Microsoft Entra uygulama ara sunucusu ile uygulamalara uzaktan erişim için güvenlikle ilgili dikkat edilmesi gerekenler

Genel bakış

Bu makalede, Microsoft Entra uygulama ara sunucusunu kullanırken kullanıcılarınızı ve uygulamalarınızı güvende tutmak için çalışan bileşenler açıklanmaktadır.

Aşağıdaki diyagramda, Microsoft Entra ID'nin şirket içi uygulamalarınıza güvenli uzaktan erişimi nasıl sağladığı gösterilmektedir.

Microsoft Entra uygulama ara sunucusu aracılığıyla güvenli uzaktan erişim diyagramı

Güvenlik avantajları

Microsoft Entra uygulama proxy'si birçok güvenlik avantajı sunar. Avantajlara şunlar dahildir:

  • Kimliği doğrulanmış erişim
  • Koşullu Erişim
  • Trafik sonlandırma
  • Tüm giden erişim
  • Bulut ölçek analizi ve makine öğrenmesi
  • Hizmet olarak uzaktan erişim
  • Microsoft Dağıtılmış Hizmet Reddi (DDoS) koruma hizmeti

Kimliği doğrulanmış erişim

Microsoft Entra ön kimlik doğrulamasını kullandığınızda ağınıza yalnızca kimliği doğrulanmış bağlantılar erişebilir.

Microsoft Entra uygulama ara sunucusu, tüm kimlik doğrulaması için Microsoft Entra güvenlik belirteci hizmetine (STS) dayanır. Ön kimlik doğrulaması, doğası gereği çok sayıda anonim saldırıyı engeller çünkü arka uç uygulamasına yalnızca kimliği doğrulanmış kimlikler erişebilir.

Ön kimlik doğrulama yönteminiz olarak geçiş seçeneğini belirlerseniz bu avantajdan yararlanamazsınız.

Koşullu Erişim

Ağınıza bağlantılar kurulmadan önce daha zengin ilke denetimleri uygulayın.

Koşullu Erişim ile kullanıcıların uygulamalarınıza erişmesine nasıl izin verebileceğine ilişkin kısıtlamalar tanımlayabilirsiniz. Konum, kimlik doğrulamasının gücü ve kullanıcı riski profiline göre oturum açma işlemlerini kısıtlayan ilkeler oluşturabilirsiniz.

Kullanıcı kimlik doğrulamanıza başka bir güvenlik katmanı ekleyerek çok faktörlü kimlik doğrulama ilkelerini yapılandırmak için Koşullu Erişim'i de kullanabilirsiniz. Uygulamalarınız, erişim ve oturum ilkeleri aracılığıyla gerçek zamanlı izleme ve denetimler sağlamak için Microsoft Entra Koşullu Erişim aracılığıyla Bulut Uygulamaları için Microsoft Defender'a da yönlendirilebilir.

Trafik sonlandırma

Tüm trafik bulutta sonlandırılır.

Microsoft Entra uygulama ara sunucusu ters ara sunucu olduğundan, arka uç uygulamalarına gelen tüm trafik hizmette sonlandırılır. Hizmet oturumu yalnızca arka uç sunucusuyla yeniden kurar; bu da arka uç sunucularınızın doğrudan HTTP trafiğine maruz kalmadığı anlamına gelir. Bu yapılandırma, hedeflenen saldırılara karşı daha iyi korunduğunuz anlamına gelir.

Tüm erişimler dışa çıkışlıdır

Şirket ağına gelen bağlantıları açmanız gerekmez.

Özel ağ bağlayıcıları yalnızca Microsoft Entra uygulama ara sunucusu hizmetine giden bağlantıları kullanır. Gelen bağlantılar için güvenlik duvarı bağlantı noktalarını açmanız gerekmez. Geleneksel proxy'ler bir çevre ağı ( yerelleştirilmiş bölge (DMZ) veya filtrelenmiş alt ağ olarak da bilinir) gerektirir ve ağ kenarında kimliği doğrulanmamış bağlantılara izin verir. Tüm bağlantılar giden olduğundan ve güvenli bir kanal üzerinden gerçekleştiği için uygulama ara sunucusu ile çevre ağına ihtiyacınız yoktur.

Bağlayıcılar hakkında daha fazla bilgi için Microsoft Entra özel ağ bağlayıcılarını anlama bölümüne bakın.

Bulut ölçeğinde analiz ve makine öğrenmesi

En son güvenlik korumasını edinin.

Microsoft Entra Id'nin bir parçası olduğundan, uygulama proxy'si Microsoft Güvenlik Yanıt Merkezi ve Dijital Suçlar Birimi'nden alınan verileri içeren Microsoft Entra Kimlik Koruması kullanır. Birlikte, güvenliği aşılmış hesapları proaktif olarak belirler ve yüksek riskli oturum açma işlemlerine karşı koruma sağlar. Hangi oturum açma girişimlerinin yüksek riskli olduğunu çok sayıda faktör belirler. Bu faktörler arasında virüslü cihazlar, ağları anonimleştirme ve atipik veya olası olmayan konumlar bulunur.

