Integración de F5 BIG-IP con Azure Active Directory

La proliferación de la movilidad y la constante evolución del panorama de amenazas está haciendo aumentar la vigilancia sobre el acceso a los recursos y la gobernanza, lo cual ha situado a Confianza cero al frente y en el centro de todos los programas de modernización. En Microsoft y F5, sabemos que esta transformación digital implica normalmente un recorrido de varios años para cualquier empresa, lo que puede significar que algunos recursos críticos queden expuestos hasta su modernización. La motivación detrás del acceso híbrido seguro de F5 BIG-IP y Azure Active Directory no solo pretende mejorar el acceso remoto a las aplicaciones locales, sino también reforzar la posición general de seguridad de estos servicios vulnerables.

A modo de contexto, la investigación estima que el 60-80 % de las aplicaciones locales son heredadas por naturaleza o, en otras palabras, que no se pueden integrar directamente con Azure Active Directory (AD). En el mismo estudio también se indica que una gran proporción de estos sistemas se ejecuta en versiones de nivel inferior de SAP, Oracle, SAGE y otras cargas de trabajo conocidas que proporcionan servicios críticos.

El acceso híbrido seguro se encarga de remediar este "punto débil", ya que permite que las organizaciones sigan usando sus inversiones en F5 para la entrega de aplicaciones y redes de nivel superior. En combinación con Azure AD permite enlazar el heterogéneo panorama de aplicaciones con el moderno plano de control de identidades.

Hacer que Azure AD realice una autenticación previa para el acceso a los servicios publicados de BIG-IP proporciona muchas ventajas:

Descripción del escenario

Como controlador de entrega de aplicaciones (ADC) y SSL-VPN, un sistema de BIG-IP proporciona acceso local y remoto a todos los tipos de servicios, entre los que se incluyen:

  • Aplicaciones web modernas y heredadas

  • Aplicaciones no basadas en web

  • Servicios REST y SOAP Web API

Local Traffic Manager (LTM) permite la publicación segura de servicios mediante la funcionalidad de proxy inverso. Al mismo tiempo, un sofisticado administrador de directivas de acceso (APM) amplía la instancia de BIG-IP con un conjunto de funcionalidades enriquecidas, lo que permite la federación y el inicio de sesión único (SSO).

La integración se basa en una confianza de federación estándar entre el APM y Azure AD que es común para la mayoría de los casos de uso de acceso híbrido seguro que incluye el escenario SSL-VPN. Los recursos de Lenguaje de marcado de aserción de seguridad (SAML), OAuth y Open ID Connect (OIDC) no son una excepción, ya que también estos se pueden proteger para el acceso remoto. También podría haber escenarios en los que una instancia de BIG-IP se convierta en un cuello de botella para el acceso de Confianza cero a todos los servicios, incluidas las aplicaciones SaaS.

Una ventaja de BIG-IP para su integración con Azure AD es la que permite la transición de protocolos necesaria para proteger los servicios heredados o no integrados de Azure AD con controles modernos como la ’ y el acceso condicional. En este escenario, una instancia de BIG-IP sigue cumpliendo su rol como proxy inverso, al tiempo que deja la autenticación previa y la autorización a Azure AD, que las realiza servicio a servicio.

Los pasos 1-4 del diagrama ilustran el intercambio de autenticación previa de front-end entre un usuario, una instancia de BIG-IP y Azure AD, en un flujo iniciado por el proveedor de servicios. Los pasos 5-6 muestran el enriquecimiento de la sesión de APM subsiguiente y el inicio de sesión único en los servicios back-end individuales.

Image shows the high level architecture

Paso Descripción
1. El usuario selecciona un icono de aplicación en el portal y resuelve la dirección URL en el proveedor de servicios de SAML (BIG-IP).
2. BIG-IP redirige al usuario a IDP de SAML (Azure AD) para la autenticación previa.
3. Azure AD procesa directivas de acceso condicional y controles de sesión para la autorización.
4. El usuario se redirige de nuevo a BIG-IP presentando las notificaciones de SAML que emite Azure AD.
5. BIG-IP solicita cualquier información de sesión adicional para incluirla en el inicio de sesión único y el control de acceso basado en rol (RBAC) del servicio publicado.
6. BIG-IP reenvía la solicitud del cliente al servicio back-end.

Experiencia del usuario

Tanto si se trata de un empleado directo, un afiliado o un consumidor, la mayoría de los usuarios ya están familiarizados con la experiencia de inicio de sesión de Office 365, por lo que el acceso a los servicios de BIG-IP a través del acceso híbrido seguro resulta muy familiar.

Ahora, los usuarios encuentran sus servicios publicados de BIG-IP consolidados en MyApps o las plataformas de lanzamiento de O365 junto con las funcionalidades de autoservicio para un conjunto más amplio de servicios, independientemente del tipo de dispositivo o ubicación. Los usuarios pueden incluso seguir accediendo a los servicios publicados directamente a través del portal de webtops propiedad de BIG-IP, si lo prefiere. Al cerrar la sesión, el acceso híbrido seguro garantiza que la sesión de los usuarios finaliza en ambos extremos, BIG-IP y Azure AD, lo cual garantiza que los servicios permanecen completamente protegidos frente a accesos no autorizados.

Las capturas de pantallas que se proporcionan proceden del portal de aplicaciones de Azure AD al que los usuarios pueden acceder de forma segura para encontrar sus servicios publicados de BIG-IP y administrar las propiedades de sus cuentas.

The screenshot shows woodgrove myapps gallery

The screenshot shows woodgrove myaccounts self-service page

Información y análisis

El rol de BIG-IP es fundamental para cualquier empresa, por lo que se deben supervisar las instancias de BIG-IP implementadas para garantizar que los servicios publicados tengan una alta disponibilidad, tanto en un nivel de acceso híbrido seguro como también en el nivel operativo.

Existen varias opciones para registrar eventos, ya sea de forma local o remota, mediante una solución de administración de eventos e información de seguridad (SIEM) que permite el almacenamiento y el procesamiento de datos de telemetría. Una solución muy eficaz para la supervisión de Azure AD y de actividades específicas del acceso híbrido seguro es usar Azure Monitor y Microsoft Sentinel que ofrecen lo siguiente:

  • Información general detallada de su organización, posiblemente en varias nubes, y en ubicaciones locales, como la infraestructura de BIG-IP.

  • Plano de control único que proporciona una vista combinada de todas las señales, evitando la dependencia de herramientas complejas y dispares.

The image shows monitoring flow

Requisitos previos

La integración de F5 BIG-IP con Azure AD para el acceso híbrido seguro tiene los siguientes requisitos previos:

  • Una instancia de F5 BIG-IP que se ejecute en cualquiera de las siguientes plataformas:

    • Dispositivo físico

    • Edición virtual de un hipervisor, como Microsoft Hyper-V, VMware ESXi, Linux KVM y Citrix Hypervisor

    • Edición virtual de la nube, como Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack y Google Cloud

      La ubicación real de una instancia de BIG-IP puede ser local o cualquier plataforma en la nube compatible, incluida Azure, siempre que tenga conectividad a Internet, recursos que se publican y otros servicios necesarios, como Active Directory.

  • Una licencia de F5 BIG-IP APM, a través de una de las siguientes opciones:

    • F5 BIG-IP® Best bundle (o)

      • Licencia independiente de F5 BIG-IP Access Policy Manager™

      • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente

      • Una ™ de 90 días de BIG-IP Access Policy Manager™ (APM)

  • Licencias de Azure AD mediante cualquiera de las siguientes opciones:

No se necesita experiencia ni conocimientos previos de F5 BIG-IP para implementar el acceso híbrido seguro, aunque es recomendable que se familiarice con la terminología de F5 BIG-IP. La ’ enriquecida de F5 también es un buen punto de partida para empezar a conocer BIG-IP.

Escenarios de implementación

La configuración de BIG-IP para SHA se logra mediante cualquiera de los muchos métodos disponibles, incluidas varias opciones basadas en plantillas o una configuración manual. En los siguientes tutoriales se proporcionan instrucciones detalladas sobre la implementación de algunos de los patrones más comunes para el acceso híbrido seguro con BIG-IP y Azure AD, con estos métodos.

Configuración avanzada

El enfoque avanzado proporciona una manera más elaborada, aunque flexible, de implementar el acceso híbrido seguro (SHA) mediante la creación manual de todos los objetos de configuración de BIG-IP. Usaría este enfoque para escenarios no cubiertos por las plantillas de configuración guiada.

Consulte las siguientes guías de configuración avanzada para ver los requisitos de integración:

Configuración guiada y plantillas de Easy Button

El Asistente para configuración guiada, disponible en la versión 13.1 de BIG-IP, pretende minimizar el tiempo y el esfuerzo de implementación de escenarios comunes de publicación de BIG-IP. Su marco basado en flujo de trabajo proporciona una experiencia de implementación intuitiva adaptada a topologías de acceso específicas.

La versión más reciente de la configuración guiada 16.1 ahora ofrece una característica Easy Button. Con Easy Button, los administradores ya no tienen que ir y venir entre Azure AD y BIG-IP para permitir servicios de SHA. La implementación de un extremo a otro y la administración de directivas se controlan directamente entre el asistente para configuración guiada de APM y Microsoft Graph. Esta completa integración entre BIG-IP APM y Azure AD garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Azure AD, sin la sobrecarga de administración que supone tener que hacerlo en cada aplicación.

Consulte las siguientes guías de configuración guiada mediante plantillas de Easy Button para sus requisitos de integración:

Recursos adicionales

Pasos siguientes

Considere la posibilidad de ejecutar una prueba de concepto del acceso híbrido seguro con la infraestructura de BIG-IP existente o mediante la implementación de una instancia de prueba. La implementación de una máquina virtual de BIG-IP Virtual Edition (VE) en Azure tarda aproximadamente 30 minutos. Cuando esta acabe, dispondrá de:

  • Una plataforma totalmente segura para modelar una prueba de concepto de acceso híbrido seguro

  • Una instancia de preproducción, una plataforma totalmente segura que se usará para probar nuevas revisiones y actualizaciones del sistema de BIG-IP.

Al mismo tiempo, debe identificar una o dos aplicaciones que se puedan usar como destino para la publicación a través de BIG-IP y que se puedan proteger con el acceso híbrido seguro.

Nuestra recomendación es comenzar con una aplicación que aún no se ha publicado mediante una instancia de BIG-IP para evitar posibles interrupciones en los servicios de producción. Las instrucciones que se mencionan en este artículo le ayudarán a familiarizarse con el procedimiento general para crear los distintos objetos de configuración de BIG-IP y configurar el acceso híbrido seguro. Una vez que haya finalizado, debería poder hacer lo mismo con cualquier otro servicio nuevo, además de tener suficientes conocimientos para convertir los servicios publicados de BIG-IP existentes en acceso híbrido seguro con un esfuerzo mínimo.

En la guía interactiva siguiente se describe el procedimiento de alto nivel para implementar el acceso híbrido seguro y ver la experiencia del usuario final.

The image shows interactive guide cover