Поделиться через

Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей

  • Статья

Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Например, прокси приложения могут предоставлять удаленный доступ и единый вход в удаленный рабочий стол, SharePoint, Teams, Tableau, Qlik и бизнес-приложения (LOB).

Прокси приложения Microsoft Entra:

  • Простота в использовании. Пользователи могут получить доступ к локальным приложениям так же, как они получают доступ к Microsoft 365 и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями.

  • Безопасность. Локальные приложения могут использовать элементы управления авторизацией и аналитику безопасности Azure. Например, локальные приложения могут использовать условный доступ и двухфакторную проверку подлинности. Прокси приложения не требует открытия входящих подключений через брандмауэр.

  • Экономичность. Локальные решения обычно требуют настройки и обслуживания демилитаризованных зон (DMZ), пограничных серверов или других сложных инфраструктур. Прокси приложения выполняется в облаке, что упрощает использование. Чтобы использовать прокси приложения, вам не нужно изменять сетевую инфраструктуру или устанавливать больше устройств в локальной среде.

Совет

Если у вас уже есть идентификатор Microsoft Entra, его можно использовать как одну плоскость управления, чтобы обеспечить простой и безопасный доступ к локальным приложениям.

Хотя и не исчерпывающий, приведенный ниже список иллюстрирует примеры использования прокси приложения в сценарии гибридного сосуществования:

  • Упрощенная публикация локальных веб-приложений вовне без сети периметра.
  • Поддержка единого входа для устройств, ресурсов и приложений в облаке и локальной среде.
  • Поддержка многофакторной проверки подлинности для приложений в облаке и локальной среде
  • Быстрое применение облачных функций безопасности Microsoft Cloud.
  • Централизованное управление учетными записями пользователей.
  • Централизованное управление удостоверениями и безопасностью.
  • Автоматическое добавление и удаление прав доступа пользователей к приложениям на основе членства в группах.

В этой статье объясняется, как идентификатор Microsoft Entra и прокси приложения предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без использования VPN, серверов с двумя адресами и правил брандмауэра. Эта статья поможет вам понять, как прокси приложения обеспечивает возможности и преимущества безопасности в облаке для локальных веб-приложений. В ней также описывается архитектура и возможные топологии.

Совет

Прокси приложения включает как службу прокси приложения, которая выполняется в облаке, так и соединитель частной сети, который выполняется на локальном сервере. Идентификатор Microsoft Entra, служба прокси приложения и соединитель частной сети работают вместе, чтобы безопасно передать маркер входа пользователя из идентификатора Microsoft Entra в веб-приложение.

Прокси приложения работает с:

Прокси приложения поддерживает единый вход. Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.

Удаленный доступ в прошлом

Ранее плоскость управления, используемая для защиты внутренних ресурсов от злоумышленников и упрощения доступа удаленных пользователей, полностью находилась в сети периметра. Но решения на основе VPN и обратного прокси-сервера, развернутые в сети периметра и используемые внешними клиентами для доступа к корпоративным ресурсам, не подходят для облачной среды. Обычно они подвержены следующим недостаткам:

  • Затраты на оборудование
  • Обеспечение безопасности (исправление, мониторинг портов и т. д.)
  • аутентификация пользователей в пограничной зоне;
  • аутентификация пользователей на веб-серверах в сети периметра;
  • обеспечение доступа по протоколу VPN для удаленных пользователей с помощью распространения и настройки клиентского программного обеспечения VPN; кроме того, обслуживание серверов, присоединенных к домену, в сети периметра, которая может быть уязвимой к внешним атакам.

В современном облачном мире идентификатор Microsoft Entra ID лучше всего подходит для управления тем, кто и что получает в вашей сети. Прокси приложения Microsoft Entra интегрируется с современными технологиями проверки подлинности и облачными технологиями, такими как приложения SaaS и поставщики удостоверений. Такая интеграция позволяет пользователям получать доступ к приложениям откуда угодно. Не только прокси приложения более подходит для современных цифровых рабочих мест, это более безопасно, чем VPN и обратные прокси-решения и проще реализовать. Удаленные пользователи могут получить доступ к локальным приложениям так же, как и к приложениям Microsoft и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями. Кроме того, прокси приложения не требует открытия входящих подключений через брандмауэр. С помощью прокси приложения вы просто задали его и забыли.

