Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей
Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Например, прокси приложения могут предоставлять удаленный доступ и единый вход в удаленный рабочий стол, SharePoint, Teams, Tableau, Qlik и бизнес-приложения (LOB).
Прокси приложения Microsoft Entra:
Простота в использовании. Пользователи могут получить доступ к локальным приложениям так же, как они получают доступ к Microsoft 365 и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями.
Безопасность. Локальные приложения могут использовать элементы управления авторизацией и аналитику безопасности Azure. Например, локальные приложения могут использовать условный доступ и двухфакторную проверку подлинности. Прокси приложения не требует открытия входящих подключений через брандмауэр.
Экономичность. Локальные решения обычно требуют настройки и обслуживания демилитаризованных зон (DMZ), пограничных серверов или других сложных инфраструктур. Прокси приложения выполняется в облаке, что упрощает использование. Чтобы использовать прокси приложения, вам не нужно изменять сетевую инфраструктуру или устанавливать больше устройств в локальной среде.
Совет
Если у вас уже есть идентификатор Microsoft Entra, его можно использовать как одну плоскость управления, чтобы обеспечить простой и безопасный доступ к локальным приложениям.
Хотя и не исчерпывающий, приведенный ниже список иллюстрирует примеры использования прокси приложения в сценарии гибридного сосуществования:
- Упрощенная публикация локальных веб-приложений внешне без DMZ.
- Поддержка единого входа для устройств, ресурсов и приложений в облаке и локальной среде.
- Поддержка многофакторной проверки подлинности для приложений в облаке и локальной среде
- Быстро используйте возможности облака с безопасностью Microsoft Cloud.
- Централизованное управление учетными записями пользователей.
- Централизованное управление удостоверениями и безопасностью.
- Автоматическое добавление и удаление прав доступа пользователей к приложениям на основе членства в группах.
В этой статье объясняется, как идентификатор Microsoft Entra и прокси приложения предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без использования VPN, серверов с двумя адресами и правил брандмауэра. Эта статья поможет вам понять, как прокси приложения обеспечивает возможности и преимущества безопасности в облаке для локальных веб-приложений. В ней также описывается архитектура и возможные топологии.
Совет
Прокси приложения включает как службу прокси приложения, которая выполняется в облаке, так и соединитель частной сети, который выполняется на локальном сервере. Идентификатор Microsoft Entra, служба прокси приложения и соединитель частной сети работают вместе, чтобы безопасно передать маркер входа пользователя из идентификатора Microsoft Entra в веб-приложение.
Прокси приложения работает с:
- веб-приложения, использующие Встроенную проверку подлинности Windows;
- веб-приложения, использующие доступ на основе форм или заголовков;
- веб-API, которые вы хотите раскрыть для многофункциональных приложений на различных устройствах
- приложения, размещаемые за шлюзом удаленных рабочих столов.
- полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).
Прокси приложения поддерживает единый вход. Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.
Удаленный доступ в прошлом
Ранее контрольная плоскость, используемая для защиты внутренних ресурсов от злоумышленников и облегчения доступа удалённых пользователей, полностью находилась в DMZ или сети периметра. Но решения на основе VPN и обратного прокси-сервера, развернутые в сети периметра и используемые внешними клиентами для доступа к корпоративным ресурсам, не подходят для облачной среды. Обычно они подвержены следующим недостаткам:
- Затраты на оборудование
- Поддержание безопасности (установка патчей, мониторинг портов и т. д.)
- аутентификация пользователей в пограничной зоне;
- аутентификация пользователей на веб-серверах в сети периметра;
- обеспечение доступа по протоколу VPN для удаленных пользователей с помощью распространения и настройки клиентского программного обеспечения VPN; Также обслуживание серверов, присоединенных к домену, в периметральной сети, которая может быть уязвимой для внешних атак.
