Co je Microsoft Always On VPN – vembu
Vzdálený přístup je jedním z klíčových prvků pro zvýšení produktivity mobilních pracovníků mimo centrální výrobní místo a síť. V průběhu let se základem mobilních pracovníků se vzdáleným přístupem stala virtuální privátní síť neboli připojení VPN, které umožňuje připojení k podnikovým sítím prostřednictvím šifrovaného a zabezpečeného privátního tunelu přes internet. Nasazení VPN však může být náročné na implementaci a údržbu.
Před několika lety společnost Microsoft představila DirectAccess, který byl propagován jako řešení problémů vzdáleného přístupu. Ukázalo se, že je obtížné jej správně implementovat a má omezení, která ovlivnila jeho přijetí. Se systémem Windows Server 2016 a vyššími spolu se systémem Windows 10 představil Microsoft novou technologii vzdáleného přístupu nazvanou Always On VPN.
V tomto příspěvku se podíváme na následující:
- Co je Microsoft Always On VPN?
- Jaké jsou její výhody a požadavky?
- Typy scénářů nasazení
Co je Microsoft Always On VPN?
Microsoft Always On VPN je přepracovaná technologie vzdáleného přístupu DirectAccess, která se snaží překonat omezení DirectAccess a dosáhnout mnohem širšího rozšíření. S novou technologií Always On VPN chce Microsoft dosáhnout jednotného řešení vzdáleného přístupu, které podporuje širokou škálu klientů. Stejně jako DirectAccess je připojení VPN „Always On“, což znamená, že není vyžadován žádný vstup uživatele, pokud není povoleno vícefaktorové ověřování. Jakmile je klient připojen k internetu, je navázáno spojení VPN. Rozsah podporovaných klientů na rozdíl od DirectAccess zahrnuje více než jen klienty připojené k doméně:
- Domain-joined
- Non Domain-joined
- Zařízení připojená k Azure AD
- BYOD
Další překážkou DirectAccess bylo, že z hlediska klienta vyžadoval edici Enterprise. Díky AOVPN však Microsoft umožňuje klientům se systémem Windows 10 Pro a vyšším využívat tuto technologii. Připojení podporují připojení typu uživatel a zařízení, ale mohou je také kombinovat. To umožňuje spravovat zařízení pomocí správy zařízení a také umožnit ověřování uživatelů pro připojení k interním firemním webům a službám.
Proces připojení k připojení pomocí technologie Always On VPN zahrnuje následující kroky:
- Rozlišení DNS využívá vzdálený klient systému Windows 10 k přeložení IP adresy brány VPN
- Po přeložení názvu přeloží veřejnou IP adresu brány VPN, odešle klient požadavek na připojení k bráně Always On VPN
- Brána VPN slouží jako klient RADIUS, který předá požadavek na připojení podnikovému serveru NPS ke zpracování požadavku na ověření
- Server síťových zásad provede potřebnou autorizaci, ověření a nakonec požadavek povolí nebo zamítne
- Připojení je pak navázáno nebo přerušeno na základě odpovědi ze serveru NPS
Požadavky na Microsoft Always On VPN
Řešení Microsoft Always On VPN má různé pohyblivé části a prvky. Mnohé z požadavků se již vyskytují ve většině prostředí podnikových zákazníků. Patří mezi ně však např:
- Řadiče domén
- Servery DNS
- Server síťových zásad (NPS)
- Server certifikačních autorit (CA)
- Server pro směrování a vzdálený přístup
Chcete-li se ponořit trochu hlouběji do požadavků/předpokladů pro nastavení služby Microsoft Always On VPN, je zapotřebí mnoho součástí prostředí Active Directory, včetně serverů DNS a certifikačních autorit.
- Podniky musí mít nakonfigurovanou vnější i vnitřní strukturu DNS se zónami pro každou z nich. Konfigurace nadřazené a podřazené domény se alespoň v dokumentaci společnosti Microsoft předpokládá snad contoso.com a corp.contoso.com
- Organizace budou muset nakonfigurovat infrastrukturu veřejných klíčů pomocí služby AD CS (Active Directory Certificate Services). Stejně jako u DirectAccess využívá technologie Always On VPN certifikáty, aby byla technologie bezproblémová.
