F5 BIG-IP'yi Microsoft Entra Id ile tümleştirme

Tehdit ortamındaki artışlar ve birden çok mobil cihaz kullanımıyla kuruluşlar kaynak erişimini ve idaresini yeniden düşünüyor. Modernleştirme programlarının bir bölümü kimlikler, cihazlar, uygulamalar, altyapı, ağ ve veriler arasında hazır olma durumunuzu değerlendirmeyi içerir. Uzaktan çalışmayı etkinleştirmek için Sıfır Güven çerçevesi ve Sıfır Güven Değerlendirme aracı hakkında bilgi edinebilirsiniz.

Dijital dönüşüm uzun vadeli bir yolculuk ve potansiyel olarak kritik kaynaklar modernleştirilinceye kadar ortaya çıkar. F5 BIG-IP ve Microsoft Entra ID güvenli karma erişiminin (SHA) amacı, şirket içi uygulamalara uzaktan erişimi geliştirmek ve savunmasız eski hizmetlerin güvenlik duruşunu güçlendirmektir.

Araştırma, şirket içi uygulamaların %60-80'inin eski olduğunu veya Microsoft Entra ID ile tümleştirilemeyecek durumda olduğunu tahmin ediyor. Aynı çalışma, benzer sistemlerin büyük bir kısmının SAP, Oracle, SAGE ve kritik hizmetler için diğer iyi bilinen iş yükleri üzerinde çalıştığını göstermektedir.

SHA, kuruluşların F5 ağı ve uygulama teslimi yatırımlarını kullanmaya devam etmelerini sağlar. Microsoft Entra Id ile SHA, kimliği kontrol düzlemi ile arayı kapatır.

Fayda -ları

Microsoft Entra ID, BIG-IP tarafından yayımlanan hizmetlere erişimi önceden doğruladığında birçok avantaj vardır:

Diğer avantajlar şunlardır:

Senaryo açıklaması

Bir Uygulama Teslim Denetleyicisi (ADC) ve güvenli yuva katmanı sanal özel ağı (SSL-VPN) olarak, BIG-IP sistemi aşağıdakiler dahil olmak üzere hizmetlere yerel ve uzaktan erişim sağlar:

  • Modern ve eski web uygulamaları
  • Web tabanlı olmayan uygulamalar
  • Temsili Durum Aktarımı (REST) ve Basit Nesne Erişim Protokolü (SOAP) Web uygulaması programlama arabirimi (API) hizmetleri

BIG-IP Local Traffic Manager (LTM), güvenli hizmet yayımlamaya yönelikken, Erişim İlkesi Yöneticisi (APM) kimlik federasyonu ve çoklu oturum açmayı (SSO) etkinleştiren BIG-IP işlevlerini genişletir.

Tümleştirme ile, aşağıdaki gibi denetimlerle eski veya diğer tümleşik hizmetlerin güvenliğini sağlamak için protokol geçişini elde edebilirsiniz:

Senaryoda BIG-IP, hizmet ön kimlik doğrulamasını ve Microsoft Entra Kimliği yetkilendirmesini devre dışı bırakabilen bir ters proxy'dir. Tümleştirme, APM ile Microsoft Entra Kimliği arasındaki standart federasyon güvenini temel alır. Bu senaryo SHA ile ortaktır. Daha fazla bilgi edinin: Microsoft Entra SSO için F5 BIG-IP SSL-VPN'i yapılandırma. SHA ile Güvenlik Onaylama İşaretleme Dili (SAML), Açık Yetkilendirme (OAuth) ve OpenID Connect (OIDC) kaynaklarının güvenliğini sağlayabilirsiniz.

Not

Yerel ve uzaktan erişim için kullanıldığında, BIG-IP hizmet olarak yazılım (SaaS) uygulamaları da dahil olmak üzere hizmetlere Sıfır Güven erişim için tıkanma noktası olabilir.

Aşağıdaki diyagramda, hizmet sağlayıcısı (SP) tarafından başlatılan bir akışta bir kullanıcı, BIG-IP ve Microsoft Entra Kimliği arasındaki ön uç ön kimlik doğrulama değişimi gösterilmektedir. Ardından sonraki APM oturum zenginleştirmesini ve tek tek arka uç hizmetlerine SSO'ları gösterir.