В современном мире, где приоритет отдается облачным технологиям, Microsoft Entra ID лучше всего подходит для управления доступом к вашей сети. Прокси приложения Microsoft Entra интегрируется с современными технологиями проверки подлинности и облачными технологиями, такими как приложения SaaS и поставщики удостоверений. Такая интеграция позволяет пользователям получать доступ к приложениям откуда угодно. Не только прокси-сервер приложений более подходит для современных цифровых рабочих мест, но и он более безопасен, чем решения на основе VPN и обратных прокси-серверов, и его проще внедрить. Удаленные пользователи могут получить доступ к локальным приложениям так же, как и к приложениям Microsoft и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями. Кроме того, прокси приложения не требует открытия входящих подключений через брандмауэр. С помощью прокси приложения вы просто задали его и забыли.
Будущее удаленного доступа
В современной цифровой рабочей среде пользователи работают где угодно, используя разнообразные устройства и приложения. Единственным постоянным фактором является удостоверение пользователя. Поэтому первым шагом в безопасной сети сегодня является использование возможностей управления удостоверениями Microsoft Entra в качестве уровня управления безопасностью. Модель, которая использует идентичность в качестве контрольной плоскости, обычно состоит из следующих компонентов:
- поставщик удостоверений личности для отслеживания пользователей и связанной с ними информацией.
- каталог устройств для обеспечения списка устройств, которые имеют доступ к корпоративным ресурсам; Этот каталог содержит соответствующие сведения об устройстве (например, тип устройства, целостность и т. д.).
- служба оценки политик для определения соответствия пользователей и устройств политике, установленной администраторами безопасности;
- возможность предоставить или запретить доступ к ресурсам организации.
С помощью прокси приложения идентификатор Microsoft Entra отслеживает пользователей, которым требуется доступ к веб-приложениям, опубликованным локально и в облаке. Это обеспечивает централизованную точку управления этими приложениями. Хотя это не обязательно, рекомендуется также включить условный доступ Microsoft Entra. Определив условия для аутентификации и доступа пользователей, можно еще лучше защитить приложения от несанкционированного доступа.
Примечание.
Важно понимать, что прокси приложения Microsoft Entra предназначен в качестве замены VPN или обратного прокси-сервера для перемещаемых (или удаленных) пользователей, которым требуется доступ к внутренним ресурсам. Она не предназначена для внутренних пользователей в корпоративной сети. Внутренние пользователи, которые ненужным образом используют прокси приложения, могут привести к непредвиденным и нежелательным проблемам с производительностью.
Общие сведения о том, как работает прокси приложения
На схеме показано, как идентификатор Microsoft Entra и прокси приложения работают вместе, чтобы обеспечить единый вход в локальные приложения.
- Пользователь направляется на страницу входа Microsoft Entra после доступа к приложению через конечную точку.
- Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя после успешного входа.
- Клиент отправляет маркер в службу прокси приложения. Служба получает имя пользователя (UPN) и имя безопасности субъекта (SPN) из токена. Затем прокси приложения отправляет запрос соединителю.
- Соединитель выполняет проверку подлинности единой аутентификации (SSO) от имени пользователя.
- Соединитель отправляет запрос локальному приложению.
- Ответ отправляется через соединитель и службу прокси приложения пользователю.
Примечание.
Как и большинство гибридных агентов Microsoft Entra, соединитель частной сети не требует открытия входящих подключений через брандмауэр. Трафик пользователя на шаге 3 завершается в службе прокси приложения. Соединитель частной сети, который находится в частной сети, отвечает за остальную часть связи.
