Приложение прокси Microsoft Entra

Обзор

Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям для удаленных пользователей. После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Например, прокси приложения могут предоставлять удаленный доступ и единый вход в удаленный рабочий стол, SharePoint, Teams, Tableau, Qlik и бизнес-приложения (LOB).

Прокси приложения Microsoft Entra:

  • Простота в использовании. Пользователи могут получить доступ к локальным приложениям так же, как и к приложениям Microsoft 365 и другим приложениям программного обеспечения как услуга (SaaS), интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями.

  • Безопасность. Локальные приложения могут использовать элементы управления авторизацией и аналитику безопасности в Microsoft Entra. Например, локальные приложения могут использовать условный доступ Microsoft Entra и многофакторную проверку подлинности. Прокси приложения не требует открытия входящих подключений через брандмауэр.

  • Экономичность. Локальные решения обычно требуют настройки и обслуживания сетей периметра (также известных как демилитаризованные зоны или dmZ), пограничных серверов или других сложных инфраструктур. Прокси приложения выполняется в облаке. Чтобы использовать его, вам не нужно изменять сетевую инфраструктуру или устанавливать больше устройств в локальной среде.

Совет

Если у вас уже есть идентификатор Microsoft Entra, его можно использовать как одну плоскость управления, чтобы обеспечить простой и безопасный доступ к локальным приложениям.

Ниже приведены некоторые примеры использования прокси приложения в сценарии гибридного сосуществования:

  • Опубликовать локальные веб-приложения во внешнем доступе упрощенным способом без пограничной сети.
  • Поддержка единого входа на устройствах, ресурсах и приложениях в облаке и локальной среде.
  • Поддержка многофакторной проверки подлинности для приложений в облаке и локальной среде.
  • Быстро используйте облачные функции с безопасностью облака Майкрософт.
  • Централизованное управление учетными записями пользователей.
  • Централизованное управление удостоверениями и безопасностью.
  • Автоматическое добавление или удаление доступа пользователей к приложениям на основе членства в группах.

В этой статье объясняется, как прокси приложения предоставляет облачные возможности и безопасность для локальных веб-приложений, а также описывает поддерживаемую архитектуру и топологии.

Удаленный доступ в прошлом и в настоящее время

Ранее контрольная плоскость для защиты внутренних ресурсов от злоумышленников при облегчении доступа удаленных пользователей располагалась вся в пограничной сети. Но решения VPN и обратного прокси-сервера, развернутые в сети периметра и используемые внешними клиентами для доступа к корпоративным ресурсам, не подходят для облачной среды. Обычно они:

  • Увеличьте затраты на оборудование.
  • Требуется текущее обслуживание безопасности, включая установку исправлений и мониторинг портов.
  • Проверка подлинности пользователей на границе.
  • Проверка подлинности пользователей на веб-серверах в периметральной сети.
  • Требуется распространение и настройка программного обеспечения VPN-клиента для обеспечения удаленного доступа.
  • Обслуживайте серверы, присоединенные к домену, в периметральной сети, которые могут быть уязвимы для внешних атак.

В современном цифровом рабочем месте пользователи получают доступ к приложениям и работают из любого места с помощью нескольких устройств. Константный фактор — удостоверение пользователя.

Идентификатор Microsoft Entra можно использовать для управления тем, кто и что получает доступ в вашу сеть. Прокси приложения Microsoft Entra интегрируется с современными технологиями проверки подлинности и облачными технологиями, такими как приложения SaaS и поставщики удостоверений. Такая интеграция позволяет пользователям получать доступ к приложениям откуда угодно.

Схема, демонстрирующая приложения, подключенные к идентификатору Microsoft Entra.

Не только прокси приложения лучше подходит для сегодняшнего цифрового рабочего места, это более безопасно, чем VPN и обратные прокси-решения. Кроме того, проще реализовать. Удаленные пользователи могут получать доступ к локальным приложениям так же, как и к приложениям SaaS, интегрированным с идентификатором Microsoft Entra. Вам не нужно изменять или обновлять приложения для работы с прокси приложениями. Прокси приложения также не требует открытия входящих подключений через брандмауэр.

