Azure AD Uygulama Ara Sunucusu ile Uzaktan Erişimin Güvenliğini Sağlama

Azure AD Uygulama Ara Sunucusu ile Uzaktan Erişimin Güvenliğini Sağlama

03/14/2025

Bu teknik ve eğitici makale, şirket içi web uygulamalarına uzaktan erişimi güvenli hale getirmek için Azure AD Uygulama Ara Sunucusu'nu uygulama ve yapılandırma konusunda güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine rehberlik etmeyi amaçlamaktadır. Kullanıcıların iç kaynaklara her yerden erişmesi gereken hibrit bir çalışma ortamında bu erişimin güvenliği esastır. Azure AD Uygulama Ara Sunucusu, karmaşık VPN'lere veya DMZ'lere ihtiyaç duymadan şirket içi web uygulamalarını uzak kullanıcılara yayınlamak için güvenli, basitleştirilmiş bir çözüm sağlar [1].

Giriş

Geleneksel olarak dahili uygulamalara uzaktan erişim, sanal özel ağların (VPN'ler) kurulmasını veya uygulamaların çevre ağlarına (DMZ'ler) açık hale getirilmesini gerektiriyordu; bu da karmaşıklığı ve olası saldırı vektörlerini artırıyordu. Uzaktan ve hibrit çalışma modellerinin giderek daha fazla benimsenmesiyle birlikte kuruluşlar, hâlâ şirket içinde bulunan eski uygulamalara erişim sağlamak için daha güvenli ve verimli bir yola ihtiyaç duyuyor [2].

Azure AD Uygulama Ara Sunucusu, kullanıcıların şirket içi web uygulamalarına herhangi bir konumdan güvenli bir şekilde erişmesine olanak tanıyan bir Azure Active Directory (şimdi Microsoft Entra ID) özelliğidir. Kimlik doğrulama ve yetkilendirme işlemlerini gerçekleştiren Azure AD aracılığıyla dahili uygulama trafiğini yönlendiren bir ters proxy görevi görür. Bu, çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim [3] gibi Azure AD güvenlik özelliklerinden yararlanılarak şirket içi uygulamalara SaaS uygulamalarıymış gibi erişilebileceği anlamına gelir.

Bu pratik kılavuz, önkoşulları, Uygulama Proxy bağlayıcılarını yüklemeyi ve yapılandırmayı, farklı uygulama türlerini yayınlamayı (web uygulamaları, Uzak Masaüstü Web İstemcisi, SharePoint), Koşullu Erişim ilkeleriyle entegrasyonu ve uzaktan erişimin nasıl test edilip doğrulanacağını kapsayacaktır. Okuyucunun bu özellikleri uygulayabilmesi, test edebilmesi ve doğrulayabilmesi için adım adım talimatlar, pratik örnekler ve kısa açıklamalar sağlanacaktır. Ayrıca, otonom, profesyonel ve güvenilir bir şekilde güvenli ve verimli uzaktan erişim sağlamak için güvenlik ipuçları, uyumluluk kontrolleri ve en iyi uygulamalar tartışılacaktır.

Azure AD Uygulama Ara Sunucusu uzaktan erişim için neden önemlidir?

  • Gelişmiş Güvenlik: Azure AD'de kimlik doğrulama ve yetkilendirmeyi merkezileştirerek şirket içi uygulamalar için MFA, Koşullu Erişim ve Kimlik Koruması gibi güvenlik özelliklerinin kullanılmasına olanak tanır.
  • Basitleştirilmiş Erişim: Şirket içi uygulamalar için tek oturum açma (SSO) deneyimi sunarak kullanıcılar için erişimi kolaylaştırır.
  • Karmaşıklığın Azaltılması: Uzaktan erişim için VPN veya DMZ ihtiyacını ortadan kaldırır, ağ mimarisini basitleştirir ve saldırı yüzeyini azaltır.
  • Uygun maliyetli: Uzaktan erişim için ek donanım veya yazılıma ihtiyaç duymadan mevcut Azure AD altyapısını kullanır.
  • Esnek Yayınlama: Başlık tabanlı uygulamalar, SharePoint, Uzak Masaüstü Web İstemcisi ve diğer özel web uygulamaları dahil olmak üzere çok çeşitli web uygulamalarının yayınlanmasını destekler.

Önkoşullar

Azure AD Uygulama Ara Sunucusunu yapılandırmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Azure AD Premium P1 veya P2 aboneliği (veya Microsoft 365 E3/E5 gibi bu özellikleri içeren bir lisans) [4].
  2. Yönetim Erişimi: Azure portalında (https://portal.azure.com) 'Genel Yönetici' veya 'Uygulama Yöneticisi' rolüne sahip bir hesap.
  3. Bağlayıcı için Windows Sunucusu: Şirket içi ağınızda, yayınlamak istediğiniz uygulamalara ve Azure AD'ye bağlantısı olan bir Windows Server (2012 R2 veya üzeri) sunucusu. Bu sunucunun giden internet erişimine sahip olması gerekir (Azure AD için 80 ve 443 numaralı bağlantı noktaları ve Azure AD Uygulama Proxy hizmeti için 443 numaralı bağlantı noktaları) [5].
  4. Şirket İçi Web Uygulamaları: Uzaktan erişilebilir hale getirmek istediğiniz dahili web uygulamaları.
  5. Özel Etki Alanı (İsteğe Bağlı): Yayımlanan uygulamalarınız için kolay URL'ler kullanmak istiyorsanız Azure AD'de doğrulanan özel bir etki alanı.

Adım Adım: Azure AD Uygulama Ara Sunucusunu Yapılandırma

Uygulama Proxy'sini yapılandıralım ve bir uygulama yayınlayalım.

1. Uygulama Proxy Bağlayıcısının Kurulumu ve Konfigürasyonu

Konektör, bağlanan hafif bir aracıdırAzure AD'ye ve şirket içi uygulamalarınıza.

  1. Tarayıcınızı açın ve Azure portalına gidin: https://portal.azure.com.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Üstteki arama alanına 'Azure Active Directory' yazın ve sonuçlardan seçin.
  4. Sol gezinme bölmesinde, 'Yönet'in altında Uygulama Proxy'si'ni seçin.

  5. 'Bağlayıcı hizmetini indir'i tıklayın.

  6. Bağlayıcı için belirlediğiniz şirket içi Windows sunucusunda:

    • Bağlayıcı yükleyicisini (AADApplicationProxyConnectorInstaller.exe) indirin ve çalıştırın.
    • Kurulum sihirbazının talimatlarını izleyin. Yükleme sırasında Azure AD genel yönetici kimlik bilgilerinizle oturum açmanız istenecektir.
    • Başarılı kurulumun ardından konnektör servisi otomatik olarak başlayacaktır.

  7. Azure portalında, Uygulama Proxy'si sayfasında, yeni yüklenen bağlayıcının "Bağlayıcılar" listesinde "Etkin" durumuyla göründüğünü doğrulayın.

    • Açıklama: Yüksek kullanılabilirlik ve yük dengeleme için en az iki konektörün kurulması önerilir. Konektörler otomatik olarak güncellenerek her zaman en son sürüme sahip olmanızı sağlar.

2. Şirket İçi Web Uygulamasını Yayınlama

Dahili bir web uygulaması yayınlayalım. Bu örnek için, 'http://minhaappinterna.local:8080' adresinden erişilebilen 'MinhaAppInterna' adında dahili bir web uygulamamız olduğunu hayal edin.

  1. Azure Active Directory'nin sol gezinme bölmesinde, "Yönet"in altında Kurumsal Uygulamalar'ı seçin.
  2. '+ Yeni uygulama'ya tıklayın.
  3. Galeride bulamadığınız diğer uygulamaları entegre edin (Galeri dışı) seçeneğine tıklayın.
  4. Temel Bilgiler:
    • Ad: Anlamlı bir ad verin (ör. 'MyDahili-ProxyUygulamam').
    • Uygulama türü: "Şirket içi uygulama"yı seçin.

  5. 'Ekle'yi tıklayın.

  6. Uygulamayı oluşturduktan sonra uygulama yönetimi sayfasına yönlendirileceksiniz. Sol gezinme bölmesinde, "Yönet"in altında Uygulama Proxy'si'ni seçin.

  7. Temel Ayarlar:

    • Dahili URL: Uygulamanızın dahili URL'sini girin (ör. http://minhaappinterna.local:8080). Bağlayıcının bu URL'yi çözebildiğinden ve bu URL'ye erişebildiğinden emin olun.
    • Harici URL: Bu URL, varsayılan Azure AD etki alanınıza (ör. "myappinternal-proxy.msappproxy.net") göre otomatik olarak oluşturulacaktır. Eğer varsa özel bir alan adı ayarlayabilirsiniz.
    • Ön kimlik doğrulama yöntemi: 'Azure Active Directory'yi seçin (maksimum güvenlik için önerilir).
    • Bağlayıcı Grubu: Varsayılan bağlayıcı grubunu veya birden fazla bağlayıcınız varsa özel grubu seçin.

  8. Kaydet'i tıklayın.

  9. Sol gezinme bölmesinde, 'Yönet'in altında Kullanıcılar ve gruplar'ı seçin.

  10. "+Kullanıcı/grup ekle"ye tıklayın ve bu uygulamaya erişmesine izin verilecek Azure AD kullanıcılarını veya gruplarını atayın.

    • Açıklama: Kullanıcıların ve grupların atanması, yayınlanan uygulamaya kimlerin erişebileceğini kontrol etmek açısından çok önemlidir. Azure AD Uygulama Ara Sunucusu, yalnızca kimliği doğrulanmış ve yetkili kullanıcıların iç uygulamaya erişebilmesini sağlar.

3. Yayınlanan Uygulamalar için Koşullu Erişimi Yapılandırma

Koşullu Erişim, uygulama erişimi için MFA gibi ek güvenlik ilkelerini zorunlu kılmanıza olanak tanır.

  1. Azure Active Directory'nin sol gezinme bölmesinde Güvenlik > Koşullu Erişim'i seçin.
  2. '+ Yeni Politika'yı tıklayın.
  3. Temel Bilgiler:
    • Ad: Anlamlı bir ad verin (ör. MFA_para_MinhaAppInternal).
  4. Sorumluluklar:
    • Kimlik kullanıcıları veya iş yükleri: Politikadan etkilenecek kullanıcıları ve grupları seçin (ör. "Grupo_Usuarios_MinhaAppInterna").
    • Bulut uygulamaları veya eylemleri: 'MyAppInternal-Proxy'yi seçin.
  5. Erişim Denetimleri:
    • Hibe: 'Erişim izni ver'i ve 'Çok faktörlü kimlik doğrulamayı iste'yi seçin.
  6. İlkeyi Etkinleştir: 'Etkin'i seçin.

  7. Oluştur'u tıklayın.

    • Açıklama: Bu politika, şirket içi uygulama MFA'yı yerel olarak desteklemese bile, "MyInternal-ProxyApp"e erişmeye çalışan herhangi bir kullanıcıdan çok faktörlü kimlik doğrulaması yapmasının istenmesini sağlayacaktır.

4. Diğer Uygulama Türlerinin Yayınlanması

Uygulama Proxy'si, Uzak gibi diğer kaynak türlerini yayınlamak için kullanılabilir.Masaüstü Web İstemcisi ve SharePoint.

4.1. Uzak Masaüstü Web İstemcisini Yayımlama

  1. Yeni bir kurumsal uygulama oluşturmak için Bölüm 2'deki adımları izleyin.
  2. Uygulama Proxy'si yapılandırmasında:
    • Dahili URL: Uzak Masaüstü Web İstemcisi sunucunuzun URL'sini girin (ör. https://rdweb.contoso.com/RDWeb).
    • Harici URL: Otomatik olarak oluşturulacaktır.
    • Ön kimlik doğrulama yöntemi: 'Azure Active Directory'.
    • URL Çeviri Başlığı Türü: Arka Uç URL Başlıkları.
  3. Kullanıcıları/grupları atayın.

4.2. SharePoint Şirket İçinde Yayımlama

  1. Yeni bir kurumsal uygulama oluşturmak için Bölüm 2'deki adımları izleyin.
  2. Uygulama Proxy'si yapılandırmasında:
    • Dahili URL: SharePoint sitenizin URL'sini girin (ör. https://sharepoint.contoso.local).
    • Harici URL: Otomatik olarak oluşturulacaktır.
    • Ön kimlik doğrulama yöntemi: 'Azure Active Directory'.
    • URL Çeviri Başlığı Türü: Arka Uç URL Başlıkları.
  3. Kullanıcıları/grupları atayın.

Doğrulama ve Test Etme

Uygulamalara güvenli bir şekilde erişilebildiğinden emin olmak için uzaktan erişimi test etmek çok önemlidir.

