דגשים בפרסום אפליקציות Azure AD App Proxy

כל מי שמפרסם כיום אפליקציות וודאי יודע שניהול ותחזוקה של שרתים או התקני Reverse Proxy למינהם ברשת DMZ הוא משהו שאינו מנוהל באופן תדיר, אינו מתוחזק היטב וברוב המקרים פרוץ ואינו מעודכן.

במהלך השנים האחרונות עבדנו עם מספר טכנולוגיות שמבצעות פרסום אפליקציות באמצעות Reverse Proxy, החל משרתי ISA\TMG\UAG ועד לשרת ARR ופלטפורמת Web Application Proxy מקומית. בנוסף לכל אלה פרסמנו אפליקציות עם מוצרים, כגון: F5, Forti וכן הלאה.

הקמה וניהול של Reverse Proxy מצריך מאיתנו בארגון הקמה של מערך DMZ (אל אם כן קיים), הקמת מערך שרתי Reverse Proxy וביצוע פעולות להפרדה והגדרת חוקי Firewall לביצוע יישום מאובטח. בנוסף לכל אלה ישנו ניהול ותחזוקה של שרתי Reverse Proxy שלרוב אינו מנוהל או מתוחזק במידת הצורך וכמובן שאם לוקחים את כל אלה ביחד העלות של התחזוקה החל מיישום ראשוני וניהול לאורך זמן היא יקרה.

כאשר אנו מתכננים פרסום אפליקציות באמצעות Reverse Proxy לרוב אנו מחפשים פתרונות מתקדמים שיבצעו פעולות נוספות מעבר לפרסום הרגיל שהכרנו עד כה, כדוגמת: עבודה לפי תנאים מבוססים Conditional Access או לחלופין שילוב יכולות SSO וכן הלאה.

מהו Azure AD Application Proxy

Azure AD Application Proxy מספק גישה מאובטחת באמצעות SSO לאפליקציות מקומיות, כגון: אפליקציות Web, אתרי SharePoint וכן הלאה. אפליקציות מקומיות אלה מבצעות אינטגרציה מול הענן ומאפשרות להשתמש עם אותם זהויות על גבי Azure AD.

Azure AD Application Proxy מביא עמו יכולות מתקדמות מעבר ליכולות הרגילות של Reverse Proxy ומאפשר את היכולות הבאות:

• פרסום אפליקציות On-Premise
• פרסום אפליקציות מבוססות Web (בין היתר form-based, header-based, Web APIs)
• הזדהות מבוססת Azure AD
• אפשרויות אוטנטיקציה שונות
• פוליסי מבוסס לפי תנאים (על בסיס Conditional Access)
• יכולות GEO Redundant מתקדמות (בין אתרים ובין שרתים מקומיים)

איך עובד Azure AD Application Proxy

כאשר עובדים עם Azure AD Application Proxy ישנם שני רכיבים עיקריים:

• קונקטור
• הגדרת גישה חיצונית

הקונקטור הינו agent שמוגדר בשרת המקומי ברשת הפנימית של הארגון ומאפשר גישה מתוך הפרוקסי בענן אל האפליקציה המקומית. חשוב מאד להדגיש כי התעבורה היחידה שנדרשת עבור הפתרון הוא תעבודה חיצונית מהשרת המקומי אל טווחי הכתובות של שירות Azure AD Application Proxy בלבד.

הקונקטור מבצע משיכה של אינפורמציה מתוך הענן במידת הצורך ולכן אינו מצריך פתיחה של פורטים אל תוך השרת המקומי.

נקודת גישה חיצונית למעשה מספקת למשתמשים את הגישה מכל מקום אל האפליקציה באמצעות חשיפה של רשומה וurl חיצוני וכאשר משתמש ניגש את האפליקציה הוא מבצע אוטנטיקציה על בסיס הפוליסי שהוגדר מראש אל השרת המקומי.

תהליך הגישה של משתמש אל שירות Azure AD Application Proxy נעשה באמצעות השלבים הבאים:

• משתמש ניגש לרשומה או אתר אשר מוגדר מול Azure AD Application Proxy
• אותו משתמש מקבל דף לוגין ומבצע הזדהות מול Azure AD בהתאם לפוליסי הארגוני
• לאחר לוגין מוצלח נוצר token ונשלח אל המשתמש
• המשתמש שולח בחזרה את הטוקן אל שירות Azure AD Application Proxy
• במידה וישנם תנאים נוספים הם חלים על המשתמש
• הקונקטור שולח את הבקשה אל השרת המקומי ולאחר מכן המתשמש מקבל גישה אל האפליקציה

מעבר משירות Reverse Proxy אל Azure AD Application Proxy

כאשר בוחנים מעבר של שירות Reverse Proxy כלשהוא אל Azure AD Application Proxy  צריך לקחת בחישוב מספר מאפיינים ואפשרויות:

• מהן יכולות הזדהות שאנו צריכים בשירות (Preauthentication and single sign-on)
• גישה מבוססת Certificate לאפליקציות
• גישה מבוססת Conditional Access מול האפליקציות
• האם ישנו תצורת ADFS קיימת
• סוגי אפליקציות שניתנות לפרסום

בהשוואה אל שירותי Reverse Proxy שונים שירות Azure AD Application Proxy מביא עמו בשורה חדשה באופן שהוא עובד וביכלות החדשות שהוא מספק.

כאשר מתכננים מעבר מתוך שירות קיים חייבים לקחת בחשבון את כל אותם אפליקציות Web שאנו מפרסמים ולבצע מיפוי, התהליך הוא לא תהליך מסובך כלל אך דורש תכנון מסודר של מעבר השירות בכדי לאפשר גישה רציפה אל כל אותן אפליקציות.

*במאמר הבא נתמקד באפשרויות פרסום השונות ודרכי הזדהות מול Azure AD Application Proxy