Qué es Microsoft Always On VPN – vembu

El acceso remoto es uno de los componentes clave para potenciar la productividad de la fuerza de trabajo móvil cuando está lejos de la ubicación y la red de producción central. A lo largo de los años, la conexión de red privada virtual o VPN ha sido un elemento básico de la fuerza de trabajo móvil de acceso remoto que permite conectarse a las redes empresariales a través de un túnel privado cifrado y seguro a través de Internet. Sin embargo, los despliegues de VPN pueden ser difíciles de implementar y mantener.

Hace unos años, Microsoft introdujo DirectAccess, que se promocionaba como la solución para los retos del acceso remoto. Resultó ser difícil de implementar correctamente y tuvo limitaciones que afectaron a su adopción. Con Windows Server 2016 y superiores, junto con Windows 10, Microsoft ha introducido una nueva tecnología de acceso remoto llamada Always On VPN.

En este post, echaremos un vistazo a lo siguiente:

  • ¿Qué es Microsoft Always On VPN?
  • ¿Cuáles son sus beneficios y requisitos?
  • Tipos de escenarios de implementación

¿Qué es Microsoft Always On VPN?

La Always On VPN de Microsoft es la renovación de la tecnología de acceso remoto DirectAccess que busca superar las limitaciones de DirectAccess y lograr una adopción mucho más amplia. Con la nueva tecnología Always On VPN, Microsoft busca lograr una solución única de acceso remoto que soporte una amplia gama de clientes. Al igual que DirectAccess, la conexión VPN es «Always On», lo que significa que no se requiere la intervención del usuario a menos que se active la autenticación multifactor. En cuanto un cliente se conecta a Internet, se establece la conexión VPN. La gama de clientes soportados, a diferencia de DirectAccess, incluye más que simplemente clientes unidos a un dominio:

  • Domain-joined
  • Non Domain-joined
  • Azure AD-joined devices
  • BYOD

Un bloqueo adicional a DirectAccess era que requería la edición Enterprise desde la perspectiva del cliente. Sin embargo, con AOVPN, Microsoft está permitiendo que los clientes de Windows 10 Pro y superiores se beneficien de la tecnología. Las conexiones soportan tanto las de tipo usuario como las de tipo dispositivo, pero también pueden combinar ambas. Esto permite gestionar un dispositivo con la gestión de dispositivos, así como habilitar la autenticación del usuario para la conectividad a los sitios y servicios internos de la empresa.

VPN1

Resumen de alto nivel de la tecnología Always On VPN Requisitos de infraestructura

El proceso de conexión para conectarse mediante la tecnología Always On VPN implica los siguientes pasos:

  • La resolución DNS es utilizada por el cliente remoto de Windows 10 para resolver la dirección IP de la pasarela VPN
  • Una vez que la resolución de nombres resuelve la dirección IP pública de la pasarela VPN, el cliente envía una solicitud de conexión a la pasarela VPN Always On
  • La pasarela VPN funciona como un cliente RADIUS que reenvía la solicitud de conexión al servidor NPS corporativo para procesar la solicitud de autenticación
  • El servidor de políticas de red realiza la autorización necesaria, El servidor de políticas de red realiza la autorización y autenticación necesarias y, en última instancia, permite o deniega la solicitud
  • La conexión se establece o se desconecta en función de la respuesta del servidor NPS

Requisitos de Microsoft Always On VPN

La solución Microsoft Always On VPN consta de varias partes y piezas móviles. Muchos de los requisitos ya se encuentran en la mayoría de los entornos de clientes empresariales. Sin embargo, estos incluyen:

  • Controladores de dominio
  • Servidores DNS
  • Servidor de políticas de red (NPS)
  • Servidor de autoridad de certificados (CA)
  • Servidor de enrutamiento y acceso remoto

Para profundizar un poco más en los requisitos/premisas para la configuración de Microsoft Always On VPN, hay muchos componentes del entorno de Active Directory, incluidos los servidores DNS y de autoridad de certificados que son necesarios.

  • Las empresas deben tener una estructura DNS externa e interna configurada con zonas para cada una. Se asume una configuración de padre y subdominio al menos en la documentación de Microsoft de quizás un contoso.com y un corp.contoso.com
  • Las organizaciones necesitarán configurar una Infraestructura de Clave Pública utilizando los Servicios de Certificación de Active Directory (AD CS). Al igual que con DirectAccess, la tecnología Always On VPN hace uso de certificados para que la tecnología sea fluida.
  • Se necesitará un servidor de políticas de red existente o nuevo. Los servidores existentes pueden utilizarse con la configuración adicional para la AOVPN
  • Acceso remoto como VPN de puerta de enlace RAS – características habilitadas para soportar conexiones VPN IKEv2 y enrutamiento LAN
  • Configuración de dos cortafuegos – Un cortafuegos será el cortafuegos de borde y el otro es el cortafuegos interno. La interfaz pública del servidor de acceso remoto se conectará al cortafuegos de borde y la interfaz interna se situará frente al cortafuegos interno
  • El servidor de acceso remoto puede ser una VM o un servidor físico para utilizarlo como host RAS con las conexiones de red adecuadas «plomadas» entre los cortafuegos
  • Permisos de administrador para desplegar las tecnologías AOVPN

Tipos de escenarios de despliegue para Microsoft Always On VPN

En realidad hay dos escenarios de despliegue para la tecnología Microsoft Always On VPN. Estos incluyen:

  • Sólo Always On VPN
  • Siempre On VPN con conectividad VPN utilizando el acceso condicional a Azure Active Directory

¿Qué es el acceso condicional a Azure Active Directory?

El acceso condicional de Azure Active Directory tiene en cuenta cómo se accede a un recurso en una decisión de control de acceso. Estas decisiones automatizadas de control de acceso ayudan a asegurar el acceso. Los factores de acceso condicional en cosas tales como el nivel de riesgo de inicio de sesión, la ubicación de la solicitud, la aplicación del cliente, etc.

Esto ayuda a lograr el equilibrio necesario con la protección de los recursos y permitir que los usuarios finales sean productivos y el progreso no se vea obstaculizado innecesariamente.

VPN2

Diseños de acceso condicional de Azure Active Directory/center>

Algunos ejemplos de los factores que se tienen en cuenta para conceder o denegar el acceso son los siguientes:

  • Riesgo de inicio de sesión – Utilizando el aprendizaje automático, Azure detecta los riesgos de inicio de sesión basándose en el comportamiento de la solicitud de inicio de sesión y, potencialmente, incluso bloqueando a un usuario si está justificado
  • Ubicación de la red – Basándose en una ubicación de la red, es posible que se necesiten más pruebas de identidad para demostrar que se es quien se dice ser. Esto puede ser considerado en el acceso condicional con Azure AD
  • Gestión de dispositivos – Tal vez usted quiere restringir el acceso sólo a los dispositivos de propiedad corporativa y administrados, o quiere restringir el tipo de dispositivo que permite acceder a los recursos corporativos
  • Aplicación del cliente – Controla los tipos de aplicaciones que se permiten acceder a los entornos corporativos o determina qué apps deben ser gestionadas por la corporación

Características avanzadas de Microsoft Always On VPN

Hay muchas características avanzadas que se encuentran en la tecnología AOVPN de Microsoft, incluyendo:

  • Alta disponibilidad
  • Autenticación avanzada
  • Características avanzadas de tráfico
  • Protección de seguridad adicional

Alta disponibilidad

Para garantizar la alta disponibilidad con AOVPN, puede equilibrar la carga del tráfico entre varios servidores de políticas de red (NPS) y también utilizar la tecnología de clustering con Remote Access. Para proporcionar resiliencia geográfica del sitio, puede utilizar el Administrador de tráfico global con DNS en Windows Server 2016.

Autenticación avanzada

La AOVPN es compatible con Windows Hello for Business, que sustituye las contraseñas por una autenticación fuerte de dos factores que incluye la biométrica o el PIN. Además, puede utilizar Azure Multi-Factor Authentication que puede integrarse con Windows VPN.

Características avanzadas de tráfico

Las características avanzadas como el filtrado de tráfico, la VPN activada por aplicaciones y el acceso condicional a la VPN pueden utilizarse con la AOVPN de Microsoft para filtrar y proteger aún más el tráfico.

Protección de seguridad adicional

La AOVPN de Microsoft es compatible con Trusted Platform Module (TPM) Key Attestation para proporcionar una mayor garantía de seguridad para el acceso.

Pensamientos finales

Microsoft pretende que la experiencia VPN sea lo más fluida posible. Dado que DirectAccess no se puso de moda como Microsoft esperaba, la nueva tecnología Always On VPN que se encuentra en Windows Server 2016 y superior espera cambiar eso. Con soporte para clientes con licencia no empresarial, así como clientes no unidos a un dominio, AOVPN está ciertamente en una posición mucho mejor para ser adoptada por las empresas hoy en día. AOVPN también está fuertemente vinculado a Azure con la tecnología de «acceso condicional» que permite tomar decisiones más inteligentes sobre quién tiene acceso a los recursos. En general, el despliegue de AOVPN es bastante complejo, ya que requiere muchas tecnologías más difíciles de desplegar, como PKS y NPS. No cabe duda de que la solución AOVPN ofrece grandes ventajas a quienes desean dotar a su personal móvil de la seguridad más avanzada y de una experiencia de usuario sin fisuras.

Siga nuestros feeds de Twitter y Facebook para conocer nuevos lanzamientos, actualizaciones, publicaciones reveladoras y mucho más.

¿Le gusta lo que lee? Valórenos
0,0
00