Hei,

Pole mõnda aega juba kirjutada saanud ning näpud juba sügelevad! Detsember on olnud tormiline kuu ning põhiaur on läinud erinevate projektide peale, milleüle on mul samuti väga hea meel. Loodan tulevikus rohkem ka blogile aega leida!

Selles postituses tahaksin ma rääkida Azure Application Proxy´st ning sellest kui lihtne ja samas kasulik lahendus (nimetame seda lahenduseks)  see on. Enda keskkonnas on meil käimas tulemüüri vahetus ning sellega seoses teostatakse hulganisti müürireegleid ning seadistatakse VPN õiguseid ning ligipääse. Kuidas seda aga lihtsamini lahendada? Siinkohal aitabki mööndustega Azure Application Proxy. Miks ma ütlen mööndustega on sellepärast, et Azure Application Proxy ei asenda kindlasti VPN´i, kuid väga paljudes asutustes võib ta kokku hoida suure hulga raha VPN klientide litsentside pealt või näiteks väga paljudes asutustes ei olegi rohkem vaja kui Azure Application Proxy pakkuda suudab.

Azure Application Proxy on nagu nimestki näha Microsofti Azure AD üks pilveteenustest. Azure Application Proxy eesmärk on võimaldada publitseerida enda asutuse sisemiseid veebirakendusi üle interneti maailmale ning seda kõike äärmiselt turvalisel moel. Ja see pole veel kõik! Suurim võit on minuarust just see, mida Azure sisemise rakenduse kaitsmiseks pakub

1. Azure AD (AAD) Autentimine
2. Conditional Access
   1. Multi Factor Authentication (MFA)
   2. IP piirangud
   3. Seadme platvorm või asukoht
   4. jne
3. Single-Sign-On (SSO)

Kõik see kokku annab väga võimeka turvalisuse Teie sisemise rakenduse kaitseks. Ja seda ongi vaja – lihtsust, turvalisust ning paindlikkust.

Kuidas süsteem täpsemalt toimib?

Eelnõuded:

• Vajalik on Azure AD Tenanti olemasolu
• Vajalik on sisemise rakenduse olemasolu, mida soovid välja publitseerida
• Azure Application Proxy server (piisab ühest serverist, kuid keerukamate lahenduste jaoks ning vastavalt teenuse kriitilisusele võib neid rohkem vaja minna). Võib olla ka rakendusega samas masinas, kuid ei pea olema
• HTTP(80)/HTTPS(443) port lubatud Azure Application Proxy pealt välja ja HTTPS(443) port sisse ning HTTPS/HTTP (olenevalt kas sisemine rakendus on SSL või mitte) port Azure Applicayion Proxy ja sisemise rakenduse serveri vahel
  • Vanema  kliendiga kui (1.5.132.0) oli tarvis avada terve rodu porte (80, 443, 5671, 8080, 9090-9091, 9350, 9352, 10100–10120), kuid uues kliendis on nad suutnud kogu liikluse viia HTTPS pordi peale, mis on väga mugav! Porti 80 on tarvis ainult sertifikaadi CRL´i tuvastamiseks. Tööriista millega tuvastada vajalike portide lahtioleku leiab siit: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-enable

Lahenduse paigaldamisest räägime mõnes teises postituses, kuid lühidalt võin ette ära öelda, et see on äärmiselt lihtne.

Azure SaaS mille osa on ka Azure Application Proxy on võimeline lisaks sisemiste rakenduste välja publitseerimisele koondama kokku ka teisi kolmanda partei pilverakendusi. Näiteks Facebook, Twitter jne. See annab väga paindliku halduse olukorras kus erinevad inimesed peavad ettevõtte sotsiaalmeedia võrgustikule või mõnele muule pilverakendusele ligi pääsema. Säärasel juhul on võimalik kasutajaõiguseid anda üle Azure AD ning samalihtsalt neid kasutajatelt ka ära võtta (juhul kui töötaja lahkub töölt). Ei ole tarvis jagada ühte Facebooki kontot kõikide töötajatega lootuses, et see rändama ei lähe ning keegi mõne sigadusega hakkama ei saa!

Sellega võtaksin ma selle postituse kokku ning julgustaksin kindlasti antud lahendus proovima. Eriti on sellest kasu nendele asutustele, kellel on palju veebirakendusi ning neile soovitakse asutuseväliselt ligi pääseda.