Alex - stock.adobe.com
Entra Application Proxy: Zugriff auf Anwendungen absichern
Um eine sichere Verbindung zu lokalen Webanwendungen herzustellen, ist ein VPN eine Möglichkeit, aber Microsoft Entra Application Proxy ist die schlankere Alternative.
Intern gehostete webbasierte Anwendungen können für die Cybersicherheit eines Unternehmens gefährlich sein. Oft handelt es sich dabei nicht um Produkte für Unternehmen, sie werden nicht regelmäßig gewartet und wurden nach dem Motto Einmal einrichten und vergessen bereitgestellt. Der Zugriff auf diese lokalen Webanwendungen wird selten überwacht und/oder sie werden, wenn überhaupt, nur selten Penetrationstests unterzogen. Um die Angriffsfläche zu reduzieren, ist eine traditionelle Methode wie ein VPN sinnvoll, aber Microsoft Entra Application Proxy ist eine weitere Methode zur Verbesserung der Sicherheit, die gleichzeitig einen effizienteren Ansatz bietet.
Was ist Microsoft Entra Application Proxy ?
Der Entra Application Proxy, ehemals Azure Active Directory Application Proxy, verwendet die Microsoft Entra ID, ehemals Azure AD, um Zugriff auf eine lokale webbasierte Anwendung zu gewähren, indem die Zugriffsanfrage über die Entra ID weitergeleitet wird.
Der Entra Application Proxy ermöglicht es jedem über das öffentliche Internet – von jedem Gerät und Browser aus – die einmalige Anmeldung für den Zugriff auf eine Anwendung zu nutzen, ohne eingehende Verbindungen in der Unternehmens-Firewall zu öffnen.
Es ist keine zusätzliche Software auf der Benutzerseite erforderlich. Nach der Authentifizierung über eine Browser-Anmeldeaufforderung kann der Benutzer auf die Anwendung zugreifen. Wenn die Anwendung ihre eigenen Authentifizierungsanforderungen hat, sieht der Benutzer eine Aufforderung auf der Anwendungsebene.
Sie können den Zugriff weiter absichern, indem Sie von den Benutzern verlangen, dass sie bestimmte Zugriffsregeln erfüllen, wie zum Beispiel die Beschränkung von Verbindungen auf eine bestimmte Entra-ID-Gruppe. Durch die Anwendung dieser Richtlinien auf Gruppen können Sie auf einfache Weise überprüfen, wer Zugriff auf die Anwendung hat, indem Sie die Benutzer überprüfen, die der verknüpften Gruppe angehören.
Was sind die Gründe für den Einsatz von Entra Application Proxy anstelle eines VPN?
In der Vergangenheit war der nächste logische Schritt die Verwendung eines VPNs, um eine sichere Verbindung über das Internet zu dem entfernten Gerät herzustellen, als ob es sich im internen Netzwerk befände.
Die VPN-Methode funktioniert, birgt aber ihre eigenen Probleme, wie zum Beispiel die komplexe Einrichtung, bei der festgelegt werden muss, welche Daten durch das Unternehmensnetz und welche direkt ins Internet gehen soll.
Ein VPN führt auch zu Problemen mit der Bandbreite und der Latenzzeit. Ein Benutzer in den Vereinigten Staaten, der versucht, von Australien aus zu arbeiten, muss seine Daten über eine lange Strecke hin- und herschicken. Die VPN-Endpunkte müssen über eine ausreichende Kapazität verfügen, um alle VPN-Benutzer zu Spitzenzeiten bedienen zu können, andernfalls führt die Verzögerung zu einer schlechten Erfahrung für den Endbenutzer. Es gibt Sicherheitsüberlegungen, wie ein Benutzer das VPN installiert und sich dort anmeldet und wie er böswillige Parteien daran hindert, das gleiche zu tun.
Der Einsatz von Entra Application Proxy kann potenzielle Kosteneinsparungen sowohl bei der Lizenzierung als auch beim Verwaltungsaufwand mit sich bringen, wenn ein Wechsel zu Entra Application Proxy zur Deaktivierung des VPNs führt.
Sie können Berichte über die Logins und die Nutzung der einzelnen Anwendungen erhalten, was bei Alternativen zu Entra Application Proxy eventuell nicht möglich ist. Das ist eine weitere Option, die Sicherheit zu erhöhen, indem man dem Prinzip der geringsten Privilegien (POLP) folgt.
Was sind Voraussetzungen für Microsoft Entra Application Proxy?
Um Entra Application Proxy nutzen zu können, benötigt der Benutzer ein Abonnement von Microsoft Entra ID P1 oder P2 – früher Azure AD Premium P1 oder P2.
Microsoft bündelt Microsoft Entra ID P1 – der Einzelpreis beträgt 5,60 Euro pro Benutzer und Monat – in den folgenden Microsoft-365-Abonnements: E3, F1, F3, Enterprise Mobility + Security E3 und Business Premium.
Microsoft kombiniert Microsoft Entra ID P2 – der Einzelpreis beträgt 8,40 Euro pro Benutzer und Monat – in den folgenden Microsoft-365-Abonnements: E5, E5 Security, Enterprise Mobility + Security E5, F5 Security und F5 Security + Compliance.
Die Lizenzierung deckt so viele Webschnittstellen ab, wie Sie benötigen, aber es gibt ein Limit von 500 Transaktionen pro Sekunde für eine einzelne Anwendung und 750 Transaktionen pro Sekunde im gesamten Unternehmen.
Sie benötigen außerdem eine Microsoft Entra ID mit Zugriff auf ein Anwendungsadministratorkonto – oder ein Konto mit gleichwertigem Zugriff. Sie erhalten diese Lizenz mit Entra ID.
Die Anforderungen an die Netzwerkbandbreite variieren je nach der Webanwendung, die vor Ort eingesetzt wird. Wenn Sie kein VPN haben und die Anwendung nicht auslagern, sollten Sie sich Gedanken über die maximalen Bandbreitenanforderungen zu Spitzenzeiten der Nutzung durch Remote-Mitarbeiter machen.
Wie richtet man Microsoft Entra Application Proxy ein?
Die Konfiguration von Entra Application Proxy erfordert nur wenige einfache Schritte.
Installieren Sie zunächst einen Entra Application Proxy Connector auf Windows Server 2012 R2 oder neuer. Aus Gründen der Hochverfügbarkeit empfiehlt es sich, einen zweiten Entra Application Proxy Connector auf einem anderen Server zu installieren.
Der Connector erfordert eine Anmeldung bei einem Konto mit erhöhten Rechten. Idealerweise sollte sich dieser Server im Netzwerk in der Nähe des Servers befinden, auf dem sich das Frontend der Webanwendung befindet, um die Latenz zu verringern. Der Connector und die Webanwendung müssen sich im selben AD oder mehreren AD-Systemen befinden, zwischen denen eine Vertrauensstellung eingerichtet ist.
Sie müssen die Standardports 80 und 443 für den ausgehenden Datenverkehr öffnen.
Weitere Anforderungen finden Sie in der Dokumentation von Microsoft.
Nach der Konfiguration wird der Connector-Status im Microsoft Entra Portal unter Identität\Anwendungen\Unternehmensanwendungen\Anwendungsproxy (Identity\Applications\Enterprise applications\Application proxy) angezeigt.
Als nächstes fügen Sie Ihre lokale Webanwendung zu Entra ID hinzu. Fügen Sie Konfigurationsinformationen hinzu, wie zum Beispiel die Anwendung auf dem Entra-ID-Portal mit spezifischen Angaben, einschließlich der internen URL und der externen URL, damit externe Benutzer die Anwendung finden können. Sie haben mehrere optionale Einstellungen in Bezug auf Anwendungs-Timeouts und Zertifikatseinstellungen, um die Arbeitsweise von Entra Application Proxy weiter anzupassen.
Wenn der Vorgang abgeschlossen ist, gibt ein Benutzer die externe URL ein und authentifiziert sich mit der Microsoft Entra ID. Wenn er die Zugangsprüfungen besteht, erhält er Zugang zur internen Webanwendung auf eine viel sicherere und kontrollierte Weise.
