Säkerhetsöverväganden för fjärråtkomst till appar med Microsoft Entra-programproxy

Den här artikeln beskriver de komponenter som fungerar för att skydda dina användare och program när du använder Microsoft Entra-programproxy.

Följande diagram visar hur Microsoft Entra ID möjliggör säker fjärråtkomst till dina lokala program.

Säkerhetsfördelar

Microsoft Entra-programproxy erbjuder många säkerhetsfördelar. Listan över fördelar är:

• Autentiserad åtkomst
• Villkorlig åtkomst
• Trafikavslut
• All utgående åtkomst
• Analys i molnskala och maskininlärning
• Fjärråtkomst som en tjänst
• Tjänsten Microsoft Distributed Denial of Service (DDoS) skyddstjänst

Autentiserad åtkomst

Endast autentiserade anslutningar kan komma åt nätverket när du använder Microsoft Entra-förautentisering.

Microsoft Entra-programproxy förlitar sig på Microsoft Entra-tjänsten för säkerhetstoken (STS) för all autentisering. Förautentisering blockerar till sin natur ett stort antal anonyma attacker, eftersom endast autentiserade identiteter kan komma åt serverdelsprogrammet.

Om du väljer "Passthrough" som förautentiseringsmetod får du inte den här fördelen.

Villkorlig åtkomst

Tillämpa mer omfattande principkontroller innan anslutningar till nätverket upprättas.

Med villkorsstyrd åtkomst kan du definiera begränsningar för hur användare får åtkomst till dina program. Du kan skapa principer som begränsar inloggningar baserat på plats, styrka för autentisering och användarriskprofil.

Du kan också använda villkorsstyrd åtkomst för att konfigurera principer för multifaktorautentisering och lägga till ytterligare ett säkerhetslager i dina användarautentiseringar. Dessutom kan dina program även dirigeras till Microsoft Defender för molnet-appar via Microsoft Entra villkorlig åtkomst för att tillhandahålla övervakning och kontroller i realtid via åtkomst- och sessionsprinciper.

Trafikavslut

All trafik avslutas i molnet.

Eftersom Microsoft Entra-programproxy är en omvänd-proxy avslutas trafiken till bakgrundsapplikationer i tjänsten. Sessionen kan endast återupprättas med backend-servern, vilket innebär att backend-servrarna inte exponeras för direkt HTTP-trafik. Konfigurationen innebär att du är bättre skyddad mot riktade attacker.

All åtkomst är utgående

Du behöver inte öppna inkommande anslutningar till företagsnätverket.

Privata nätverksanslutningar använder endast utgående anslutningar till Microsoft Entra-programproxytjänsten. Du behöver inte öppna brandväggsportar för inkommande anslutningar. Traditionella proxyservrar kräver ett perimeternätverk (kallas även demilitariserad zon (DMZ) eller skärmat undernät) och ger åtkomst till oautentiserade anslutningar vid nätverksgränsen. Med programproxy behöver du inget perimeternätverk eftersom alla anslutningar är utgående och sker via en säker kanal.

Mer information om anslutningskontakter finns i Förstå Microsoft Entras privata nätverksanslutningskontakter.

Analys i molnskala och maskininlärning

Få det senaste säkerhetsskyddet.

Eftersom det är en del av Microsoft Entra-ID använder programproxyn Microsoft Entra ID Protection, med data från Microsoft Security Response Center och Digital Crimes Unit. Tillsammans identifierar vi proaktivt komprometterade konton och erbjuder skydd mot högriskinloggningar. Vi tar hänsyn till flera faktorer för att avgöra vilka inloggningsförsök som är hög risk. Dessa faktorer inkluderar att flagga infekterade enheter, anonymisera nätverk och atypiska eller osannolika platser.

Många av dessa rapporter och händelser är redan tillgängliga via ett API för integrering med dina SIEM-system (säkerhetsinformation och händelsehantering).

Fjärråtkomst som en tjänst

Du behöver inte bekymra dig om att underhålla och korrigera lokala servrar.

Oprogramvaruskyddad mjukvara står fortfarande för ett stort antal attacker. Microsoft Entra-programproxy är en internetbaserad tjänst som Microsoft äger, så du får alltid de senaste säkerhetskorrigeringarna och uppgraderingarna.

För att förbättra säkerheten för program som publiceras av Microsoft Entra-programproxyn blockerar vi robotar för webbkryptering från att indexera och arkivera dina program. Varje gång en webbrobot försöker hämta robotens inställningar för en publicerad app svarar programproxyn med en robots.txt fil som innehåller User-agent: * Disallow: /.

Tjänsten Microsoft Distributed Denial of Service (DDoS) skyddstjänst

Program som publiceras via programproxy skyddas mot DDoS-attacker (Distributed Denial of Service). Microsoft aktiverar automatiskt det här skyddet i alla datacenter. Microsoft DDoS-skyddstjänsten tillhandahåller ständig trafikövervakning och realtidsmildring av vanliga attacker på nätverksnivå.

Bakom kulisserna

Microsoft Entra-programproxy består av två delar:

• Den molnbaserade tjänsten: Den här tjänsten körs i Microsoft-molnet och är den plats där de externa klient-/användaranslutningarna upprättas.
• Den lokala anslutningsappen: En lokal komponent, anslutningsappen lyssnar efter begäranden från Microsoft Entra-programproxytjänsten och hanterar anslutningar till de interna programmen.

Ett flöde mellan anslutningsappen och programproxytjänsten upprättas när:

• Anslutningen ställs in först.
• Anslutningsappen hämtar konfigurationsinformation från programproxytjänsten.
• En användare får åtkomst till ett publicerat program.

