حذر خبراء الأمن السيبراني من أن إعداد “Passthrough” في ميزة Microsoft Azure Application Proxy قد يؤدي إلى تعرض موارد الشبكات الخاصة للخطر بشكل غير مقصود، مما يزيد من احتمالية الوصول غير المصرح به إلى تطبيقات داخلية حساسة.
تفاصيل المشكلة
تُعد ميزة Azure App Proxy أداة مهمة تتيح نشر التطبيقات المحلية إلى الإنترنت بطريقة آمنة، دون الحاجة إلى فتح منافذ جدار الحماية التقليدية، وذلك عبر الاعتماد على خدمة Entra ID (التي كانت تعرف سابقًا باسم Azure Active Directory) للمصادقة.
في الوضع الافتراضي، يتم استخدام المصادقة المسبقة عبر Entra ID، مما يضمن أن المستخدمين يتم التحقق منهم قبل الوصول إلى التطبيق. ولكن عند ضبط خيار المصادقة المسبقة إلى “Passthrough”، يتم تجاوز طبقات الحماية، مما يسمح بالوصول المباشر إلى التطبيقات دون أي تحقق إضافي من جانب App Proxy.
وأوضحت شركة TRUSTEDSEC الأمنية أن “استخدام إعداد Passthrough يعادل فعليًا فتح منفذ في جدار الحماية الخاص بك، مما يتيح لأي شخص لديه الرابط المباشر محاولة الوصول إلى النظام الداخلي”.
الأثر الأمني
-
إمكانية تعرض التطبيقات الداخلية للهجمات مثل هجمات القوة الغاشمة أو الاستغلال المباشر للثغرات.
-
انتهاك سياسات الحماية الشبكية التي تعتمد على العزل بين الشبكات الداخلية والعامة.
-
خطر تسريب بيانات حساسة في حال وصول غير مصرح به إلى الأنظمة.
خلفية تقنية: ما هو Azure App Proxy؟
تم تطوير Azure App Proxy لتسهيل الوصول عن بُعد إلى التطبيقات دون الحاجة إلى إنشاء اتصال VPN تقليدي، وذلك عبر توفير طبقة وسيطة للمصادقة. يعتمد الحل على مصادقة المستخدمين عبر Entra ID قبل تمرير الطلبات إلى البنية التحتية الداخلية، مما يعزز من مستويات الأمان.
ومع ظهور تهديدات جديدة تستهدف التطبيقات المكشوفة عبر الإنترنت، بات ضبط إعدادات المصادقة بدقة أمرًا أكثر أهمية من أي وقت مضى.
نصائح للمؤسسات
-
التأكد من أن جميع تطبيقات Azure App Proxy تستخدم المصادقة المسبقة عبر Entra ID وعدم تفعيل خيار “Passthrough” إلا في حالات خاصة ومدروسة.
-
مراجعة دوريّة لإعدادات Azure App Proxy والتحقق من عدم وجود إعدادات تضعف حماية الشبكة.
-
تدريب الفرق الفنية على فهم المخاطر المرتبطة بإعدادات المصادقة الخاطئة.
