BLOG

Bereitstellung von Zero Trust mit Conditional Access und BIG-IP APM von Microsoft Azure Active Directory

F5 Miniaturansicht
F5
Veröffentlicht am 17. Mai 2021

Viele Mitarbeiter haben bereits vor der Pandemie von zu Hause, vom Café oder unterwegs über unternehmenseigene oder private Geräte auf Anwendungen und Datenressourcen zugegriffen. Heutzutage ermöglichen viele Unternehmen ihren Mitarbeitern, von überall aus zu arbeiten (WFA), um Pendelzeiten zu verkürzen, eine Work-Life-Balance zu ermöglichen und es ihnen zu ermöglichen, an einem beliebigen geografischen Standort zu arbeiten. Unternehmen setzen auf WFA, weil es durch die Konsolidierung oder sogar Schließung einiger physischer Standorte Kosten spart. Außerdem erkennen sie jetzt, dass ihre Mitarbeiter von überall aus produktiv sein können.

Zwar bietet WFA zweifellos Vorteile, doch dieser Trend erhöht auch den Druck auf Unternehmen, strengste Sicherheitsmaßnahmen für den Remote-Benutzerzugriff zu implementieren und gleichzeitig ein nahtloses Benutzererlebnis für den Anwendungs- und Datenzugriff zu gewährleisten. Darüber hinaus werden Anwendungen und der Zugriff darauf noch einige Zeit hybride Formen annehmen, wobei sich einige Apps in der öffentlichen Cloud befinden (beispielsweise native Cloud- oder SaaS-Apps) und andere Apps vor Ort, in einem Rechenzentrum oder in einer privaten Cloud. Dadurch wird der Anwendungszugriff für Benutzer und Organisationen wesentlich komplexer und deutlich schwieriger zu sichern. Darüber hinaus werden Unternehmen stärker unter Druck gesetzt, die versuchen, eine Zero-Trust-Architektur für alle ihre Anwendungen bereitzustellen, unabhängig davon, wo sich diese befinden.

Die meisten unternehmenskritischen Anwendungen – wie klassische und benutzerdefinierte Anwendungen – können nicht in die Cloud migriert werden. Klassische Anwendungen, wie sie beispielsweise von Oracle und SAP entwickelt wurden, sowie benutzerdefinierte Apps unterstützen moderne Authentifizierungsstandards und -protokolle wie SAML und OIDC in der Regel nicht oder können dies nicht. Auch die Unterstützung für Identity Federation und Single Sign-On (SSO) ist häufig nicht verfügbar. Viele können auch keine Multi-Faktor-Authentifizierung (MFA) unterstützen. Dies bedeutet, dass Ihr Unternehmen mehrere Punkte und Methoden der Benutzerauthentifizierung verwalten muss, während die Benutzer unterschiedliche Anmeldeinformationen und verschiedene Formen der Authentifizierung und des Zugriffs für unterschiedliche Anwendungen verwalten müssen. Dies führt zu einer komplizierten und verwirrenden Erfahrung für Mitarbeiter und Auftragnehmer, erhöht den Arbeitsaufwand für Ihre Administratoren und erhöht die Kosten für den IT-Support.

Organisationen müssen einen einfachen und sicheren Benutzerzugriff auf alle Anwendungen ermöglichen, unabhängig davon, wo diese gehostet werden. Dies verbessert das Benutzererlebnis unabhängig vom Standort der Benutzer und erleichtert gleichzeitig den Administratoren das Leben.

BIG-IP Access Policy Manager (APM) ist die sichere, hoch skalierbare Proxy-Lösung für das Zugriffsmanagement von F5, die eine zentralisierte globale Zugriffskontrolle für Benutzer, Geräte, Anwendungen und APIs ermöglicht. Microsoft Azure Active Directory (AD) ist die umfassende cloudbasierte Identitäts- und Zugriffsverwaltungsplattform von Microsoft.

