Bereitstellung von Zero Trust mit Conditional Access und BIG-IP APM von Microsoft Azure Active Directory

Bereits vor der Pandemie griffen viele Mitarbeiter von zu Hause, aus Cafés oder unterwegs mit Unternehmens- oder Privatgeräten auf Anwendungen und Datenressourcen zu. Heute ermöglichen viele Unternehmen ihren Mitarbeitern, überall zu arbeiten (WFA), um Pendelzeiten zu reduzieren, die Work-Life-Balance zu verbessern und ihnen geografisch freie Wohnorte zu erlauben. Unternehmen fördern WFA, weil es Kosten spart, indem sie einige Standorte konsolidieren oder schließen. Zudem erkennen sie, dass ihre Mitarbeiter von jedem Ort aus produktiv sein können.

Zwar bietet WFA zweifellos Vorteile, doch dieser Trend erhöht auch den Druck auf Unternehmen, strengste Sicherheitsmaßnahmen für den Remote-Benutzerzugriff zu implementieren und gleichzeitig ein nahtloses Benutzererlebnis für den Anwendungs- und Datenzugriff zu gewährleisten. Darüber hinaus werden Anwendungen und der Zugriff darauf noch einige Zeit hybride Formen annehmen, wobei sich einige Apps in der öffentlichen Cloud befinden (beispielsweise native Cloud- oder SaaS-Apps) und andere Apps vor Ort, in einem Rechenzentrum oder in einer privaten Cloud. Dadurch wird der Anwendungszugriff für Benutzer und Organisationen wesentlich komplexer und deutlich schwieriger zu sichern. Darüber hinaus werden Unternehmen stärker unter Druck gesetzt, die versuchen, eine Zero-Trust-Architektur für alle ihre Anwendungen bereitzustellen, unabhängig davon, wo sich diese befinden.

Die meisten unternehmenskritischen Anwendungen – wie klassische und benutzerdefinierte Anwendungen – können nicht in die Cloud migriert werden. Klassische Anwendungen, wie sie beispielsweise von Oracle und SAP entwickelt wurden, sowie benutzerdefinierte Apps unterstützen moderne Authentifizierungsstandards und -protokolle wie SAML und OIDC in der Regel nicht oder können dies nicht. Auch die Unterstützung für Identity Federation und Single Sign-On (SSO) ist häufig nicht verfügbar. Viele können auch keine Multi-Faktor-Authentifizierung (MFA) unterstützen. Dies bedeutet, dass Ihr Unternehmen mehrere Punkte und Methoden der Benutzerauthentifizierung verwalten muss, während die Benutzer unterschiedliche Anmeldeinformationen und verschiedene Formen der Authentifizierung und des Zugriffs für unterschiedliche Anwendungen verwalten müssen. Dies führt zu einer komplizierten und verwirrenden Erfahrung für Mitarbeiter und Auftragnehmer, erhöht den Arbeitsaufwand für Ihre Administratoren und erhöht die Kosten für den IT-Support.

Organisationen müssen einen einfachen und sicheren Benutzerzugriff auf alle Anwendungen ermöglichen, unabhängig davon, wo diese gehostet werden. Dies verbessert das Benutzererlebnis unabhängig vom Standort der Benutzer und erleichtert gleichzeitig den Administratoren das Leben.

BIG-IP Access Policy Manager (APM) ist die sichere, hoch skalierbare Proxy-Lösung für das Zugriffsmanagement von F5, die eine zentralisierte globale Zugriffskontrolle für Benutzer, Geräte, Anwendungen und APIs ermöglicht. Microsoft Azure Active Directory (AD) ist die umfassende cloudbasierte Identitäts- und Zugriffsverwaltungsplattform von Microsoft.