Вы можете начать защиту сети с помощью управления удостоверениями Microsoft Entra в качестве уровня управления безопасностью. Эта модель на основе идентичности включает следующие компоненты:

  • поставщик удостоверений личности для отслеживания пользователей и связанной с ними информацией.
  • Каталог устройств для поддержания списка устройств, имеющих доступ к корпоративным ресурсам. Этот каталог содержит соответствующие сведения об устройстве (например, тип устройства и целостности).
  • Служба оценки политики, которая проверяет, соответствуют ли пользователи и устройства политикам безопасности, заданным администраторами.
  • возможность предоставить или запретить доступ к ресурсам организации.

Идентификатор Microsoft Entra отслеживает пользователей, которые обращаются к веб-приложениям, опубликованным локально и в облаке. Она предоставляет центральную точку для управления этими приложениями.

Чтобы повысить безопасность, включите условный доступ Microsoft Entra. Эта функция гарантирует, что только правильные пользователи получают доступ к приложениям, задав условия проверки подлинности и доступа.

Примечание.

Прокси приложения Microsoft Entra заменяет VPN или реверсные прокси для удаленных пользователей, обращающихся к внутренним ресурсам. Он не предназначен для внутренних пользователей в корпоративной сети. Если внутренние пользователи используют прокси приложения ненужным образом, это может привести к непредвиденным проблемам с производительностью.

Общие сведения о том, как работает прокси приложения

Прокси приложения включает как службу прокси приложения , так и соединитель частной сети. Служба прокси приложения выполняется в облаке, а соединитель частной сети работает в качестве упрощенного агента на локальном сервере. Идентификатор Microsoft Entra выступает в качестве поставщика удостоверений.

На следующей схеме показано, как идентификатор Microsoft Entra, служба прокси приложения и соединитель частной сети работают вместе, чтобы пользователи могли получать доступ к локальным веб-приложениям с простым единым входом.

Схема, показывающая шесть шагов для единого входа в прокси приложения Microsoft Entra.

  1. Пользователь обращается к приложению через конечную точку и перенаправляется на страницу входа Microsoft Entra.
  2. Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя после успешного входа.
  3. Клиент отправляет маркер в службу прокси приложения. Служба получает имя пользователя (UPN) и имя безопасности субъекта (SPN) из токена. Затем служба прокси приложения отправляет запрос соединителю.
  4. Коннектор выполняет необходимую процедуру аутентификации SSO от имени пользователя.
  5. Соединитель отправляет запрос локальному приложению.
  6. Соединитель и служба прокси приложения отправляют ответ пользователю.

Примечание.

Как и большинство гибридных агентов Microsoft Entra, соединитель частной сети не требует открытия входящих подключений через брандмауэр. Трафик пользователя на шаге 3 заканчивается в службе прокси приложения. Соединитель частной сети, который находится в частной сети, отвечает за остальную часть связи.

Компонент Описание
Конечная точка Конечная точка — это URL-адрес или пользовательский портал. Пользователи могут получить доступ к приложению извне сети с помощью внешнего URL-адреса. Пользователи в сети могут получить доступ к приложению через URL-адрес или пользовательский портал.

Когда пользователи переходят к одной из этих конечных точек, они проходят проверку подлинности в идентификаторе Microsoft Entra, а затем направляются через соединитель в локальное приложение.
Microsoft Entra ID Идентификатор Microsoft Entra выполняет проверку подлинности с помощью каталога клиента, хранящегося в облаке.
Служба прокси-сервера для приложений Служба прокси-сервера для приложений выполняется в облаке в составе Microsoft Entra ID. Он передает токен аутентификации от пользователя к соединителю частной сети.

Служба передает все доступные заголовки запроса и устанавливает заголовки в соответствии с протоколом на IP-адрес клиента. Если входящий запрос к прокси-серверу уже имеет этот заголовок, IP-адрес клиента добавляется в конец разделенного запятыми списка, который является значением заголовка.
Соединитель частной сети Соединитель — это легковесный агент, работающий на Windows Server внутри вашей сети. Соединитель управляет взаимодействием между прокси-службой приложения в облаке и локальным приложением. Соединитель прослушивает запросы из службы прокси приложения и обрабатывает подключения к приложению.