Будущее удаленного доступа

В современной цифровой рабочей среде пользователи работают где угодно, используя разнообразные устройства и приложения. Единственным постоянным фактором является удостоверение пользователя. Поэтому первым шагом в безопасной сети сегодня является использование возможностей управления удостоверениями Microsoft Entra в качестве уровня управления безопасностью. Модель, которая использует удостоверения в качестве плоскости управления, обычно состоит из следующих компонентов:

  • поставщик удостоверений для отслеживания пользователей и информации о пользователях;
  • каталог устройств для обеспечения списка устройств, которые имеют доступ к корпоративным ресурсам; Этот каталог содержит соответствующие сведения об устройстве (например, тип устройства, целостность и т. д.).
  • служба оценки политик для определения соответствия пользователей и устройств политике, установленной администраторами безопасности;
  • возможность предоставить или запретить доступ к ресурсам организации.

С помощью прокси приложения идентификатор Microsoft Entra отслеживает пользователей, которым требуется доступ к веб-приложениям, опубликованным локально и в облаке. Это обеспечивает централизованную точку управления этими приложениями. Хотя это не обязательно, рекомендуется также включить условный доступ Microsoft Entra. Определив условия для аутентификации и доступа пользователей, можно еще лучше защитить приложения от несанкционированного доступа.

Примечание.

Важно понимать, что прокси приложения Microsoft Entra предназначен в качестве замены VPN или обратного прокси-сервера для перемещаемых (или удаленных) пользователей, которым требуется доступ к внутренним ресурсам. Она не предназначена для внутренних пользователей в корпоративной сети. Внутренние пользователи, которые ненужным образом используют прокси приложения, могут привести к непредвиденным и нежелательным проблемам с производительностью.

Идентификатор Microsoft Entra и все приложения

Общие сведения о том, как работает прокси приложения

На схеме показано, как идентификатор Microsoft Entra и прокси приложения работают вместе, чтобы обеспечить единый вход в локальные приложения.

Схема прокси приложения Microsoft Entra.

  1. Пользователь направляется на страницу входа Microsoft Entra после доступа к приложению через конечную точку.
  2. Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя после успешного входа.
  3. Клиент отправляет маркер в службу прокси приложения. Служба получает имя участника-пользователя (UPN) и имя субъекта-службы безопасности (SPN) из маркера. Затем прокси приложения отправляет запрос соединителю.
  4. Соединитель выполняет проверку подлинности единого входа от имени пользователя.
  5. Соединитель отправляет запрос локальному приложению.
  6. Ответ отправляется через соединитель и службу прокси приложения пользователю.

Примечание.

Как и большинство гибридных агентов Microsoft Entra, соединитель частной сети не требует открытия входящих подключений через брандмауэр. Трафик пользователя на шаге 3 завершается в службе прокси приложения. Соединитель частной сети, который находится в частной сети, отвечает за остальную часть связи.

Компонент Description
Конечная точка Конечной точкой называется URL-адрес или пользовательский портал. Пользователи за пределами вашей сети могут получить доступ к приложениям, используя внешний URL-адрес. Пользователи в вашей сети могут получить доступ к приложениям, используя URL-адрес или пользовательский портал. Когда пользователи переходят к одной из этих конечных точек, они проходят проверку подлинности в идентификаторе Microsoft Entra, а затем направляются через соединитель в локальное приложение.
Microsoft Entra ID Идентификатор Microsoft Entra выполняет проверку подлинности с помощью каталога клиента, хранящегося в облаке.
Служба прокси приложения Эта служба прокси приложения выполняется в облаке в составе идентификатора Microsoft Entra. Он передает маркер входа от пользователя в соединитель частной сети. Прокси приложения перенаправит все доступные заголовки запроса и задает заголовки в зависимости от протокола в IP-адрес клиента. Если нужный заголовок уже присутствует в запросе, поступившем на прокси-сервер, IP-адрес клиента добавляется в конец значения этого заголовка, которое представляет собой список с разделителями запятыми.
Соединитель частной сети Соединителем называется упрощенный агент, который выполняется на сервере Windows Server в локальной сети. Соединитель управляет взаимодействием между прокси-службой приложения в облаке и локальным приложением. Соединитель использует только исходящие подключения, поэтому вам не нужно открывать входящие порты в сетях с подключением к Интернету. Соединители не имеют состояния и при необходимости извлекают сведения из облака. Дополнительные сведения о соединителях, таких как балансировка нагрузки и проверка подлинности, см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".
Active Directory (AD) Active Directory работает локально и выполняет аутентификацию доменных учетных записей. При настройке единого входа соединитель взаимодействует с AD, чтобы выполнить дополнительную проверку подлинности.
Локальное приложение Когда весь этот процесс завершится, пользователь получает доступ к локальному приложению.

Прокси приложения — это служба Microsoft Entra, настроенная в Центре администрирования Microsoft Entra. Она позволяет опубликовать внешнюю конечную точку с общедоступным URL-адресом (HTTP/HTTPS) в облаке Azure, которая подключена к URL-адресу внутреннего сервера приложений в вашей организации. Эти локальные веб-приложения можно интегрировать с идентификатором Microsoft Entra для поддержки единого входа. После этого пользователи смогут получать доступ к локальным веб-приложениям тем же образом, как к Microsoft 365 и другим приложениям SaaS.

К компонентам этой функции относятся служба прокси приложения, которая выполняется в облаке, соединитель частной сети, который является упрощенным агентом, работающим на локальном сервере, и идентификатором Microsoft Entra, который является поставщиком удостоверений. Все три компонента взаимодействуют, обеспечивая единый вход пользователей для доступа к локальным веб-приложениям.

После проверки подлинности пользователя внешние пользователи могут получать доступ к локальным веб-приложениям с помощью URL-адреса отображения или Мои приложения на настольных компьютерах или устройствах iOS/MAC. Например, прокси приложения могут предоставлять удаленный доступ и единый вход на удаленный рабочий стол, сайты SharePoint, Tableau, Qlik, Outlook в Интернете и бизнес-приложения (LOB).

Архитектура прокси приложения Microsoft Entra

Проверка подлинности

Существует несколько способов настройки единого входа для приложения и выбор метода зависит от того, какую проверку подлинности использует приложение. Прокси приложения поддерживает следующие типы приложений:

  • Веб-приложения
  • веб-API, предоставляемые для полнофункциональных приложений на различных устройствах;
  • приложения, размещаемые за шлюзом удаленных рабочих столов.
  • полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).

Прокси приложения работает с приложениями, используюющими следующий собственный протокол проверки подлинности:

Прокси приложения также поддерживает следующие протоколы проверки подлинности со сторонней интеграцией или в определенных сценариях конфигурации:

  • Аутентификация на основе заголовка. Этот метод входа использует стороннюю службу аутентификации, именуемую PingAccess. Он применяется, если приложение использует для аутентификации заголовки. В этом случае аутентификацию осуществляет PingAccess.
  • Аутентификация на основе форм или пароля. При таком методе проверки подлинности пользователям, чтобы войти в приложение, необходимо ввести имя пользователя и пароль при первом обращении к нему. После первого входа идентификатор Microsoft Entra предоставляет имя пользователя и пароль приложению. В этом сценарии проверка подлинности обрабатывается идентификатором Microsoft Entra.
  • Проверка подлинности SAML. Единый вход на основе SAML поддерживается для приложений, использующих протокол SAML 2.0 или WS-Federation. При использовании единого входа на основе SAML служба Microsoft Entra выполняет проверку подлинности в приложении, используя учетную запись Microsoft Entra пользователя.

Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.

Преимущества безопасности

Решение удаленного доступа, предлагаемое прокси приложениями и Microsoft Entra, поддерживает несколько преимуществ безопасности, которые могут воспользоваться клиентами, в том числе:

  • Аутентифицируемый доступ. Прокси приложения лучше всего подходит для публикации приложений с предварительной проверкой подлинности , чтобы убедиться, что только прошедшие проверку подлинности подключения попали в сеть. Трафик не может передаваться через службу прокси приложения в локальную среду без допустимого маркера для приложений, опубликованных с предварительной проверкой подлинности. Предварительная аутентификация по своей сути блокирует значительное количество целенаправленных атак, так как доступ к внутреннему приложению могут обеспечить только те удостоверения, которые прошли аутентификацию.

  • Условный доступ. Можно применить расширенные политики, прежде чем устанавливать подключения к сети. Благодаря условному доступу можно определить ограничения в отношении трафика, который может передаваться во внутреннее приложение. Вы можете создать политики, ограничивающие вход на основе расположения, строгости метода проверки подлинности и профиля риска для пользователя. По мере развития условного доступа добавляется все больше элементов управления, чтобы обеспечить дополнительную защиту, в том числе интеграция с Microsoft Defender for Cloud Apps. Интеграция Defender for Cloud Apps позволяет настроить для локального приложения мониторинг в реальном времени, используя условный доступ для отслеживания сеансов и управления ими в реальном времени на основе политик условного доступа.

  • Завершение трафика. Весь трафик к внутреннему приложению завершается в службе прокси приложения в облаке во время повторной установки сеанса с серверным сервером. Подобная стратегия подключения означает, что внутренние серверы недоступны для прямого трафика HTTP. Они лучше защищены от целенаправленных атак типа "отказ в обслуживании", так как брандмауэр не подвергается атакам.

  • Только исходящий доступ. Соединители частной сети используют только исходящие подключения к службе прокси приложения в облаке через порты 80 и 443. При отсутствии входящих подключений нет необходимости открывать порты брандмауэра для входящих подключений или компонентов в сети периметра. Все подключения являются исходящими и передаются через защищенный канал.

  • Аналитика на основе анализа безопасности и машинного обучения. Так как это часть идентификатора Microsoft Entra, прокси приложения может использовать Защита идентификации Microsoft Entra (требуется лицензирование Premium P2). Защита идентификации Microsoft Entra объединяет аналитику безопасности машинного обучения с веб-каналами данных корпорации Майкрософт Подразделение цифровых преступлений и Центр реагирования на безопасность Майкрософт для упреждающего выявления скомпрометированных учетных записей. Защита идентификации обеспечивает защиту в режиме реального времени от входов с высоким риском. Он учитывает такие факторы, как доступ из инфицированных устройств, через анонимизацию сетей или из нетипичных и вряд ли расположений, чтобы увеличить профиль риска сеанса. Этот профиль риска используется для защиты в реальном времени. Многие из этих отчетов и событий уже можно интегрировать с системами SIEM через API.

  • Удаленный доступ как услуга. Вам больше не нужно беспокоиться о поддержке локальных серверов для удаленного доступа и установке на них исправлений. Прокси приложения — это служба масштабирования Интернета, которая принадлежит Корпорации Майкрософт, поэтому вы всегда получаете последние исправления безопасности и обновления. Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. В соответствии с Министерством национальной безопасности, порядка 85 процентов целенаправленных атак могут быть предотвращены. Благодаря такой модели службы вам больше не придется уделять много внимания управлению пограничными серверами и в спешке устанавливать на них необходимые исправления.

  • Интеграция Intune. С помощью Intune корпоративной трафик передается отдельно от личного трафика пользователей. Прокси приложения гарантирует проверку подлинности корпоративного трафика. Прокси приложения и возможности Управляемого браузера Intune также можно использовать вместе, чтобы обеспечить удаленным пользователям безопасный доступ к внутренним веб-сайтам с устройств iOS и Android.

План перехода в облако

Еще одним основным преимуществом реализации прокси приложения является расширение идентификатора Microsoft Entra в локальной среде. На самом деле реализация прокси приложения является ключевым шагом при перемещении организации и приложений в облако. Перейдя в облако и вдали от локальной проверки подлинности, вы сокращаете локальный объем ресурсов и используете возможности управления удостоверениями Microsoft Entra в качестве плоскости управления. При минимальном или отсутствии обновлений существующих приложений у вас есть доступ к облачным возможностям, таким как единый вход, многофакторная проверка подлинности и централизованное управление. Установка необходимых компонентов для прокси приложения — это простой процесс для создания платформы удаленного доступа. И путем перехода в облако у вас есть доступ к последним функциям Microsoft Entra, обновлениям и функциям, таким как высокий уровень доступности и аварийное восстановление.

Дополнительные сведения о переносе приложений в идентификатор Microsoft Entra см. в разделе "Перенос приложений в идентификатор Microsoft Entra".

Архитектура

На схеме показано, как службы проверки подлинности Microsoft Entra и прокси приложения работают совместно, чтобы обеспечить единый вход в локальные приложения пользователям.

Поток проверки подлинности прокси приложения Microsoft Entra

  1. После доступа пользователя к приложению через конечную точку пользователь перенаправляется на страницу входа Microsoft Entra. Если вы настроили политики условного доступа, на этом этапе проверяются определенные условия, чтобы обеспечить соответствие требованиям безопасности вашей организации.
  2. После успешного входа идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя.
  3. Клиент отправляет маркер в службу прокси приложения, которая извлекает имя участника-пользователя (UPN) и имя субъекта безопасности (SPN) из маркера.
  4. Прокси приложения перенаправит запрос, который выбирается соединителем частной сети.
  5. Соединитель от имени пользователя выполняет обязательную дополнительную аутентификацию (необязательно, в зависимости от метода проверки подлинности), запрашивает внутреннюю конечную точку сервера приложений и отправляет запрос в локальное приложение.
  6. Ответ сервера приложений отправляется через соединитель в службу прокси приложения.
  7. Ответ отправляется из службы прокси приложения пользователю.

Прокси приложения Microsoft Entra состоит из облачной службы прокси приложения и локального соединителя. Соединитель прослушивает запросы из службы прокси приложения и обрабатывает подключения к внутренним приложениям. Важно отметить, что все сообщения происходят по протоколу TLS и всегда создаются в соединителе в службе прокси приложения. То есть все подключения являются исходящими. Соединитель использует сертификат клиента для проверки подлинности в службе прокси приложения для всех вызовов. Единственным исключением в защите подключения является этап начальной настройки, когда устанавливается сертификат клиента. Дополнительные сведения см. в прокси-сервере приложения под капотом .

Соединитель частной сети Microsoft Entra

Прокси приложения использует соединитель частной сети Microsoft Entra. Тот же соединитель используется Частный доступ Microsoft Entra. Дополнительные сведения о соединителях см. в статье Microsoft Entra private network connector.

Другие варианты использования

До этого момента мы сосредоточились на использовании прокси приложения для публикации локальных приложений во внешнем режиме при включении единого входа во все облачные и локальные приложения. Однако существуют и другие варианты использования прокси приложения, которые стоит упомянуть. К ним относятся:

  • Безопасная публикация интерфейсов REST API. Если у вас есть бизнес-логика или API, работающие локально или размещенные на виртуальных машинах в облаке, прокси приложения предоставляет общедоступную конечную точку для доступа к API. Доступ к конечной точке API позволяет контролировать аутентификацию и авторизацию без необходимости настраивать входящие порты. Она обеспечивает дополнительную безопасность с помощью функций Microsoft Entra ID P1 или P2, таких как многофакторная проверка подлинности и условный доступ на основе устройств с устройствами На основе устройств с устройствами На основе устройств с устройствами iOS, MAC и Android с помощью Intune. Дополнительные сведения см. в статье "Как включить собственные клиентские приложения для взаимодействия с прокси-приложениями и защитить API с помощью OAuth 2.0 с идентификатором Microsoft Entra и Управление API".
  • Службы удаленных рабочих столов (RDS). Для стандартных развертываний RDS требуются открытые входящие подключения. Однако развертывание RDS с прокси приложения имеет постоянное исходящее подключение с сервера, на котором запущена служба соединителя. Таким образом можно предложить пользователям больше приложений, публикуя локальные приложения через службы удаленных рабочих столов. Вы также можете уменьшить плоскость атаки развертывания, применив ограниченный набор средств двухфакторной проверки подлинности и элементов управления условным доступом к RDS.
  • Публикация приложений, которые подключаются с помощью WebSockets. Поддержка Qlik Sense находится на этапе общедоступной предварительной версии и в будущем будет расширена на другие приложения.
  • Включение собственных клиентских приложений для взаимодействия с приложениями прокси. Вы можете использовать прокси приложения Microsoft Entra для публикации веб-приложений, но также можно использовать для публикации собственных клиентских приложений , настроенных с помощью библиотеки проверки подлинности Майкрософт (MSAL). Собственные клиентские приложения отличаются от веб-приложений, так как они устанавливаются на устройство, а веб-приложения предоставляются через браузер.

Заключение

Рабочие методики и используемые инструменты быстро меняются. Все больше сотрудников использует собственные устройства для работы и все шире применяются приложения SaaS, поэтому организациям следует развивать свои технологии управления данными и их защиты. Компании больше не работают исключительно в собственных стенах, защищенных рвом, вырытым по периметру. Данные передаются в больше мест, чем когда-либо — как в локальных, так и в облачных средах. Эта эволюция помогла повысить продуктивность пользователей и расширить возможности совместной работы, но она также усложняет защиту конфиденциальных данных.

Независимо от того, используете ли вы идентификатор Microsoft Entra для управления пользователями в гибридном сценарии сосуществования или заинтересованы в запуске пути в облако, реализация прокси приложения Microsoft Entra может помочь уменьшить размер локального пространства, предоставив удаленный доступ в качестве службы.

Организации должны воспользоваться преимуществами прокси приложения сегодня, чтобы воспользоваться следующими преимуществами:

  • Публикация локальных приложений вовне без трудоемкого обслуживания традиционных решений на основе VPN или других локальных решений для публикации в Интернете с использованием сети периметра.
  • Единый вход для всех приложений, включая Microsoft 365 или другие приложения SaaS, а также локальные приложения
  • Облачная безопасность масштабирования, в которой Microsoft Entra использует данные телеметрии Microsoft 365 для предотвращения несанкционированного доступа
  • Интеграция Intune для аутентификации корпоративного трафика.
  • Централизованное управление учетными записями пользователей.
  • Автоматическое обновление, обеспечивающее установку последних обновлений безопасности.
  • Новые возможности по мере их выпуска. Самые последние из них — это поддержка единого входа SAML и более детализированное управление файлами cookie приложений.

Следующие шаги