Tümleştirme mimarisi diyagramı.

  1. Kullanıcılar portalda bir uygulama simgesi seçerek SAML SP'nin URL'sini (BIG-IP) çözer
  2. BIG-IP, kullanıcıyı ön kimlik doğrulaması için SAML kimlik sağlayıcısına (IdP), Microsoft Entra Id'ye yönlendirir
  3. Microsoft Entra ID yetkilendirme için Koşullu Erişim ilkelerini ve oturum denetimlerini işler
  4. Kullanıcılar BIG-IP'ye döner ve Microsoft Entra Id tarafından verilen SAML taleplerini sunar
  5. BIG-IP, yayımlanan hizmete SSO ve rol tabanlı erişim denetimi (RBAC) için oturum bilgilerini ister
  6. BIG-IP, istemci isteğini arka uç hizmetine iletir

Kullanıcı deneyimi

Bir çalışan, bağlı kuruluş veya tüketici olsun, kullanıcıların çoğu Office 365 oturum açma deneyimini tanır. BIG-IP hizmetlerine erişmek benzerdir.

Kullanıcılar, cihaz veya konum fark etmeksizin big-IP ile yayımlanan hizmetlerini Uygulamalarım portalında veya self servis özelliklerine sahip Microsoft 365 uygulama başlatıcısında bulabilir. Kullanıcılar, BIG-IP Webtop portalıyla yayımlanan hizmetlere erişmeye devam edebilir. Kullanıcılar oturumu kapattığında SHA, BIG-IP ve Microsoft Entra Id için oturum sonlandırmayı güvence altına alır ve hizmetlerin yetkisiz erişime karşı korunmasına yardımcı olur.

Kullanıcılar, BÜYÜK IP ile yayımlanan hizmetleri bulmak ve hesap özelliklerini yönetmek için Uygulamalarım portalına erişebilir. Aşağıdaki grafikteki galeriye ve sayfaya bakın.

Uygulamalarımı woodgrove sayfasının ekran görüntüsü.

İçgörüler ve analizler

Dağıtılan BIG-IP örneklerini izleyerek yayımlanan hizmetlerin SHA düzeyinde ve operasyonel olarak yüksek oranda kullanılabilir olmasını sağlayabilirsiniz.

Olayları yerel olarak veya depolama ve telemetri işlemeye olanak tanıyan bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümü aracılığıyla uzaktan günlüğe kaydetmek için çeşitli seçenekler vardır. Microsoft Entra Id ve SHA etkinliğini izlemek için Azure İzleyici ve Microsoft Sentinel'i birlikte kullanabilirsiniz:

  • Big-IP altyapısı da dahil olmak üzere birden çok bulut ve şirket içi konumlar arasında olabilecek kuruluşunuza genel bakış

  • Karmaşık ve farklı araçlara dayanıklılıktan kaçınarak sinyallerin görünümüne sahip bir kontrol düzlemi

    İzleme akışının diyagramı.

Tümleştirme önkoşulları

SHA'yı uygulamak için önceki deneyim veya F5 BIG-IP bilgisi gerekli değildir, ancak bazı F5 BIG-IP terminolojisini öğrenmenizi öneririz. Bkz. F5 hizmeti Sözlüğü.

F5 BIG-IP'yi SHA için Microsoft Entra ID ile tümleştirmek aşağıdaki önkoşulları içerir:

  • Üzerinde çalışan bir F5 BIG-IP örneği:

    • Fiziksel alet
    • Microsoft Hyper-V, VMware ESXi, Linux çekirdek tabanlı sanal makine (KVM) ve Citrix Hypervisor gibi Hiper Yönetici Sanal Sürümü
    • Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack ve Google Cloud gibi Cloud Virtual Edition

    Not

    BIG-IP örneği konumu şirket içinde veya Azure dahil desteklenen bir bulut platformu olabilir. Örneğin İnternet bağlantısı, yayımlanan kaynaklar ve diğer hizmetleri vardır.

