Proteger el acceso remoto con el proxy de aplicación Azure AD

Proteger el acceso remoto con el proxy de aplicación Azure AD

14/03/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y configuración de Azure AD Application Proxy para proteger el acceso remoto a aplicaciones web locales. En un entorno de trabajo híbrido, donde los usuarios necesitan acceder a recursos internos desde cualquier lugar, la seguridad de este acceso es fundamental. Azure AD Application Proxy proporciona una solución segura y simplificada para publicar aplicaciones web locales para usuarios remotos sin la necesidad de VPN o DMZ complejas [1].

Introducción

Tradicionalmente, el acceso remoto a las aplicaciones internas requería configurar redes privadas virtuales (VPN) o exponer las aplicaciones a redes perimetrales (DMZ), lo que añadía complejidad y posibles vectores de ataque. Con la creciente adopción de modelos de trabajo híbridos y remotos, las organizaciones necesitan una forma más segura y eficiente de brindar acceso a aplicaciones heredadas que aún residen en las instalaciones [2].

Azure AD Application Proxy es una característica de Azure Active Directory (ahora Microsoft Entra ID) que permite a los usuarios acceder de forma segura a aplicaciones web locales desde cualquier ubicación. Actúa como un proxy inverso, enrutando el tráfico de aplicaciones internas a través de Azure AD, que maneja la autenticación y la autorización. Esto significa que se puede acceder a las aplicaciones locales como si fueran aplicaciones SaaS, aprovechando las características de seguridad de Azure AD, como la autenticación multifactor (MFA) y el acceso condicional [3].

Esta guía práctica cubrirá los requisitos previos, la instalación y configuración de conectores de Application Proxy, la publicación de diferentes tipos de aplicaciones (aplicaciones web, cliente web de escritorio remoto, SharePoint), la integración con políticas de acceso condicional y cómo probar y validar el acceso remoto. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y explicaciones concisas para que el lector pueda implementar, probar y validar estas características. Además, se discutirán consejos de seguridad, controles de cumplimiento y mejores prácticas para garantizar un acceso remoto seguro y eficiente, de forma autónoma, profesional y confiable.

¿Por qué el proxy de aplicación de Azure AD es crucial para el acceso remoto?

  • Seguridad mejorada: centraliza la autenticación y autorización en Azure AD, lo que permite el uso de funciones de seguridad como MFA, acceso condicional y protección de identidad para aplicaciones locales.
  • Acceso simplificado: proporciona una experiencia de inicio de sesión único (SSO) para aplicaciones locales, lo que facilita el acceso a los usuarios.
  • Reducción de la complejidad: Elimina la necesidad de VPN o DMZ para acceso remoto, simplificando la arquitectura de red y reduciendo la superficie de ataque.
  • Rentable: utiliza la infraestructura existente de Azure AD, sin necesidad de hardware o software adicional para el acceso remoto.
  • Publicación flexible: admite la publicación de una amplia gama de aplicaciones web, incluidas aplicaciones basadas en encabezados, SharePoint, cliente web de escritorio remoto y otras aplicaciones web personalizadas.

Requisitos previos

Para configurar el proxy de aplicación de Azure AD, necesitará los siguientes elementos:

  1. Licencia: una suscripción a Azure AD Premium P1 o P2 (o una licencia que incluya estas características, como Microsoft 365 E3/E5) [4].
  2. Acceso administrativo: una cuenta con el rol de Administrador global o Administrador de aplicaciones en Azure Portal (https://portal.azure.com).
  3. Windows Server para Connector: un servidor Windows Server (2012 R2 o posterior) dentro de su red local que tiene conectividad con las aplicaciones que desea publicar y con Azure AD. Este servidor debe tener acceso a Internet saliente (puertos 80 y 443 para Azure AD y 443 para el servicio Azure AD Application Proxy) [5].
  4. Aplicaciones web locales: aplicaciones web internas a las que desea que se pueda acceder de forma remota.
  5. Dominio personalizado (opcional): un dominio personalizado verificado en Azure AD si desea utilizar URL descriptivas para sus aplicaciones publicadas.

Paso a paso: configuración del proxy de aplicación de Azure AD

Configuremos Application Proxy y publiquemos una aplicación.