Компонент | Описание |
---|---|
Конечная точка | Конечной точкой называется URL-адрес или пользовательский портал. Пользователи за пределами вашей сети могут получить доступ к приложениям, используя внешний URL-адрес. Пользователи в вашей сети могут получить доступ к приложениям, используя URL-адрес или пользовательский портал. Когда пользователи переходят к одной из этих конечных точек, они проходят проверку подлинности в идентификаторе Microsoft Entra, а затем направляются через соединитель в локальное приложение. |
Microsoft Entra ID | Идентификатор Microsoft Entra выполняет проверку подлинности с помощью каталога клиента, хранящегося в облаке. |
Служба прокси-сервера для приложений | Эта служба прокси приложения выполняется в облаке в составе идентификатора Microsoft Entra. Он передает токен аутентификации от пользователя к соединителю частной сети. Прокси приложения перенаправляет все доступные заголовки запроса и задает заголовки в соответствии со своим протоколом для IP-адреса клиента. Если нужный заголовок уже присутствует в запросе, поступившем на прокси-сервер, IP-адрес клиента добавляется в конец значения этого заголовка, которое представляет собой список с разделителями запятыми. |
Соединитель частной сети | Соединителем называется легковесный агент, который запускается на сервере Windows Server внутри вашей сети. Соединитель управляет взаимодействием между прокси-службой приложения в облаке и локальным приложением. Соединитель использует только исходящие подключения, поэтому вам не нужно открывать входящие порты в сетях с подключением к Интернету. Соединители не имеют состояния и по мере необходимости получают информацию из облака. Дополнительные сведения о соединителях, таких как балансировка нагрузки и проверка подлинности, см. в статье "Общие сведения о соединителях частной сети Microsoft Entra". |
Active Directory (AD) | Active Directory работает локально и выполняет аутентификацию доменных учетных записей. При настройке единого входа соединитель взаимодействует с AD, чтобы выполнить дополнительную проверку подлинности. |
Локальное приложение | Когда весь этот процесс завершится, пользователь получает доступ к локальному приложению. |
Прокси приложения — это служба Microsoft Entra, настроенная в Центре администрирования Microsoft Entra. Она позволяет опубликовать внешнюю конечную точку с общедоступным URL-адресом (HTTP/HTTPS) в облаке Azure, которая подключена к URL-адресу внутреннего сервера приложений в вашей организации. Эти локальные веб-приложения можно интегрировать с идентификатором Microsoft Entra для поддержки единого входа. После этого пользователи смогут получать доступ к локальным веб-приложениям тем же образом, как к Microsoft 365 и другим приложениям SaaS.
К компонентам этой функции относятся служба прокси приложения, которая выполняется в облаке, соединитель частной сети — легковесный агент, работающий на локальном сервере, и Microsoft Entra ID, который является поставщиком удостоверений. Все три компонента взаимодействуют, обеспечивая единый вход пользователей для доступа к локальным веб-приложениям.
После проверки подлинности пользователя внешние пользователи могут получать доступ к локальным веб-приложениям с помощью URL-адреса отображения или Мои приложения на настольных компьютерах или устройствах iOS/MAC. Например, прокси приложения могут предоставлять удаленный доступ и единый вход на удаленный рабочий стол, сайты SharePoint, Tableau, Qlik, Outlook в Интернете и бизнес-приложения (LOB).
Проверка подлинности
Существует несколько способов настройки единого входа для приложения и выбор метода зависит от того, какую проверку подлинности использует приложение. Прокси приложения поддерживает следующие типы приложений:
- Веб-приложения
- веб-API, которые вы хотите предоставить доступ к многофункциональным приложениям на различных устройствах
- приложения, размещаемые за шлюзом удаленных рабочих столов
- полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).
Прокси приложения работает с приложениями, используюющими следующий собственный протокол проверки подлинности:
- Встроенная проверка подлинности Windows (IWA). Для IWA соединители частной сети используют ограниченное делегирование Kerberos (KCD) для проверки подлинности пользователей в приложении Kerberos.
Прокси приложения также поддерживает следующие протоколы проверки подлинности со сторонней интеграцией или в определенных сценариях конфигурации:
- Аутентификация на основе заголовка. Этот метод входа использует стороннюю службу аутентификации, именуемую PingAccess. Он применяется, если приложение использует для аутентификации заголовки. В этом случае аутентификацию осуществляет PingAccess.
- Аутентификация на основе форм или пароля. При таком методе проверки подлинности пользователям, чтобы войти в приложение, необходимо ввести имя пользователя и пароль при первом обращении к нему. После первого входа идентификатор Microsoft Entra предоставляет имя пользователя и пароль приложению. В этом сценарии проверка подлинности обрабатывается идентификатором Microsoft Entra.
- Проверка подлинности SAML. Единый вход на основе SAML поддерживается для приложений, использующих протокол SAML 2.0 или WS-Federation. При использовании единого входа на основе SAML служба Microsoft Entra выполняет проверку подлинности в приложении, используя учетную запись Microsoft Entra пользователя.
Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.
Преимущества безопасности
Решение удаленного доступа, предлагаемое прокси приложениями и Microsoft Entra, поддерживает несколько преимуществ безопасности, которые могут воспользоваться клиентами, в том числе:
Аутентифицируемый доступ. Прокси приложения лучше всего подходит для публикации приложений с предварительной проверкой подлинности , чтобы убедиться, что только прошедшие проверку подлинности подключения попали в сеть. Трафик не может передаваться через службу прокси приложения в локальную среду без действительного токена для приложений, опубликованных с использованием предварительной аутентификации. Предварительная аутентификация по своей сути блокирует значительное количество целенаправленных атак, так как доступ к внутреннему приложению могут обеспечить только те удостоверения, которые прошли аутентификацию.
Условный доступ. Можно применить расширенные политики, прежде чем устанавливать подключения к сети. Благодаря условному доступу можно определить ограничения в отношении трафика, который может передаваться во внутреннее приложение. Вы можете создать политики, ограничивающие вход на основе расположения, строгости метода проверки подлинности и профиля риска для пользователя. По мере развития условного доступа добавляется все больше элементов управления, чтобы обеспечить дополнительную защиту, в том числе интеграция с Microsoft Defender for Cloud Apps. Интеграция Defender for Cloud Apps позволяет настроить для локального приложения мониторинг в реальном времени, используя условный доступ для отслеживания сеансов и управления ими в реальном времени на основе политик условного доступа.
Завершение трафика. Весь трафик к внутреннему приложению завершается в службе прокси приложения в облаке во время повторной установки сеанса с серверным сервером. Подобная стратегия подключения означает, что внутренние серверы недоступны для прямого трафика HTTP. Они лучше защищены от целенаправленных атак типа "отказ в обслуживании", так как брандмауэр не подвергается атакам.
Весь доступ является исходящим. Соединители частной сети используют только исходящие подключения к службе прокси приложения в облаке через порты 80 и 443. При отсутствии входящих соединений нет необходимости открывать порты брандмауэра для входящих соединений или компонентов в демилитаризованной зоне (DMZ). Все подключения являются исходящими и передаются через защищенный канал.
Аналитика на основе анализа безопасности и машинного обучения. Так как это часть Microsoft Entra ID, прокси приложения может использовать Защиту Microsoft Entra ID (требуется лицензия Premium P2). Защита идентификаций Microsoft Entra объединяет безопасность на основе машинного обучения с каналами данных от Майкрософт (Подразделение по борьбе с цифровыми преступлениями) и (Центр реагирования на угрозы безопасности) для упреждающего выявления скомпрометированных учетных записей. Защита идентификаторов Microsoft Entra обеспечивает защиту от высокорисковых попыток входа в систему в режиме реального времени. Она учитывает такие факторы, как доступ из инфицированных устройств, через анонимные сети или из нетипичных и маловероятных местоположений, увеличивая профиль риска сеанса. Этот профиль риска используется для защиты в реальном времени. Многие из этих отчетов и событий уже можно интегрировать с системами SIEM через API.
Удаленный доступ как услуга. Вам больше не нужно беспокоиться о поддержке локальных серверов для удаленного доступа и установке на них исправлений. Прокси приложения — это служба масштабирования Интернета, которая принадлежит Корпорации Майкрософт, поэтому вы всегда получаете последние исправления безопасности и обновления. Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. В соответствии с Министерством национальной безопасности, порядка 85 процентов целенаправленных атак могут быть предотвращены. Благодаря такой модели службы вам больше не придется уделять много внимания управлению пограничными серверами и в спешке устанавливать на них необходимые исправления.
Интеграция Intune. С помощью Intune корпоративной трафик передается отдельно от личного трафика пользователей. Прокси приложения гарантирует проверку подлинности корпоративного трафика. Прокси приложения и возможности Управляемого браузера Intune также можно использовать вместе, чтобы обеспечить удаленным пользователям безопасный доступ к внутренним веб-сайтам с устройств iOS и Android.
План перехода в облако
Еще одним основным преимуществом реализации прокси приложения является расширение идентификатора Microsoft Entra в локальной среде. На самом деле реализация прокси приложения является ключевым шагом при перемещении организации и приложений в облако. Перейдя в облако и отказавшись от локальной проверки подлинности, вы сокращаете локальный объем ресурсов и используете возможности управления удостоверениями Microsoft Entra в качестве контрольной плоскости. При минимальном или отсутствии обновлений существующих приложений у вас есть доступ к облачным возможностям, таким как единый вход, многофакторная проверка подлинности и централизованное управление. Установка необходимых компонентов для прокси приложения — это простой процесс для создания платформы удаленного доступа. И путем перехода в облако у вас есть доступ к последним функциям Microsoft Entra, обновлениям и функциям, таким как высокий уровень доступности и аварийное восстановление.
Дополнительные сведения о переносе приложений в идентификатор Microsoft Entra см. в разделе "Перенос приложений в идентификатор Microsoft Entra".
Архитектура
На схеме показано, как службы проверки подлинности Microsoft Entra и прокси приложения работают совместно, чтобы обеспечить единый вход в локальные приложения пользователям.
- После доступа пользователя к приложению через конечную точку пользователь перенаправляется на страницу входа Microsoft Entra. Если вы настроили политики условного доступа, на этом этапе проверяются определенные условия, чтобы обеспечить соответствие требованиям безопасности вашей организации.
- После успешного входа идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя.
- Клиент отправляет маркер в службу прокси приложения, которая извлекает имя участника-пользователя (UPN) и имя субъекта безопасности (SPN) из маркера.
- Прокси приложения перенаправляет запрос, который обрабатывается соединителем частной сети.
- Соединитель от имени пользователя выполняет обязательную дополнительную аутентификацию (необязательно, в зависимости от метода проверки подлинности), запрашивает внутреннюю конечную точку сервера приложений и отправляет запрос в локальное приложение.
- Ответ сервера приложений отправляется через соединитель в службу прокси приложения.
- Ответ отправляется из службы прокси приложения пользователю.
Прокси приложения Microsoft Entra состоит из облачной службы прокси приложения и локального соединителя. Соединитель прослушивает запросы из службы прокси приложения и обрабатывает подключения к внутренним приложениям. Важно отметить, что все сообщения передаются по протоколу TLS и всегда исходят из соединителя к службе прокси-приложения. То есть коммуникации являются только исходящими. Соединитель использует сертификат клиента для проверки подлинности в службе прокси приложения для всех вызовов. Единственным исключением в защите подключения является этап начальной настройки, когда устанавливается сертификат клиента. Дополнительные сведения см. в прокси-сервере приложения под капотом .
Соединитель частной сети Microsoft Entra
Прокси приложения использует соединитель частной сети Microsoft Entra. Тот же соединитель используется для Microsoft Entra Private Access. Дополнительные сведения о соединителях см. в статье Microsoft Entra private network connector.