Bu raporların ve olayların çoğu, güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinizle tümleştirme için bir API aracılığıyla zaten kullanılabilir.

Hizmet olarak uzaktan erişim

Şirket içi sunucuların bakımını yapma ve düzeltme eki uygulama konusunda endişelenmeniz gerekmez.

Güncellenmemiş yazılımlar yine de çok sayıda saldırıya neden olur. Microsoft Entra uygulama ara sunucusu, Microsoft'un sahip olduğu İnternet ölçeğinde bir hizmettir, bu nedenle her zaman en son güvenlik düzeltme eklerini ve yükseltmeleri alırsınız.

Microsoft Entra uygulama ara sunucusu tarafından yayımlanan uygulamaların güvenliğini artırmak için, uygulama proxy'si web gezgini robotlarının uygulamalarınızı dizine almalarını ve arşivlemelerini engeller. Web gezgini robotu her seferinde yayımlanan bir uygulamanın ayarlarını almaya çalıştığında, uygulama ara sunucusu User-agent: * Disallow: / içeren bir robots.txt dosyasıyla cevap verir.

Microsoft Dağıtılmış Hizmet Reddi (DDoS) koruma hizmeti

Uygulama ara sunucusu aracılığıyla yayımlanan uygulamalar Dağıtılmış Hizmet Reddi (DDoS) saldırılarına karşı korunur. Microsoft bu korumayı tüm veri merkezlerinde otomatik olarak etkinleştirir. Microsoft DDoS koruma hizmeti, her zaman açık trafik izleme ve yaygın ağ düzeyindeki saldırıların gerçek zamanlı olarak azaltılmasını sağlar.

Kaputun altında

Microsoft Entra uygulama ara sunucusu iki bölümden oluşur:

  • Bulut tabanlı hizmet: Bu hizmet Microsoft bulutunda çalışır ve dış istemciler ile kullanıcıların bağlandığı yerdir.
  • Şirket içi bağlayıcı: Şirket içi bir bileşen olan bağlayıcı, Microsoft Entra uygulama ara sunucusu hizmetinden gelen istekleri dinler ve iç uygulamalara bağlantıları işler.

Bağlayıcı ile uygulama ara sunucusu hizmeti arasında aşağıdaki durumlarda bir akış oluşturulur:

  • Bağlayıcı ilk olarak ayarlanır.
  • Bağlayıcı, uygulama ara sunucusu hizmetinden yapılandırma bilgilerini çeker.
  • Bir kullanıcı yayımlanmış bir uygulamaya erişir.

Not

Tüm iletişimler Aktarım Katmanı Güvenliği (TLS) üzerinden gerçekleşir ve her zaman bağlayıcıdan uygulama ara sunucusu hizmetine kaynaklanır. Hizmet yalnızca giden yönlüdür.

Bağlayıcı, neredeyse tüm çağrılarda uygulama ara sunucusu hizmetinde kimlik doğrulaması yapmak için bir istemci sertifikası kullanır. Bu işlemin tek istisnası, istemci sertifikasının oluşturulduğu ilk kurulum adımıdır.

Bağlayıcıyı yükleme

Bağlayıcı ilk kez ayarlandığında aşağıdaki akış olayları gerçekleşir:

  1. Bağlayıcı, yükleme sırasında hizmete kaydolr. Yükleyici, kullanıcılardan Microsoft Entra yönetici kimlik bilgilerini girmelerini ister. Daha sonra bu kimlik doğrulamasından alınan belirteç Microsoft Entra uygulama ara sunucusu hizmetine sunulur.
  2. Uygulama ara sunucusu hizmeti belirteci değerlendirir. Kullanıcının kiracıda en az Bir Uygulama Yöneticisi olup olmadığını denetler. Kullanıcı değilse, işlem sonlandırılır.
  3. Bağlayıcı, bir istemci sertifikası isteği oluşturur ve bunu, belirteçle birlikte, uygulama proxy hizmetine iletir. Hizmet de belirteci doğrular ve istemci sertifikası isteğini imzalar.
  4. Bağlayıcı, uygulama ara sunucusu hizmetiyle daha sonra iletişim için istemci sertifikasını kullanır.
  5. Bağlayıcı, istemci sertifikasını kullanarak hizmetten sistem yapılandırma verilerinin ilk çekme işlemini gerçekleştirir ve istekleri kabul etmeye hazırdır.

Yapılandırma ayarlarını güncelleştirme

Uygulama ara sunucusu hizmeti yapılandırma ayarlarını güncelleştirdiğinde aşağıdaki akış olayları gerçekleşir:

  1. Bağlayıcı, istemci sertifikasını kullanarak uygulama ara sunucusu hizmeti içindeki yapılandırma uç noktasına bağlanır.
  2. İstemci sertifikası doğrulanır.
  3. Uygulama ara sunucusu hizmeti yapılandırma verilerini bağlayıcıya döndürür (örneğin, bağlayıcının parçası olması gereken bağlayıcı grubu).
  4. Geçerli sertifika 180 günden eskiyse bağlayıcı yeni bir sertifika isteği oluşturur.