  • Etkin bir F5 BIG-IP APM lisansı:

    • F5 BIG-IP® En iyi paket
    • F5 BIG-IP Erişim İlkesi Yöneticisi™ tek başına lisansı
    • Mevcut BIR BIG-IP F5 BIG-IP Local Traffic Manager (LTM) üzerinde F5 BIG-IP® Erişim İlkesi Yöneticisi™™ (APM) eklenti lisansı
    • 90 günlük BIG-IP Erişim İlkesi Yöneticisi™ (APM) deneme lisansı
  • Microsoft Entra ID lisansı:

Yapılandırma senaryoları

ŞABLON tabanlı seçeneklerle VEYA el ile yapılandırmayla SHA için BIG-IP yapılandırabilirsiniz. Aşağıdaki öğreticilerde BIG-IP ve Microsoft Entra ID güvenli karma erişimi uygulama konusunda yönergeler verilmiştir.

Gelişmiş yapılandırma

Gelişmiş yaklaşım, SHA'yi uygulamak için esnek bir yoldur. Tüm BIG-IP yapılandırma nesnelerini el ile oluşturursunuz. Kılavuzlu yapılandırma şablonlarında bulunmayan senaryolar için bu yaklaşımı kullanın.

Gelişmiş yapılandırma öğreticileri:

Destekli Yapılandırma ve Kolay Düğme şablonları

BIG-IP sürüm 13.1 Destekli Yapılandırma sihirbazı, yaygın BIG-IP yayımlama senaryolarını uygulama süresini ve çabayı en aza indirir. İş akışı çerçevesi, belirli erişim topolojileri için sezgisel bir dağıtım deneyimi sağlar.

Destekli Yapılandırma sürüm 16.x, Kolay Düğme özelliğine sahiptir. Yöneticiler, SHA hizmetlerini etkinleştirmek için Microsoft Entra ID ile BIG-IP arasında gidip gelmez. APM Destekli Yapılandırma sihirbazı ve Microsoft Graph dağıtım ve ilke yönetimini işler. BIG-IP APM ve Microsoft Entra ID arasındaki bu tümleştirme, uygulamaların kimlik federasyonu, SSO ve Microsoft Entra Koşullu Erişim'i desteklemesini sağlar ve her uygulama için yönetim yükü olmadan bunu yapar.

Kolay Düğme şablonlarını kullanma öğreticileri, SSO için F5 BIG-IP Kolay Düğmesi:

Microsoft Entra B2B konuk erişimi

SHA korumalı uygulamalara Microsoft Entra B2B konuk erişimi mümkündür, ancak öğreticilerde olmayan adımları gerektirebilir. Bir big-IP etki alanı denetleyicilerinden hizmet bileti almak için kerberos kısıtlanmış temsili (KCD) gerçekleştirdiğinde kerberos SSO örneğidir. Yerel konuk kullanıcının yerel gösterimi olmadan, kullanıcı olmadığından etki alanı denetleyicisi isteği kabul etmez. Bu senaryoyu desteklemek için dış kimliklerin Microsoft Entra kiracınızdan uygulama tarafından kullanılan dizine akıtıldığından emin olun.

Daha fazla bilgi edinin: Microsoft Entra ID'deki B2B kullanıcılarına şirket içi uygulamalarınıza erişim verme

Sonraki adımlar

BIG-IP altyapınızı kullanarak veya Azure'a BIG-IP Virtual Edition sanal makinesi dağıtarak SHA için kavram kanıtı (POC) gerçekleştirebilirsiniz. Azure'da bir sanal makinenin (VM) dağıtılması yaklaşık 30 dakika sürer. Sonuç:

  • SHA için pilot model oluşturmak için güvenli bir platform
  • Yeni BIG-IP sistem güncelleştirmelerini ve düzeltmelerini test etmek için bir ön üretim örneği

BIG-IP ile yayımlanacak ve SHA ile korunacak bir veya iki uygulamayı belirleyin.

Önerimiz, BIG-IP aracılığıyla yayımlanmamış bir uygulamayla başlamaktır. Bu eylem, üretim hizmetlerinde olası kesintileri önler. Bu makaledeki yönergeler, BIG-IP yapılandırma nesneleri oluşturma ve SHA ayarlama yordamı hakkında bilgi edinmenize yardımcı olabilir. Daha sonra BIG-IP tarafından yayımlanan hizmetleri SHA'ya dönüştürebilirsiniz.

Kaynaklar