Другие варианты использования
До этого момента мы сосредоточились на использовании прокси приложения для публикации локальных приложений во внешнем режиме при включении единого входа во все облачные и локальные приложения. Однако существуют и другие варианты использования прокси приложения, которые стоит упомянуть. К ним относятся:
- Безопасная публикация интерфейсов REST API. Если у вас есть бизнес-логика или API, работающие локально или размещенные на виртуальных машинах в облаке, прокси приложения предоставляет общедоступную конечную точку для доступа к API. Доступ к конечной точке API позволяет контролировать аутентификацию и авторизацию без необходимости настраивать входящие порты. Она обеспечивает дополнительную безопасность с помощью функций Microsoft Entra ID P1 или P2, таких как многофакторная проверка подлинности и условный доступ, основанный на устройстве, для настольных компьютеров, iOS, Mac и Android с использованием Intune. Дополнительные сведения см. в статье "Как включить собственные клиентские приложения для взаимодействия с прокси-приложениями и защитить API с помощью OAuth 2.0 с идентификатором Microsoft Entra и Управление API".
- Службы удаленных рабочих столов(RDS). Для стандартных развертываний RDS требуются открытые входящие подключения. Тем не менее, развертывание RDS с прокси для приложения имеет постоянное исходящее подключение от сервера, на котором запущена служба соединителя. Таким образом можно предложить пользователям больше приложений, публикуя локальные приложения через службы удаленных рабочих столов. Вы также можете уменьшить плоскость атаки развертывания, применив ограниченный набор средств двухфакторной проверки подлинности и элементов управления условным доступом к RDS.
- Публикация приложений, которые подключаются с помощью WebSockets. Поддержка Qlik Sense находится на этапе общедоступной предварительной версии и в будущем будет расширена на другие приложения.
- Включение собственных клиентских приложений для взаимодействия с приложениями прокси. Вы можете использовать прокси приложения Microsoft Entra для публикации веб-приложений, но также можно использовать для публикации собственных клиентских приложений , настроенных с помощью библиотеки проверки подлинности Майкрософт (MSAL). Собственные клиентские приложения отличаются от веб-приложений, так как они устанавливаются на устройство, а веб-приложения предоставляются через браузер.
Заключение
Рабочие методики и используемые инструменты быстро меняются. Все больше сотрудников использует собственные устройства для работы и все шире применяются приложения SaaS, поэтому организациям следует развивать свои технологии управления данными и их защиты. Компании больше не работают исключительно в собственных стенах, защищенных рвом, вырытым по периметру. Данные передаются в больше мест, чем когда-либо — как в локальных, так и в облачных средах. Эта эволюция помогла повысить продуктивность пользователей и расширить возможности совместной работы, но она также усложняет защиту конфиденциальных данных.
Независимо от того, используете ли вы идентификатор Microsoft Entra для управления пользователями в гибридном сценарии сосуществования или заинтересованы в запуске пути в облако, реализация прокси приложения Microsoft Entra может помочь уменьшить размер локального пространства, предоставив удаленный доступ в качестве службы.
Организации должны воспользоваться преимуществами прокси приложения сегодня, чтобы воспользоваться следующими преимуществами:
- Публикуйте локальные приложения наружу без издержек, связанных с поддержанием традиционных решений на основе VPN или других решений для веб-публикации с использованием периметральной сети.
- Единый вход для всех приложений, включая Microsoft 365 или другие приложения SaaS, а также локальные приложения
- Облачная безопасность масштабирования, в которой Microsoft Entra использует данные телеметрии Microsoft 365 для предотвращения несанкционированного доступа
- Интеграция Intune для аутентификации корпоративного трафика.
- Централизованное управление учетными записями пользователей.
- Автоматическое обновление, обеспечивающее установку последних обновлений безопасности.
- Новые возможности по мере их выпуска. Самые последние из них — это поддержка единого входа SAML и более детализированное управление файлами cookie приложений.