F5 BIG-IP integrálása a Microsoft Entra ID-val

A fenyegetési környezet növekedésével és több mobileszköz használatával a szervezetek újragondolják az erőforrás-hozzáférést és a szabályozást. A modernizációs programok része az identitások, eszközök, alkalmazások, infrastruktúra, hálózat és adatok felkészültségének felmérése. Megismerheti a távoli munkavégzés engedélyezéséhez használható Teljes felügyelet keretrendszert és a Teljes felügyelet Assessment eszközt.

A Microsoftnál és az F5-ben felismerjük, hogy a digitális átalakítás hosszú távú folyamat, és a modernizálásig potenciálisan kritikus fontosságú erőforrások érhetők el. Az F5 BIG-IP és a Microsoft Entra ID biztonságos hibrid hozzáférés (SHA) célja a helyszíni alkalmazásokhoz való távoli hozzáférés javítása és a sebezhető örökölt szolgáltatások biztonsági helyzetének megerősítése.

A kutatás becslése szerint a helyszíni alkalmazások 60–80%-a örökölt, vagy nem integrálható a Microsoft Entra-azonosítóval. Ugyanez a tanulmány azt jelzi, hogy a hasonló rendszerek nagy része az SAP, az Oracle, a SAGE és a kritikus szolgáltatások más jól ismert számítási feladatainak korábbi verzióin fut.

Az SHA lehetővé teszi a szervezetek számára, hogy továbbra is használják az F5-hálózatra és az alkalmazások kézbesítésére irányuló beruházásokat. A Microsoft Entra ID segítségével az SHA áthidalja a rést az identitásvezérlő síkkal.

Benefits

Ha a Microsoft Entra ID előre hitelesíti a BIG-IP által közzétett szolgáltatásokhoz való hozzáférést, számos előnye van:

• Jelszó nélküli hitelesítés a következőkkel:
  • Windows Hello
  • MS Authenticator
  • Fast Identity Online (FIDO) kulcsok
  • Tanúsítványalapú hitelesítés

Egyéb előnyök:

• Egy vezérlősík az identitás és a hozzáférés szabályozásához
  • A Microsoft Entra felügyeleti központ
• Előzetes feltételes hozzáférés
• Microsoft Entra többtényezős hitelesítés
• Adaptív védelem felhasználói és munkamenet-kockázati profilkészítéssel
  • Identity Protection
• Kiszivárgott hitelesítő adatok észlelése
• Önkiszolgáló jelszó-visszaállítás (SSPR)
• Jogosultságkezelés a szabályozott vendéghozzáféréshez
  • Partneri együttműködés
• Alkalmazásfelderítés és -vezérlés
  • Felhőhöz készült Defender-alkalmazások (CASB)
• Veszélyforrások monitorozása és elemzése a Microsoft Sentinellel

Forgatókönyv leírása

Alkalmazáskézbesítési vezérlőként (ADC) és biztonságos szoftvercsatornás virtuális magánhálózatként (SSL-VPN) a BIG-IP-rendszer helyi és távoli hozzáférést biztosít a szolgáltatásokhoz, beleértve a következőket:

• Modern és régi webalkalmazások
• Nem webes alkalmazások
• Reprezentációs állapotátviteli (REST) és Simple Object Access Protocol (SOAP) webalkalmazás-programozási felületi (API-) szolgáltatások

A BIG-IP Local Traffic Manager (LTM) a szolgáltatások biztonságos közzétételére szolgál, míg az Access Policy Manager (APM) kibővíti az identitás-összevonást és az egyszeri bejelentkezést (SSO) engedélyező BIG-IP-függvényeket.

Az integrációval a protokollváltást az örökölt vagy nem Azure AD-beli integrált szolgáltatások biztonságossá tételéhez érheti el, olyan vezérlőkkel, mint például:

• Jelszó nélküli hitelesítés
• Feltételes hozzáférés

Ebben a forgatókönyvben a BIG-IP egy fordított proxy, amely leküldi a szolgáltatás előtti hitelesítést és a Microsoft Entra-azonosítóhoz való engedélyezést. Az integráció az APM és a Microsoft Entra ID közötti szabványos összevonási megbízhatóságon alapul. Ez a forgatókönyv gyakori az SHA-val. További információ: Az F5 BIG-IP SSL-VPN konfigurálása a Microsoft Entra SSO-hoz. Az SHA-val biztonságossá teheti a Security Assertion Markup Language (SAML), a nyílt hitelesítés (OAuth) és az OpenID Csatlakozás (OIDC) erőforrásokat.

Megjegyzés:

Helyi és távelérés esetén a BIG-IP-cím fulladási pont lehet Teljes felügyelet szolgáltatásokhoz való hozzáféréshez, beleértve a szolgáltatott szoftvereket (SaaS-alkalmazásokat).

Az alábbi ábra a felhasználó, a BIG-IP és a Microsoft Entra ID közötti, a szolgáltató által kezdeményezett folyamat előtérbeli hitelesítés előtti cseréjét mutatja be. Ezután megjeleníti az APM-munkamenetek későbbi bővítését, valamint az egyszeri bejelentkezést az egyes háttérszolgáltatásokhoz.