1. Yayınlanan Uygulamaya Erişimin Test Edilmesi

  1. Senaryo: Kurumsal ağ dışındaki bir bilgisayardan (ör. eviniz), bir tarayıcı açın ve "MinhaAppInternal-Proxy"nin harici URL'sine gidin (ör. "https://minhaappinterna-proxy.msappproxy.net").
  2. Beklenen Eylem: Azure AD oturum açma sayfasına yönlendirilmeniz gerekir. Azure AD kimlik bilgilerinizi girdikten ve yapılandırılmışsa MFA'yı tamamladıktan sonra şirket içi MyApp'a yönlendirilmeniz gerekir.
  3. Doğrulama:
    • Uygulamanın doğru şekilde yüklendiğini ve onunla etkileşim kurabildiğinizi doğrulayın.
    • Erişimin Uygulama Ara Sunucusu aracılığıyla doğrulandığını ve MFA'nın uygulandığını doğrulamak için Azure AD oturum açma günlüklerini kontrol edin.

2. Azure AD Oturum Açma Günlüklerini Kontrol Etme

  1. Azure portalında Azure Active Directory > İzleme > Gelen Günlükler'e gidin.
  2. Günlükleri 'Uygulama'ya ('MyAppInternal-Proxy') göre filtreleyin.
  3. 'Koşullu Erişim Durumu' da dahil olmak üzere oturum açma ayrıntılarını kontrol edin ('Başarı'yı ​​göstermeli ve MFA'nın uygulandığını belirtmelidir).

Güvenlik İpuçları ve En İyi Uygulamalar

  • Her Zaman Azure AD Ön Kimlik Doğrulamasını Kullan: Azure AD ön kimlik doğrulaması, yalnızca kimliği doğrulanmış ve yetkili kullanıcıların dahili ağınıza erişmesini sağladığı için en güvenli yöntemdir. Ön kimlik doğrulamayı işleyemeyen uygulamalar için kesinlikle gerekli olmadıkça 'Geçiş'ten kaçının.
  • Koşullu Erişim: Uygulama Proxy'si aracılığıyla yayınlanan tüm uygulamalar için MFA, konum kısıtlamaları, cihaz uyumluluğu vb. gibi ek güvenlik politikalarını uygulamak için Koşullu Erişimi kullanın.
  • Bağlayıcı Grupları: Uygulamaları izole etmek veya daha iyi performans için bağlayıcıları belirli uygulamalara daha yakın hale getirmek için bağlayıcılarınızı gruplar halinde düzenleyin.
  • Yüksek Kullanılabilirlik: Yüksek kullanılabilirlik ve esneklik sağlamak için ayrı sunuculara en az iki bağlayıcı yükleyin. Varsa, farklı bölgelere veya kullanılabilirlik alanlarına kurulum yapmayı düşünün.
  • Bağlayıcı Bakımı: Bağlayıcılar kendilerini otomatik olarak güncellese de, her zaman etkin ve sağlıklı olduklarından emin olmak için Azure portalındaki durumlarını izleyin.
  • Konnektör Sunucusu Güvenliği: Konektörün kurulu olduğu sunucunun güvenliğini sağlayın. Güncel tutun, en az ayrıcalık ilkesini uygulayın ve şüpheli etkinliklere karşı izleyin.
  • Performans Optimizasyonu: Yüksek trafiğe sahip veya düşük gecikme gerektiren uygulamalar için, uygulama sunucularına ve mevcut bant genişliğine göre bağlayıcıların konumunu göz önünde bulundurun.
  • İzleme: Şüpheli etkinliği veya erişim sorunlarını algılamak için Azure AD oturum açma günlüklerini ve bağlayıcı günlüklerini izleyin.

Genel Sorun Giderme

  • Erişim Hatası (404, 500 vb.):
    • Dahili URL'yi kontrol edin: Uygulama Proxy'sinde yapılandırılan dahili URL'nin doğru olduğundan ve bağlayıcının, yüklendiği sunucudan doğrudan erişebildiğinden emin olun.
    • Bağlayıcıyı kontrol edin: Bağlayıcının Azure portalında "Etkin" olduğunu doğrulayın. Sunucudaki bağlayıcı hizmetini yeniden başlatın.
    • Bağlayıcı grubunu kontrol edin: Uygulamaya atanan bağlayıcı grubununm en az bir aktif konektör.
    • Yerel güvenlik duvarı: Bağlayıcı sunucusundaki veya uygulama sunucusundaki güvenlik duvarının trafiği engelleyip engellemediğini kontrol edin.
  • Uygulamalar doğru şekilde yüklenmiyor (oluşturma sorunları):
    • Başlık Çevirisi: Bazı uygulamalar için, Uygulama Proxy ayarlarındaki "URL Çevirisi Başlık Türü"nü "Arka Uç URL Başlıkları" veya "Ön Uç URL Başlıkları" olarak ayarlamanız gerekebilir.
    • Kodlanmış bağlantılar: Dahili URL'lere sabit kodlanmış bağlantılara sahip uygulamalarda sorunlar yaşanabilir. Uygulama Proxy'sinin 'Bağlantı Çevirisi'ni kullanmayı veya mümkünse uygulamayı yeniden yapılandırmayı düşünün.
  • TOA sorunları:
    • SSO Yapılandırması: Kurumsal uygulamadaki SSO ayarlarını kontrol edin. Federe olmayan uygulamalar için "parola tabanlı SSO" veya "başlık SSO'su" yapılandırmanız gerekebilir.
    • Kerberos Kısıtlanmış Yetkilendirme (KCD): Tümleşik Windows Kimlik Doğrulaması (IWA) kullanan uygulamalar için, KCD'nin bağlayıcı için Active Directory'de doğru şekilde yapılandırıldığını doğrulayın.
  • Koşullu Erişim meşru kullanıcıları engelliyor:
    • Koşullu Erişim politikalarını dikkatlice inceleyin. Kullanıcıların veya grupların doğru şekilde dahil edildiğini veya hariç tutulduğunu doğrulayın.
    • Erişimi simüle etmek ve bir politikanın neden uygulandığını veya engellendiğini anlamak için Koşullu Erişim'deki "Ya Şöyle Olursa" aracını kullanın.
  • Çevrimdışı Bağlayıcı:
    • Bağlayıcı sunucusunun Azure AD'ye (giden bağlantı noktaları 80 ve 443) ve Uygulama Proxy hizmetine (giden bağlantı noktası 443) ağ bağlantısını doğrulayın.
    • Hizmetle ilgili hatalar için bağlayıcı sunucusundaki Windows olay günlüklerini kontrol edin.
    • 'Microsoft AAD Uygulama Proxy Bağlayıcısı' hizmetinin çalıştığından emin olun.

Sonuç

Azure AD Uygulama Ara Sunucusu, Sıfır Güven modelinin ilkeleriyle uyumlu olarak şirket içi web uygulamalarına erişimi uzak kullanıcılara kadar genişletmeye yönelik güçlü ve güvenli bir araçtır. Azure AD'de kimlik doğrulama ve yetkilendirmeyi merkezileştirerek ve karmaşık uzaktan erişim altyapılarına olan ihtiyacı ortadan kaldırarak kuruluşlar, tehdit korumasını güçlendirirken güvenlik mimarilerini basitleştirebilirler. Dikkatli uygulama, Koşullu Erişim ile entegrasyon ve sürekli izleme, güvenlik avantajlarını en üst düzeye çıkarmak ve akıcı bir kullanıcı deneyimi sağlamak için çok önemlidir. Bu pratik kılavuzla güvenlik uzmanları ve BT yöneticileri, Azure AD Uygulama Ara Sunucusunu yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak, böylece kritik uygulamalara uzaktan erişim sağlanacak ve kuruluşlarının güvenlik duruşu güçlendirilecek.

Referanslar:

[1] Microsoft Learn. Yerel uygulamaları Microsoft Entra Uygulama Proxy'si ile yayınlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft Learn. Microsoft Entra Uygulama Proxy'si aracılığıyla uzaktan erişim için yerel bir uygulama ekleyin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft Learn. Uzak Masaüstünü Microsoft Entra Uygulama Proxy'si ile yayınlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] Microsoft Learn. Microsoft Entra ID Lisanslaması. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft Learn. Microsoft Entra Uygulama Proxy bağlayıcıları. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft Learn. Microsoft Enter ID'ye Koşullu Erişim. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft Learn. Microsoft Entra Uygulama Proxy bağlayıcılarındaki sorunları giderin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors