האם אתם זקוקים לשרותי Reverse Proxy ? האם עדיין יש לכם שרת TMG / UAG / ISA שכבר אינם נתמכים וזקוקים לפתרון ?

במאמר זה רונן מציג פתרונות שונים, מבוססי תשתיות מיקרוסופט, לחשיפת תשתיות Web לאינטרנט.

מאת | פורסם: | עודכן:

 

לרבים מלקוחותינו יש שרותי Reverse Proxy המפרסמים שרתי אינטרנט שונים ובעיקר שרותי Exchange וגם שרותי SharePoint לעולם.

שרות ה Proxy הנפוץ ביותר הינו Microsoft TMG (בעבר היה ISA) וכמו כן שרת Microsoft UAG הנפוץ בחברות גדולות ובתשתיות מורכבות.

שרת ה TMG / UAG כבר מזמן אינו נתמך ולקוחות רבים מחפשים פתרונות שונים אשר יתנו מענה לצורך לחשוף תשתיות Web לאינטרנט.

הפתרונות הקיימים היום בשוק מבוססים על סוגי פתרונות שונים ועל יצרנים שונים, בין הנפוצים F5 אשר נותן מענה מצוין למי שמצויה הפרוטה בכיסו ופתרונות רבים נוספים.

מיקרוסופט מציעה מספר חלופות לטובת יחצון שרותי אינטרנט דרך תשתית Reverse Proxy , חלקן בהתקנה מקומית וגם כפתרון ענן:

חלופה מספר 1 Azure AD Application Proxy

הפתרון הפשוט והטוב ביותר Azure AD Application Proxy, פתרון ענני מאובטח המוצע כשירות SaaS ואשר דורש הטמעה מינימלית.

פתרון זה שונה מכל פתרון אחר בכך שאין גישה כלל מהאינטרנט לשירות המפורסם לעולם, הפתרון מבטיח תשתית בטוחה ופתרון קל ופשוט.

הפתרון דורש קשר מסוים וסנכרון משתמשים מול Azure AD (קיים בברירת המחדל ללקוחות Office365) אך לא הרבה מעבר לכך.

בארגון מותקנים קונקטורים המקשרים את שרתי ה Web לשירות Azure AD Application Proxy.

משתמשים המגיעים לשירות הענני לא מועברים לשרת ה Web הארגוני אלא מקבלים את השירות ישירות מהשירות הענני, אשר מוזן על ידי מידע הנדחף מתוך הארגון.

בנוסף השירות תומך ב SSO – Single Sign On + תמיכה ב MFA – Multi Factor Authentication ותמיכה בפרסום שרתי Microsoft Terminal – RDS (Remote Desktop Services).

יתרונות נוספים של השירות:

ומה לגבי האבטחה? האם זה בטוח יותר? האם נדרש שירות הגנה כלשהו WAF (Web Application Firewall) להגן על שרות ה Web?

השירות עצמו כולל אבטחה מובנית והגנה נגד סוגי מתקפות רבים, גם המודל בו אין קשר בין לקוח הקצה לשירות מגביר את רמת האבטחה.

כאשר אני מנתח את הצורך של מרבית הלקוחות השירות בהחלט עונה על הצורך ונותן מענה טוב יותר מזה שהיה להם עד כה, כאשר הלקוח עובר הזדהות מול השירות ואז מקבל גישה אז הסיכוי להתקפות הינו מינימלי.

עם כל זאת לקוחות המארחים אתרי מסחר למיניהם ולקוחות המריצים מידע ציבורי רגיש רצוי שישתמשו במוצרים שונים העושים בדיקה ברמת האפליקציה ומגנים בפני התקפות ברמת היישום (Web Application Filters) לדוגמת SQL Injection, מוצרים מסוג זה ניתן לרכוש ולהוסיף כשירות ענני ואשר יהוו שכבת הגנה נוספת לפני הגישה לשירות.

ניתן לראות בתרשים את כוון התקשורת מתוך הארגון בצורה מאובטחת על גבי HTTPS החוצה ולא פנימה כפי שנהוג עד היום.

קישור לפוסט בנושא, מתוך Active Directory Team Blog:

https://blogs.technet.microsoft.com/ad/2015/10/14/the-azure-ad-app-proxy-just-keeps-getting-better-and-better/

 

חלופה מספר 2 Server 2012 ARR או Server 2012 WAP

פתרון זה הינו חלופה מקומית לשרת Reverse Proxy, השירות הינו חלק מהשירותים השונים אשר ניתן להתקין על Microsoft Windows Server 2012 R2. הפתרון אשר נקרא ARR - Application Request Routing

למעשה מדובר בשירות פשוט הניתן להתקנה והגדרה ומתפקד כשרת Reverse Proxy סטנדרטי אשר מותקן ב DMZ ואשר יכול לפרסם שירותי Web שונים לעולם.

פתרון זה מוצע ללקוחות הזקוקים לתשתית מקומית ואשר מעוניינים לשמר את הארכיטקטורה הקיימת כפי שהיא.

בצורה המורכבת יותר וכאשר יש דרישות אבטחה נוספות ניתן ליישם פתרון המבוסס Server 2012 WAP (Web Application Proxy) פתרון זה נותן מענה לאינטגרציה עם SSO מבוסס AD-FS ותמיכה ב Pre Authentication

קישור למאמר על ARR מתוך Microsoft TechNet

https://technet.microsoft.com/en-us/library/ee683905(v=ws.10).aspx

קישור למאמר על WAP מתוך Microsoft TechNet:

https://technet.microsoft.com/en-us/library/dn584107.aspx

רונן גבאי

אודות כותב המאמר

רונן גבאי - מייסד שותף, סמנכ"ל טכנולוגיות ו-Microsoft Office 365 P-Seller בחברת U-BTech Solutions

רונן הוא מומחה בינלאומי המביא איתו שנים של ידע ונסיון, גם כמרצה מוביל ו-CTO בג'ון ברייס מכללת הי-טק וגם כיועץ בכיר לחברות וארגונים. בעשור האחרון רונן מוביל את תחום ה-Ofice 365 בתור Microsoft P-Seller, מנהל את Exchange User Group ומוביל פרויקטים של הטמעות ואינטגרציה של Windows Server, Active Directory, Microsoft Exchange Server ופלטפורמות הענן של מיקרוסופט.

comments powered by Disqus