Соединитель использует только исходящие подключения, поэтому вам не нужно открывать входящие порты в сетях, подключенных к Интернету. Microsoft Entra для приватного доступа использует тот же соединитель.

Соединители не сохраняют состояние и извлекают данные из облака по мере необходимости. Дополнительные сведения о соединителях, таких как балансировка нагрузки и проверка подлинности, см. в разделе Соединители частной сети Microsoft Entra.
Active Directory Active Directory работает локально и выполняет аутентификацию доменных учетных записей. При настройке единого входа в систему соединитель взаимодействует с Active Directory для выполнения любых дополнительных проверок подлинности, которые могут потребоваться.
Локальное приложение Наконец, пользователь может получить доступ к локальному приложению.

Вы настраиваете службу прокси приложения в Центре администрирования Microsoft Entra. Службу можно использовать для публикации внешней общедоступной конечной точки URL-адреса HTTP/HTTPS в Azure, которая подключается к URL-адресу внутреннего сервера приложений в организации. Эти локальные веб-приложения можно интегрировать с идентификатором Microsoft Entra для поддержки единого входа. Затем пользователи могут получать доступ к локальным веб-приложениям таким же образом, как и к приложениям Microsoft 365 и другим приложениям SaaS.

После проверки подлинности внешние пользователи могут получать доступ к локальным веб-приложениям с помощью отображаемого URL-адреса или Мои приложения с настольного компьютера или iOS-устройства. Например, прокси приложения могут предоставлять удаленный доступ и единый вход в удаленный рабочий стол, сайты SharePoint, Tableau, Qlik, Outlook в Интернете и бизнес-приложения.

Схема архитектуры прокси приложения Microsoft Entra.

Проверка подлинности

Существует несколько способов настройки приложения для единого входа. Выбранный метод зависит от проверки подлинности, используемой приложением. Прокси приложения поддерживает следующие типы приложений:

  • Веб-приложения, использующие встроенную проверку подлинности Windows (IWA) в качестве собственного протокола проверки подлинности. Для IWA соединители частной сети используют ограниченное делегирование Kerberos (KCD) для проверки подлинности пользователей в приложении Kerberos.
  • Веб-приложения, использующие доступ на основе форм или на основе заголовков. Проверка подлинности на основе заголовков использует PingAccess, не партнерская служба Майкрософт, для обработки проверки подлинности для приложений, использующих заголовки.
  • Веб-API, которые вы хотите предоставить расширенным приложениям на различных устройствах.
  • Приложения, размещенные за шлюзом удаленных рабочих столов.
  • Расширенные клиентские приложения, интегрированные с библиотекой проверки подлинности Майкрософт (MSAL).

Прокси приложения также поддерживает протоколы проверки подлинности с партнерами, отличными от Майкрософт, в определенных сценариях конфигурации:

  • Проверка подлинности на основе паролей. С помощью этого метода проверки подлинности пользователи входят в приложение, используя имя пользователя и пароль при первом доступе к нему. После первого входа идентификатор Microsoft Entra предоставляет имя пользователя и пароль приложению. В этом сценарии идентификатор Microsoft Entra обрабатывает проверку подлинности.
  • Проверка подлинности языка разметки утверждений безопасности (SAML). Поддерживается единый вход на основе SAML для приложений, использующих протоколы SAML 2.0 или WS-Federation. С помощью единого входа SAML Microsoft Entra ID аутентифицирует пользователя в приложении через учетную запись Microsoft Entra.

Дополнительные сведения о поддерживаемых методах см. в параметрах единого входа.

Преимущества безопасности

Решение удаленного доступа, которое предлагает прокси приложения и Microsoft Entra, поддерживает несколько преимуществ безопасности:

  • Аутентифицируемый доступ. Прокси приложения использует предварительную проверку подлинности , чтобы обеспечить доступ только к сети с проверкой подлинности. Он блокирует весь трафик без допустимого маркера для приложений, настроенных с предварительной проверкой подлинности. Этот подход значительно сокращает целевые атаки, позволяя только проверенным удостоверениям получать доступ к внутренним приложениям.

  • Условный доступ. Перед созданием подключений к сети можно применять более широкие элементы управления политикой. С помощью условного доступа можно определить ограничения на трафик, который позволяет получить доступ к внутреннему приложению. Вы можете создать политики, ограничивающие вход на основе расположения, строгости метода проверки подлинности и профиля риска для пользователя.

    Для повышения безопасности условный доступ также интегрируется с Microsoft Defender для облачных приложений. С помощью этой интеграции вы можете настроить локальное приложение для мониторинга в режиме реального времени на основе политик условного доступа.

  • Завершение трафика. Весь трафик к серверному приложению прерывается на службе прокси приложения в облаке, в то время как сеанс заново устанавливается с сервером. Стратегия подключения означает, что серверы бэк-энда не подвергаются прямому HTTP-трафику. Они лучше защищены от целевых атак типа "отказ в обслуживании" (DoS), так как брандмауэр не подвергается атакам.

  • Доступ только для исходящего трафика. Соединители частной сети используют только исходящие подключения к службе прокси приложения в облаке через порты 80 и 443. Без входящих подключений нет необходимости открывать порты брандмауэра для входящих подключений или компонентов в сети периметра. Все исходящие подключения выполняются через безопасный канал.

  • Аналитика на основе аналитики безопасности и машинного обучения. Так как прокси приложения является частью идентификатора Microsoft Entra, он может использовать защиту идентификаторов Microsoft Entra. Защита идентификаторов Microsoft Entra объединяет аналитику безопасности с машинным обучением и источниками данных из подразделения по борьбе с киберпреступностью Microsoft и Центра реагирования на инциденты безопасности Microsoft для упреждающего выявления скомпрометированных учетных записей. Для этого требуется лицензирование Premium P2.

    Защита идентификаторов Microsoft Entra предоставляет защиту от высоко-рискованных входов в режиме реального времени. Она рассматривает такие факторы, как попытки доступа с инфицированных устройств, через анонимные сети или из нестандартных и маловероятных местоположений для увеличения профиля риска сеанса. Этот профиль риска используется для защиты в реальном времени. Многие из этих отчетов и событий уже сейчас можно использовать в API для интеграции с системами управления сведениями о безопасности и событиями (SIEM).

  • Удаленный доступ как услуга. Вам больше не нужно беспокоиться о поддержке локальных серверов для удаленного доступа и установке на них исправлений. Прокси приложения — это интернет-масштабируемая, управляемая корпорацией Майкрософт служба, поэтому вы всегда получаете последние исправления безопасности и обновления.

    Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. Согласно агентству по кибербезопасности и инфраструктуре безопасности (CISA), 85 процентов целевых атак можно предотвратить. С помощью этой модели службы вам больше не придется нести бремя управления периферийными серверами и лихорадочно исправлять их по необходимости.

План перехода в облако

Еще одним основным преимуществом реализации прокси приложения является расширение идентификатора Microsoft Entra в локальной среде. Реализация прокси приложения может быть ключевым шагом при перемещении организации и приложений в облако. Перейдя в облако и отказавшись от локальной проверки подлинности, вы сокращаете локальный объем ресурсов и используете возможности управления удостоверениями Microsoft Entra в качестве контрольной плоскости.

При минимальном или отсутствии обновлений существующих приложений у вас есть доступ к облачным возможностям, таким как единый вход, многофакторная проверка подлинности и централизованное управление. Установка необходимых компонентов для прокси приложения проста. И перейдя в облако, у вас есть доступ к последним функциям Microsoft Entra, обновлениям и функциям, таким как высокий уровень доступности и аварийное восстановление.

Дополнительные сведения о переносе приложений в идентификатор Microsoft Entra см. в статье "Ресурсы для переноса приложений в идентификатор Microsoft Entra ID".

Архитектура

На следующей схеме показано, как службы проверки подлинности Microsoft Entra и прокси приложения работают вместе, чтобы обеспечить единый вход для локальных приложений.

Схема, демонстрирующая поток проверки подлинности для прокси приложения Microsoft Entra.

