Säkerhetsöverväganden för fjärråtkomst till appar med Microsoft Entra-programproxy
Den här artikeln beskriver de komponenter som fungerar för att skydda dina användare och program när du använder Microsoft Entra-programproxy.
Följande diagram visar hur Microsoft Entra ID möjliggör säker fjärråtkomst till dina lokala program.
Säkerhetsfördelar
Microsoft Entra-programproxy erbjuder många säkerhetsfördelar. Listan över fördelar är:
- Autentiserad åtkomst
- Villkorlig åtkomst
- Trafikavslut
- All utgående åtkomst
- Analys i molnskala och maskininlärning
- Fjärråtkomst som en tjänst
- Tjänsten Microsoft Distributed Denial of Service (DDoS)
Autentiserad åtkomst
Endast autentiserade anslutningar kan komma åt nätverket när du använder Microsoft Entra-förautentisering.
Microsoft Entra-programproxy förlitar sig på Microsoft Entra-tjänsten för säkerhetstoken (STS) för all autentisering. Förautentisering blockerar till sin natur ett stort antal anonyma attacker, eftersom endast autentiserade identiteter kan komma åt serverdelsprogrammet.
Om du väljer Genomströmning som förautentiseringsmetod får du inte den här förmånen.
Villkorlig åtkomst
Tillämpa mer omfattande principkontroller innan anslutningar till nätverket upprättas.
Med villkorsstyrd åtkomst kan du definiera begränsningar för hur användare får åtkomst till dina program. Du kan skapa principer som begränsar inloggningar baserat på plats, styrka för autentisering och användarriskprofil.
Du kan också använda villkorsstyrd åtkomst för att konfigurera principer för multifaktorautentisering och lägga till ytterligare ett säkerhetslager i dina användarautentiseringar. Dessutom kan dina program även dirigeras till Microsoft Defender för molnet-appar via Microsoft Entra villkorlig åtkomst för att tillhandahålla övervakning och kontroller i realtid via åtkomst- och sessionsprinciper.
Trafikavslut
All trafik avslutas i molnet.
Eftersom Microsoft Entra-programproxy är en omvänd proxy avslutas all trafik till serverdelsprogram i tjänsten. Sessionen kan endast återupprättas med serverdelsservern, vilket innebär att serverdelsservrarna inte exponeras för direkt HTTP-trafik. Konfigurationen innebär att du är bättre skyddad mot riktade attacker.
All åtkomst är utgående
Du behöver inte öppna inkommande anslutningar till företagsnätverket.
privata nätverksanslutningar använder endast utgående anslutningar till Microsoft Entra-programproxytjänsten. Du behöver inte öppna brandväggsportar för inkommande anslutningar. Traditionella proxyservrar kräver ett perimeternätverk (även kallat DMZ, demilitariserad zon eller skärmat undernät) och ger åtkomst till oautentiserade anslutningar vid nätverksgränsen. Med programproxy behöver du inget perimeternätverk eftersom alla anslutningar är utgående och sker via en säker kanal.
Mer information om anslutningsappar finns i Förstå privata anslutningsprogram för Microsoft Entra.
Analys i molnskala och maskininlärning
Få det senaste säkerhetsskyddet.
Eftersom det är en del av Microsoft Entra-ID använder programproxyn Microsoft Entra ID Protection, med data från Microsoft Security Response Center och Digital Crimes Unit. Tillsammans identifierar vi proaktivt komprometterade konton och erbjuder skydd mot högriskinloggningar. Vi tar hänsyn till flera faktorer för att avgöra vilka inloggningsförsök som är hög risk. Dessa faktorer inkluderar att flagga infekterade enheter, anonymisera nätverk och atypiska eller osannolika platser.
Många av dessa rapporter och händelser är redan tillgängliga via ett API för integrering med dina SIEM-system (säkerhetsinformation och händelsehantering).
Fjärråtkomst som en tjänst
Du behöver inte bekymra dig om att underhålla och korrigera lokala servrar.
Oskickad programvara står fortfarande för ett stort antal attacker. Microsoft Entra-programproxy är en internetbaserad tjänst som Microsoft äger, så du får alltid de senaste säkerhetskorrigeringarna och uppgraderingarna.
För att förbättra säkerheten för program som publiceras av Microsoft Entra-programproxyn blockerar vi robotar för webbkryptering från att indexera och arkivera dina program. Varje gång en webbrobot försöker hämta robotens inställningar för en publicerad app svarar programproxyn med en robots.txt fil som innehåller User-agent: * Disallow: /
.
Tjänsten Microsoft Distributed Denial of Service (DDoS)
Program som publiceras via programproxy skyddas mot DDoS-attacker (Distributed Denial of Service). Microsoft aktiverar automatiskt det här skyddet i alla datacenter. Microsoft DDoS-skyddstjänsten tillhandahåller alltid på trafikövervakning och realtidsreducering av vanliga attacker på nätverksnivå.
Under huven
Microsoft Entra-programproxy består av två delar:
- Den molnbaserade tjänsten: Den här tjänsten körs i Microsoft-molnet och är den plats där de externa klient-/användaranslutningarna upprättas.
- Den lokala anslutningsappen: En lokal komponent, anslutningsappen lyssnar efter begäranden från Microsoft Entra-programproxytjänsten och hanterar anslutningar till de interna programmen.
Ett flöde mellan anslutningsappen och programproxytjänsten upprättas när:
- Anslutningsappen konfigureras först.
- Anslutningsappen hämtar konfigurationsinformation från programproxytjänsten.
- En användare får åtkomst till ett publicerat program.