Durch die Zusammenarbeit ermöglichen BIG-IP APM und Azure AD einen nahtlosen, sicheren Zugriff auf alle Anwendungen, unabhängig davon, wo sie gehostet werden – in der öffentlichen Cloud, als native Cloud- oder SaaS-Anwendungen, vor Ort, in einem Rechenzentrum oder in einer privaten Cloud. Die integrierte Lösung vereinfacht den Anwendungszugriff für Ihre Mitarbeiter, verbessert deren Erfahrung erheblich und reduziert gleichzeitig die Sicherheitsrisiken des Anwendungszugriffs für Ihr Unternehmen deutlich. Es ermöglicht Mitarbeitern den sicheren Zugriff auf alle autorisierten Anwendungen, unabhängig davon, ob diese Anwendungen moderne Authentifizierungsstandards und -protokolle oder klassische Authentifizierungsmethoden wie Kerberos oder headerbasierte Methoden unterstützen.

Mit der Version BIG-IP v16.1 erweitern BIG-IP APM und Microsoft Azure AD die Anwendungszugriffssicherheit durch die Integration der Azure AD Conditional Access-Funktionalität in die BIG-IP APM-Benutzeroberfläche.

Azure AD Conditional Access ist ein von Azure AD verwendetes Tool, um Signale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien durchzusetzen. Richtlinien sind in ihrer einfachsten Form „Wenn-Dann“-Anweisungen: Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er die festgelegten Richtlinien erfüllen bzw. einhalten. Durch die Verwendung von Richtlinien für bedingten Zugriff können Sie bei Bedarf die richtigen Zugriffskontrollen anwenden, um die Sicherheit Ihres Unternehmens zu gewährleisten.

Zu den allgemeinen Signalen, die Microsoft Azure AD Conditional Access bei einer Richtlinienentscheidung berücksichtigen kann, gehören:

  • Benutzer- oder Gruppenmitgliedschaft
  • IP-Standortinformationen
  • Geräteintegrität
  • Anwendungstyp
  • Benutzer- und Sitzungsrisiko

Auf der Grundlage dieser Signale wird dann entschieden, ob der Benutzerzugriff zugelassen, gewährt oder blockiert wird. Azure AD Conditional Access fungiert als Richtlinien-Engine, in der die Echtzeitauswertung erfolgt, und arbeitet zur Durchsetzung mit BIG-IP APM zusammen.

Unten können Sie den Screenshot dieser neuen Erfahrung sehen:

Durch diese neue Integration können BIG-IP APM und Azure AD:

  • Nutzen Sie eine einzige, benutzerfreundliche Oberfläche für Ihre Apps : Über die Access Guided Configuration (AGC) von BIG-IP APM können Administratoren über eine einzige Schnittstelle die Richtlinienkontrolle für alle Apps – einschließlich benutzerdefinierter Apps und klassischer Apps wie Oracle E-Business Suite (EBS), Oracle JD Edwards und SAP ERP – konfigurieren und verwalten und so den Einstieg erleichtern.
  • Geben Sie Ihren Benutzern die Möglichkeit, jederzeit und überall produktiv zu sein : Durch die Integration von Azure AD Conditional Access und BIG-IP APM können Benutzer einfach und nahtlos auf Cloud-basierte und benutzerdefinierte/klassische Apps zugreifen, wenn sie die von ihren Administratoren festgelegten Bedingungen erfüllen.
  • Zentralisieren Sie die Benutzerauthentifizierung : Administratoren müssen keine separaten Authentifizierungsmethoden für Cloud-basierte Apps und andere Methoden für klassische/benutzerdefinierte Anwendungen verwalten.
  • Schützen Sie die Vermögenswerte Ihres Unternehmens : Durch die Integration von Azure AD und BIG-IP APM können bei Bedarf zusätzliche geeignete Zugriffskontrollen angewendet werden, um die Sicherheit von Apps und Daten zu gewährleisten. BIG-IP APM geht beim Schutz sogar noch einen Schritt weiter, indem es den Benutzern Zugriff auf Basis einzelner App-Anfragen gewährt.

F5 und Microsoft werden weiterhin eine erstklassige integrierte Lösung für die Einführung und Anpassung von Zero Trust in allen Ihren Anwendungen bereitstellen, während F5 den Administratoren weiterhin die Tools zur Verfügung stellt, mit denen sie die Zugriffsverwaltung und -konfiguration für Ihre Apps erheblich vereinfachen können.

Weitere Einzelheiten zur gemeinsamen Lösung von BIG-IP APM und Microsoft Azure AD finden Sie hier .