Integrar o F5 BIG-IP à ID do Microsoft Entra

Com o aumento do cenário de ameaças e o uso de vários dispositivos móveis, as organizações estão repensando o acesso e a governança de recursos. Parte dos programas de modernização inclui avaliar sua preparação entre identidades, dispositivos, aplicativos, infraestrutura, rede e dados. Você pode aprender sobre a Estrutura de Confiança Zero para habilitar o trabalho remoto e a ferramenta de Avaliação de Confiança Zero.

A transformação digital é um percurso de longo prazo e recursos potencialmente críticos são expostos até serem modernizados. O objetivo do F5 BIG-IP e do SHA (acesso híbrido seguro) da ID do Microsoft Entra é aprimorar o acesso remoto aos aplicativos locais e fortalecer a postura de segurança de serviços herdados vulneráveis.

As pesquisas estimam que 60% a 80% dos aplicativos locais são herdados ou não tem capacidade de serem integrados à ID do Microsoft Entra. O mesmo estudo também indicou que uma grande proporção de sistemas similares é executada em versões anteriores do SAP, do Oracle, do SAGE e de outras cargas de trabalho bem conhecidas de serviços críticos.

O SHA permite que as organizações continuem usando investimentos em rede F5 e entrega de aplicativos. Com a ID do Microsoft Entra, o SHA faz a ponte com o painel de controle de identidade.

Benefícios

Quando a ID do Microsoft Entra pré-autentica o acesso aos serviços publicados em BIG-IP, há muitos benefícios:

• Autenticação sem senha com:
  • Windows Hello for Business
  • Microsoft Authenticator
  • Chaves FIDO (Fast Identity Online)
  • Autenticação baseada em certificado

Outros benefícios incluem:

• Um painel de controle para controlar a identidade e o acesso
  • O centro de administração do Microsoft Entra
• Acesso condicional preemptivo
• Autenticação multifator do Microsoft Entra
• Proteção adaptável por meio da criação de perfil de risco de usuário e sessão
  • Identity Protection
• Detecção de credenciais vazadas
• SSPR (redefinição de senha por autoatendimento)
• Gerenciamento de direitos para acesso de convidado controlado
  • Colaboração com parceiros
• Descoberta e controle de aplicativo
  • Defender for Cloud Apps
• Monitoramento e análise de ameaças com o Microsoft Sentinel

Descrição do cenário

Como um ADC (Controlador de Entrega de Aplicativos) e uma SSL-VPN (rede virtual privada em SSL), o sistema BIG-IP fornece acesso local e remoto aos serviços, inclusive:

• Aplicativos Web modernos e herdados
• Aplicativos sem base na Web
• Serviços de API (interface de programação de aplicativo) Web REST (Transferência de Estado Representacional) e SOAP (Simple Object Access Protocol)

O LTM (Gerenciador de Tráfego Local) do BIG-IP é para publicação de serviço seguro, enquanto um APM (Gerenciador de Políticas de Acesso) estende as funções do BIG-IP que permitem federação de identidade e SSO (logon único).

Com a integração, você obtém a transição de protocolo para proteger os serviços herdados ou outros integrados, com controles como:

• Autenticação sem senha
• Acesso Condicional

No cenário, um BIG-IP é um proxy reverso que entrega a pré-autenticação e a autorização do serviço para a ID do Microsoft Entra. A integração é baseada em uma relação de confiança de federação padrão entre o APM e a ID do Microsoft Entra. Esse cenário é comum com o SHA. Saiba mais: Configurar o F5 BIG-IP SSL-VPN para o SSO do Microsoft Entra. Com o SHA, você pode proteger os recursos SAML (Security Assertion Markup Language), OAuth (Open Authorization) e OIDC (Open ID Connect).

Observação

Quando usado para acesso local e remoto, um BIG-IP pode ser um ponto de restrição de acesso de Confiança Zero aos serviços, incluindo aplicativos SaaS (software como serviço).

O diagrama a seguir ilustra a troca de pré-autenticação de front-end entre um usuário, um BIG-IP e a ID do Microsoft Entra, em um fluxo iniciado por SP (provedor de serviços). Isso mostra o aprimoramento da sessão subsequente do APM e o SSO para serviços de back-end individuais.

1. Os usuários selecionam um ícone de aplicativo no portal, resolvendo a URL para o SP do SAML (BIG-IP)
2. O BIG-IP redireciona o usuário para o IdP (provedor de identidade saml), a ID do Microsoft Entra, para pré-autenticação
3. A ID do Microsoft Entra processa as políticas de acesso condicional e os controles de sessão para autorização
4. Os usuários retornam ao BIG-IP e apresentam as declarações SAML emitidas pela ID do Microsoft Entra
5. O BIG-IP solicita informações de sessão para SSO e RBAC (controle de acesso baseado em função) para o serviço publicado
6. O BIG-IP encaminha a solicitação do cliente ao serviço de back-end

Experiência do usuário

Seja um funcionário, uma afiliada ou um consumidor, a maioria dos usuários está familiarizada com a experiência de entrada do Office 365. Acessar serviços BIG-IP é semelhante.

Os usuários podem encontrar os serviços publicados do BIG-IP deles no portal Meus Aplicativos ou no inicializador de aplicativos do Microsoft 365 com funcionalidades de autoatendimento, independentemente do dispositivo ou do local. Os usuários podem continuar acessando os serviços publicados com o portal Webtop do BIG-IP. Quando os usuários se desconectam, o SHA garante o encerramento da sessão do BIG-IP e da ID do Microsoft Entra, ajudando os serviços a permanecer protegidos contra o acesso não autorizado.

Os usuários acessam o portal Meus Aplicativos para encontrar os serviços publicados do BIG-IP e para gerenciar as propriedades de conta deles. Confira a galeria e a página de autoatendimento nos gráficos a seguir.

Informações e análises

Você pode monitorar instâncias implantadas do BIG-IP para garantir que os serviços publicados estejam altamente disponíveis, no nível do SHA e operacionalmente.

Há várias opções para registrar eventos localmente ou remotamente por meio de uma solução SIEM (Gerenciamento de Eventos e Informações de Segurança), que permite o processamento de armazenamento e telemetria. Para monitorar a ID do Microsoft Entra e as atividades do SHA, use o Azure Monitor e o Microsoft Sentinel juntos:

• Visão geral detalhada da sua organização, potencialmente em várias nuvens e locais físicos, incluindo a infraestrutura de BIG-IP

• Um plano de controle com a visualização de sinais, evitando a dependência de ferramentas complexas e diferentes

  

Pré-requisitos de integração

Não é preciso ter experiência anterior ou conhecimentos sobre o F5 BIG-IP para implementar o SHA, mas recomendamos que você se familiarize com a terminologia do F5 BIG-IP. Confira o serviço Glossário do F5.

A integração de um F5 BIG-IP à ID do Microsoft Entra para SHA tem os seguintes pré-requisitos:

• Uma instância do F5 BIG-IP em execução em:
  • Dispositivo físico
  • Hypervisor Virtual Edition, como Microsoft Hyper-V, VMware ESXi, KVM (máquina virtual baseada em kernel) do Linux e Hipervisor Citrix
  • Edição virtual do Cloud, como Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack e Google Cloud

Observação

O local da instância do BIG-IP pode ser local ou uma plataforma de nuvem com suporte, incluindo o Azure. A instância tem conectividade com a Internet, recursos sendo publicados e todos os serviços, como o Active Directory.

• Uma licença ativa do APM do F5 BIG-IP:
  • Pacote F5 BIG-IP® Best
  • Licença autônoma do BIG-IP Access Policy Manager™ da F5
  • Licença de complemento do APM (BIG-IP Access Policy Manager™) da F5 em um LTM (Local Traffic Manager™) do BIG-IP® da F5 já existente
  • Uma licença de avaliação do APM (BIG-IP Access Policy Manager™) válida por 90 dias
• Licenciamento da ID do Microsoft Entra:
  • Uma conta gratuita do Azure tem requisitos básicos mínimos para SHA com autenticação sem senha
  • Uma assinatura Premium tem o acesso condicional, a autenticação multifator e a Identity Protection

Cenários de configuração

Você pode configurar um BIG-IP para SHA com opções baseadas em modelo ou uma configuração manual. Os tutoriais a seguir trazem diretrizes sobre como implementar o BIG-IP e o acesso híbrido seguro da ID do Microsoft Entra.

Configuração avançada

A abordagem avançada é uma forma flexível de implementar o SHA. Você cria manualmente todos os objetos de configuração do BIG-IP. Use essa abordagem para cenários que não estão em modelos de configuração guiados.

Tutoriais de configuração avançada:

• Passo a passo da implantação do F5 BIG-IP no Azure

• F5 BIG-IP SSL-VPN com Microsoft Entra SHA

• O Azure AD B2C protege aplicativos usando F5 BIG-IP

• F5 BIG-IP APM e SSO do Microsoft Entra para aplicativos Kerberos

• F5 BIG-IP APM e SSO do Microsoft Entra para aplicativos baseados em cabeçalho

• F5 BIG-IP APM e SSO do Microsoft Entra para aplicativos baseados em formulários

Configuração guiada e modelos de botão fácil

O assistente de Configuração Guiada do BIG-IP versão 13.1 minimiza o tempo e o esforço para implementar cenários comuns de publicação do BIG-IP. A estrutura do fluxo de trabalho dele fornece uma experiência de implantação intuitiva para topologias de acesso específicas.

A Configuração Guiada versão 16.x tem o recurso Botão Fácil. Os administradores não vão e voltam entre a ID do Microsoft Entra e um BIG-IP para habilitar serviços para SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. Essa integração entre o BIG-IP APM e o Microsoft Entra ID garante que os aplicativos deem suporte à federação de identidade, ao SSO e ao acesso condicional do Microsoft Entra, sem a despesa administrativa de precisar executar essas tarefas para cada aplicativo.

Tutoriais para usar modelos do Easy Button, Easy Button do F5 BIG-IP para SSO para:

• Aplicativos Kerberos

• Aplicativos baseados em cabeçalho

• Aplicativos LDAP e baseados em cabeçalho

• Oracle EBS (Pacote de Negócios Empresarial)

• Oracle JD Edwards

• Oracle PeopleSoft

• SAP ERP

Acesso de convidado B2B do Microsoft Entra

É possível obter o acesso de convidado B2B do Microsoft Entra aos aplicativos protegidos por SHA, mas isso pode exigir etapas que não estão nos tutoriais. Um exemplo é o SSO do Kerberos, em que um BIG-IP executará a KCD (delegação restrita de Kerberos) para obter um tíquete de serviço dos controladores de domínio. Sem uma representação local de um usuário convidado local, um controlador de domínio não atende à solicitação porque não há nenhum usuário. Para dar suporte a esse cenário, verifique se as identidades externas fluem do seu locatário do Microsoft Entra para o diretório usado pelo aplicativo.

Saiba mais: Permitir acesso aos aplicativos locais aos usuários B2B da ID do Microsoft Entra

Próximas etapas

Você pode realizar uma prova de conceito para SHA usando sua infraestrutura BIG-IP ou implantando uma máquina virtual BIG-IP Virtual Edition no Azure. Para implantar uma VM no Azure leva aproximadamente 30 minutos. O resultado é:

• Uma plataforma protegida para modelar um piloto do SHA
• Uma instância de pré-produção para testar novas atualizações e hotfixes do sistema BIG-IP

Identifique um ou dois aplicativos a serem publicados com BIG-IP e protegidos com SHA.

Nossa recomendação é começar com um aplicativo que não esteja publicado por meio de um BIG-IP. Essa ação evita possíveis interrupções nos serviços de produção. As diretrizes deste artigo podem ajudar você a aprender sobre o procedimento para criar objetos de configuração do BIG-IP e configurar o SHA. Em seguida, você pode converter serviços publicados do BIG-IP em SHA com mínimos esforços.

Recursos

• Estratégias sem senha
• Acesso híbrido seguro à ID do Microsoft Entra
• Estrutura Zero Trust da Microsoft para permitir o trabalho remoto
• Microsoft Sentinel