Yayımlanan uygulamalara erişme

Kullanıcılar yayımlanmış bir uygulamaya eriştiğinde, uygulama ara sunucusu hizmeti ile özel ağ bağlayıcısı arasında aşağıdaki olaylar gerçekleşir:

  1. Hizmet, uygulamanın kullanıcı kimliğini doğrular.
  2. Hizmet, bağlayıcı kuyruğuna bir talep yerleştirir.
  3. Bağlayıcı, isteği kuyruktan işler.
  4. Bağlayıcı yanıt bekler.
  5. Hizmet verileri kullanıcıya akışla aktarıyor.

Bu adımların her birinde gerçekleşenler hakkında daha fazla bilgi edinmek için okumaya devam edin.

1. Hizmet, uygulamanın kullanıcı kimliğini doğrular

Uygulama ön kimlik doğrulama yöntemi olarak geçiş kullanıyorsa, bu bölümdeki adımları atlayın.

Microsoft Entra Kimliği, uygulama Microsoft Entra Kimliği ile ön kimlik doğrulaması yapmak üzere yapılandırılmışsa, kimlik doğrulaması yapmak için kullanıcıları STS'ye yönlendirir. Aşağıdaki adımlar gerçekleşir:

  1. Uygulama ara sunucusu Koşullu Erişim ilkesi gereksinimlerini denetler. Bu adım, kullanıcının uygulamaya atanmasını sağlar. İki aşamalı doğrulama gerekiyorsa, kimlik doğrulama dizisi kullanıcıdan ikinci bir kimlik doğrulama yöntemi ister.
  2. Microsoft Entra STS, uygulama için imzalı bir belirteç gönderir ve kullanıcıyı uygulama ara sunucusu hizmetine geri yönlendirir.
  3. Uygulama ara sunucusu belirtecin doğru uygulamaya verildiğini, imzalandığını ve geçerli olduğunu doğrular.
  4. Uygulama ara sunucusu, uygulamada başarılı bir kimlik doğrulaması olduğunu göstermek için şifrelenmiş bir kimlik doğrulama tanımlama bilgisi ayarlar. Çerez, Microsoft Entra Kimliği'nden alınan belirteci temel alan bir son kullanma zaman damgası içerir. Çerez, kimlik doğrulamasının temel aldığı kullanıcı adını da içerir. Tanımlama bilgisi, yalnızca uygulama ara sunucusu hizmeti tarafından bilinen özel bir anahtarla şifrelenir.
  5. Uygulama proxy'si kullanıcıyı başlangıçta istenen URL'ye yeniden yönlendirir.

Ön kimlik doğrulama adımlarının herhangi bir bölümü başarısız olursa, kullanıcının isteği reddedilir ve kullanıcıya sorunun kaynağını belirten bir ileti gösterilir.

2. Hizmet bağlayıcı kuyruğuna bir istek yerleştirir

Bağlayıcılar, uygulama ara sunucusu hizmetine giden bağlantıyı açık tutar. Bir istek geldiğinde, servis, bağlayıcının alması için isteği açık bağlantılardan birinde kuyruğa alır.

İstek; istek başlıklarını, şifrelenmiş çerezden gelen verileri, istek yapan kullanıcıyı ve istek kimliğini içerir. Şifrelenmiş tanımlama bilgisinden gelen veriler istekle birlikte gönderilse de kimlik doğrulama tanımlama bilgisinin kendisi gönderilmez.

3. Bağlayıcı, kuyruktan gelen isteği işler.

İstek temelinde, uygulama ara sunucusu aşağıdaki eylemlerden birini gerçekleştirir:

  • İstek basit bir işlemse (örneğin, RESTful API GET isteğinde olduğu gibi gövde içinde veri yok), bağlayıcı hedef iç kaynakla bağlantı kurar ve ardından yanıt bekler.

  • İsteğin gövdesinde kendisiyle ilişkilendirilmiş veriler varsa (örneğin, bir RESTful API POST işlemi), bağlayıcı istemci sertifikasını kullanarak uygulama ara sunucusu örneğine giden bağlantı kurar. Bu bağlantıyı verileri istemek ve iç kaynağa bir bağlantı açmak için yapar. Bağlayıcıdan isteği aldıktan sonra, uygulama ara sunucusu hizmeti kullanıcıdan içerik kabul etmeye başlar ve verileri bağlayıcıya iletir. Bağlayıcı da verileri iç kaynağa iletir.

4. Bağlayıcı yanıt bekler.

Tüm içeriğin arka uca isteği ve iletimi tamamlandıktan sonra bağlayıcı yanıt bekler.

Yanıt aldıktan sonra bağlayıcı, üst bilgi ayrıntılarını iletmek ve dönüş verilerini aktarmaya başlamak için uygulama ara sunucusu hizmetine bir bağlantı kurar.

5. Hizmet, kullanıcıya veri akışı sağlar.

Uygulamanın bazı işlemleri şu anda gerçekleşir. Örneğin, uygulama ara sunucusu üst bilgileri veya URL'leri çevirir.

Sonraki adımlar

  • Last updated on