Durch die Zusammenarbeit ermöglichen BIG-IP APM und Azure AD einen nahtlosen, sicheren Zugriff auf alle Anwendungen, unabhängig davon, wo sie gehostet werden – in der öffentlichen Cloud, als native Cloud- oder SaaS-Anwendungen, vor Ort, in einem Rechenzentrum oder in einer privaten Cloud. Die integrierte Lösung vereinfacht den Anwendungszugriff für Ihre Mitarbeiter, verbessert deren Erfahrung erheblich und reduziert gleichzeitig die Sicherheitsrisiken des Anwendungszugriffs für Ihr Unternehmen deutlich. Es ermöglicht Mitarbeitern den sicheren Zugriff auf alle autorisierten Anwendungen, unabhängig davon, ob diese Anwendungen moderne Authentifizierungsstandards und -protokolle oder klassische Authentifizierungsmethoden wie Kerberos oder headerbasierte Methoden unterstützen.

Mit der Version BIG-IP v16.1 erweitern BIG-IP APM und Microsoft Azure AD die Anwendungszugriffssicherheit durch die Integration der Azure AD Conditional Access-Funktionalität in die BIG-IP APM-Benutzeroberfläche.

Azure AD Conditional Access ist ein Werkzeug, das Azure AD nutzt, um Signale zu bündeln, Entscheidungen zu treffen und organisatorische Richtlinien durchzusetzen. Richtlinien sind im Kern „Wenn-Dann“-Anweisungen: Wenn ein Nutzer auf eine Ressource zugreifen möchte, muss er die definierten Richtlinien erfüllen. Mit Conditional Access Richtlinien setzen Sie gezielt passende Zugriffskontrollen ein und schützen so Ihre Organisation effektiv.

Zu den allgemeinen Signalen, die Microsoft Azure AD Conditional Access bei einer Richtlinienentscheidung berücksichtigen kann, gehören:

• Benutzer- oder Gruppenmitgliedschaft
• IP-Standortinformationen
• Geräteintegrität
• Anwendungstyp
• Benutzer- und Sitzungsrisiko

Auf der Grundlage dieser Signale wird dann entschieden, ob der Benutzerzugriff zugelassen, gewährt oder blockiert wird. Azure AD Conditional Access fungiert als Richtlinien-Engine, in der die Echtzeitauswertung erfolgt, und arbeitet zur Durchsetzung mit BIG-IP APM zusammen.

Unten können Sie den Screenshot dieser neuen Erfahrung sehen:

Durch diese neue Integration können BIG-IP APM und Azure AD:

• Nutzen Sie eine einzige, benutzerfreundliche Oberfläche für Ihre Apps : Über die Access Guided Configuration (AGC) von BIG-IP APM können Administratoren über eine einzige Schnittstelle die Richtlinienkontrolle für alle Apps – einschließlich benutzerdefinierter Apps und klassischer Apps wie Oracle E-Business Suite (EBS), Oracle JD Edwards und SAP ERP – konfigurieren und verwalten und so den Einstieg erleichtern.
• Geben Sie Ihren Benutzern die Möglichkeit, jederzeit und überall produktiv zu sein : Durch die Integration von Azure AD Conditional Access und BIG-IP APM können Benutzer einfach und nahtlos auf Cloud-basierte und benutzerdefinierte/klassische Apps zugreifen, wenn sie die von ihren Administratoren festgelegten Bedingungen erfüllen.
• Zentralisieren Sie die Benutzerauthentifizierung : Administratoren müssen keine separaten Authentifizierungsmethoden für Cloud-basierte Apps und andere Methoden für klassische/benutzerdefinierte Anwendungen verwalten.
• Schützen Sie die Vermögenswerte Ihres Unternehmens : Durch die Integration von Azure AD und BIG-IP APM können bei Bedarf zusätzliche geeignete Zugriffskontrollen angewendet werden, um die Sicherheit von Apps und Daten zu gewährleisten. BIG-IP APM geht beim Schutz sogar noch einen Schritt weiter, indem es den Benutzern Zugriff auf Basis einzelner App-Anfragen gewährt.

F5 und Microsoft werden weiterhin eine erstklassige integrierte Lösung für die Einführung und Anpassung von Zero Trust in allen Ihren Anwendungen bereitstellen, während F5 den Administratoren weiterhin die Tools zur Verfügung stellt, mit denen sie die Zugriffsverwaltung und -konfiguration für Ihre Apps erheblich vereinfachen können.

Weitere Einzelheiten zur gemeinsamen Lösung von BIG-IP APM und Microsoft Azure AD finden Sie hier .