением является этап начальной настройки, когда устанавливается сертификат клиента.

Установка соединителя

При начальной настройке соединителя события выполняются в следующем порядке:

  1. В процессе установки соединителя происходит его регистрация в службе. Пользователям предлагается ввести учетные данные администратора Microsoft Entra. Затем маркер, полученный из этой проверки подлинности, будет представлен службе прокси приложения Microsoft Entra.
  2. Служба прокси приложения оценивает маркер. Он проверяет, является ли пользователь по крайней мере администратором приложения в клиенте. Если пользователь не является, процесс завершается.
  3. Соединитель создает запрос сертификата клиента и передает его вместе с маркером в службу прокси приложения. В свою очередь, служба проверяет этот маркер и подписывает запрос на сертификат клиента.
  4. Соединитель использует сертификат клиента для дальнейшего взаимодействия со службой прокси приложения.
  5. Соединитель выполняет начальное извлечение данных конфигурации системы из службы с помощью сертификата клиента и теперь готово к выполнению запросов.

Обновление параметров конфигурации

Всякий раз, когда служба прокси приложения обновляет параметры конфигурации, происходят следующие события потока:

  1. Соединитель подключается к конечной точке конфигурации в службе прокси приложения с помощью сертификата клиента.
  2. Проверяется сертификат клиента.
  3. Служба прокси приложения возвращает данные конфигурации соединителю (например, группу соединителей, в которую должен быть входит соединитель).
  4. Соединитель создает новый запрос на сертификат, если текущий сертификат превышает 180 дней.

Доступ к опубликованным приложениям

Когда пользователи получают доступ к опубликованному приложению, между службой прокси приложения и соединителем частной сети происходят следующие события:

  1. Служба аутентифицирует пользователя для приложения
  2. Служба помещает запрос в очередь соединителя.
  3. Соединитель обрабатывает запрос из очереди.
  4. Соединитель ожидает ответ.
  5. Служба передает пользователю поток данных.

Чтобы узнать больше о том, что происходит на каждом из этих этапов, читайте эту статью дальше.

1. Служба проверяет подлинность пользователя для приложения.

Если приложение использует сквозное руководство в качестве метода предварительной проверки подлинности, шаги, описанные в этом разделе, пропускаются.

Пользователи перенаправляются на службу STS Microsoft Entra, чтобы пройти проверку подлинности, если приложение настроено для предварительной проверки подлинности с помощью идентификатора Microsoft Entra. Выполните следующие действия.

  1. Прокси приложения проверяет требования к политике условного доступа. Этот шаг гарантирует, что пользователю назначено приложение. Если требуется двухфакторная проверка подлинности, появляется запрос на второй метод проверки подлинности.
  2. Microsoft Entra STS выдает подписанный маркер для приложения и перенаправляет пользователя обратно в службу прокси приложения.
  3. Прокси приложения проверяет, был ли маркер выдан правильному приложению, подписанному и допустимому.
  4. Прокси приложения задает зашифрованный файл cookie проверки подлинности, указывающий на успешную проверку подлинности в приложении. Файл cookie включает метку времени окончания срока действия на основе маркера из идентификатора Microsoft Entra. Файл cookie также содержит имя пользователя, на основе проверки подлинности. Файл cookie шифруется с закрытым ключом, известным только для службы прокси приложения.
  5. Прокси приложения перенаправляет пользователя обратно на исходный запрошенный URL-адрес.

Если какая-либо часть предварительных шагов проверки подлинности завершается ошибкой, запрос пользователя отклоняется, а пользователь отображает сообщение, указывающее источник проблемы.

2. Служба помещает запрос в очередь соединителя

Соединители сохраняют исходящее подключение к службе прокси приложения. При поступлении запроса служба добавляет его в очередь в одном из открытых подключений, чтобы его получил соединитель.

Запрос содержит заголовки запросов, данные из зашифрованного файла cookie, пользователя, выполняющего запрос, и идентификатор запроса. Хотя данные из зашифрованного файла cookie отправляются с запросом, сам файл cookie проверки подлинности не является.

3. Соединитель обрабатывает запрос из очереди.

На основе запроса прокси приложения выполняет одно из следующих действий:

  • Если запрос является простой операцией (например, в тексте нет данных, как и с запросом API GET RESTful), соединитель выполняет подключение к целевому внутреннему ресурсу, а затем ожидает ответа.

  • Если запрос содержит данные, связанные с ним в теле (например, операция RESTful API POST ), соединитель выполняет исходящее подключение с помощью сертификата клиента к экземпляру прокси приложения. Это подключение используется для запроса данных и открытия подключения к внутреннему ресурсу. После получения запроса от соединителя служба прокси приложения начинает принимать содержимое от пользователя и пересылает данные в соединитель. Соединитель, в свою очередь, перенаправляет данные во внутренний ресурс.

4. Соединитель ожидает ответа.

Когда завершается выполнение запроса и передача содержимого в серверную службу, соединитель ожидает ответа.

После получения ответа соединитель выполняет исходящее подключение к службе прокси приложения, чтобы вернуть сведения о заголовке и начать потоковую передачу возвращаемых данных.

5. Служба передает данные пользователю. 

В настоящее время выполняется некоторая обработка приложения. Например, прокси приложения преобразует заголовки или URL-адреса.

Следующие шаги