Veilig interne webapplicaties ontsluiten zonder VPN met Microsoft Entra App Proxy
Wat is Microsoft Entra App Proxy?
Microsoft Entra App Proxy is een dienst van Microsoft die in de meeste Microsoft 365 omgevingen al gelicenseerd is. Deze dienst maakt het mogelijk om interne webapplicaties veilig beschikbaar te stellen aan gebruikers, zonder dat deze applicaties direct aan het internet worden blootgesteld. Traditioneel wordt hiervoor een poort geopend in de firewall, waardoor de webapplicatie bereikbaar is voor de hele wereld. Dat vergroot het aanvalsoppervlak en vraagt om extra beveiligingsmaatregelen.
Met Entra App Proxy maak je gebruik van de application proxy service van Microsoft in de Cloud. Deze service is verantwoordelijk voor het veilig leveren van je webapplicatie aan je gebruiker. De private network connector die je op je interne server installeert levert via een veilige uitgaande TLS tunnel het verkeer aan de application proxy service. Omdat het verkeer uitgaand is hoef je dus geen poorten naar binnen open te zetten. Als extra kun je per applicatie Conditional Access instellen, waarbij factoren als MFA, geografische blokkades en compliance kunnen worden afgedwongen.
Wanneer kies je voor Entra App Proxy?
Bij onze opdrachtgevers zien we vaak omgevingen waarin de Citrix- of Omnissa-omgeving wordt uitgefaseerd en veel applicaties al zijn verSaaSd. In deze situaties wordt regelmatig nog een VPN gebruikt om alle gebruikers alsnog toegang te geven voor applicaties die nog in een eigen datacenter draaien op een eigen beheerde server. Voor webapplicaties is een VPN in deze gevallen niet nodig. Entra App Proxy biedt dan een efficiënter en veiliger alternatief.
Heb je nog interne applicaties die geen webapplicatie zijn, dan kun je gebruikmaken van Entra Private Access.
Toegevoegde waarde voor gebruikers en beheer
Gebruikers werken met de webapplicatie direct vanaf hun eigen werkplek, alsof het een Microsoft 365-dienst of een andere SaaS-applicatie is. Als de applicatie het ondersteunt, kun je via Entra App Proxy ook Single Sign On gebruiken. Dat betekent geen extra handelingen voor de gebruiker. Geen VPN opstarten, geen Citrix- of Omnissa-client openen, maar gewoon je Microsoft Edge starten, adres invoeren en aan de slag!
Voor beheer en security is dit een sterke oplossing. Er is geen inkomende open poort in de firewall nodig en een aparte VPN-oplossing vervalt. Het verkeer loopt via speciale Microsoft private network connectors veilig door de Microsoft Cloud naar de webservers.
Omdat Entra App Proxy onderdeel is van Microsoft Entra ID, kun je ook gebruikmaken van Microsoft Entra ID Protection voor extra beveiliging en signalering.
Geschikte toepassingen
Deze oplossing werkt goed voor applicaties die draaien op een interne webserver of die via een specifieke verbinding ontsloten worden, zoals een Gemnet-koppeling of IP-whitelisting. Door de private network connector op de juiste plek in het netwerk te installeren, kun je applicaties beschikbaar maken op locaties waar dat eerder niet mogelijk was.
Bij een opdrachtgever heb ik ooit deze oplossing gebruikt om een webapplicatie die alleen vanaf hun eigen netwerk te gebruiken was (externe IP‑nummer van de internetopgang) toch te kunnen ontsluiten buiten hun eigen netwerk door de App Proxy‑dienst te gebruiken. De private network connector is op een interne server geïnstalleerd achter het gewhiteliste IP‑nummer en kon zo namens de gebruikers de webapplicatie serveren aan de gebruikers. Voorbeelden van interne applicaties zijn bijvoorbeeld SharePoint Server (on‑premises), Sumatra of Exact Synergy of interne monitoringtools met een webinterface, zoals bijvoorbeeld Microsoft System Center Operations Manager.
Hoe werkt het?
Entra App Proxy maakt gebruik van een private network connector die je installeert in het eigen datacenter of in Microsoft Azure. Maak je gebruik van een Azure Landing Zone, dan kun je deze private network connectors tactisch positioneren om meerdere zones te ontsluiten.
