Hvad er Microsoft Always On VPN – vembu
Remote Access er en af de vigtigste komponenter til at give mobile medarbejdere mulighed for at opnå produktivitet, når de er væk fra det centrale produktionssted og netværk. I årenes løb har Virtual Private Network eller VPN-forbindelse været en vigtig del af den mobile arbejdsstyrke med fjernadgang, som gør det muligt at oprette forbindelse til virksomhedsnetværk via en krypteret og sikker privat tunnel via internettet. Men VPN-implementeringer kan være vanskelige at implementere og vedligeholde.
For et par år siden introducerede Microsoft DirectAccess, der blev udråbt som løsningen på udfordringerne i forbindelse med fjernadgang. Den viste sig at være vanskelig at implementere korrekt og havde begrænsninger, der påvirkede udbredelsen af den. Med Windows Server 2016 og højere samt Windows 10 har Microsoft introduceret en ny fjernadgangsteknologi kaldet Always On VPN.
I dette indlæg tager vi et kig på følgende:
- Hvad er Microsoft Always On VPN?
- Hvad er dens fordele og krav?
- Typer af implementeringsscenarier
Hvad er Microsoft Always On VPN?
Microsofts Always On VPN er en fornyelse af DirectAccess fjernadgangsteknologien, der søger at overvinde begrænsningerne i DirectAccess og opnå en langt bredere udbredelse. Med den nye Always On VPN-teknologi søger Microsoft at opnå en enkelt løsning for fjernadgang, der understøtter en bred vifte af klienter. Ligesom DirectAccess er VPN-forbindelsen “Always On”, hvilket betyder, at der ikke kræves brugerinput, medmindre der er aktiveret multi-faktor-autentifikation. Så snart en klient er forbundet til internettet, etableres VPN-forbindelsen. Udvalget af understøttede klienter omfatter i modsætning til DirectAccess mere end blot domænetilsluttede klienter:
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
En yderligere blokerende faktor for DirectAccess var, at det krævede Enterprise edition fra et klientperspektiv. Med AOVPN tillader Microsoft imidlertid, at Windows 10 Pro- og højere klienter kan drage fordel af teknologien. Forbindelserne understøtter både forbindelser af bruger- og enhedstypen, men kan også kombinere de to typer. Dette gør det muligt at administrere en enhed med enhedsadministration samt at muliggøre brugergodkendelse for tilslutning til interne virksomhedswebsteder og tjenester.
Forbindelsesprocessen for at oprette forbindelse ved hjælp af Always On VPN-teknologien omfatter følgende trin:
- DNS-opløsning anvendes af den eksterne Windows 10-klient til at opløse VPN-gatewayens IP-adresse
- Når navneopløsningen opløser den offentlige IP-adresse for VPN-gatewayen, sender klienten en forbindelsesanmodning til Always On VPN-gatewayen
- VPN-gatewayen fungerer som en RADIUS-klient, der videresender forbindelsesanmodningen til virksomhedens NPS-server for at behandle godkendelsesanmodningen
- Netværkspolitikserveren udfører den nødvendige godkendelse, autentificering og tillader eller afviser i sidste ende anmodningen
- Forbindelsen etableres eller afbrydes derefter på baggrund af svaret fra NPS-serveren
Microsoft Always On VPN-krav
Der er forskellige bevægelige dele og brikker i Microsoft Always On VPN-løsningen. Mange af kravene findes allerede i de fleste virksomhedskundemiljøer. Disse omfatter dog bl.a:
- Domænecontrollere
- DNS-servere
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
For at dykke lidt dybere ned i kravene/forudsætningerne for opsætning af Microsoft Always On VPN, er der mange komponenter i Active Directory-miljøet, herunder DNS og certifikatsmyndighedsservere, der er nødvendige.
- Firksomheder skal have både en ekstern og intern DNS-struktur konfigureret med zoner for hver af dem. En overordnet og underdomænekonfiguration antages i det mindste i Microsoft-dokumentationen af måske en contoso.com og en corp.contoso.com
- Organisationer skal konfigurere en infrastruktur for offentlige nøgler ved hjælp af Active Directory Certificate Services (AD CS). Som med DirectAccess gør Always On VPN-teknologien brug af certifikater for at gøre teknologien problemfri.
