Azure AD Application Proxy

23 בנובמבר 2014

תגיות: , , ,
אין תגובות

אחת הדרכים המקובלת כיום לחשוף מערכות לאינטרנט היא ע"י Reverse Proxy, בדרך זו, רכיב הReverse Proxy מהווה את הנקודה הסופית אליה מגיעה בקשת המשתמש, משם והלאה מועברת הבקשה לשרתי האפליקציה ע"י ה Reverse Proxy בתקשורת פנימית מאובטחת. בדרך זו לא חושפים את השרתים האפליקטיביים לגישת משתמשים, מפחיתים את סיכוני אבטחת המידע ואף ניתן לבנות ארכיטקטורה מבוזרת שבה חלק מהשרתים נמצאים בDMZ וחלקם ברשת הארגונית המאובטחת.

לאורך השנים מיקרוסופט הציעה סדרת מוצרים ששימשו כReverse Proxy, פיתוח והתמיכה במוצרים רובם ככולם הופסקה והפונקציונליות הועברה לwindows 2012 R2 Web Application Proxy ,השירות ניתן כחלק ממערכת ההפעלה של מיקרוסופט לשרתים שאף ממשיך לגרסה חדשה במערכת ההפעלה החדשה לשרתים שנחשפה לאחרונה.

שימוש בReverse Proxy שנמצא ברשת הארגונית, מצריך בניית מערך DMZ שעלותו יקרה ומורכבת, במרבית המקרים משוכפלת סביבת האפליקציה ברשת הפנימית לרשת הDMZ מתוך רצון ליצור הפרדה פיזית שתמנע גישה של משתמשים לרשת הפנימית בזמן גלישה לאפליקציה.

כחלק מקשת פתרונות הענן של מיקרוסופט Azure, מוצע היום Application proxy בAzure כחלק מ Azure active directory premium וניתן כיום לצרוך שירות Reverse proxy מהענן.

השירות מבוסס על יכולות windows 2012 R2 Web Application Proxy ובשילוב התקנת Microsoft AAD Application Proxy Connector על שרתי ה backend ברשת הארגונית ליצירת תקשורת מאובטחת לAzure.

שימוש בReverse Proxy המבוסס Azure, מביא את המשתמשים לגלישה לAzure ומשם מתבצעת העברה מאובטחת של הבקשה לשרת האפליקציה בארגון, גישה זו מרחיקה את הגולשים מסביבת הרשת הארגונית, המשתמשים נחשפים רק לגישה לשירות בAzure ובכך מיתרת את הצורך בתחזוקה ותפעול של מערך DMZ, בכך שימוש ב Azure AD Application proxy מביא לחסכון גדול בעלויות פרויקט.

בAzure AD Application Proxy ניתן לפרסם בצורה קלה ויעילה אתרי SharePoint, IIS, Outlook Web Access ועוד.

הפעלת Web Application Proxy ב פורטל הAzure, כניסה לחלון ההגדרות של הAzure Active Directory הרצוי:

1

הגדרת Connection לאפליקציה ברשת הארגונית, כניסה להגדרות Applications ולחיצה על ADD :

1

בחירה בPublish an Application that will… :

1

מתן שם לחיבור:

1

הגדרת כתובת חיצונית לשירות והפניה לכתובת הפנימית ברשת הארגונית:

1

ובסיום ההגדרה, הפניה להפעלת השירות, הגדרות ולהורדת הConnector להתקנה על השרתים ברשת הארגונית:

1

בהצלחה!

clip_image002הפוסט נכתב ע"י איציק צלף, יועץ בקבוצת היועצים של מיקרוסופט (MCS )

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *