Der Azure AD Application Proxy existiert bereits seit über 6 Jahren und ist noch immer sehr unbekannt in der IT-Welt. Das Produkt wurde bereits an der MS Ignite 2016 vorgestellt. Drei Jahre später wurde erneut an der Ignite 2019 die optimierte und weiterentwickelte Version des Azure AD Application Proxy vorgestellt. In diesem Blogartikel erhalten Sie eine Übersicht, weshalb es sich lohnt dieses Produkt genauer zu betrachten.
Funktion (zusammengefasst):
Durch den Azure AD Application Proxy wird der Remote Zugriff auf eine interne (On-Premises) Ressource gewährleistet und das ganze ohne VPN oder einer DMZ.
Was wird Unterstützt?
Webbasierte Applikationen (Integrated Windows authentication, Form-based oder header-based)
Web APIs (Web Application Programming Interfaces)
Anwendungen, die hinter einem Remote Desktop Gateway gehostet werden
Rich-Client-Anwendungen, die mit der Microsoft Authentication Library (MSAL) integriert sind
Was sind die wichtigsten Vorteile des Azure AD Applikation Proxy?
Keine DMZ benötigt
Da der Azure Application Proxy nur ausgehende Verbindungen zu dem Clouddienst (Azure AD Application Proxy Service) über den Port 443 (https) herstellt. Es werden keine eingehenden Verbindungen benötigt, dies bedeutet, dass keine Firewall Anpassungen und keine DMZ (demilitarisierte Zone) benötigt wird.
Sicherheitsaspekt (Preauthentification, MFA und Conditional Access)
Der aus meiner Sicht wichtigsten Vorteile ist, das Azure AD als Identitätsprovider verwendet wird. Dies bedeutet, dass man die Anwendungen mit MFA absichern kann, sogar wenn dies offiziell von der Anwendung nicht unterstützt wird. Zusätzlich kann die Sicherheit durch das verwenden von Conditional Access massiv erhöht werden. Dadurch kann man den Zugriff auf die interne Anwendung kontrollieren und regulieren.
Keine Public-IP benötigt
Es wird keine Public-IPs benötigt, da der Azure Applicaion Proxy Service direkt durch die Cloud von Microsoft bereitgestellt wird.
Azure DDoS protection
Anwendungen, welche durch den Azure Application Proxy veröffentlicht werden, sind vor DDoS-Angriffen (Distributed Denial of Service) geschützt. Der Azure-DDoS-Schutz bietet ständige Überwachung des Datenverkehrs und Abwehr gängiger Angriffe auf Netzwerkebene in Echtzeit.
Wie Funktioniert der Azure Application Proxy?
Der Azure Application Proxy verwendet einen lokalen Connector welcher installiert werden muss. Dieser stellt die Kommunikation zwischen dem Clouddienst und der lokalen Anwendung sicher. Aus dem Grund, dass der Connector nur eine ausgehende Verbindung aufbaut (On-Premises zu dem Clouddienst), müssen keine Anpassungen seitens Firewall oder das Verschieben des Servers in die DMZ (demilitarisierte Zone) vorgenommen werden. Je nach Anwendungsszenario können so kosten für eine Migration einer Anwendung in die DMZ gespart werden.
Was wird für den Betrieb eines Azure AD Application Proxy verwendet?
Damit man den Azure AD Application Proxy verwenden kann, benötigt man einen Microsoft Tenant. Dieser besitzt Ihr bereits falls ihr Office365 oder Azure im Einsatz habt. Zusätzlich braucht jeder, welcher die Funktion des Application Proxy verwenden möchte ein Azure AD Premium P1 oder P2 Lizenz.
Die Funktionen sind auch mit den folgenden Lizenzpackete abgedeckt:
Microsoft 365 E3, Microsoft 365 A3, Microsoft 365 F3, Microsoft 365 Buisness Premium und Enterprise Mobility + Security (EMS) E3.
Ausserdem ist Azure AD Premium P1 in Azure AD Premium P2 (AAD P2) inbegriffen, folgende Lizenzpackete enthalten AAP2: Microsoft 365 E5, Microsoft 365 A5 und Enterprise Mobility + Security (EMS) E5.
Falls ihr keines der benötigten Lizenzpacket besitzt kann Azure AD Premium P1 auch einzel erworben werden. https://azure.microsoft.com/de-de/pricing/details/active-directory/