Oubliez votre VPN et basculez progressivement vers le cloud : Utilisez le proxy d’application d’Azure Active Directory
Le VPN reste encore aujourd’hui un moyen répandu d’accès à distance aux applications locales. Ce système est valable mais il présente des risques de confidentialité, de sécurité et d’authentification ce qui est d’ailleurs l’objet de cet article. Vos collaborateurs sont de plus en plus mobiles et travaillent de manière fragmentée, se connectant à leurs applications depuis n’importe où du matin jusqu’au soir. Au même moment, beaucoup d’entreprises restent frileuses à l’idée de basculer intégralement vers le cloud malgré tous les avantages qu’il offre. L’objectif de cet article est de vous présenter une première étape de transition vers le cloud. Il s’agit d’une fonctionnalité du service Cloud de Microsoft Azure AD appelée « Application Proxy » qui permet de fournir un accès à distance aux applications sur votre réseau local.
Quel est l’intérêt d’AZURe Active Directory et son proxy d’application ?
L’accès à distance via le système VPN est très contraignant et coûteux en matériel. Il est également complexe et chronophage à créer et à administrer : la création d’un sous-réseau local (DMZ) séparé du réseau principal, la gestion des authentifications et de la sécurité…
Avec le proxy d’application d’AZURE AD, vous offrez la même simplicité de connexion à distance à vos équipes que celle proposée par Office 365 ou vos applications en mode SAAS. L’installation du proxy d’application ne présente pas de difficulté particulière. Il n’utilise que des connexions sortantes sans aucun port entrant ouvert sur le pare-feu. Puisqu’il n’y a aucun changement ou mise à jour à opérer sur vos applications, il s’agit d’une solution de type plug-and-play.
Il est donc important de comprendre à ce stade que le proxy d’application vient en remplacement du VPN ou du proxy inverse pour vos équipes qui travaillent en home office ou souhaitent se connecter à distance. En aucun cas le proxy d’application ne concerne vos équipes basées dans vos locaux.
Le point fort du proxy d’application d’AZURe AD : l’authentification
Quel est le point commun de tous vos collaborateurs qui se connectent à distance depuis leurs tablette, smartphone ou PC : une identité unique. La gestion des identités est cruciale pour la sécurité de votre réseau et pour la commodité du travail de vos équipe au quotidien. C’est justement le point fort du proxy d’application car il repose sur le système de gestion des identités d’AZURE AD. Il assure un suivi des utilisateurs qui se connectent aux applications web publiées localement et dans le cloud. Il permet également de gérer l’accès à plusieurs applications via une seul authentification. En effet, toutes vos applications peuvent être intégrées à AZURE AD. Concrètement, vous pouvez publier une URL publique externe dans le cloud d’AZUR qui est connectée à votre serveur d’applications interne. Une seule authentification suffit. De plus, celle-ci est sécurisée grâce à un plan d’accès conditionnel ainsi qu’une authentification multifactorielle.
Une connexion à distance plus sécurisée grâce au proxy d’application
Le premier niveau de sécurité est garanti par la pré-authentification qui ne donne accès à votre réseau qu’aux utilisateurs déjà connus d’AZURE AD. Cela bloque toutes les tentatives de connexion vers votre réseau via le proxy sans un token valide. Puis, vous pouvez paramétrer plusieurs conditions d’accès au réseau : lieu de la connexion, fiabilité de l’authentification, profil de l’utilisateur… Vous avez la main sur la stratégie des restrictions. Vous êtes également protégé par une connexion uniquement sortante des connecteurs du proxy d’application. Il n’y a aucune connexion entrante. Votre firewall n’est pas sollicité. Une dernière explication de la sécurité renforcée par ce système est ancrée dans la nouvelle philosophie de Microsoft de délivrer des fonctionnalités as a service. En effet, cet accès à distance devient un service inclus dans votre offre AZURE AD basic ou premium. Vous n’avez donc à vous soucier de la maintenance ou des mises à jour correctives de vos serveurs pour la connexion à distance. Microsoft se charge de mettre à jour le proxy d’application.
Une première étape vers le cloud
Vous l’avez compris, avec le proxy d’application d’AZURE AD, vous basculez progressivement vers le cloud et surtout dans le bon ordre. Effectivement, vous basculez une étape importante qui est celle de la gestion de l’authentification qui se fait désormais dans le cloud et plus de manière locale. C’est une étape essentielle qui vous permettra de poursuivre plus aisément une migration vers le cloud.
La mise en place du proxy d’application n’est pas compliquée mais requiert des compétences techniques et la connaissance d’AZURE AD. Confiez cette mission à des experts.
Contactez Eric : ec@bluebearsit.com
13 rue des Aulnes