隨著威脅環境的增加和使用多個行動裝置,組織正在重新思考資源存取和治理。 現代化計畫的一部分包括評估身分識別、裝置、應用程式、基礎結構、網路和資料之間的整備程度。 您可以瞭解 零信任架構,以啟用遠端工作 和零信任評定工具。
在 Microsoft 和 F5,我們意識到您的數位轉型是一個長期旅程,潛在的關鍵資源會公開到現代化為止。 F5 BIG-IP 和 Microsoft Entra ID 安全混合式存取 (SHA) 的目標是改善對內部部署應用程式的遠端存取,並強化易受攻擊舊版服務的安全性狀態。
研究估計 60%-80% 的內部部署應用程式是繼承應用程式,或無法與 Microsoft Entra ID 整合。 同一項研究指出,在舊版 SAP、Oracle、SAGE 和其他重要服務的已知工作負載上執行的大量類似系統。
SHA 可讓組織繼續使用對 F5 網路和應用程式傳遞的投資。 使用 Microsoft Entra ID,SHA 會利用身分識別控制平面來橋接間距。
福利
當 Microsoft Entra ID 預先驗證 BIG-IP 已發佈服務的存取權時,有許多優點:
- 使用以下方式進行無密碼驗證:
其他優點包括:
- 管理身分識別和存取的一個控制平面
- 先占式條件式 存取
- Microsoft Entra 多重要素驗證
- 透過使用者和會話風險分析進行自適性保護
- 認證偵測外泄
- 自助式密碼重設 (SSPR)
- 受控來賓存取的權利管理
- 應用程式探索和控制
- 使用 Microsoft Sentinel 進行威脅監視和分析
案例描述
作為應用程式傳遞控制器(ADC)和安全通訊端層虛擬私人網路(SSL-VPN),BIG-IP 系統提供服務的本機和遠端存取,包括:
- 新式和舊版 Web 應用程式
- 非 Web 應用程式
- 具象狀態傳輸 (REST) 和簡單物件存取通訊協定 (SOAP) Web 應用程式開發介面 (API) 服務
BIG-IP 本機流量管理員 (LTM) 適用于安全服務發佈,而存取原則管理員 (APM) 會擴充 BIG-IP 函式,以啟用身分識別同盟和單一登入 (SSO)。
透過整合,您可以達成通訊協定轉換,以保護舊版或非 Azure AD 整合式服務,以及下列控制項:
在此案例中,BIG-IP 是反向 Proxy,可交出服務預先驗證和授權給 Microsoft Entra ID。 整合是以 APM 與 Microsoft Entra 識別碼之間的標準同盟信任為基礎。 此案例與 SHA 很常見。 深入瞭解: 設定 F5 BIG-IP SSL-VPN for Microsoft Entra SSO 。 使用 SHA,您可以保護安全性聲明標記語言 (SAML)、開放授權 (OAuth) 和 OpenID 連線 (OIDC) 資源。
⚠︎注意
當用於本機和遠端存取時,BIG-IP 可以是零信任服務存取的窒息點,包括軟體即服務 (SaaS) 應用程式。
下圖說明服務提供者 (SP) 起始流程中使用者、BIG-IP 和 Microsoft Entra ID 之間的前端預先驗證交換。 接著會顯示後續的 APM 會話擴充,以及 SSO 到個別後端服務。
- 在入口網站中,使用者選取應用程式圖示,解析 SAML SP 的 URL(BIG-IP)
- BIG-IP 會將使用者重新導向至 SAML 識別提供者(IdP)、Microsoft Entra ID,以進行預先驗證
- Microsoft Entra ID 會處理條件式存取原則和 會話控制項 以進行授權
- 使用者回到 BIG-IP,並呈現 Microsoft Entra ID 所發出的 SAML 宣告
- BIG-IP 要求 SSO 和 角色型存取控制 (RBAC) 的會話資訊 給已發佈的服務
- BIG-IP 會將用戶端要求轉送至後端服務
使用者體驗
無論是員工、聯盟或取用者,大部分的使用者都熟悉 Office 365 登入體驗。 存取 BIG-IP 服務很類似。
無論裝置或位置為何,使用者都可以在 我的應用程式 入口網站或 Microsoft 365 應用程式啟動器 中找到 其 BIG-IP 已發佈的服務。 使用者可以使用 BIG-IP Webtop 入口網站繼續存取已發佈的服務。 當使用者登出時,SHA 可確保 BIG-IP 和 Microsoft Entra 識別碼的會話終止,協助服務不受未經授權的存取保護。
使用者存取我的應用程式入口網站,以尋找 BIG-IP 已發佈的服務,以及管理其帳戶屬性。 請參閱下圖中的資源庫和自助頁面。
深入解析和分析
您可以監視已部署的 BIG-IP 實例,以確保已發行的服務在 SHA 層級且可運作上具有高可用性。
有數個選項可在本機記錄事件,或透過安全性資訊和事件管理 (SIEM) 解決方案從遠端記錄事件,以啟用儲存體和遙測處理。 若要監視 Microsoft Entra ID 和 SHA 活動,您可以搭配使用 Azure 監視器 和 Microsoft Sentinel :
- 組織概觀,可能跨多個雲端和內部部署位置,包括 BIG-IP 基礎結構
- 具有訊號檢視的一個控制平面,避免依賴複雜且不同的工具
整合必要條件
不需要先前的經驗或 F5 BIG-IP 知識才能實作 SHA,但建議您學習一些 F5 BIG-IP 術語。 請參閱 F5 服務 詞彙 。
將 F5 BIG-IP 與適用于 SHA 的 Microsoft Entra ID 整合具有下列必要條件:
- 在下列專案上執行的 F5 BIG-IP 實例:
- 實體設備
- Hypervisor 虛擬版本,例如 Microsoft Hyper-V、VMware ESXi、Linux KVM 和 Citrix Hypervisor
- 雲端虛擬版本,例如 Azure、VMware、KVM、Community Xen、MS Hyper-V、AWS、OpenStack 和 Google Cloud
⚠︎注意
BIG-IP 實例位置可以是內部部署或支援的雲端平臺,包括 Azure。 實例具有網際網路連線能力、正在發行的資源,以及 Active Directory 等任何服務。
- 作用中的 F5 BIG-IP APM 授權:
- F5 BIG-IP® 最佳套件組合
- F5 BIG-IP 存取原則管理員™獨立授權
- 現有 BIG-IP F5 BIG-IP® 本機流量管理員™的 F5 BIG-IP 存取原則管理員™ (APM) 附加元件授權
- 為期 90 天的 BIG-IP 存取原則管理員™ (APM) 試用授權
- Microsoft Entra ID 授權:
- Azure 免費帳戶 具有無密碼驗證的 SHA 最低核心需求
- 進階版訂用帳戶 具有 條件式存取 、 多重要素驗證 和 Identity Protection
設定案例
您可以使用範本型選項或手動設定來設定 SHA 的 BIG-IP。 下列教學課程提供實作 BIG-IP 和 Microsoft Entra ID 安全混合式存取的指引。
進階設定
進階方法是實作 SHA 的彈性方式。 您手動建立所有 BIG-IP 組態物件。 針對不在引導式組態範本中的案例,請使用此方法。
進階設定教學課程:
- Azure 部署逐步解說中的 F5 BIG-IP
- 使用 Microsoft Entra SHA 保護 F5 BIG-IP SSL-VPN
- 使用 F5 BIG-IP 擴充 Azure AD B2C 來保護應用程式
- F5 BIG-IP APM 和 Microsoft Entra SSO 至 Kerberos 應用程式
- F5 BIG-IP APM 和 Microsoft Entra SSO 至標頭型應用程式
- F5 BIG-IP APM 和 Microsoft Entra SSO 至表單型應用程式
引導式設定和簡易按鈕範本
BIG-IP 13.1 版引導式設定精靈,可將實作常見 BIG-IP 發佈案例的時間和精力降到最低。 其工作流程架構提供直覺式部署體驗,適用于特定存取拓撲。
引導式設定 16.x 版具有簡易按鈕功能:系統管理員不再在 Microsoft Entra ID 與 BIG-IP 之間來回切換,以啟用 SHA 的服務。 端對端部署和原則管理是由 APM 引導式設定精靈和 Microsoft Graph 處理。 BIG-IP APM 與 Microsoft Entra ID 之間的這項整合可確保應用程式支援身分識別同盟、SSO 和 Microsoft Entra 條件式存取,而不需要管理每個應用程式的額外負荷。
使用簡易按鈕範本的教學課程、 適用于 SSO 的 F5 BIG-IP Easy Button 來 :
Microsoft Entra B2B 來賓存取
Microsoft Entra B2B 來賓存取 SHA 保護的應用程式是可行的,但可能需要不需要教學課程中的步驟。 其中一個範例是 Kerberos SSO,當 BIG-IP 執行 kerberos 限制委派 (KCD) 以從網域控制站取得服務票證時。 如果沒有本機來賓使用者的本機標記法,網域控制站將無法接受要求,因為沒有任何使用者。 若要支援此案例,請確定外部身分識別會從您的 Microsoft Entra 租使用者流向應用程式所使用的目錄。
深入瞭解: 授與 Microsoft Entra ID 中 B2B 使用者對內部部署應用程式的存取權
下一步
您可以使用 BIG-IP 基礎結構或將 BIG-IP 虛擬版本 (VE) VM 部署至 Azure ,對 SHA 進行概念證明。 若要在 Azure 中部署 VM 大約需要 30 分鐘,您將擁有:
- 建立 SHA 試驗模型的安全平臺
- 測試新 BIG-IP 系統更新和 Hotfix 的生產階段前實例
識別要以 BIG-IP 發佈的一或兩個應用程式,並受到 SHA 保護。
我們建議從未透過 BIG-IP 發佈的應用程式開始。 此動作可避免生產服務的潛在中斷。 本文中的指導方針可協助您瞭解建立 BIG-IP 組態物件及設定 SHA 的程式。 然後,您可以最少地將 BIG-IP 已發佈的服務轉換為 SHA。
下列互動式指南說明如何使用範本和使用者體驗來實作 SHA。
文章來源:Microsoft