:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Lokale Webanwendungen ohne öffentliche IP bereitstellen Azure AD-Anwendungsproxy für die sichere Bereitstellung von WebApps
Beim Azure AD-Anwendungsproxy handelt es sich um einen Clouddienst, der es auch ermöglicht Reverse-Proxy-Funktionen für Webanwendungen bereitzustellen, die On-Premises laufen. Der dient dazu als zentrale Steuerzentrale.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
In vielen Unternehmen gibt es Webanwendungen, die On-Premises laufen und bei denen Anwender aus dem Internet auf die internen Dienste zugreifen sollen. Neben der Konfiguration der Firewall muss hier auch ein Rervese-Proxy zum Einsatz kommen, der die Zugriffe aus dem Internet auf diese Dienste steuert.
Das gilt parallel natürlich auch für Webdienste, die über Azure zur Verfügung gestellt werden. Azure AD-Anwendungsproxy kann ältere Webanwendungen genauso sicher im Internet bereitstellen und schützen, wie moderne WebApps On-Premises oder aus der Cloud. Auch mehrere Webanwendungen gleichzeitig sind kein Problem.
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962613/original.jpg "Azure AD Anwendungsproxy ist ein Feature von Azure AD und wird im Azure AD-Portal verwaltet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962614/original.jpg "Das Azure AD Admin Center bietet erweiterte Möglichkeiten für die Verwaltung der verschiedenen Azure-AD-Dienste.")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962615/original.jpg "Die Installationsdateien des Azure AD-Anwendungsproxy-Clients stehen direkt im Portal zur Verfügung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962616/original.jpg "Der Azure AD-Anwendungsproxy unterstützt auch SSO-Szenarien, zusammen mit Azure AD Connect.")
Auch On-Premises-Anwendungen profitieren vom Azure AD-Anwendungsproxy
Der Azure AD-Anwendungsproxy ist dazu in der Lage Anfragen aus dem Internet anzunehmen und an interne Server On-Premises weiterzuleiten. Dadurch werden Zugriffe sicherer und unkomplizierter möglich, da die Firewalls im Unternehmen nicht angepasst werden müssen. Die Kommunikation zwischen Clients, Azure AD-Anwendungsproxy und Webanwendungen laufen über Agenten, die auf den Zielservern installiert sind. Alle Zugriffe der Clients laufen daher über eine feste URL, inklusive Domäne, in Microsoft Azure.
Bei dem Connector des Azure AD-Anwendungsproxy handelt es sich um einen der zahlreichen Azure Hybrid-Agenten, die Funktionen aus Azure in lokale Rechenzentren bringen. Für nahezu alle dieser Agenten gilt, dass keinerlei Änderungen an den Firewalls im Unternehmen vorgenommen werden müssen, auch für den Connector des Azure AD-Anwendungsproxy.
Der Vorteil bei der Verwendung von Azure AD-Anwendungsproxy ist zunächst, dass die öffentliche IP-Adresse eines Unternehmens für eine Webanwendung nicht bereitgestellt und auch nicht öffentlich bekannt sein muss. Hier besteht die Gefahr von DoS-Attacken oder anderen Angriffen, die direkt auf die öffentliche IP-Adresse des Unternehmens zielen. Genau diese schützt der Azure AD-Anwendungsproxy.
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
Sicherheit in der Microsoft Cloud mit Azure AD Conditional Access
Authentifizierung mit Richtlinien in Azure AD und Microsoft 365 steuern
Schutz vor DDoS-Attacken und moderne Authentifizierungsmethoden für ältere Anwendungen
Azure AD-Anwendungsproxy bringt zusätzlich noch die Möglichkeit in lokale Netzwerke eine Anmeldung an Webanwendungen über Azure AD vorzunehmen. Die eigentliche Authentifizierung erfolgt direkt am Anwendungsproxy, der die Anfragen aus dem Internet über den Agenten auf dem Server ins lokale Rechenzentrum überträgt.
Die Verbindung zwischen den veröffentlichten Diensten im lokalen Rechenzentrum und Azure AD-Anwendungsproxy laufen über einen Connector, der auf den Servern installiert wird. Über diesen Connector erfolgt die komplette Kommunikation zwischen Azure AD-Anwendungsproxy, Client und veröffentlichter Webanwendung. Die öffentliche IP-Adresse des Unternehmens wird dazu genauso wenig benötigt, wie eine Anpassung der Firewall. Gleichzeitig profitieren Unternehmen davon, dass alle Zugriffe über den Anwendungsproxy laufen. Dieser ist zuverlässig vor Malware-Angriffen und DDoS-Attacken geschützt und routet die Zugriffe der Anwender zuverlässig weiter. Der komplette Datenverkehr läuft über den Connector zum Anwendungsproxy. Es gibt keine HTTP/HTTPS-Daten, die über die Firewall laufen.
Zugriff über eigene Internetdomäne
Die Webanwendungen werden über die Domäne "msappproxy.net" bereitgestellt. Die Anwender greifen mit der festgelegten URL des Webdienstes auf Azure zu und der Azure AD-Anwendungsproxy nimmt die Anfrage entgegen, authentifiziert den Benutzer über Azure AD und leitet bei erfolgreicher Authentifizierung die Anfrage an den Webdienst On-Premises oder in Azure weiter. Hier besteht auch die Möglichkeit mit Conditional Access in Azure AD zu arbeiten, also der Überprüfung, ob sich Benutzer am jeweiligen System basierend auf ihrem Aufenthaltsort und Zeit überhaupt anmelden dürfen.
Die Kommunikation erfolgt zwischen Connector auf dem internen Server und Microsoft Azure, die Anwender kommunizieren wiederum zwischen dem Internet und Azure AD-Anwendungsproxy. Wer sich umfassender mit der Einrichtung auseinandersetzen will, findet auf der Seite „Veröffentlichen von lokalen Apps für Remotebenutzer mit dem Azure AD-Anwendungsproxy“ ausführliche Informationen über die Microsoft-Dokumentation.
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947176/original.jpg "Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen. (Amgun - stock.adobe.com)")
Azure AD Identity Protection erklärt
Sicherheit für Benutzerkonten in Azure Active Directory
So funktionieren die Zugriffe von Anwendern über den Azure AD-Anwendungsproxy
Im ersten Schritt geben die Benutzer die URL ein, die für die Webanwendung hinterlegt ist. Das kann zum Beispiel "outlookjoos.msappproxy.net" sein. Der Anwendungsproxy leitet die Anfrage zur Authentifizierung an Azure AD weiter. Wenn sich der Benutzer an Azure AD erfolgreich angemeldet hat, bekommt er ein Anmeldetoken durch Azure AD.
Die Anmeldedaten gehen an den Azure AD-Anwendungsproxy, der diese prüft und bei erfolgreicher Anmeldung die Anforderung des Zugriffs von dem jeweiligen Benutzer an den Anwendungsproxy-Connector weiterleitet. Der Connector läuft auf einem internen Server im Netzwerk. Dabei kann es sich um den gleichen Server handeln, der auch die Webanwendung bereitstellt, es kann sich aber auch um einen anderen Server handeln.
Wenn die Authentifizierung mit SSO konfiguriert ist, authentifiziert der Connector den Anwender direkt an Active Directory. Ist kein SSO im Einsatz, muss sich der Benutzer für den Zugriff auf die Anwendung nochmal authentifizieren. In den meisten Umgebungen werden die Admins sicher mit der Active Directory-Synchronisierung zwischen AD und Azure AD arbeiten. In diesem Fall melden sich die Benutzer an Azure AD an und erhalten danach Zugriff auf die Webanwendung über den konfigurierten SSO-Zugang.
Nach der erfolgreichen Authentifizierung des Anwenders per SSO oder zusätzlicher manueller Authentifizierung an Active Directory, sendet der Connector die Anforderung des Anwenders an die Webanwendung im internen Netzwerk. Die Antwort der Webanwendung erfolgt jetzt über den Connector zum Anwender.
Praxistipps für den Einsatz des Azure AD-Anwendungsproxy
Damit der Connector auf einem Server installiert werden kann, muss sichergestellt sein, dass ein Registryschlüssel korrekt gesetzt ist, der die HTTP2-Protokollunterstützung für die Kerberos-Delegierung in WinHTTP steuert. Das geht über den folgenden Befehl in der PowerShell:
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0Auf dem Server, der den Connector für den Azure AD-Anwendungsproxy bereitstellt muss noch TLS 1.2 aktiviert sein. Microsoft empfiehlt an dieser Stelle die Anpassung eines Registryschlüssels:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]"DisabledByDefault"=dword:00000000"Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]"DisabledByDefault"=dword:00000000"Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934930/original.jpg "Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 geben wir in diesem Artikel und seiner Bildergalerie. (Rawf8 - stock.adobe.com)")
Ressourcenzugriff in Azure AD sichern - Hackerangriffe abwehren
Privileged Identity Management in Azure AD und Microsoft 365
Der Server, auf dem der Anwendungsproxy-Connector installiert ist, muss in der Lage sein, ausgehende Verbindungen zu den Ports 80 und 443 zu öffnen. Generell sollten die Verbindungen zum Connector nicht durch andere Dienste getrennt werden, sondern immer zwischen Connector-Server und Azure ablaufen.
Die Einrichtung des Azure AD-Anwendungsproxy erfolgt über die Verwaltung von Azure AD im Azure-Verwaltungsportal. Hier kann auch das Azure AD Admin Center zum Einsatz kommen, das über die URL https://aad.portal.azure.com erreicht wird. Die Installationsdateien für den Connector sind über die Schaltfläche "Connectordienst herunterladen" bei "Anwendungsproxy" im Azure AD Admin Center zu finden.
(ID:48299986)
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")