Si vos applications Web internes sont toujours accessibles sur Internet, il est temps d’arrêter de transformer votre pare-feu en fromage suisse uniquement pour externaliser les applications pour vos utilisateurs.
Les applications Web hébergées en interne peuvent être dangereuses pour la posture de cybersécurité d’une entreprise. Souvent, il ne s’agit pas de produits d’entreprise, ne bénéficient pas d’une maintenance régulière appropriée et ont été déployés selon le principe « configurez-le et oubliez-le ». L’accès de ces applications Web sur site est rarement surveillé et/ou soumis à des tests d’intrusion de manière régulière, voire pas du tout. Pour réduire la surface d’attaque, une méthode traditionnelle, comme un VPN, a sa place, mais Microsoft Entra Application Proxy est une autre méthode pour améliorer la sécurité, tout en proposant une approche plus efficace.
Qu’est-ce que le proxy d’application Microsoft Entra ?
Entra Application Proxy, anciennement Azure Active Directory Application Proxy, utilise Microsoft Entra ID, anciennement Azure AD, pour donner accès à une application Web sur site en proxy la demande d’accès via Entra ID.
Entra Application Proxy permet à toute personne utilisant l’Internet public (à partir de n’importe quel appareil et navigateur) d’utiliser l’authentification unique pour accéder à une application sans ouvrir de connexions entrantes dans le pare-feu de l’entreprise.
Aucun logiciel supplémentaire n’est requis pour être exécuté du côté de l’utilisateur. Une fois authentifié à l’invite de connexion du navigateur, l’utilisateur peut accéder à l’application. Si l’application a ses propres exigences d’authentification, l’utilisateur voit une invite au niveau de la couche application.
Vous pouvez sécuriser davantage l’accès en exigeant que les utilisateurs respectent des règles d’accès conditionnel, telles que limiter les connexions à certains pays par adresse IP, forcer l’authentification multifacteur ou limiter l’accès à un certain groupe Entra ID. Le fait de pointer ces stratégies vers des groupes vous permet de vérifier facilement qui a accès à l’application en vérifiant les utilisateurs qui font partie du groupe lié.
Quelles sont les raisons d’utiliser Entra Application Proxy au lieu d’un VPN ?
Historiquement, à mesure que de plus en plus de personnes travaillaient à distance et avaient besoin d’accéder à ces applications Web, l’étape logique suivante consistait à utiliser un VPN pour créer une connexion sécurisée sur Internet avec l’appareil distant comme s’il se trouvait sur le réseau interne.
La méthode VPN fonctionne mais présente ses propres problèmes, notamment des configurations complexes, telles que la gestion de l’aspect du tunnelage fractionné pour déterminer quelles données doivent passer par le réseau d’entreprise ou directement par Internet.
Un VPN introduit également des problèmes de bande passante et de latence. Par exemple, un utilisateur aux États-Unis qui essaie de travailler depuis l’Australie doit parcourir une longue distance pour que ses données puissent voyager dans les deux sens. Les points de terminaison VPN ont besoin de suffisamment de capacité disponible pour desservir tous les utilisateurs du VPN à leur maximum, sinon le décalage entraînera une mauvaise expérience pour l’utilisateur final. Il existe des considérations de sécurité sur la manière dont un utilisateur installe et se connecte au VPN, ainsi que sur la manière dont il empêche les parties malveillantes de faire de même.
L’utilisation d’Entra Application Proxy peut entraîner des économies potentielles en termes de licences et d’efforts administratifs si le passage à Entra Application Proxy entraîne la suppression de votre VPN.
Vous pouvez obtenir des rapports sur les connexions et l’utilisation de chaque application, qui peuvent ne pas être disponibles avec des alternatives à Entra Application Proxy. C’est une autre façon d’augmenter la sécurité en suivant le principe du moindre privilège.
Quels sont les prérequis du proxy d’application Microsoft Entra ?
Pour utiliser Entra Application Proxy, l’utilisateur a besoin d’un abonnement Microsoft Entra ID P1 ou P2 – anciennement Azure AD Premium P1 ou P2.
Microsoft regroupe Microsoft Entra ID P1 (le prix autonome est de 6 $ par utilisateur et par mois) dans les abonnements Microsoft 365 suivants : E3, F1, F3, Enterprise Mobility + Security E3 et Business Premium.
Microsoft regroupe Microsoft Entra ID P2 (le prix autonome est de 9 $ par utilisateur et par mois) dans les abonnements Microsoft 365 suivants : E5, E5 Security, Enterprise Mobility + Security E5, F5 Security et F5 Security + Compliance.
La licence couvre autant d’interfaces Web que nécessaire, mais il existe une limite de 500 transactions par seconde pour une seule application et de 750 transactions par seconde dans l’ensemble de l’organisation.
Vous devez également configurer Microsoft Entra ID avec accès à un compte d’administrateur d’application – ou à un compte avec un accès équivalent. Vous obtenez cette licence avec Entra ID.
Les exigences en matière de bande passante réseau varient en fonction de l’application Web sur site. Si vous n’avez pas de VPN et n’externalisez pas l’application, vous devez tenir compte des exigences maximales en matière de bande passante aux heures de pointe d’utilisation par les travailleurs à distance.
Comment configurer le proxy d’application Microsoft Entra ?
La configuration d’Entra Application Proxy ne nécessite que quelques étapes simples.
Tout d’abord, installez un connecteur Entra Application Proxy sur Windows Server 2012 R2 ou version ultérieure. À des fins de haute disponibilité, envisagez d’installer un deuxième connecteur Entra Application Proxy sur un autre serveur.
Le connecteur nécessite une connexion à un compte avec des privilèges élevés. Idéalement, ce serveur doit être proche sur le réseau du serveur qui héberge le front-end de l’application Web afin de réduire la latence. Le connecteur et l’application Web doivent se trouver dans le même AD ou dans plusieurs systèmes AD avec une approbation établie entre eux.
Vous devez ouvrir les ports standard 80 et 443 pour le trafic sortant.
Reportez-vous à la documentation de Microsoft pour connaître les autres exigences.
Après la configuration, l’état du connecteur apparaît dans le portail Microsoft Entra sous Identité > Applications > Applications d’entreprise > Proxy d’application.
Ensuite, ajoutez votre application Web sur site à Entra ID. Incluez des informations de configuration, telles que l’application sur le portail Entra ID avec des détails, y compris l’URL interne et l’URL externe permettant aux utilisateurs externes de trouver l’application. Vous disposez de plusieurs paramètres facultatifs liés aux délais d’attente des applications et aux paramètres de certificat pour personnaliser davantage le fonctionnement d’Entra Application Proxy.
Une fois terminé, un utilisateur saisit l’URL externe et s’authentifie avec Microsoft Entra ID. S’ils réussissent les contrôles d’accès conditionnel, ils accèdent à l’application Web interne de manière beaucoup plus sécurisée et contrôlée.
Adam Fowler est l’architecte principal de solutions pour un partenaire Microsoft avec plus de 20 ans d’expérience en informatique. Il connaît bien l’administration de systèmes, la cybersécurité, la gestion d’infrastructures et de projets ainsi que les services opérationnels. Fowler a travaillé en tant que directeur informatique et responsable de compte de réussite client chez Microsoft.