Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, tipy a triky ze světa IT, jste tu správně. Najdete zde primárně články k produktům a službám Microsoftu, jako například operační systémy, servery, virtualizace, sítě, správa, ale také cloud. Občas přidám i nějaké další zajímavé články.

Listopad 2019
PoÚtStČtSoNe
« Říj  
 123
45678910
11121314151617
18192021222324
252627282930 

Rubriky


Conditional Access App Control v Azure AD

Lukáš BeranLukáš Beran

Azure AD spolu s Microsoft Cloud App Security povýší možnosti řízení přístupu ke cloudovým prostředkům na úplně jinou úroveň. Díky podmíněnému přístupu v Azure AD můžete určovat podmínky, za jakých uživatel dostane práva přístupu (nejen) ke cloudovým službám a aplikacím.

Jenže ve chvíli, kdy udělíte přístup, již nemůžete dál s tím nějak pracovat a nějak dál ten přístup omezit. Co když ale chcete povolit přístup do nějaké cloudové služby nebo aplikace, ale současně chcete omezit nějaké operace nebo nějak jinak zasahovat do aktivní session? Tohle standardně podmíněný přístup neumí, protože z principu fungování podmíněný přístup „nevidí“ do aktivních session.

Co je Microsoft Cloud App Security

Pojďme si ale nejprve říct, co je vlastně Microsoft Cloud App Security (MCAS). Microsoft Cloud App Security je CASD (Cloud App Security Discovery) / CASB řešení (Cloud App Security Broker). Je to tedy služba, která umí dělat jak detekci používaných aplikací a služeb (CASD), tak i aktivní zásah do komunikace s cloudovýmí aplikacemi a službami (CASB). Je to tedy služba, která umí jak sbírat, ukládat a analyzovat různé logy z cloudových služeb i onprem zařízení. Umí ale také aktivně zasahovat do komunikace díky tomu, že může fungovat jako reverzní proxy.

V rámci discovery části je MCAS schopný rozpoznat více než 16 000 cloudových aplikací nebo služeb, ke kterým jsou zpracovány detailní analýzy rizika.

Řízení přístupu přes Cloud App Security Broker

Díky tomu, že Microsoft Cloud App Security umí fungovat jako reverzní proxy, může zasahovat do aktivních session a řídit komunikaci. Díky tomu je možné blokovat různé typy akcí nebo operací v rámci v cloudových službách. A to i externích.

Conditional Access App Control využívá právě zmíněnou reverzní proxy v MCAS a integraci s podmíněným přístupem v Azure AD. Právě podmíněný přístup v Azure AD může pro některé uživatele nebo aplikace definovat, že přístup je možný pouze přes reverzní proxy v MCAS. Z pohledu koncového uživatele se to pak chová tím způsobem, že uživatel je automaticky po přihlášení přesměrován na reverzní proxy MCAS a přes tuto proxy teprve přistupuje do samotné cloudové aplikace.

Jak můžete ze screenshotů níže vidět, takhle vypadá přístup přes MCAS reverzní proxy. Nejprve po přihlášení je uživatel informován, že je přístup monitorován. Následně je uživatel přesměrován do samotné cloudové aplikace. Z URL je ale stále vidět, že přístup je přes reverzní proxy MCAS – adresa končí doménou cas.ms, takže například webový Outlook v rámci Office 365 nemá standardní adresu outlook.office.com, ale v tuto chvíli používá adresu outlook.office.com.cas.ms. Jinak je to ale běžný Outlook, jen je provoz směrován přes MCAS reverzní proxy.

Tato reverzní proxy nám umožňuje kontrolu a řízení přístupu v reálném čase. Díky tomu můžeme například zabránit stahování citlivých dat do nedůvěryhodných počítačů, chránit soubory při stahování, zabránit upload souborů, monitorovat přímo jednotlivé akce v rámci aktivní session a další.

Podporované aplikace a klienti

Session control funguje ve všech moderních webových prohlížečích na všech platformách – vyžadována je pouze podpora TLS 1.2. Výhodou je, že není potřeba žádná dodatečná instalace software – reverzní proxy je čistě cloudová a běží jako SaaS aplikace v rámci Microsoft Cloud App Security. Provoz do této proxy je přesměrován díky podmíněnému přístup v Azure AD. Díky tomu je nasazení triviální bez nutnosti další instalací nebo konfigurací.

V rámci cloudových služeb a aplikací, každá aplikace využívající SAML nebo Open ID Connect může být integrována s reverzní proxy v MCAS. Mnoho aplikací je již předkonfigurovaných, ale můžete si integrovat i libovolné vlastní aplikace.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.