1. Instalación y configuración del conector de proxy de aplicación

El conector es un agente ligero que conectaa Azure AD y sus aplicaciones locales.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el campo de búsqueda superior, escriba "Azure Active Directory" y selecciónelo de los resultados.
  4. En el panel de navegación izquierdo, seleccione Application Proxy en "Administrar".

  5. Haga clic en "Descargar servicio de conector".

  6. En el servidor Windows local que designó para el conector:

    • Descargue y ejecute el instalador del conector (AADApplicationProxyConnectorInstaller.exe).
    • Siga las instrucciones del asistente de instalación. Durante la instalación, se le pedirá que inicie sesión con sus credenciales de administrador global de Azure AD.
    • Después de una instalación exitosa, el servicio del conector se iniciará automáticamente.

  7. De vuelta en Azure Portal, en la página Application Proxy, verifique que el conector recién instalado aparezca en la lista "Conectores" con el estado "Activo".

    • Explicación: Se recomienda instalar al menos dos conectores para alta disponibilidad y equilibrio de carga. Los conectores se actualizan automáticamente, lo que garantiza que siempre tengas la última versión.

2. Publicación de una aplicación web local

Publiquemos una aplicación web interna. Para este ejemplo, imagine que tenemos una aplicación web interna llamada MinhaAppInterna accesible en http://minhaappinterna.local:8080.

  1. En el panel de navegación izquierdo de Azure Active Directory, seleccione Aplicaciones empresariales en "Administrar".
  2. Haga clic en + Nueva aplicación.
  3. Haga clic en Integrar cualquier otra aplicación que no encuentre en la galería (No galería).
  4. Conceptos básicos:
    • Nombre: proporcione un nombre significativo (por ejemplo, MyInternal-ProxyApp).
    • Tipo de aplicación: seleccione Aplicación local.

  5. Haga clic en "Agregar".

  6. Después de crear la aplicación, será redirigido a la página de administración de la aplicación. En el panel de navegación izquierdo, seleccione Application Proxy en "Administrar".

  7. Configuración básica:

    • URL interna: Ingrese la URL interna de su aplicación (ej: http://minhaappinterna.local:8080). Asegúrese de que el conector pueda resolver y acceder a esta URL.
    • URL externa: esta URL se generará automáticamente en función de su dominio predeterminado de Azure AD (por ejemplo, myappinternal-proxy.msappproxy.net). Puede configurar un dominio personalizado si tiene uno.
    • Método de autenticación previa: seleccione Azure Active Directory (recomendado para máxima seguridad).
    • Grupo de conectores: seleccione el grupo de conectores predeterminado o un grupo personalizado si tiene varios conectores.

  8. Haga clic en Guardar.

  9. En el panel de navegación izquierdo, seleccione Usuarios y grupos en "Administrar".

  10. Haga clic en +Agregar usuario/grupo y asigne usuarios o grupos de Azure AD a los que se les permitirá acceder a esta aplicación.

    • Explicación: La asignación de usuarios y grupos es crucial para controlar quién puede acceder a la aplicación publicada. Azure AD Application Proxy garantiza que solo los usuarios autenticados y autorizados puedan acceder a la aplicación interna.

3. Configuración del acceso condicional para aplicaciones publicadas

El acceso condicional le permite aplicar políticas de seguridad adicionales, como MFA, para el acceso a las aplicaciones.

  1. En el panel de navegación izquierdo de Azure Active Directory, seleccione Seguridad > Acceso condicional.
  2. Haga clic en + Nueva política.
  3. Conceptos básicos:
    • Nombre: proporcione un nombre significativo (por ejemplo, MFA_para_MinhaAppInternal).
  4. Responsabilidades:
    • Identidad de usuarios o cargas de trabajo: Seleccione los usuarios y grupos que se verán afectados por la política (ej: Grupo_Usuarios_MinhaAppInterna).
    • Aplicaciones o acciones en la nube: Seleccione MyAppInternal-Proxy.
  5. Controles de acceso:
    • Conceder: seleccione "Conceder acceso" y "Requerir autenticación multifactor".
  6. Habilitar política: seleccione "Habilitado".

  7. Haga clic en Crear.

    • Explicación: Esta política garantizará que a cualquier usuario que intente acceder a MyInternal-ProxyApp se le solicitará que realice una autenticación multifactor, incluso si la aplicación local no admite MFA de forma nativa.

4. Publicación de otros tipos de aplicaciones

Application Proxy se puede utilizar para publicar otros tipos de recursos, como RemoteCliente web de escritorio y SharePoint.

4.1. Publicación del cliente web de escritorio remoto

  1. Siga los pasos de la Sección 2 para crear una nueva aplicación empresarial.
  2. En la configuración del Proxy de aplicación:
    • URL interna: ingrese la URL de su servidor de Cliente web de Escritorio remoto (por ejemplo, https://rdweb.contoso.com/RDWeb).
    • URL externa: Se generará automáticamente.
    • Método de autenticación previa: Azure Active Directory.
    • Tipo de encabezado de traducción de URL: Encabezados de URL de backend.
  3. Asigne usuarios/grupos.

4.2. Publicación de SharePoint local

  1. Siga los pasos de la Sección 2 para crear una nueva aplicación empresarial.
  2. En la configuración del Proxy de aplicación:
    • URL interna: ingrese la URL de su sitio de SharePoint (por ejemplo, https://sharepoint.contoso.local).
    • URL externa: Se generará automáticamente.
    • Método de autenticación previa: Azure Active Directory.
    • Tipo de encabezado de traducción de URL: Encabezados de URL de backend.
  3. Asigne usuarios/grupos.

Validación y pruebas

Es fundamental probar el acceso remoto para garantizar que las aplicaciones sean accesibles de forma segura.

1. Prueba de acceso a la aplicación publicada

  1. Escenario: Desde una computadora fuera de la red corporativa (por ejemplo, su hogar), abra un navegador y navegue hasta la URL externa de MinhaAppInternal-Proxy (por ejemplo, https://minhaappinterna-proxy.msappproxy.net).
  2. Acción esperada: Debería ser redirigido a la página de inicio de sesión de Azure AD. Después de ingresar sus credenciales de Azure AD y, si está configurado, completar MFA, se le debe redirigir a MyApp local.
  3. Verificación: *Confirma que la aplicación carga correctamente y que puedes interactuar con ella.
    • Verifique los registros de inicio de sesión de Azure AD para confirmar que el acceso se autenticó a través del proxy de aplicación y que se aplicó MFA.

2. Comprobación de los registros de inicio de sesión de Azure AD

  1. En Azure Portal, navegue hasta Azure Active Directory > Monitoreo > Registros entrantes.
  2. Filtre los registros por Aplicación (MyAppInternal-Proxy).
  3. Verifique los detalles de inicio de sesión, incluido el "Estado de acceso condicional" (debe mostrar "Éxito" e indicar que se ha aplicado MFA).

Consejos de seguridad y mejores prácticas

  • Utilice siempre la autenticación previa de Azure AD: la autenticación previa de Azure AD es el método más seguro, ya que garantiza que solo los usuarios autenticados y autorizados accedan a su red interna. Evite el "Pass-through" a menos que sea estrictamente necesario para aplicaciones que no pueden manejar la autenticación previa.
  • Acceso condicional: utilice el acceso condicional para aplicar políticas de seguridad adicionales como MFA, restricciones de ubicación, cumplimiento del dispositivo, etc. para todas las aplicaciones publicadas a través de Application Proxy.
  • Grupos de conectores: organice sus conectores en grupos para aislar aplicaciones o tener conectores más cerca de aplicaciones específicas para un mejor rendimiento.
  • Alta disponibilidad: instale al menos dos conectores en servidores separados para garantizar una alta disponibilidad y resistencia. Considere la instalación en diferentes regiones o zonas de disponibilidad, si corresponde.
  • Mantenimiento del conector: aunque los conectores se actualizan automáticamente, supervise su estado en Azure Portal para garantizar que estén siempre activos y en buen estado.
  • Seguridad del servidor del conector: proteja el servidor donde está instalado el conector. Mantenlo actualizado, aplica el principio de privilegio mínimo y monitoréalo para detectar actividades sospechosas.
  • Optimización del rendimiento: Para aplicaciones con mucho tráfico o que requieren baja latencia, considere la ubicación de los conectores en relación con los servidores de aplicaciones y el ancho de banda disponible.
  • Monitoreo: supervise los registros de inicio de sesión de Azure AD y los registros del conector para detectar actividades sospechosas o problemas de acceso.

Solución de problemas comunes

  • Error de acceso (404, 500, etc.):
    • Verifique la URL interna: Asegúrese de que la URL interna configurada en el Proxy de aplicación sea correcta y que el conector pueda acceder a ella directamente desde el servidor donde está instalado.
    • Verifique el conector: confirme que el conector esté "activo" en Azure Portal. Reinicie el servicio del conector en el servidor.
    • Verifique el grupo de conectores: Asegúrese de que el grupo de conectores asignado a la aplicación tengam al menos un conector activo.
    • Firewall local: compruebe si el firewall del servidor del conector o del servidor de aplicaciones está bloqueando el tráfico.
  • Las aplicaciones no se cargan correctamente (problemas de renderizado):
    • Traducción de encabezado: para algunas aplicaciones, es posible que necesites ajustar el "Tipo de encabezado de traducción de URL" en la configuración del Proxy de aplicación a "Encabezados de URL de backend" o "Encabezados de URL de frontend".
    • Enlaces codificados: las aplicaciones con enlaces codificados a URL internas pueden experimentar problemas. Considere utilizar la "Traducción de enlaces" de Application Proxy o reconfigurar la aplicación si es posible.
  • Problemas de SSO:
    • Configuración de SSO: verifique la configuración de SSO en la aplicación empresarial. Para aplicaciones que no están federadas, es posible que necesite configurar "SSO basado en contraseña" o "SSO de encabezado".
    • Delegación restringida de Kerberos (KCD): para aplicaciones que usan autenticación integrada de Windows (IWA), verifique que KCD esté configurado correctamente en Active Directory para el conector.
  • Acceso condicional que bloquea a usuarios legítimos: *Revise atentamente las políticas de acceso condicional. Verifique que los usuarios o grupos estén incluidos o excluidos correctamente.
    • Utilice la herramienta "Qué pasaría si" en Acceso condicional para simular el acceso y comprender por qué se aplica o bloquea una política.
  • Conector sin conexión:
    • Verifique la conectividad de red del servidor conector con Azure AD (puertos salientes 80 y 443) y con el servicio Application Proxy (puerto saliente 443).
    • Verifique los registros de eventos de Windows en el servidor del conector para detectar errores relacionados con el servicio.
    • Asegúrese de que el servicio Microsoft AAD Application Proxy Connector esté ejecutándose.

Conclusión

Azure AD Application Proxy es una herramienta potente y segura para ampliar el acceso a aplicaciones web locales a usuarios remotos, alineándose con los principios del modelo Zero Trust. Al centralizar la autenticación y la autorización en Azure AD y eliminar la necesidad de infraestructuras complejas de acceso remoto, las organizaciones pueden simplificar su arquitectura de seguridad y al mismo tiempo fortalecer la protección contra amenazas. La implementación cuidadosa, la integración con el acceso condicional y el monitoreo continuo son esenciales para maximizar los beneficios de seguridad y garantizar una experiencia de usuario fluida. Con esta guía práctica, los profesionales de seguridad y administradores de TI estarán bien equipados para configurar, validar y administrar Azure AD Application Proxy, asegurando el acceso remoto a aplicaciones críticas y fortaleciendo la postura de seguridad de sus organizaciones.

Referencias:

[1] Microsoft aprende. Publique aplicaciones locales con Microsoft Entra Application Proxy. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft aprende. Agregue una aplicación local para acceso remoto a través de Microsoft Entra Application Proxy. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft aprende. Publicar escritorio remoto con Microsoft Entra Application Proxy. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] Microsoft aprende. Licencia de Microsoft Entra ID. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft aprende. Conectores de proxy de aplicación Microsoft Entra. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft aprende. Acceso condicional en Microsoft Enter ID. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft aprende. Solucionar problemas de conectores de Microsoft Entra Application Proxy. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors