Azure Application Proxy

Azure Application Proxy

Web uygulamalarınızı; port yönlendirme, dmz bölgesinde yapılandırma, vpn çözümlerini uygulama vb. adımları uygulamadan Internet’ten erişilebilir kılmak için bir çözüm arıyorsanız Azure Application Proxy servisini inceleyebilirsiniz.  Araştırmam sonrasındaki düşüncelerimi paylaşayım.

İlk etapta göze çarpan özellikleri:

  • Reverse Proxy, VPN, DMZ vb. ek yapılandırmalara gerek kalmıyor.

  • Outlook Web Access, Sharepoint veya diğer line of business uygulamalarınız ile entegre olabiliyor.

  • Authorization kontrolü gibi önemli güvenlik alanlarında zengin özellikler sunuyor.

  • Single Sign On, Pass through authentication seçimlerini sunuyor.

  • Integrated windows authentication veya form based authentication kullanan uygulamalarınız ile entegre olabiliyor.

  • Remote desktop gateway arkasından sunulan uygulamalar ile entegre olabiliyor.

 

Servisin yapılandırması nasıl? 

Öncelikle geçerli bir MS Azure ve Azure AD Premium aboneliği gerekiyor. Yapılandırma adımlarını ilgili öğeleri farklı renk ile belirterek aktarayım.

 

Application Proxy bölümünden connector yazılımını temin ediyoruz. Connector, Internet’ten erişilebilir kılmak istediğimiz uygulama sunucusuna yükleyeceğimiz küçük boyutlu bir yazılımdır. Connector yazılımı Azure AD API’ları ile sunucu arasındaki iletişimi sağlıyor.

 

 

İletişimin sağlanması için connector’ün yüklendiği sunucunun Azure AD API’lerına erişimi(inbound yönde değil!) gerekiyor.

Connector’ün yüklenmesi ile uygulama sunucusuna iki yeni windows service kuruluyor.

 

 

Connector; kurulumu sırasında kendisini Azure AD Application Proxy servisine kayıt ettiyor. Aşağıda connector’ün kayıt olduğu default group’u görebiliriz. teappproxy01 string’i, lokalde çalışan uygulama sunucusunun hostname’idir.

 

 

Inbound trafiğin kapalı olduğu uygulamayı Azure Application Proxy’ye ekleme adımına geldik. Üstte görülen Enterprise application bölümünden ilerleyeceğiz.

 

 

Bir application ekledim. Eklediğim application’ın detaylarını aşağıda aktarıyorum.

 

 

Internal Url  Lokal ortamımızda çalışan uygulamanın binding ’ini belirtiyorum. 

External Url  Azure aboneliğinizde doğrulanmış dns domain’lerinizin herhangi birini kullanabilirsiniz. 

Pre Authentication  Azure Active Directory’de tanımlı IDENTITY’ler ile uygulamaya erişebilirsiniz. Lokal Active Directory ’nizi Azure AD’ye sync ederek de ilerleyebilirsiniz.

 

Connector kurulumu sırasında kendini default group’a kayıt ettirmişti. Onu connector group kısmından seçiyoruz.

 

Web uygulamanıza az karmaşık kullanıcı dostu isimler ile erişmek isterseniz, DNS > CNAME yapılandırmasını kullanabilirsiniz.

 

Son olarak, web uygulamanıza ait ssl sertifikasını üstte görülen Certificate kısmından yüklemelisiniz. Aksi durumda güvenli uyarısı ile karşılaşırsınız. (Araştırma ortamımda ssl sertifikası yüklemedim)

 

Geldiğimiz nokta:

Lokal ortamdaki uygulama sunucusuna connector kurduk. Azure Application Proxy’ye kayıt oldu. Lokal ortamdaki uygulamamızı Azure Application Proxy’ye tanıttık. Uygulamaya erişimde authentcation’ının Azure Active Directory ’den denetlenmesini sağladık. Son olarak, Azure Active Directory ’deki hangi user’ın(hangi identity’nin) uygulamaya erişebileceğini belirtiyoruz. 

 

 

 

Üstte görülen identity’ye, azure application proxy üzerinden lokaldeki uygulamaya erişim izni vermiş olduk. Test zamanı.

 

Uygulamaya erişmek istediğimde aşağıdaki görüldüğü üzere authentication için yönlendiriliyorum. 

 

İzin verdiğim kullanıcı ile üstteki formu doldurup authenticate oluyorum.

 

 

Sonuç olarak application proxy üzerinden, lokal ortamımdaki uygulamaya erişiyorum. 

Normal şartlarda, lokal ortamınızdaki uygulamanın Internet erişilebilir hale getirilmesi süreçleri şu şekillerde gelişir.

  • 3 tier yapıda web, app , db sunucularınız mevcuttur.

  • Internet’ten gelenlere hizmet verecek Web sunucunuzu DMZ ağında yapılandırırsınız.

  • DMZ ile App veya DB arasında gereken trafiği açarsınız(inbound)

  • DMZ’ye gelen trafiği açarsınız(inbound)

  • Kritik bir detay varsa, önce VPN sonra erişim sağlarsınız, vb.

 

Üstteki teste gördüğümüz üzere application proxy ile inbound yönde bir port açmadan erişimi sağladık. 

Farklı uygulamalarınızı application proxy ile entegre ederek erişimi tek noktadan kontrol edebilir, örneğin işten ayrılan bir personelin tüm erişimini hızlıca iptal edebilirsiniz. 

 

İyi çalışmalar.

 

 

 

 

 

 

Azure Application Proxy

You want to empower accessibility for your on premise web application when securing access to it? You do not want to open ports, setup proxies etc. to unknown sources? Than you should definetly scrutinize application proxy feature of Azure AD Premium.

To get into the details you may visit the page listed below.

https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-get-started

Having gone through the feature I would like to share my insight.

· Do not need to setup reverse proxy, dmz or vpn

· Can be integrated with OWA, Sharepoint and other line of business applications.

· Many other rich offerings like authorization control and security analytics on Azure

· Single Sign On (SSO) [which I have not evaluated yet]. Pass through authentication is also an option.

· Web applications that uses IWA or Form Based authentication can be integrated with Application Proxy

· Applications hosted behind remote desktop gateway can be integrated with Application Proxy

· APIs that you want to expose to applications on different devices

· A tiny windows service called connector get almost all things done Smile

Now let me share some hands-on parts I went through with you.

Continue reading “Azure Application Proxy”

AWS Certificate Manager (ACM)

Hi All,

As IT guys know, SSL/TLS certificates are key elements for the Web sites which are in need of meeting security compliance requirements like PCI-DSS, etc. I will not mention of provisioning process of SSL certificates in this blog post but we all know that it has not been a short process.

I was excited when I first read the blog about the general availability of AWS Certificate Manager web service. You can obtain SSL/TLS certificate from AWS’ Certificate Authority and easily deploy them for use with your AWS services such as ELB and CloudFront distribution. Furthermore, it is for free 🙂 Do not you think that it is really cool!

Let’s look at the configuration. Firstly, you need to request a certificate.

Continue reading “AWS Certificate Manager (ACM)”

Lynis – Open Source Auditing

Merhaba,

Yazımda, bu günlerde karşılaştığım bir araçtan bahsetmek istiyorum. Lynis, host üzerinde çalışan açık kaynaklı kodlu güvenlik gözlem aracıdır. Linux/Unix sistemlerin güvenlik ve zafiyet durumlarını adreslemek için kullanılıyor. AIX,FreeBSD,HP-UX,Linux,Mac OS,NetBSD,OpenBSD,Solaris vb. sistemleri tarafından destekleniyor. Raspberry Pi,Qnap vb. cihazlarda da çalıştığı da belirtilmiş, hayli esnek.

Free ve Enterprise sürümleri mevcut. Faydalarını tam olarak gözleyebilmek için kurumsal sürümünü satın almak gerekecektir. Cloud’da SaaS olarak hizmet verebilmekte olup, geleneksel veri merkezinde çalışan sürümü de mevcut.

Kurulumu yok diyebiliriz 🙂 Kaynaklar kısmında belirttiğim adreslere bakarak 1-2 dakikada çalışır hale getirmeniz mümkün. Aşağıdaki resimden anlaşılacağı üzere 2.1.1 sürümü an itibarıyla en güncel sürümdür.

Continue reading “Lynis – Open Source Auditing”

AWS Active Directory Federation Service ile Federasyon

There are lots of documentation(blog posts etc.) about AWS in English that’s why I have been writing in Turkish. I hope this will be informative for Turkish readers.
Regards.

Merhaba,

Security Assertion Markup Language(SAML), security domain’leri(party’ler) arasında authentication ve authorization verisinin alışverişini sağlayan xml tabanlı sistemdir. Benzer bir ifade ile; identity provider ile service provider arasında “authorization&authentication data exchange” için kullanılan bir katmandır. SAML tabanlı sistemlerin listesi için bir web adresini kaynaklar kısmında paylaştım. Yazımın konusu olacağı için belirteyim, saml uyumlu identity provider’lardan biri de Active Directory Federation Service’tir.

Dizin hizmeti(identity store) olarak genelde MS Active Directory kullanıldığı için identity provider olarak ADFS’i seçebiliriz. ADFS yerine bir başka identity provider’ı, Shibboleth’ı, kullanabilirsiniz.AWS’nin blog’larında her ikisini de anlatan post’lar mevcut.İlk olarak ADFS’i inceleyelim. Sonrasında diğer idP hakkında yazacağım.(Kısaltma – identity provider:idP)

**Yazıya devam etmeden önce konu bütünlüğü açısında, AWS IAM Kimlik ve Erişim Yönetimi başlıklı yazımı incelemenizi öneriyorum. Web adresini kaynaklar kısmında bulabilirsiniz.**

11.Kasım.2013’deki blog post’u ile AWS, SAML desteğini aws sistemine dahil ettiğini duyurmuş.Böylece AWS kaynaklarına erişimde (management console ve/veya api call) enterprise seviyede federated sso desteği sağlanmış. Yapı topolojik olarak aşağıdaki gibi çalışıyor.

Continue reading “AWS Active Directory Federation Service ile Federasyon”

AWS IAM – Kimlik ve Erişim Yönetimi

There are lots of documentation(blog posts etc.) about AWS in English that’s why I have been writing in Turkish. I hope this will be informative for Turkish readers.
Regards.

Merhaba,

Kimlik ve Erişim Yönetimi(Identity and Access Management – IAM) servisi, BT ekibinizin aws konsolundan veya API üzerinden AWS kaynaklarına erişimini yönetmenizi sağlayan amazon web servisidir. Servis, federasyon desteği sayesinde mevcut yapınızdaki identiy store’da(Ör: MS AD , OpenLdap) tanımlı kullanıcı hesapları ile AWS kaynaklarına erişimi yapılandırmanızı,kontrol etmenizi ve yönetmenizi de sağlar.

IAM servisi, aws sisteminize güvenli ve kontrollü erişiminiz için çeşitli seçenekler sunar. Bu seçenekleri genel olarak aşağıdaki kategorilerde inceleyebiliriz.

Continue reading “AWS IAM – Kimlik ve Erişim Yönetimi”

AWS ile Azure arasında Site to Site VPN Yapılandırması

There are lots of documentation(blog posts etc.) about AWS in English that’s why I have been writing in Turkish. I hope this will be informative for Turkish readers.
Regards.

Merhaba,

Şirketinizin merkez lokasyonu ile uzak lokasyonlarını birbirleri ile iletişime geçirmek için endüstri standardı bir bağlantı yöntemi olan IPSec VPN bağlantısını yapılandırabilirsiniz. Günümüzde şirketler, sistemlerini kendilerine ait veri merkezlerinde barındırabildikleri gibi, bulut hizmeti sağlayan servis sağlayıcılardan da BT hizmetlerini kiralayıp, sistemlerinin tamamını veya bir kısmını buluta taşıyabilmektedir(iaas,saas,paas gibi). Şirketler bulut hizmetlerinden faydalanırken, ülkeden ülkeye ve sektörden sektöre göre değişmekle birlikte farklı yükümlülükler veya kısıtlamalar ile karşılaşmaktadır.

Yazımda bu vizyonu biraz farklılaştıracağım. Yazıma konu olan hayali şirket, sistemlerinin bir kısmını AWS üzerinde bir kısmını Azure üzerinde barındırıyor 🙂 Bu senaryoda iki büyük bulut servis sağlayıcısı, hayali şirketimizin iki farklı lokasyonu olarak veya HQ/DR site’ları olarak düşünülebilir.

Bu tür testler için vpn cihazları(juniper,checkpoint,cisco,software vpn vb.) gerekiyorsenaryoyu incelemek için AWS üzerinde bir sanal sunucuyu vpn gateway olarak yapılandırdım. Yazılımsal veya donanımsal vpn sisteminize ayırdığınız kaynağa bağlı olarak performans değişebilir fakat bulut ortamında vpn yapılandırmasını incelemek için sizler de bu şekilde bir test ortamı hazırlayabilirsiniz.

Topolojimden bahsedeyim. Önceki yazımda genel olarak AWS’den ve AWS’de geçen kavramlardan bahsetmiştim.AWS terminolojisi hakkında önceki yazımı inceleyebilirsiniz.

clip_image002

AWS üzerinde vpn gateway yapılandırdığımı belirtmiştim. VPN gateway hizmetini bir sanal sunucu üzerinde çalıştırdım. VPN hizmeti için kullandığım sanal sunucu Ubuntu Server’dır ve kullanıdığım vpn yazılımı Openswan yazılımıdır. Ubuntu server’dan farklı olarak test için AWS üzerinde windows server 2012 r2 instance’ını oluşturdum. Benzer şekilde Azure üzerinde de bir adet windows server 2012 r2 sanal sunucum mevcut.

Continue reading “AWS ile Azure arasında Site to Site VPN Yapılandırması”

Check Point ve Symantec Endpoint Protection ile VPN kullanıcıları için erişim kontrolü

Merhaba,

BT ekibinin görevlerinden biri de personelinin iş ihtiyaçları için şirket network ’üne bağlanmasını sağlamaktır. Bu kapsamda toplanan teknik işlemlerin büyük bir kısmı, BT Güvenlik Yönetimi ve BT Güvenlik Operasyonları ekiplerinin sorumluluk alanındadır. Şirketlerin güvenlik politikaları birbirinden farklı olabileceği için, VPN bağlantısı veya uzaktan erişim gündeme geldiğinde operasyonel ve yönetimsel ihtiyaçlar  veya talepler farklılaşabilir.

Yazımda; uzaktan erişim, erişim güvenliği ve kontrolü çerçevesinde test/lab ortamımda incelediğim bir senaryoyu paylaşmak istiyorum.

Öncelikle test ettiğim senaryonun topolojisini aktarayım.

clip_image002

Tüm sunucular sanal sunucudur. Sanallaştırma platformu olarak Windows 8.1 üzerinde çalışan Hyper-v rolünü kullandım. Üstte Wireless Access Point simgesi şeklinde görülen cihaz, Huawei NAT/Router cihazıdır.Internet erişimi sunduğu için evlerinizde kullandığınız modem olarak düşünebilirsiniz.

Senaryo:

Continue reading “Check Point ve Symantec Endpoint Protection ile VPN kullanıcıları için erişim kontrolü”

Splunk – Exchange Server Log’larının toplanması

Merhaba,

Exchange Server’larının üzerine Universal Forwarder(UF olarak geçecek) kurarak, sunucularınızda üreyen log’ları splunk enterprise sunucunuza gönderebiliyorsunuz. Splunk Enterprise sunucusundaki Splunk App for Exchange eklentisi ile; index’lenen log’ları, hazır dashboard’ları kullanarak veya search kısmından source, sourcetype, host bazlı sorgular yaparak inceleyebilirsiniz.

Splunk Enterprise kurulu olan app’ler aşağıdaki gibidir.

clip_image002

Renkli olarak gösterdiğim app’ler, exchange log’larının toplanması için yeterlidir. Üstteki üç app’den PowerShell ve TA_Windows klasörlerini; exchange sunucunuzdaki UF’in apps dizinine kopyalamanız gerekiyor. Önceki yazılarımda benzer örneklerden bahsetmiştim.

Continue reading “Splunk – Exchange Server Log’larının toplanması”

Splunk – Active Directory Log ‘larının toplanması – Bölüm 2

Merhaba,

Universal Forwarder; Splunk Enterprise’ın, sadece “data forward” işlemi için düzenlenmiş bir versiyonudur(kısaca UF şeklinde geçecek). UF; search,index,alert seçeneklerini sunmaz, python kurulumuna sahip değildir. Üreticinin web sayfasından detaylarına ulaşabilirsiniz. http://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Introducingtheuniversalforwarder adresini kullanabilirsiniz.

Bu yazımda kullandığım domain ismim corp.local ’dir. Test ortamı Bölüm 1 ‘de bahsettiğim ile aynıdır.

Universal Forwarder yazılımını, splunk download center’dan download edebilirsiniz. http://www.splunk.com/download/universalforwarder .

Bölüm 1 ‘de bahsettiğim app’leri, splunk enterprise’a yükleyiniz. Tüm app’leri yüklediğinizde ilgili klasörün içeriği aşağıdaki gibi olacaktır.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 2”