1. A portálon a felhasználó kiválaszt egy alkalmazásikont, amely feloldja az SAML SP (BIG-IP) URL-címét
2. A BIG-IP átirányítja a felhasználót az SAML-identitásszolgáltatóhoz (IdP), a Microsoft Entra-azonosítóhoz az előzetes hitelesítéshez
3. A Microsoft Entra ID feltételes hozzáférési szabályzatokat és munkamenet-vezérlőket dolgoz fel az engedélyezéshez
4. A felhasználó visszatér a BIG-IP-címre, és bemutatja a Microsoft Entra ID által kibocsátott SAML-jogcímeket
5. A BIG-IP munkamenet-információkat kér az egyszeri bejelentkezéshez és a szerepköralapú hozzáférés-vezérléshez (RBAC) a közzétett szolgáltatáshoz
6. A BIG-IP továbbítja az ügyfélkérést a háttérszolgáltatásnak

Felhasználó felület

Akár alkalmazott, akár partner vagy fogyasztó, a felhasználók többsége ismeri az Office 365 bejelentkezési élményét. A BIG-IP-szolgáltatások elérése hasonló.

A felhasználók az Saját alkalmazások portálon vagy a Microsoft 365 alkalmazásindítóban találhatják meg a BIG-IP-cím által közzétett szolgáltatásaikat önkiszolgáló funkciókkal, eszköztől és helytől függetlenül. A felhasználók továbbra is hozzáférhetnek a közzétett szolgáltatásokhoz a BIG-IP webtop portálon. Amikor a felhasználók kijelentkeznek, az SHA biztosítja a BIG-IP és a Microsoft Entra ID munkamenet-megszakítását, így a szolgáltatások továbbra is védettek maradnak a jogosulatlan hozzáféréssel.

A felhasználók hozzáférhetnek a Saját alkalmazások portálhoz a BIG-IP által közzétett szolgáltatások megkereséséhez és a fióktulajdonságok kezeléséhez. Tekintse meg a katalógust és az önkiszolgáló oldalt az alábbi ábrákon.

Elemzések és elemzés

Figyelheti az üzembe helyezett BIG-IP-példányokat, hogy a közzétett szolgáltatások magas rendelkezésre állásúak legyenek SHA-szinten és működési szinten.

Az eseményeket helyileg vagy távolról is naplózhatja egy Biztonsági információ és eseménykezelés (SIEM) megoldáson keresztül, amely lehetővé teszi a tárolás és a telemetria feldolgozását. A Microsoft Entra ID- és SHA-tevékenység monitorozásához használhatja az Azure Monitort és a Microsoft Sentinelt együtt:

• A szervezet áttekintése, akár több felhőben és helyszíni helyen, beleértve a BIG-IP-infrastruktúrát is

• Egy vezérlősík a jelek megtekintésével, elkerülve az összetett és eltérő eszközökre való támaszkodást

  

Integrációs előfeltételek

Az SHA implementálásához nincs szükség korábbi tapasztalatra vagy F5 BIG-IP-ismeretekre, de javasoljuk, hogy tanuljon néhány F5 BIG-IP-terminológiát. Tekintse meg az F5 szolgáltatás szószedetét.

Az F5 BIG-IP és a Microsoft Entra ID for SHA integrálása az alábbi előfeltételekkel rendelkezik:

• Egy F5 BIG-IP-példány, amelyen fut:
  • Fizikai készülék
  • Hypervisor Virtual Edition, például Microsoft Hyper-V, VMware ESXi, Linux KVM és Citrix Hypervisor
  • Cloud Virtual Edition, például Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack és Google Cloud

Megjegyzés:

A BIG-IP-példány helye lehet helyszíni vagy támogatott felhőplatform, beleértve az Azure-t is. A példány internetkapcsolattal, közzétett erőforrásokkal és olyan szolgáltatásokkal rendelkezik, mint az Active Directory.

• Aktív F5 BIG-IP APM-licenc:
  • F5 BIG-IP® legjobb csomag
  • F5 BIG-IP Access Policy Manager™ önálló licenc
  • F5 BIG-IP Access Policy Manager™ (APM) bővítménylicencek meglévő BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) rendszeren
  • 90 napos BIG-IP Access Policy Manager™ (APM) próbaverziós licenc
• Microsoft Entra ID-licencelés:
  • Az ingyenes Azure-fiókok minimális alapvető követelményeket támasztanak a jelszó nélküli hitelesítéssel rendelkező SHA-ra vonatkozóan
  • A prémium előfizetés feltételes hozzáféréssel, többtényezős hitelesítéssel és Identity Protection szolgáltatással rendelkezik

Konfigurációs forgatókönyvek

A BIG-IP-cím konfigurálható az SHA-hoz sablonalapú beállításokkal vagy manuális konfigurációval. Az alábbi oktatóanyagok útmutatást nyújtanak a BIG-IP és a Microsoft Entra ID biztonságos hibrid hozzáférésének implementálásával kapcsolatban.

Speciális konfiguráció

A speciális megközelítés rugalmas módszer az SHA implementálására. Manuálisan hozza létre az összes BIG-IP konfigurációs objektumot. Ez a megközelítés nem irányított konfigurációs sablonokban lévő forgatókönyvekhez használható.

Speciális konfigurációs oktatóanyagok:

• F5 BIG-IP az Azure üzembe helyezési útmutatójában

• F5 BIG-IP SSL-VPN biztonságossá tétele a Microsoft Entra SHA-val

• Az Azure AD B2C kiterjesztése az alkalmazások F5 BIG-IP használatával történő védelméhez

• F5 BIG-IP APM és Microsoft Entra SSO Kerberos-alkalmazásokba

• F5 BIG-IP APM és Microsoft Entra SSO fejlécalapú alkalmazásokhoz

• F5 BIG-IP APM és Microsoft Entra SSO űrlapalapú alkalmazásokhoz

Irányított konfiguráció és egyszerű gombsablonok

A BIG-IP 13.1-es verziójának irányított konfigurációs varázslója minimálisra csökkenti a gyakori BIG-IP-közzétételi forgatókönyvek implementálásához szükséges időt és erőfeszítést. A munkafolyamat-keretrendszer intuitív üzembe helyezési élményt biztosít adott hozzáférési topológiákhoz.

A 16.x-es irányított konfigurációs verzió az Egyszerű gomb funkcióval rendelkezik: a rendszergazdák többé nem lépnek oda-vissza a Microsoft Entra-azonosító és a BIG-IP között az SHA-szolgáltatások engedélyezéséhez. A végpontok közötti üzembe helyezést és szabályzatkezelést az APM irányított konfigurációs varázslója és a Microsoft Graph kezeli. A BIG-IP APM és a Microsoft Entra ID közötti integráció biztosítja, hogy az alkalmazások támogatják az identitás-összevonást, az egyszeri bejelentkezést és a Microsoft Entra feltételes hozzáférést anélkül, hogy az egyes alkalmazások felügyeleti többlettere áll.

Oktatóanyagok egyszerű gombsablonok használatához, F5 BIG-IP Easy Button az egyszeri bejelentkezéshez a következőkhöz:

• Kerberos-alkalmazások

• Fejlécalapú alkalmazások

• Fejlécalapú és LDAP-alkalmazások

• Oracle EBS (Enterprise Business Suite)

• Oracle JD Edwards

• Oracle Kapcsolatok Soft

• SAP ERP

Microsoft Entra B2B vendéghozzáférés

A Microsoft Entra B2B vendéghozzáférése sha által védett alkalmazásokhoz lehetséges, de előfordulhat, hogy az oktatóanyagokban nem szereplő lépésekre van szükség. Ilyen például a Kerberos SSO, amikor egy BIG-IP kerberos korlátozott delegálást (KCD) hajt végre a szolgáltatásjegy tartományvezérlőktől való lekéréséhez. Helyi vendégfelhasználó helyi képviselete nélkül a tartományvezérlő nem fogja tiszteletben tartani a kérést, mert nincs felhasználó. A forgatókönyv támogatásához győződjön meg arról, hogy a külső identitások a Microsoft Entra-bérlőről az alkalmazás által használt címtárba kerülnek.

További információ: B2B-felhasználók hozzáférésének biztosítása a Microsoft Entra-azonosítóban a helyszíni alkalmazásokhoz

Következő lépések

A BIG-IP-infrastruktúrával, vagy egy BIG-IP-alapú virtuális gép Azure-ba történő üzembe helyezésével elvégezheti az SHA-ra vonatkozó megvalósíthatósági igazolást. Ha virtuális gépet szeretne üzembe helyezni az Azure-ban, körülbelül 30 percet vesz igénybe, akkor az alábbiakra lesz szüksége:

• Biztonságos platform az SHA próbaüzemének modellezéséhez
• Éles üzem előtti példány az új BIG-IP-rendszerfrissítések és gyorsjavítások teszteléséhez

Azonosítsa a BIG-IP-címmel közzéteendő és SHA-védelemmel ellátott alkalmazásokat.

Javasoljuk, hogy kezdjen egy olyan alkalmazással, amely nem BIG-IP-en keresztül van közzétéve. Ez a művelet elkerüli az éles szolgáltatások esetleges megszakadását. A cikkben szereplő irányelvek segíthetnek megismerni a BIG-IP konfigurációs objektumok létrehozásának és az SHA beállításának eljárását. Ezután minimális erőfeszítéssel átalakíthatja a BIG-IP által közzétett szolgáltatásokat SHA-ra.

Az alábbi interaktív útmutató az SHA sablonnal való implementálását és a végfelhasználói élményt mutatja be.

Források

• A jelszavak vége, jelszó nélküli
• Microsoft Entra ID biztonságos hibrid hozzáférés
• Microsoft Teljes felügyelet keretrendszer a távoli munka engedélyezéséhez
• A Microsoft Sentinel használatának első lépései