Kommentar
All kommunikation sker via TLS och de kommer alltid från anslutningsappen till programproxytjänsten. Tjänsten är endast utgående.
Anslutningsappen använder ett klientcertifikat för att autentisera till programproxytjänsten för nästan alla anrop. Det enda undantaget till den här processen är det första installationssteget, där klientcertifikatet upprättas.
Installera anslutningsappen
När anslutningsappen först konfigureras sker följande flödeshändelser:
- Registreringen av anslutningsappen till tjänsten sker som en del av installationen av anslutningsappen. Användarna uppmanas att ange sina autentiseringsuppgifter för Microsoft Entra-administratören. Den token som hämtas från den här autentiseringen visas sedan för Microsoft Entra-programproxytjänsten.
- Programproxytjänsten utvärderar token. Den kontrollerar om användaren är minst programadministratör i klientorganisationen. Om användaren inte är det avslutas processen.
- Anslutningsappen genererar en klientcertifikatbegäran och skickar den, tillsammans med token, till programproxytjänsten. Tjänsten verifierar i sin tur token och signerar klientcertifikatbegäran.
- Anslutningsappen använder klientcertifikatet för framtida kommunikation med programproxytjänsten.
- Anslutningsappen utför en första hämtning av systemkonfigurationsdata från tjänsten med hjälp av sitt klientcertifikat och är nu redo att ta emot begäranden.
Uppdatera konfigurationsinställningarna
När programproxytjänsten uppdaterar konfigurationsinställningarna sker följande flödeshändelser:
- Anslutningsappen ansluter till konfigurationsslutpunkten i programproxytjänsten med hjälp av dess klientcertifikat.
- Klientcertifikatet verifieras.
- Programproxytjänsten returnerar konfigurationsdata till anslutningsappen (till exempel den anslutningsgrupp som anslutningsappen ska ingå i).
- Anslutningsappen genererar en ny certifikatbegäran om det aktuella certifikatet är mer än 180 dagar gammalt.
Åtkomst till publicerade program
När användarna får åtkomst till ett publicerat program sker följande händelser mellan programproxytjänsten och den privata nätverksanslutningen:
- Tjänsten autentiserar användaren för appen
- Tjänsten placerar en begäran i anslutningskön
- En anslutningsapp bearbetar begäran från kön
- Anslutningsappen väntar på ett svar
- Tjänsten strömmar data till användaren
Om du vill veta mer om vad som händer i vart och ett av de här stegen fortsätter du att läsa.
1. Tjänsten autentiserar användaren för appen
Om programmet använder genomströmning som förautentiseringsmetod hoppas stegen i det här avsnittet över.
Användare omdirigeras till Microsoft Entra STS för att autentisera om programmet har konfigurerats för att förautentisera med Microsoft Entra-ID. Följande steg utförs:
- Programproxy söker efter principkrav för villkorsstyrd åtkomst. Steget säkerställer att användaren tilldelas till programmet. Om tvåstegsverifiering krävs uppmanar autentiseringssekvensen användaren att ange en andra autentiseringsmetod.
- Microsoft Entra STS utfärdar en signerad token för programmet och omdirigerar användaren tillbaka till programproxytjänsten.
- Programproxy verifierar att token har utfärdats till rätt program, signerats och är giltigt.
- Programproxy anger en krypterad autentiseringscookie för att indikera lyckad autentisering till programmet. Cookien innehåller en förfallotidsstämpel baserat på token från Microsoft Entra ID. Cookien innehåller även det användarnamn som autentiseringen baseras på. Cookien krypteras med en privat nyckel som endast är känd för programproxytjänsten.
- Programproxy omdirigerar användaren tillbaka till den ursprungligen begärda URL:en.
Om någon del av förautentiseringsstegen misslyckas nekas användarens begäran och användaren visas ett meddelande som anger orsaken till problemet.
2. Tjänsten placerar en begäran i anslutningskön
Anslutningsappar håller en utgående anslutning öppen för programproxytjänsten. När en begäran kommer in köar tjänsten begäran på en av de öppna anslutningarna som anslutningsappen ska hämta.
Begäran innehåller begärandehuvuden, data från den krypterade cookien, användaren som gör begäran och begärande-ID:t. Även om data från den krypterade cookien skickas med begäran, så är inte själva autentiseringscookien det.
3. Anslutningsappen bearbetar begäran från kön.
Baserat på begäran utför programproxyn någon av följande åtgärder:
Om begäran är en enkel åtgärd (det finns till exempel inga data i brödtexten som med en RESTful API-begäran
GET
) upprättar anslutningsappen en anslutning till den interna målresursen och väntar sedan på ett svar.Om begäran har data som är associerade med den i brödtexten (till exempel en RESTful API-åtgärd
POST
) upprättar anslutningsappen en utgående anslutning med hjälp av klientcertifikatet till programproxyinstansen. Den här anslutningen gör att du kan begära data och öppna en anslutning till den interna resursen. När den har tagit emot begäran från anslutningsappen börjar programproxytjänsten ta emot innehåll från användaren och vidarebefordrar data till anslutningsappen. Anslutningsappen vidarebefordrar i sin tur data till den interna resursen.
4. Anslutningsappen väntar på ett svar.
När begäran och överföringen av allt innehåll till serverdelen har slutförts väntar anslutningsappen på ett svar.
När den har fått ett svar upprättar anslutningsappen en utgående anslutning till programproxytjänsten för att returnera rubrikinformationen och börja strömma returdata.
5. Tjänsten strömmar data till användaren.
Viss bearbetning av programmet sker just nu. Till exempel översätter programproxy rubriker eller URL:er.