- Der vil være behov for en eksisterende eller ny Network Policy Server. Eksisterende servere kan bruges med den ekstra konfiguration til AOVPN
- Remote Access as RAS Gateway VPN – funktioner aktiveret til at understøtte IKEv2 VPN-forbindelser og LAN-routing
- To firewall-konfiguration – Den ene firewall vil være edge firewall og den anden er den interne firewall. Fjernadgangsserverens offentlige grænseflade vil være uplinket til edge firewall’en, og den interne grænseflade vil sidde foran den interne firewall
- Fjernadgangsserveren kan være en VM eller en fysisk server til brug som RAS-vært med de relevante netværksforbindelser “plumbed” mellem firewallerne
- Administratortilladelser til at implementere AOVPN-teknologierne
Typer af implementeringsscenarier for Microsoft Always On VPN
Der er faktisk to implementeringsscenarier for Microsoft Always On VPN-teknologien. Disse omfatter:
- Always On VPN only
- Always On VPN med VPN-forbindelse ved hjælp af betinget Azure Active Directory-adgang
Hvad er den betingede Azure Active Directory-adgang?
Betinget Azure Active Directory-adgang tager højde for, hvordan der er adgang til en ressource, i en beslutning om adgangskontrol. Disse automatiserede adgangskontrolbeslutninger er med til at sikre adgangen. Den betingede adgang tager højde for ting som f.eks. risikoniveauet for logon, anmodningens placering, klientprogrammet osv.
Dette hjælper med at finde den nødvendige balance mellem at beskytte ressourcerne og give slutbrugerne mulighed for at være produktive og for ikke at hindre fremskridt unødigt.
Et par eksempler på de faktorer, der tages i betragtning for enten at give adgang eller nægte adgang, er følgende:
- Sign-in Risk – Ved hjælp af maskinlæring registrerer Azure sign-in risici baseret på adfærd i sign-in anmodningen og potentielt endda blokering af en bruger, hvis det er berettiget
- Netværksplacering – Baseret på en netværksplacering kan der være behov for mere bevis for identitet for at bevise, at du er den, du siger, du er. Dette kan overvejes i betinget adgang med Azure AD
- Enhedsstyring – Måske ønsker du at begrænse adgangen til kun virksomhedsejede og administrerede enheder, eller du ønsker at begrænse den type enhed, som du tillader adgang til virksomhedens ressourcer
- Klientapplikation – Styr de typer applikationer, der har adgang til virksomhedens miljøer, eller bestem hvilke apps der skal administreres af virksomheden
Microsoft Always On VPN Advanced Features
Der er mange avancerede funktioner, der findes i AOVPN-teknologien fra Microsoft, herunder:
- Høj tilgængelighed
- Høj tilgængelighed
- Advanced Authentication
- Advanced Traffic Features
- Advanced Traffic Features
- Additional Security Protection
Høj tilgængelighed
For at sikre høj tilgængelighed med AOVPN kan du lastbalancere trafikken mellem flere Network Policy Servers (NPS) og også bruge clustering-teknologi med Remote Access. Hvis du vil sikre geografisk stedresiliens, kan du bruge Global Traffic Manager med DNS i Windows Server 2016.
Advanced Authentication
AOVPN understøtter Windows Hello for Business, der erstatter adgangskoder med stærk to-faktor-godkendelse, herunder biometrisk eller PIN-kode. Derudover kan du bruge Azure Multi-Factor Authentication, der kan integreres med Windows VPN.
Advanced Traffic Features
Advanced features såsom trafikfiltrering, app-triggered VPN og VPN Conditional Access kan alle bruges med Microsoft AOVPN til yderligere at filtrere og sikre trafikken.
Supplerende sikkerhedsbeskyttelse
Microsofts AOVPN er kompatibel med TPM-nøgleattestering (Trusted Platform Module) for at give en højere sikkerhedsgaranti for adgangen.
Sluttelige tanker
Microsoft sigter mod at gøre VPN-oplevelsen så problemfri som muligt. Da DirectAccess ikke slog igennem, som Microsoft havde håbet, håber den nye Always On VPN-teknologi, der findes i Windows Server 2016 og højere, at ændre dette. Med understøttelse af klienter, der ikke er licenseret af Enterprise, samt klienter, der ikke er tilknyttet et domæne, er AOVPN helt sikkert i en langt bedre position til at blive taget i brug af virksomheder i dag. AOVPN har også stærke bånd til Azure med “conditional access”-teknologien, der gør det muligt at træffe smartere beslutninger om, hvem der får adgang til ressourcer. Generelt set er der en del kompleksitet forbundet med at implementere AOVPN, da det kræver mange mere vanskelige teknologier som PKS og NPS, der er vanskelige at implementere. Der er helt sikkert store fordele ved AOVPN-løsningen for dem, der ønsker at styrke deres mobile arbejdsstyrke med den nyeste sikkerhed og en problemfri brugeroplevelse.
Følg vores Twitter- og Facebook-feeds for nye udgivelser, opdateringer, indsigtsfulde indlæg og meget mere.