- Bude zapotřebí stávající nebo nový server síťových zásad. Stávající servery lze použít s dodatečnou konfigurací pro AOVPN
- Vzdálený přístup jako brána RAS VPN – funkce povolené pro podporu připojení IKEv2 VPN a směrování LAN
- Konfigurace dvou firewallů – jeden firewall bude okrajový firewall a druhý je vnitřní firewall. Veřejné rozhraní serveru pro vzdálený přístup bude připojeno k okrajovému firewallu a vnitřní rozhraní bude umístěno před vnitřním firewallem
- Server pro vzdálený přístup může být virtuální počítač nebo fyzický server pro použití jako hostitel RAS s příslušnými síťovými připojeními. „zapojenými“ mezi brány firewall
- Oprávnění správce k nasazení technologií AOVPN
Typy scénářů nasazení technologie Microsoft Always On VPN
V podstatě existují dva scénáře nasazení technologie Microsoft Always On VPN. Patří mezi ně:
- Pouze Always On VPN
- Always On VPN s připojením VPN pomocí podmíněného přístupu k Azure Active Directory
Co je to podmíněný přístup k Azure Active Directory?
Podmíněný přístup k Azure Active Directory zohledňuje způsob přístupu k prostředku v rozhodnutí o řízení přístupu. Tato automatizovaná rozhodnutí o řízení přístupu pomáhají zabezpečit přístup. Podmíněný přístup zohledňuje například úroveň rizika přihlášení, místo požadavku, klientskou aplikaci atd.
To pomáhá dosáhnout potřebné rovnováhy s ochranou zdrojů a umožněním koncovým uživatelům být produktivní a zbytečně nebrzdit pokrok.
Několik příkladů faktorů, které se berou v úvahu při udělování nebo zamítání přístupu, je následujících:
- Riziko přihlášení – Pomocí strojového učení Azure zjišťuje rizika přihlášení na základě chování požadavku na přihlášení a případně i zablokování uživatele, pokud je to oprávněné
- Umístění v síti – Na základě umístění v síti může být zapotřebí více důkazů totožnosti, aby se prokázalo, že jste tím, za koho se vydáváte. To lze zohlednit v podmíněném přístupu s Azure AD
- Správa zařízení – Možná chcete omezit přístup pouze na zařízení vlastněná a spravovaná společností, nebo chcete omezit typ zařízení, kterému povolíte přístup k podnikovým zdrojům
- Klientské aplikace – Řiďte typy aplikací, kterým je povolen přístup do podnikového prostředí, nebo určete, které aplikace je třeba spravovat podnikově
Pokročilé funkce Microsoft Always On VPN
V technologii AOVPN od společnosti Microsoft najdete mnoho pokročilých funkcí, včetně:
- Vysoká dostupnost
- Pokročilé ověřování
- Pokročilé funkce provozu
- Další ochrana zabezpečení
Vysoká dostupnost
Pro zajištění vysoké dostupnosti s AOVPN můžete vyvažovat provoz mezi více servery síťových zásad (NPS) a také používat technologii clusteringu se vzdáleným přístupem. Pro zajištění geografické odolnosti lokality můžete použít globálního správce provozu s DNS v systému Windows Server 2016.
Pokročilé ověřování
AOVPN podporuje funkci Windows Hello for Business, která nahrazuje hesla silným dvoufaktorovým ověřováním včetně biometrického nebo PIN. Kromě toho můžete používat vícefaktorové ověřování Azure, které lze integrovat s Windows VPN.
Pokročilé funkce pro provoz
Pokročilé funkce, jako je filtrování provozu, VPN spouštěná aplikacemi a podmíněný přístup k VPN, lze použít s Microsoft AOVPN pro další filtrování a zabezpečení provozu.
Další bezpečnostní ochrana
Síť AOVPN od společnosti Microsoft je kompatibilní s technologií Trusted Platform Module (TPM) Key Attestation, která poskytuje vyšší jistotu zabezpečení přístupu.
Závěrečné myšlenky
Síť AOVPN od společnosti Microsoft se snaží o co nejplynulejší používání sítě VPN. Protože se technologie DirectAccess neuchytila tak, jak Microsoft doufal, nová technologie Always On VPN, kterou najdete v systému Windows Server 2016 a vyšších, doufá, že to změní. Díky podpoře klientů s jinou než podnikovou licencí i klientů nepřipojených k doméně má dnes AOVPN rozhodně mnohem lepší pozici pro přijetí v podnicích. AOVPN má silnou vazbu na Azure i díky technologii „podmíněného přístupu“, která umožňuje chytřejší rozhodování o tom, kdo získá přístup ke zdrojům. Obecně lze říci, že nasazení AOVPN je poměrně složité, protože vyžaduje mnoho obtížněji nasaditelných technologií, jako jsou PKS a NPS. Řešení AOVPN má jistě velké výhody pro ty, kteří chtějí svým mobilním pracovníkům poskytnout nejnovější zabezpečení a bezproblémové uživatelské prostředí.
Sledujte naše kanály na Twitteru a Facebooku, kde najdete nové verze, aktualizace, zasvěcené příspěvky a další informace.