Microsoft Entra Internet Access 

Forfatter:

Owe Imerslund-Kvisler

[email protected]

Owe fremheves av bransjekolleger som en trivelig fyr med høy arbeidsmoral og sterk fagkompetanse. Han er rolig av natur og lar seg ikke stresse. Dette til tross for at han trives best utenfor komfortsonen. Han er nærmest lidenskapelig opptatt av at brukeropplevelsene skal være best mulig i IT-miljøene. Det innebærer at tjenester er enkle å bruke, at ting alltid er gjenkjennbare, og at sikkerheten er håndhevet på den mest fornuftige måten.

Global Secure Access består, slik Dagfinn har beskrevet i del 1 og del 2 i GSA serien vår, av tre ulike trafikkprofiler: Microsoft 365 Access profile, Private Access profile og Entra Internet Access profile. Kjært barn har mange navn med andre ord.  

Internet Access er en del av Global Secure Access i Microsoft Entra. Microsoft Entra Internet Access er navnet på lisensen du kjøper.  

Hva er Microsoft Entra Internet Access? 

Microsoft Entra Internet Access er en identitetsbasert Secure Web Gateway (SWG). 

SWG fungerer som en proxy-server mellom brukere og internett. Den analyserer trafikken for potensielle sikkerhetsrisikoer. Hvis en risiko identifiseres, blokkeres trafikken.

Her benyttes Fully Qualified Domain Names (FQDNs) basert Web Content Filtering, i tillegg til rene FQDN du konfigurerer selv.

Du starter med å lage en web content filtering policy.  

I denne bestemmer du reglene: Hvilke kategorier av nettsteder eller FQDNs reglene gjelder og om det er en Block eller Allow liste. 

Når du har opprettet policyen må du deretter lage en Security Profile. En slik profil er en samling av en eller flere web content policies. Hver av disse profilene må gis en prioritet mellom 100 og 65000. Prioritet 100 er den høyeste og 65000 den laveste. 

Tips: Når du oppretter sikkerhetsprofiler, la det være 100 mellom hver prioritet. Det gir deg rom til å legge til flere imellom i fremtiden dersom du trenger det. 

Hver policy du linker til en profil må også prioriteres.  

Du er nå klar til å lage en Conditional Access (CA) policy. Her velger du Global Secure Access og Internet traffic som policy target. Under Session velger du hvilken sikkerhetsprofil som skal gjelde for brukerne og omstendighetene CA policyen gjelder for. 

Baseline-profil 

Det er viktig å huske på at det finnes en baseline sikkerhetsprofil som gjelder selv om den ikke er linket til en CA-policy.  

Den har lavest prioritet av alle og gjelder for all internettrafikk som er rutet gjennom tjenesten.  

Baseline-profilen fungerer som en ‘catch-all’ policy. Denne blir også utført selv om en annen sikkerhets profil kjøres som en del av en CA-policy. 

Hvorfor skal vi ha Entra Internet Access? 

Microsoft Entra Private Access sørger for en sikker tilkobling til ressurser du har i eget datasenter. Microsoft 365 sikrer tilgang til – ja nettopp – Microsoft 365 tjenestene. Internet Access sørger for sikker tilgang til andre SaaS-tjenester.  

Du oppnår dermed at nettverkssikkerhet samles med annen konfigurasjon og tilgangsstyring i Entra ID. 

Når vi først er inne i Entra ID kan vi lett tenke oss å kunne kombinere dette med flere metoder. Kan det brukes sammen med Privileged Access Management (PAM). Som en Access Package? Slik at man oppnår Just In Time / Just Enough tilgang? Ja. 

Quanta costa? 

Microsoft Entra Internet Access har en veiledende pris på 54,80 NOK bruker/måned per 01.10.24. Det samme som Microsoft Entra Private Access.  

Begge produktene er en del av Microsoft Entra Suite (131,50 NOK bruker/måned). 

Vi anbefaler Microsoft Entra Suite dersom du kommer til å bruke to eller flere funksjoner i suiten. Les mer om Microsoft Entra Suite her. 

Q&A om Microsoft Entra Internet Access  

Det har kommet inn noen spørsmål i forbindelse med Microsoft Entra Internet Access. Jeg ønsker å adressere disse til slutt.   

Spørsmål 1:  

– Er det kun et utvalg SaaS-applikasjoner og offentlige internettapper som kan bli tunnelert? 

Nei, som standard tunneleres all internettrafikk. Du kan selv velge om en app skal sendes gjennom tunnelen eller ikke. 

Spørsmål 2:  

– Er det en full SWG i den forstand at man kan filtrere ut hva som brukeren skal kunne surfe mot og hvilke protokoller/apper som tillates? Har den HTTPS decrypt/inspeksjon? 

Delvis. Vi kan filtrere på kategorier og FQDN som enten er Allow  eller Block. På nåværende tidspunkt kreves det at http/s trafikk benytter standard porter 80 og 443. UDP og IPv6 er ikke støttet enda. TLS inspeksjon kommer tidlig 2025 ifølge roadmap.  

Spørsmål 3:  

– Gir det meg noe ekstra funksjonalitet ovenfor en full eller splitzone VPN-forbindelse med Conditional Access auth og SWG filtrering?  

Det Microsoft Entra Internet Access gir ekstra er at deteksjoner som f.eks påvirker user risk eller endringer i klientens IP-adresse oppdages og kan trigge andre Conditional Access policies som gir andre regelsett mer eller mindre i sanntid.

I tillegg kan regelsett enkelt tildeles som self service gjennom Access packages. Disse kan i tillegg kreve approval av leder eller administrator. En full eller splitzone VPN krever tilgang til en VPN gateway som gjerne står i on-prem.

Entra Internet Access benytter skytjenester og klienten kobler seg til nærmeste POP (Point of Precence). SWG’n ligger hos Microsoft og man er dermed ikke avhengig av line of sight til on-prem miljøet. 

Spørsmål 4:  

– Hvordan skiller GSA seg fra konkurrentene på globale proxyløsninger? 

Der Microsoft Entra Internet Access skiller seg fra de andre er integrasjonen med Entra ID og Conditional Access. Kombinasjonen med Microsoft Entra Internet Access, CASB og deteksjon av risiko med Identity protection som signaler gjør at tilgang til SaaS tjenester kan trekkes tilbake dersom omstendighetene endres.