Поделиться через

Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей

Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Например, прокси приложения могут предоставлять удаленный доступ и единый вход в удаленный рабочий стол, SharePoint, Teams, Tableau, Qlik и бизнес-приложения (LOB).

Прокси приложения Microsoft Entra:

  • Простота в использовании. Пользователи могут получить доступ к локальным приложениям так же, как они получают доступ к Microsoft 365 и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями.

  • Безопасность. Локальные приложения могут использовать элементы управления авторизацией и аналитику безопасности Azure. Например, локальные приложения могут использовать условный доступ и двухфакторную проверку подлинности. Прокси приложения не требует открытия входящих подключений через брандмауэр.

  • Экономичность. Локальные решения обычно требуют настройки и обслуживания демилитаризованных зон (DMZ), пограничных серверов или других сложных инфраструктур. Прокси приложения выполняется в облаке, что упрощает использование. Чтобы использовать прокси приложения, вам не нужно изменять сетевую инфраструктуру или устанавливать больше устройств в локальной среде.

Совет

Если у вас уже есть идентификатор Microsoft Entra, его можно использовать как одну плоскость управления, чтобы обеспечить простой и безопасный доступ к локальным приложениям.

Хотя и не исчерпывающий, список иллюстрирует примеры использования прокси приложения в сценарии гибридного сосуществования:

  • Упрощенная публикация локальных веб-приложений внешне без DMZ.
  • Поддержка единого входа для устройств, ресурсов и приложений в облаке и локальной среде.
  • Поддержка многофакторной проверки подлинности для приложений в облаке и локальной среде
  • Быстрое использование облачных функций с безопасностью Microsoft Cloud
  • Централизованное управление учетными записями пользователей.
  • Централизованное управление удостоверениями и безопасностью.
  • Автоматическое добавление и удаление прав доступа пользователей к приложениям на основе членства в группах.

В этой статье объясняется, как идентификатор Microsoft Entra и прокси приложения предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без использования VPN, серверов с двумя адресами и правил брандмауэра. Эта статья поможет вам понять, как прокси приложения обеспечивает возможности и преимущества безопасности в облаке для локальных веб-приложений. В ней также описывается архитектура и возможные топологии.

Совет

Прокси приложения включает как службу прокси приложения, которая выполняется в облаке, так и соединитель частной сети, который выполняется на локальном сервере. Идентификатор Microsoft Entra, служба прокси приложения и соединитель частной сети работают вместе, чтобы безопасно передать маркер входа пользователя из идентификатора Microsoft Entra в веб-приложение.

Прокси приложения работает с:

  • веб-приложения, использующие Встроенную проверку подлинности Windows;
  • веб-приложения, использующие доступ на основе форм или заголовков;
  • веб-API, которые вы хотите раскрыть для многофункциональных приложений на различных устройствах
  • Приложения, размещенные за шлюзом удаленного рабочего стола.
  • полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).

Прокси приложения поддерживает единый вход. Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.

Удаленный доступ в прошлом

Ранее контрольная плоскость, используемая для защиты внутренних ресурсов от злоумышленников и облегчения доступа удалённых пользователей, полностью находилась в DMZ или сети периметра. Но решения на основе VPN и обратного прокси-сервера, развернутые в сети периметра и используемые внешними клиентами для доступа к корпоративным ресурсам, не подходят для облачной среды. Обычно они подвержены следующим недостаткам:

  • Увеличение затрат на оборудование
  • Обеспечение безопасности (установка исправлений, мониторинг портов и тому подобное)
  • Проверка подлинности пользователей на границе
  • Проверка подлинности пользователей на веб-серверах в сети периметра
  • Обслуживание VPN-доступа для удаленных пользователей с распределением и настройкой программного обеспечения VPN-клиента. Также обслуживание серверов, присоединенных к домену, в периметральной сети, которая может быть уязвимой для внешних атак.

В современном мире, где приоритет отдается облачным технологиям, Microsoft Entra ID лучше всего подходит для управления доступом к вашей сети. Прокси приложения Microsoft Entra интегрируется с современными технологиями проверки подлинности и облачными технологиями, такими как приложения SaaS и поставщики удостоверений. Такая интеграция позволяет пользователям получать доступ к приложениям откуда угодно. Не только прокси-сервер приложений более подходит для современных цифровых рабочих мест, но и он более безопасен, чем решения на основе VPN и обратных прокси-серверов, и его проще внедрить. Удаленные пользователи могут получить доступ к локальным приложениям так же, как и к приложениям Microsoft и другим приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями. Кроме того, прокси приложения не требует открытия входящих подключений через брандмауэр. С помощью прокси приложения вы просто задали его и забыли.

Будущее удаленного доступа

В современном цифровом рабочем месте пользователи получают доступ к приложениям и работают в любом месте с помощью нескольких устройств. Константный фактор — удостоверение пользователя. Запустите защиту сети с помощью управления удостоверениями Microsoft Entra в качестве уровня управления безопасностью. Эта модель на основе идентичности включает следующие компоненты:

  • поставщик удостоверений личности для отслеживания пользователей и связанной с ними информацией.
  • каталог устройств для обеспечения списка устройств, которые имеют доступ к корпоративным ресурсам; Этот каталог содержит соответствующие сведения об устройстве (например, тип устройства, целостность и т. д.).
  • Служба оценки политики проверяет, соответствуют ли пользователи и устройства политикам безопасности, заданным администраторами.
  • возможность предоставить или запретить доступ к ресурсам организации. Идентификатор Microsoft Entra отслеживает пользователей, которые обращаются к веб-приложениям, опубликованным локально и в облаке. Она предоставляет центральную точку для управления этими приложениями. Чтобы повысить безопасность, включите условный доступ Microsoft Entra. Эта функция обеспечивает доступ только нужных пользователей к приложениям, задав условия проверки подлинности и доступа.

Примечание.

Прокси-сервер приложений Microsoft Entra заменяет VPN или обратные прокси для удаленных пользователей, обращающихся к ресурсам внутренней сети. Он не предназначен для внутренних пользователей в корпоративной сети. Если внутренние пользователи используют прокси приложения ненужным образом, это может привести к непредвиденным проблемам с производительностью.

Microsoft Entra ID и все ваши приложения

Общие сведения о том, как работает прокси приложения

На схеме показано, как идентификатор Microsoft Entra и прокси приложения работают вместе, чтобы обеспечить единый вход в локальные приложения.

Схема прокси приложения Microsoft Entra.

  1. Пользователь направляется на страницу входа Microsoft Entra после доступа к приложению через конечную точку.
  2. Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя после успешного входа.
  3. Клиент отправляет маркер в службу прокси приложения. Служба получает имя пользователя (UPN) и имя безопасности субъекта (SPN) из токена. Затем прокси приложения отправляет запрос соединителю.
  4. Соединитель выполняет проверку подлинности единой аутентификации (SSO) от имени пользователя.
  5. Соединитель отправляет запрос локальному приложению.
  6. Ответ отправляется через соединитель и службу прокси приложения пользователю.

Примечание.

Как и большинство гибридных агентов Microsoft Entra, соединитель частной сети не требует открытия входящих подключений через брандмауэр. Трафик пользователя на шаге 3 завершается в службе прокси приложения. Соединитель частной сети, который находится в частной сети, отвечает за остальную часть связи.

Компонент Описание
Конечная точка Конечной точкой называется URL-адрес или пользовательский портал. Пользователи за пределами вашей сети могут получить доступ к приложениям, используя внешний URL-адрес. Пользователи в вашей сети могут получить доступ к приложениям, используя URL-адрес или пользовательский портал. Когда пользователи переходят к одной из этих конечных точек, они проходят проверку подлинности в идентификаторе Microsoft Entra, а затем направляются через соединитель в локальное приложение.
Microsoft Entra ID Идентификатор Microsoft Entra выполняет проверку подлинности с помощью каталога клиента, хранящегося в облаке.
Служба прокси-сервера для приложений Эта служба прокси приложения выполняется в облаке в составе идентификатора Microsoft Entra. Он передает токен аутентификации от пользователя к соединителю частной сети. Прокси приложения перенаправляет все доступные заголовки запроса и задает заголовки в соответствии со своим протоколом для IP-адреса клиента. Если нужный заголовок уже присутствует в запросе, поступившем на прокси-сервер, IP-адрес клиента добавляется в конец значения этого заголовка, которое представляет собой список с разделителями запятыми.
Соединитель частной сети Соединителем называется легковесный агент, который запускается на сервере Windows Server внутри вашей сети. Соединитель управляет взаимодействием между прокси-службой приложения в облаке и локальным приложением. Соединитель использует только исходящие подключения, поэтому вам не нужно открывать входящие порты в сетях с подключением к Интернету. Соединители не имеют состояния и по мере необходимости получают информацию из облака. Дополнительные сведения о соединителях, таких как балансировка нагрузки и проверка подлинности, см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".
Active Directory (AD) Active Directory работает локально и выполняет аутентификацию доменных учетных записей. При настройке единого входа соединитель взаимодействует с AD, чтобы выполнить дополнительную проверку подлинности.
Локальное приложение Когда весь этот процесс завершится, пользователь получает доступ к локальному приложению.

Прокси приложения — это служба Microsoft Entra, настроенная в Центре администрирования Microsoft Entra. Она позволяет опубликовать внешнюю конечную точку с общедоступным URL-адресом (HTTP/HTTPS) в облаке Azure, которая подключена к URL-адресу внутреннего сервера приложений в вашей организации. Эти локальные веб-приложения можно интегрировать с идентификатором Microsoft Entra для поддержки единого входа. После этого пользователи смогут получать доступ к локальным веб-приложениям тем же образом, как к Microsoft 365 и другим приложениям SaaS.

Служба прокси приложения выполняется в облаке, коннектор частной сети работает в качестве упрощенного агента на локальном сервере, а Microsoft Entra ID выступает в качестве поставщика удостоверений. Вместе эти компоненты позволяют пользователям получать доступ к локальным веб-приложениям с простым интерфейсом единого входа.

После проверки подлинности пользователя внешние пользователи могут получать доступ к локальным веб-приложениям с помощью URL-адреса отображения или Мои приложения на настольных компьютерах или устройствах iOS/MAC. Например, прокси приложения могут предоставлять удаленный доступ и единый вход на удаленный рабочий стол, сайты SharePoint, Tableau, Qlik, Outlook в Интернете и бизнес-приложения (LOB).

Архитектура прокси приложения Microsoft Entra

Проверка подлинности

Существует несколько способов настройки единого входа для приложения и выбор метода зависит от того, какую проверку подлинности использует приложение. Прокси приложения поддерживает следующие типы приложений:

  • Веб-приложения
  • веб-API, которые вы хотите раскрыть для многофункциональных приложений на различных устройствах
  • приложения, размещаемые за шлюзом удаленных рабочих столов
  • полнофункциональные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).

Прокси приложения работает с приложениями, используюющими следующий собственный протокол проверки подлинности:

  • Встроенная проверка подлинности Windows (IWA) Для встроенной проверки подлинности Windows (IWA) соединители частной сети используют ограниченное делегирование Kerberos (KCD) для проверки подлинности пользователей в приложении Kerberos.

Прокси приложения также поддерживает протоколы проверки подлинности с партнерами, отличными от Майкрософт, в определенных сценариях конфигурации:

  • Аутентификация на основе заголовка. Этот метод использует PingAccess, не партнерская служба Майкрософт, для обработки проверки подлинности для приложений, использующих заголовки.
  • Аутентификация на основе форм или пароля. При таком методе проверки подлинности пользователям, чтобы войти в приложение, необходимо ввести имя пользователя и пароль при первом обращении к нему. После первого входа идентификатор Microsoft Entra предоставляет имя пользователя и пароль приложению. В этом сценарии идентификатор Microsoft Entra обрабатывает проверку подлинности.
  • Проверка подлинности SAML. Единый вход на основе SAML поддерживается для приложений, использующих протоколы языка разметки утверждений безопасности (SAML) 2.0 или WS-Federation. При использовании единого входа на основе SAML служба Microsoft Entra выполняет проверку подлинности в приложении, используя учетную запись Microsoft Entra пользователя.

Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.

Преимущества безопасности

Решение удаленного доступа, предлагаемое прокси приложениями и Microsoft Entra, поддерживает несколько преимуществ безопасности, которые могут воспользоваться клиентами, в том числе:

  • Аутентифицируемый доступ. Прокси приложения использует предварительную проверку подлинности , чтобы обеспечить доступ только к сети с проверкой подлинности. Он блокирует весь трафик без допустимого маркера для приложений, настроенных с предварительной проверкой подлинности. Этот подход значительно сокращает целевые атаки, позволяя только проверенным идентичностям обращаться к бэкэнд-приложениям.

  • Условный доступ. Можно применить расширенные политики, прежде чем устанавливать подключения к сети. Благодаря условному доступу можно определить ограничения в отношении трафика, который может передаваться во внутреннее приложение. Вы можете создать политики, ограничивающие вход на основе расположения, строгости метода проверки подлинности и профиля риска для пользователя. По мере развития условного доступа добавляются дополнительные элементы управления, чтобы обеспечить большую безопасность, например интеграцию с Microsoft Defender для облачных приложений. Интеграция Defender для облачных приложений позволяет настроить локальное приложение для мониторинга в режиме реального времени с помощью условного доступа для мониторинга сеансов и управления ими в режиме реального времени на основе политик условного доступа.

  • Завершение трафика. Весь трафик к внутреннему приложению завершается в службе прокси приложения в облаке во время повторной установки сеанса с серверным сервером. Эта стратегия подключения означает, что серверы бекэнда не подвергаются прямому HTTP-трафику. Они лучше защищены от целевых атак DoS (отказ в обслуживании), так как брандмауэр не подвергается атакам.

  • Весь доступ является исходящим. Соединители частной сети используют только исходящие подключения к службе прокси приложения в облаке через порты 80 и 443. При отсутствии входящих соединений нет необходимости открывать порты брандмауэра для входящих соединений или компонентов в демилитаризованной зоне (DMZ). Все подключения являются исходящими и передаются через защищенный канал.

  • Аналитика на основе анализа безопасности и машинного обучения. Так как это часть идентификатора Microsoft Entra, прокси приложения может использовать защиту идентификаторов Microsoft Entra (требуется лицензирование Premium P2). Защита идентификаций Microsoft Entra объединяет безопасность на основе машинного обучения с каналами данных от Майкрософт (Подразделение по борьбе с цифровыми преступлениями) и (Центр реагирования на угрозы безопасности) для упреждающего выявления скомпрометированных учетных записей. Защита идентификаторов Microsoft Entra обеспечивает защиту от высокорисковых попыток входа в систему в режиме реального времени. Она учитывает такие факторы, как доступ из инфицированных устройств, через анонимные сети или из нетипичных и маловероятных местоположений, увеличивая профиль риска сеанса. Этот профиль риска используется для защиты в реальном времени. Многие из этих отчетов и событий уже доступны через API для интеграции с системами управления сведениями о безопасности и событиями (SIEM).

  • Удаленный доступ как услуга. Вам больше не нужно беспокоиться о поддержке локальных серверов для удаленного доступа и установке на них исправлений. Прокси приложения — это служба масштабирования Интернета, которая принадлежит Корпорации Майкрософт, поэтому вы всегда получаете последние исправления безопасности и обновления. Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. В соответствии с Министерством национальной безопасности, порядка 85 процентов целенаправленных атак могут быть предотвращены. Благодаря такой модели службы вам больше не придется уделять много внимания управлению пограничными серверами и в спешке устанавливать на них необходимые исправления.

  • Интеграция Intune. С помощью Intune корпоративной трафик передается отдельно от личного трафика пользователей. Прокси приложения гарантирует проверку подлинности корпоративного трафика. Прокси приложения и возможности Управляемого браузера Intune также можно использовать вместе, чтобы обеспечить удаленным пользователям безопасный доступ к внутренним веб-сайтам с устройств iOS и Android.

План перехода в облако

Еще одним основным преимуществом реализации прокси приложения является расширение идентификатора Microsoft Entra в локальной среде. На самом деле реализация прокси приложения является ключевым шагом при перемещении организации и приложений в облако. Перейдя в облако и отказавшись от локальной проверки подлинности, вы сокращаете локальный объем ресурсов и используете возможности управления удостоверениями Microsoft Entra в качестве контрольной плоскости. При минимальном или отсутствии обновлений существующих приложений у вас есть доступ к облачным возможностям, таким как единый вход, многофакторная проверка подлинности и централизованное управление. Установка необходимых компонентов для прокси приложения — это простой процесс для создания платформы удаленного доступа. И путем перехода в облако у вас есть доступ к последним функциям Microsoft Entra, обновлениям и функциям, таким как высокий уровень доступности и аварийное восстановление.

Дополнительные сведения о переносе приложений в идентификатор Microsoft Entra см. в разделе "Перенос приложений в идентификатор Microsoft Entra".

Архитектура

На схеме показано, как службы проверки подлинности Microsoft Entra и прокси приложения работают совместно, чтобы обеспечить единый вход в локальные приложения пользователям.

Поток проверки подлинности прокси приложения Microsoft Entra

  1. Пользователь обращается к приложению через конечную точку и перенаправляется на страницу входа Microsoft Entra. Политики условного доступа проверяют определенные условия, чтобы обеспечить соответствие требованиям безопасности вашей организации.
  2. Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя.
  3. Клиент отправляет маркер в службу прокси приложения, которая извлекает имя участника-пользователя (UPN) и имя субъекта безопасности (SPN) из маркера.
  4. Прокси приложения перенаправит запрос в соединитель частной сети.
  5. Соединитель обрабатывает любую дополнительную необходимую проверку подлинности (необязательно на основе метода проверки подлинности), извлекает внутреннюю конечную точку сервера приложений и отправляет запрос в локальное приложение.
  6. Сервер приложений отвечает, а соединитель отправляет ответ обратно в службу прокси приложения.
  7. Служба прокси приложения предоставляет пользователю ответ.

Прокси приложения Microsoft Entra состоит из облачной службы прокси приложения и локального соединителя. Соединитель прослушивает запросы из службы прокси приложения и обрабатывает подключения к внутренним приложениям. Важно отметить, что все коммуникации происходят через защиту транспортного уровня (TLS) и всегда инициируются от соединителя к службе прокси приложения. То есть коммуникации являются только исходящими. Соединитель использует сертификат клиента для проверки подлинности в службе прокси приложения для всех вызовов. Единственным исключением в защите подключения является этап начальной настройки, когда устанавливается сертификат клиента. Дополнительные сведения см. в разделе прокси приложения под капотом.

Соединитель частной сети Microsoft Entra

Прокси приложения использует соединитель частной сети Microsoft Entra. Тот же соединитель используется для Microsoft Entra Private Access. Дополнительные сведения о соединителях см. в статье Microsoft Entra private network connector.

Другие варианты использования

Пока мы сосредоточимся на использовании прокси приложения для публикации локальных приложений на внешних серверах и включения единого входа для всех облачных и локальных приложений. Однако прокси приложения также поддерживает другие варианты использования, в том числе:

  • Безопасная публикация интерфейсов REST API. Используйте прокси приложения для создания общедоступной конечной точки для локальных или облачных API. Управляйте проверкой подлинности и авторизацией без открытия входящих портов. Дополнительные сведения см. в разделе "Включить собственные клиентские приложения для взаимодействия с прокси-приложениями и защитить API с помощью OAuth 2.0 с идентификатором Microsoft Entra ИД и управлением API".
  • Службы удаленных рабочих столов(RDS). Для стандартных развертываний служб удаленных рабочих столов (RDS) требуются открытые входящие соединения. Тем не менее, развертывание RDS с прокси для приложения имеет постоянное исходящее подключение от сервера, на котором запущена служба соединителя. Таким образом можно предложить пользователям больше приложений, публикуя локальные приложения через службы удаленных рабочих столов. Вы также можете уменьшить плоскость атаки развертывания, применив ограниченный набор средств двухфакторной проверки подлинности и элементов управления условным доступом к RDS.
  • Публикация приложений, которые подключаются с помощью WebSockets. Поддержка Qlik Sense находится на этапе общедоступной предварительной версии и в будущем будет расширена на другие приложения.
  • Включение собственных клиентских приложений для взаимодействия с приложениями прокси. Вы можете использовать прокси приложения Microsoft Entra для публикации веб-приложений, но также можно использовать для публикации собственных клиентских приложений , настроенных с помощью библиотеки проверки подлинности Майкрософт (MSAL). Клиентские приложения отличаются от веб-приложений, так как они установлены на устройстве, а веб-приложения доступны через браузер.

Заключение

Организации адаптируются к быстрым изменениям в работе и средствах. Сотрудники используют собственные устройства и используют приложения SaaS. В результате управление и защита данных становится более сложным. Данные теперь перемещаются между локальными и облачными средами, далеко за пределами традиционных границ. Этот сдвиг повышает производительность и совместную работу, но также затрудняет защиту конфиденциальных данных.

Прокси приложения Microsoft Entra сокращает локальный объем, предлагая удаленный доступ в качестве службы. Независимо от того, используете ли вы Microsoft Entra ID для управления пользователями в гибридной среде или планируете начать облачное внедрение, прокси приложения упрощает удаленный доступ и повышает безопасность.

Организации должны воспользоваться преимуществами прокси приложения сегодня, чтобы воспользоваться следующими преимуществами:

  • Публикуйте локальные приложения наружу без издержек, связанных с поддержанием традиционных решений на основе VPN или других решений для веб-публикации с использованием периметральной сети.
  • Единый вход для всех приложений, включая Microsoft 365 или другие приложения SaaS, а также локальные приложения
  • Масштабируемая облачная безопасность, где Microsoft Entra использует Microsoft 365 для предотвращения несанкционированного доступа.
  • Интеграция Intune для аутентификации корпоративного трафика.
  • Централизованное управление учетными записями пользователей.
  • Автоматическое обновление, обеспечивающее установку последних обновлений безопасности.
  • Новые функции по мере их выпуска; последние включают поддержку протокола SAML для единого входа и более детальное управление файлами cookie для приложений.

Следующие шаги