Integración de F5 BIG-IP con Azure Active Directory

La proliferación de la movilidad y la constante evolución del panorama de amenazas está haciendo aumentar la vigilancia sobre el acceso a los recursos y la gobernanza, lo cual ha situado a Confianza cero al frente y en el centro de todos los programas de modernización. En Microsoft y F5, sabemos que esa transformación digital implica normalmente un recorrido de varios años para cualquier empresa, lo que puede significar que algunos recursos críticos queden expuestos hasta su modernización. La motivación detrás del acceso híbrido seguro de F5 BIG-IP y Azure Active Directory no solo pretende mejorar el acceso remoto a las aplicaciones locales, sino también reforzar la posición general de seguridad de servicios heredados vulnerables.

A modo de contexto, la investigación estima que el 60-80 % de las aplicaciones locales son heredadas por naturaleza o, en otras palabras, que no se pueden integrar directamente con Azure Active Directory (AD). En el mismo estudio también se indica que una gran proporción de estos sistemas se ejecuta en versiones de nivel inferior de SAP, Oracle, SAGE y otras cargas de trabajo conocidas que proporcionan servicios críticos.

El acceso híbrido seguro se encarga de remediar este "punto débil", ya que permite que las organizaciones sigan usando sus inversiones en F5 para la entrega de aplicaciones y redes de nivel superior. En combinación con Azure AD, el acceso híbrido seguro permite enlazar el heterogéneo panorama de aplicaciones con el moderno plano de control de identidades.

Hacer que Azure AD realice una autenticación previa para el acceso a los servicios publicados de BIG-IP proporciona muchas ventajas:

Descripción del escenario

Como controlador de entrega de aplicaciones (ADC) y SSL-VPN, un sistema de BIG-IP proporciona acceso local y remoto a todos los tipos de servicios, entre los que se incluyen:

  • Aplicaciones web modernas y heredadas

  • Aplicaciones no basadas en web

  • Servicios REST y SOAP Web API

Local Traffic Manager (LTM) permite la publicación segura de servicios, mientras que un sofisticado Access Policy Manager (APM) amplía aún más la funcionalidad BIG-IP con un amplio conjunto de funcionalidades, lo que permite la federación de identidades y el inicio de sesión único (SSO).

A través de esta integración, logra la transición de protocolos necesaria para proteger los servicios heredados o no integrados de Azure AD con controles modernos como la autenticación sin contraseña y el acceso condicional. En este escenario, una instancia de BIG-IP sigue cumpliendo su principal rol como proxy inverso, al tiempo que deja la autenticación previa y la autorización a Azure AD, que las realiza servicio a servicio.

La integración se basa en una confianza de federación estándar entre el APM y Azure AD que es común para la mayoría de los casos de uso de acceso híbrido seguro que incluye el escenario SSL-VPN. Los recursos de Lenguaje de marcado de aserción de seguridad (SAML), OAuth y Open ID Connect (OIDC) no son una excepción, ya que también estos se pueden proteger a través del acceso híbrido seguro.

Cuando se usa tanto para el acceso local como para el acceso remoto, una instancia de BIG-IP también puede convertirse en un cuello de botella para el acceso de Confianza cero a todos los servicios, incluidas las aplicaciones SaaS.

Los pasos 1-4 del diagrama ilustran el intercambio de autenticación previa de front-end entre un usuario, una instancia de BIG-IP y Azure AD, en un flujo iniciado por el proveedor de servicios (SP). Los pasos 5-6 muestran el enriquecimiento de la sesión de APM subsiguiente y el inicio de sesión único en los servicios back-end individuales.

En la imagen se muestra la arquitectura de alto nivel.

Paso Descripción
1. El usuario selecciona un icono de aplicación en el portal y resuelve la dirección URL en el proveedor de servicios de SAML (BIG-IP).
2. BIG-IP redirige al usuario a IDP de SAML (Azure AD) para la autenticación previa.
3. Azure AD procesa directivas de acceso condicional y controles de sesión para la autorización.
4. El usuario se redirige de nuevo a BIG-IP presentando las notificaciones de SAML que emite Azure AD.
5. BIG-IP solicita cualquier información de sesión adicional para incluirla en el inicio de sesión único y el control de acceso basado en rol (RBAC) del servicio publicado.
6. BIG-IP reenvía la solicitud del cliente al servicio back-end.

Experiencia del usuario

Tanto si se trata de un empleado directo, un afiliado o un consumidor, la mayoría de los usuarios ya están familiarizados con la experiencia de inicio de sesión de Office 365, por lo que el acceso a los servicios de BIG-IP a través del acceso híbrido seguro resulta muy familiar.

Ahora, los usuarios encuentran sus servicios publicados de BIG-IP consolidados en el portal MyApps de Microsoft o las plataformas de lanzamiento de O365 junto con las funcionalidades de autoservicio para un conjunto más amplio de servicios, independientemente del tipo de dispositivo o ubicación. Los usuarios pueden incluso seguir accediendo a los servicios publicados directamente a través del portal de webtops propiedad de BIG-IP, si lo prefiere. Al cerrar la sesión, el acceso híbrido seguro garantiza que la sesión de los usuarios finaliza en ambos extremos, BIG-IP y Azure AD, lo cual garantiza que los servicios permanecen completamente protegidos frente a accesos no autorizados.

Los usuarios acceden al portal de MyApps de Microsoft para encontrar fácilmente sus servicios publicados de BIG-IP y para administrar sus propiedades de cuenta.

La captura de pantalla muestra la galería MyApps de Woodgrove

La captura de pantalla muestra la página de autoservicio MyAccounts de Woodgrove

Información y análisis

El rol de BIG-IP es fundamental para cualquier empresa, por lo que se pueden supervisar las instancias de BIG-IP implementadas para garantizar que los servicios publicados tengan una alta disponibilidad, tanto en un nivel de acceso híbrido seguro como también en el nivel operativo.

Existen varias opciones para registrar eventos, ya sea de forma local o remota, mediante una solución de administración de eventos e información de seguridad (SIEM) que permite el almacenamiento y el procesamiento de datos de telemetría. Una solución muy eficaz para la supervisión de Azure AD y de actividades específicas del acceso híbrido seguro es usar Azure Monitor y Microsoft Sentinel que ofrecen lo siguiente:

  • Información general detallada de su organización, posiblemente en varias nubes, y en ubicaciones locales, como la infraestructura de BIG-IP.

  • Plano de control único que proporciona una vista combinada de todas las señales, evitando la dependencia de herramientas complejas y dispares.

En la imagen se muestra el flujo de supervisión.

Requisitos previos

La integración de un dispositivo F5 BIG-IP con Azure AD para el acceso híbrido seguro tiene los siguientes requisitos previos:

  • Una instancia de F5 BIG-IP que se ejecute en cualquiera de las siguientes plataformas:

    • Dispositivo físico

    • Edición virtual de un hipervisor, como Microsoft Hyper-V, VMware ESXi, Linux KVM y Citrix Hypervisor

    • Edición virtual de la nube, como Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack y Google Cloud

      La ubicación real de una instancia de BIG-IP puede ser local o cualquier plataforma en la nube compatible, incluida Azure, siempre que tenga conectividad a Internet, recursos que se publican y otros servicios necesarios, como Active Directory.

  • Una licencia de F5 BIG-IP APM, a través de una de las siguientes opciones:

    • F5 BIG-IP® Best bundle

    • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).

    • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente.

    • Una licencia de evaluación gratuita de 90 días de F5 BIG-IP Access Policy Manager™ (APM).

  • Licencias de Azure AD mediante cualquiera de las siguientes opciones:

No se necesita experiencia ni conocimientos previos de F5 BIG-IP para implementar el acceso híbrido seguro, aunque es recomendable que se familiarice con la terminología de F5 BIG-IP. La knowledge base enriquecida de F5 también es un buen punto de partida para empezar a conocer BIG-IP.