De private network connector verwerkt alle verzoeken richting de interne webservers van de applicaties die je beschikbaar stelt. Het webverkeer loopt via een beveiligde, uitgaande tunnel naar de Microsoft Cloud en vervolgens naar de gebruiker.
Vanuit het datacenter is dit uitsluitend uitgaand verkeer richting Microsoft. Dat is een belangrijk verschil met het openzetten van een webpoort op de firewall, waarbij extra beveiliging en monitoring nodig zijn omdat de poort continu openstaat en kwetsbaar is voor aanvallen.
Omdat de webserver met Entra App Proxy niet direct aan het internet hangt, ligt de beveiliging op een hoger niveau. Een aanvaller komt eerst uit bij de Microsoft-webservers, die draaien in zwaar beveiligde datacenters.
De toegang wordt beveiligd met Microsoft 365 pre-authenticatie. Zonder succesvolle authenticatie in Entra ID is toegang niet mogelijk. Is de gebruiker al aangemeld op de werkplek, dan wordt toegang automatisch verleend via Single Sign On.
Voorwaarden en licenties
Microsoft Entra App Proxy is beschikbaar binnen elke licentie die Entra ID Plan 1 bevat. Denk aan Microsoft 365 Business Premium, E3 of E5. In veel organisaties is deze oplossing dus al aanwezig en direct inzetbaar, zonder extra investering in third party VPN-oplossingen.
De private network connector installeer je op een geschikte Windows Server die netwerktoegang heeft tot de applicaties die je wilt ontsluiten. Andere servers of clients hoeven geen directe netwerktoegang meer te hebben tot de webapplicatie.
Maakt de applicatie gebruik van een eigen domeinnaam, dan kan deze gewoon behouden blijven.
Het is voor elke oplossing verstandig deze eerst goed te testen op werking, performance en beschikbaarheid alvorens deze in productie te nemen. Wordt de applicatie nu al op een andere manier ontsloten, dan kan Entra App Proxy vaak parallel worden ingezet om rustig te testen.
Implementatieaanpak
We hebben veel ervaring met de implementatie van Entra App Proxy. Samen met de opdrachtgever brengen we eerst alle applicaties in kaart die via Entra App Proxy beschikbaar moeten komen. Daarbij nemen we ook de bijbehorende netwerkgegevens mee, zoals IP-adressen, DNS en webadressen.
Op basis daarvan bepalen we gezamenlijk de meest logische locatie voor de private network connectors. In deze fase kan ook een Proof of Concept worden ingericht om de werking, performance en compatibiliteit te valideren.
Vooraf werken we een ontwerp uit waarin staat waar de private network connectors draaien, via welke webadressen de applicaties bereikbaar zijn en welke Conditional Access policies nodig zijn om toegang goed te beveiligen.
Praktische tips voor de implementatie:
- Start eenvoudig, bijvoorbeeld met een Proof of Concept.
- Plaats private network connectors zo dicht mogelijk bij de webservers vanuit netwerkperspectief.
- Eén is geen, gebruik in productie altijd minimaal twee private network connector servers.
Impact organisatie
Voor gebruikers betekent deze oplossing vooral minder gedoe. Er zijn geen aparte verbindingen meer nodig om interne webapplicaties te benaderen, terwijl de beveiliging juist verbetert. Toegang verloopt veilig via Microsoft Entra, zonder afhankelijkheid van VPN, Citrix of Omnissa.
Direct meer weten?
Heb je interne webapplicaties die je niet alleen op kantoor wilt gebruiken? Of gebruik je een externe webapplicatie die achter een IP-whitelist of speciale verbinding zit, zoals Gemnet?
Dan is Microsoft Entra App Proxy een logische oplossing. Sta je op het punt een VPN-oplossing aan te schaffen, dan is het verstandig om eerst te kijken of Entra App Proxy al beschikbaar is binnen je licenties.
We helpen je graag bij het selecteren van geschikte applicaties en het uitvoeren van een Proof of Concept. Neem contact met ons op om te bespreken welke applicaties hiervoor geschikt zijn en of een Proof of Concept zinvol is.
Maak kennis met de mogelijkheden van Microsoft Copilot en zet jouw organisatie met AI op voorsprong.
Maak kennis met de managed services van Advantive voor de Microsoft omgeving van jouw organisatie.
De moderne werkplek faciliteert prettig en veilig (samen)werken vanuit huis, op kantoor en onderweg.