Microsoftin Entra Application Proxy eli tuttavallisesti App Proxy julkaisee selainpohjaiset sovellukset paikallisesta ympäristöstä turvallisesti käyttöön. Palveluiden julkaisemiseen julkiverkkoon liittyy aina riskejä, joiden takia palveluiden julkaiseminen Virtual Private Network (VPN):n kautta on vakiintunut käytäntö. Tiesitkö, että nykyaikaisilla menetelmillä voi kuitenkin julkaista sovelluksia toimimaan ilman VPN-yhteyttä? Microsoftin Entra Application Proxy mahdollistaa HTTP-pohjaisten sovellusten julkaisemisen loppukäyttäjille ilman VPN-yhteyksiä tai sisäänpäin avattuja portteja. Mistä tarkemmin on kyse?
Toimintaperiaate
App Proxyn toimintaperiaate on yksinkertainen:
- Käyttäjä kirjautuu Entra ID:tä vasten
- Entra ID -autentikoinnilla lähetetään sovelluspyyntö App Proxyn pilvipalvelulle
- App Proxyn pilvipalvelu välittää sovelluspyynnön Windows Serverille asennetulle App Proxy Connectorille
- App Proxy Connector välittää sovelluspyynnön sovelluspalvelimelle
- Sovelluspalvelin käsittelee pyynnön ja lähettää vastauksen App Proxy Connectorille
- App Proxy Connector välittää saadun vastauksen App Proxyn pilvipalvelulle, joka toimittaa sen käyttäjälle
App Proxy mahdollistaa siis, että voimme julkaista HTTP-pohjaisia sovelluksia käyttäjille ilman, että avaamme palvelimelle avoimia yhteyksiä julkiverkosta siten, että käyttäjän pitää olla autentikoitunut Entra ID:hen, että yhteys sovelluspalvelimelle aukeaa. Kirjautumattomat käyttäjät eivät siis näe sovelluspalvelimen tuottamaa sisältöä ollenkaan ennen kuin käyttäjä on onnistuneesti autentikoitunut.
Käyttökokemus ja käytön hallinta
Miltä App Proxy näyttää käyttäjän näkökulmasta? Käyttökokemus natiivin ja App Proxyn välillä on melkein identtinen. App Proxyn erona on, että se pakottaa käyttäjän kirjautumaan Entra ID:lla ja sovelluksella on eri URL-osoite. App Proxyn generoiman julkisen osoitteen voi korvata käyttämällä itse valitsemaansa osoitetta käyttämällä CNAME-tietuetta.
App Proxy -sovelluksista tulee Enterprise Appeja Entra ID:lle, eli niissä on käyttöoikeushallinta Entra ID -ryhmien ja -käyttäjien kautta. App Proxy -sovellukset tukevat myös Conditional Access sääntöjä, eli kirjautumisen sovellukseen voi rajata esimerkiksi vain Microsoft Intuneen liitetyille laitteille tai sallia kirjautumisen vain tietystä IP-osoitteesta.
Sovellusten suojausta käyttöön?
Entra Application Proxy sisältyy huomattavan laajaan määrään Microsoft 365 -lisenssejä. App Proxy tarvitsee Entra ID P1 -lisenssin, eli esimerkiksi Business Premium, M365 E3, M365 F1 ja M365 F3 oikeuttaa käyttämään App Proxy -toimintoa ilman lisälisenssien hankkimista.
App Proxy -teknologia ei kuitenkaan rajoitu ainoastaan HTTP-pohjaisten sovellusten julkaisuun. Sama taustateknologia toimii osana Microsoftin Global Secure Access -ratkaisua, erityisesti Entra Private Access -palvelussa. Entra Private Access laajentaa App Proxyn tarjoamaa turvallista, identiteettipohjaista pääsyä myös sellaisiin sovelluksiin, jotka eivät ole HTTP-rajapinnan takana.
Toisin kuin perinteinen App Proxy, joka on suunniteltu erityisesti web-sovellusten julkaisemiseen, Entra Private Access mahdollistaa pääsyn kaikkiin sisäverkossa toimiviin sovelluksiin, jotka hyödyntävät TCP- tai UDP-protokollia. Tämä tarkoittaa, että myös esimerkiksi SMB, RDP-, SSH- ja tietokantayhteydet voidaan suojata ja julkaista ilman VPN-ratkaisuja tai palomuurin porttien avaamista julkiverkkoon.
Joskus se helpoin tapa toteuttaa voi olla edullisempaa, kuin uskotkaan. Tekniset ratkaisut saattavat olla toteutettavissa jo olemassa olevia lisenssejä entistä tehokkaammin hyödyntäen. Jos sinulla olisi oma ’consigliere’, nämäkin asiat saattaisivat olla sinulle selkeitä ja nopeammin saavutettavissa. Microsoft Solution Partner statuksemme Security -kategoriassa on merkki siitä, että olemme se oikea kumppani, kun etsit todellista osaamista tietohallintosi tueksi!