Escenarios de configuración

La configuración de BIG-IP para SHA se logra mediante cualquiera de los muchos métodos disponibles, incluidas varias opciones basadas en plantillas o una configuración manual. En los siguientes tutoriales se proporcionan instrucciones detalladas sobre la implementación de algunos de los patrones más comunes para el acceso híbrido seguro con BIG-IP y Azure AD.

Configuración avanzada

El enfoque avanzado proporciona una manera más elaborada, aunque flexible, de implementar el acceso híbrido seguro (SHA) mediante la creación manual de todos los objetos de configuración de BIG-IP. Usaría este enfoque para escenarios no cubiertos por las plantillas de configuración guiada.

Consulte los siguientes tutoriales de configuración avanzada para ver los requisitos de integración:

Configuración guiada y plantillas de Easy Button

El Asistente para configuración guiada, disponible en la versión 13.1 de BIG-IP, pretende minimizar el tiempo y el esfuerzo de implementación de escenarios comunes de publicación de BIG-IP. Su marco basado en flujo de trabajo proporciona una experiencia de implementación intuitiva adaptada a topologías de acceso específicas.

La versión 16.x de la configuración guiada ahora ofrece la característica Easy Button. Con Easy Button, los administradores ya no tienen que ir y venir entre Azure AD y BIG-IP para permitir servicios de SHA. La implementación de un extremo a otro y la administración de directivas se controlan directamente entre el asistente de configuración guiada de APM y Microsoft Graph. Esta completa integración entre BIG-IP APM y Azure AD garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Azure AD, sin la sobrecarga de administración que supone tener que hacerlo en cada aplicación.

Consulte los siguientes tutoriales de configuración guiados mediante plantillas de Easy Button para sus requisitos de integración:

Acceso de invitado B2B de Azure AD

El acceso de invitado B2B de Azure AD a aplicaciones protegidas con SHA (acceso híbrido seguro) también es posible, pero algunos escenarios pueden requerir algunos pasos adicionales que no se tratan en los tutoriales. Un ejemplo es el inicio de sesión único de Kerberos, donde una instancia de BIG-IP realizará la delegación restringida de Kerberos (KCD) para obtener un vale de servicio de los controladores de dominio. Sin una representación local de un usuario invitado que existe localmente, un controlador de dominio no podrá respetar la solicitud según la base de que el usuario no existe. Para admitir este escenario, tendría que asegurarse de que las identidades externas fluyen desde su inquilino de Azure AD hasta el directorio usado por la aplicación. Consulte Conceder a los usuarios B2B de Azure AD acceso a las aplicaciones locales para obtener instrucciones.

Pasos siguientes

Considere la posibilidad de ejecutar una prueba de concepto del acceso híbrido seguro con la infraestructura de BIG-IP existente o mediante la Implementación de una máquina virtual de BIG-IP Virtual Edition (VE) en Azure. La implementación de una máquina virtual en Azure tarda aproximadamente 30 minutos. Cuando esta acabe, dispondrá de:

  • Una plataforma totalmente segura para modelar un piloto de acceso híbrido seguro

  • Una instancia de preproducción para probar nuevas revisiones y actualizaciones del sistema BIG-IP.

También debe identificar una o dos aplicaciones que se puedan publicar a través de BIG-IP y proteger con el acceso híbrido seguro.

Nuestra recomendación es comenzar con una aplicación que aún no se ha publicado mediante una instancia de BIG-IP para evitar posibles interrupciones en los servicios de producción. Las instrucciones que se mencionan en este artículo le ayudarán a familiarizarse con el procedimiento general para crear los distintos objetos de configuración de BIG-IP y configurar el acceso híbrido seguro. Una vez que haya finalizado, debería poder hacer lo mismo con cualquier otro servicio nuevo, además de tener suficientes conocimientos para convertir los servicios publicados de BIG-IP existentes en acceso híbrido seguro con un esfuerzo mínimo.

En la guía interactiva siguiente se describe el procedimiento de alto nivel para implementar el acceso híbrido seguro mediante una plantilla distinta de la de Easy Button, y ver la experiencia del usuario final.

La imagen muestra la portada de una guía interactiva

Recursos adicionales