  1. Пользователь обращается к приложению через конечную точку и перенаправляется на страницу входа Microsoft Entra. Политики условного доступа проверяют определенные условия, чтобы обеспечить соответствие требованиям безопасности вашей организации.
  2. Идентификатор Microsoft Entra отправляет маркер на клиентское устройство пользователя.
  3. Клиент отправляет токен в службу прокси приложения, которая извлекает UPN и SPN из токена.
  4. Служба прокси приложения перенаправит запрос в соединитель частной сети.
  5. Соединитель обрабатывает любую необходимую дополнительную аутентификацию (необязательно на основе метода проверки подлинности), извлекает внутреннюю конечную точку сервера приложений и отправляет запрос на локальное приложение.
  6. Сервер приложений отвечает, а соединитель отправляет ответ обратно в службу прокси приложения.
  7. Служба прокси приложения предоставляет пользователю ответ.

Все коммуникации осуществляются по протоколу TLS и всегда исходят из соединителя в службу прокси приложения. Соединитель использует сертификат клиента для проверки подлинности в службе прокси приложения для всех вызовов. Единственным исключением в защите подключения является этап начальной настройки, когда устанавливается сертификат клиента.

Дополнительные сведения см. в разделе "Вопросы безопасности" для удаленного доступа к приложениям с помощью прокси приложения Microsoft Entra.

Другие варианты использования

В этой статье рассматривается использование прокси приложения для публикации локальных приложений во внешнем режиме и включения единого входа для всех облачных и локальных приложений. Однако прокси приложения также поддерживает другие варианты использования, в том числе:

  • Безопасная публикация интерфейсов REST API. Используйте прокси приложения для создания общедоступной конечной точки для локальных или облачных API. Управляйте проверкой подлинности и авторизацией без открытия входящих портов. Дополнительные сведения см. в разделе "Включить собственные клиентские приложения для взаимодействия с прокси-приложениями и защитить API в службе "Управление API Azure" с помощью авторизации OAuth 2.0 с идентификатором Microsoft Entra.
  • Публикация приложений с помощью служб удаленных рабочих столов (RDS). Для развертываний RDS уровня "Стандартный" требуются открытые входящие подключения. Тем не менее, развертывание RDS с прокси для приложения имеет постоянное исходящее подключение от сервера, на котором запущена служба соединителя. Таким образом, вы можете предложить пользователям больше приложений, публикуя локальные приложения через RDS. Кроме того, можно уменьшить поверхность атаки развертывания, используя ограниченный набор многофакторной аутентификации и элементов управления условным доступом к RDS.
  • Публикация приложений, которые подключаются через WebSockets. Поддержка Qlik Sense доступна в предварительной версии.
  • Включение собственных клиентских приложений для взаимодействия с приложениями прокси. Вы можете использовать прокси приложения Microsoft Entra для публикации веб-приложений, но его также можно использовать для публикации собственных клиентских приложений , настроенных с помощью MSAL. Клиентские приложения устанавливаются на устройстве, а веб-приложения доступны через браузер.

Заключение

Организации адаптируются к быстрым изменениям в работе и средствах. Сотрудники используют собственные устройства и полагаются на приложения SaaS. Данные теперь перемещаются между локальными и облачными средами, далеко за пределами традиционных границ. Этот сдвиг повышает производительность и совместную работу, но также затрудняет защиту конфиденциальных данных.

Прокси приложения Microsoft Entra сокращает локальный объем, предлагая удаленный доступ в качестве службы. Независимо от того, используете ли вы Microsoft Entra ID для управления пользователями в гибридной среде или планируете начать облачное внедрение, прокси приложения упрощает удаленный доступ и повышает безопасность.

Организации могут использовать прокси приложения, чтобы воспользоваться этими преимуществами:

  • Публикуйте локальные приложения внешне без необходимости поддерживать традиционные VPN или другие локальные решения для публикации веб-сайтов и подходы к сети периметра.
  • Включите единый вход для всех приложений, включая Microsoft 365, другие приложения SaaS и локальные приложения.
  • Обеспечение облачной безопасности, в которой идентификатор Microsoft Entra помогает предотвратить несанкционированный доступ.
  • Централизованное управление учетными записями пользователей.
  • Получите автоматические обновления, чтобы обеспечить наличие последних исправлений для системы безопасности.
  • Получайте доступ к новым функциям по мере их выхода, таким как поддержка единого входа SAML и более детальному управлению файлами cookie приложений.

Связанный контент

  • Last updated on