Anslutningsappen använder ett klientcertifikat för att autentisera till programproxytjänsten för nästan alla anrop. Det enda undantaget till den här processen är det första installationssteget, där klientcertifikatet upprättas.

Installera kopplingen

När anslutningsappen först konfigureras sker följande flödeshändelser:

1. Registreringen av anslutningen till tjänsten sker som en del av installationen av anslutningen. Användarna uppmanas att ange sina autentiseringsuppgifter för Microsoft Entra-administratören. Den token som hämtas från den här autentiseringen visas sedan för Microsoft Entra-programproxytjänsten.
2. Programproxytjänsten utvärderar token. Den kontrollerar om användaren är minst Applikationsadministratör i klientorganisationen. Om användaren inte är inloggad avslutas processen.
3. Anslutningsappen genererar en klientcertifikatbegäran och skickar den, tillsammans med token, till programproxytjänsten. Tjänsten verifierar i sin tur token och signerar klientcertifikatbegäran.
4. Anslutningsappen använder klientcertifikatet för framtida kommunikation med programproxytjänsten.
5. Anslutningsappen utför en första hämtning av systemkonfigurationsdata från tjänsten med hjälp av sitt klientcertifikat och är nu redo att ta emot begäranden.

Uppdatera konfigurationsinställningarna

När programproxytjänsten uppdaterar konfigurationsinställningarna sker följande flödeshändelser:

1. Anslutningsappen ansluter till konfigurationsslutpunkten i programproxytjänsten med hjälp av dess klientcertifikat.
2. Klientcertifikatet valideras.
3. Programproxytjänsten returnerar konfigurationsdata till anslutningsappen (till exempel den anslutningsgrupp som anslutningsappen ska ingå i).
4. Anslutningsappen genererar en ny certifikatbegäran om det aktuella certifikatet är mer än 180 dagar gammalt.

Åtkomst till publicerade program

När användarna får åtkomst till ett publicerat program sker följande händelser mellan programproxytjänsten och den privata nätverksanslutningen:

1. Tjänsten autentiserar användaren för appen
2. Tjänsten placerar en begäran i anslutningskön
3. En anslutning bearbetar begäran från kön
4. Anslutningsappen väntar på ett svar
5. Tjänsten strömmar data till användaren

Om du vill veta mer om vad som händer i vart och ett av de här stegen fortsätter du att läsa.

1. Tjänsten autentiserar användaren för appen

Om programmet använder passthrough som förautentiseringsmetod hoppar stegen i det här avsnittet över.

Användare omdirigeras till Microsoft Entra STS för att autentisera om programmet har konfigurerats för att förautentisera med Microsoft Entra-ID. Följande steg utförs:

1. Applikationsproxy kontrollerar kraven för principen om villkorsstyrd åtkomst. Steget säkerställer att användaren tilldelas till programmet. Om tvåstegsverifiering krävs uppmanar autentiseringssekvensen användaren att ange en andra autentiseringsmetod.
2. Microsoft Entra STS utfärdar en signerad token för programmet och omdirigerar användaren tillbaka till programproxytjänsten.
3. Programproxy verifierar att token har utfärdats till rätt program, signerats och är giltigt.
4. Programproxy anger en krypterad autentiseringscookie för att indikera lyckad autentisering till programmet. Cookien innehåller en förfallotidsstämpel baserat på token från Microsoft Entra ID. Cookien innehåller även det användarnamn som autentiseringen baseras på. Cookien krypteras med en privat nyckel som endast är känd för programproxytjänsten.
5. Programproxy omdirigerar användaren tillbaka till den ursprungligen begärda URL:en.

Om någon del av förautentiseringsstegen misslyckas nekas användarens begäran och användaren visas ett meddelande som anger orsaken till problemet.

2. Tjänsten placerar en begäran i anslutningskön

Kontakter håller en utgående anslutning öppen till applikationsproxytjänsten. När en begäran kommer in, köar tjänsten begäran på en av de öppna anslutningarna för att anslutningen ska hämta den.

Begäran innehåller begärandehuvuden, data från den krypterade cookien, användaren som gör begäran och begärande-ID:t. Även om data från den krypterade cookien skickas med begäran, så är inte själva autentiseringscookien det.

3. Anslutningen bearbetar begäran från kö.

Baserat på begäran utför programproxyn någon av följande åtgärder:

• Om begäran är en enkel åtgärd (det finns till exempel inga data i brödtexten som med en RESTful API-begäran GET ) upprättar anslutningsappen en anslutning till den interna målresursen och väntar sedan på ett svar.

• Om begäran har data som är associerade med den i brödtexten (till exempel en RESTful API-åtgärd POST ) upprättar anslutningsappen en utgående anslutning med hjälp av klientcertifikatet till programproxyinstansen. Den här anslutningen gör att du kan begära data och öppna en anslutning till den interna resursen. När den har tagit emot begäran från anslutningsappen börjar programproxytjänsten ta emot innehåll från användaren och vidarebefordrar data till anslutningsappen. Anslutningsappen vidarebefordrar i sin tur data till den interna resursen.

4. Anslutningsappen väntar på ett svar.

När begäran och överföringen av allt innehåll till serverdelen har slutförts väntar anslutningsappen på ett svar.

När den har fått ett svar upprättar anslutningen en utgående anslutning till applikationsproxytjänsten för att returnera huvuddetaljerna och börja strömma returdata.

5. Tjänsten strömmar data till användaren. 

Viss bearbetning av programmet sker just nu. Till exempel översätter programproxy rubriker eller URL:er.

Nästa steg

• Nätverkstopologi för applikationsproxy
• privata nätverksanslutningar