Mikä on Microsoft Always On VPN – vembu

Edityskäyttö on yksi tärkeimmistä osatekijöistä, kun halutaan antaa liikkuvalle työvoimalle mahdollisuus tuottavuuteen silloin, kun se on poissa keskeisestä tuotantopaikasta ja verkosta. Vuosien varrella virtuaalinen yksityisverkko eli VPN-yhteys on ollut mobiilin etätyöntekijöiden peruspilari, joka mahdollistaa yhteyden muodostamisen yritysverkkoihin salatun ja turvallisen yksityisen tunnelin kautta Internetin kautta. VPN-käyttöönotot voivat kuitenkin olla vaikeita toteuttaa ja ylläpitää.

Muutama vuosi sitten Microsoft esitteli DirectAccessin, jota mainostettiin ratkaisuna etäkäytön haasteisiin. Se osoittautui vaikeaksi toteuttaa oikein ja sillä oli rajoituksia, jotka vaikuttivat sen käyttöönottoon. Windows Server 2016:n ja uudempien versioiden sekä Windows 10:n myötä Microsoft on ottanut käyttöön uuden etäkäyttötekniikan nimeltä Always On VPN.

Tässä kirjoituksessa tarkastelemme seuraavia asioita:

  • Mikä on Microsoftin Always On VPN?
  • Mitkä ovat sen hyödyt ja vaatimukset?
  • Tyyppisiä käyttöönottoskenaarioita

Mikä on Microsoft Always On VPN?

Microsoftin Always On VPN on DirectAccess-etäkäyttötekniikan uudistettu versio, jolla pyritään poistamaan DirectAccessin rajoitukset ja saavuttamaan paljon laajempi käyttö. Uudella Always On VPN -tekniikalla Microsoft pyrkii saavuttamaan yhden ainoan etäyhteysratkaisun, joka tukee monenlaisia asiakkaita. DirectAccessin tavoin VPN-yhteys on ”Always On”, mikä tarkoittaa, että käyttäjän ei tarvitse syöttää mitään, ellei monitekijätodennusta ole otettu käyttöön. Heti kun asiakas on yhteydessä Internetiin, VPN-yhteys muodostetaan. Tuettujen asiakkaiden valikoima, toisin kuin DirectAccessissa, sisältää muitakin kuin pelkkiä toimialueeseen liitettyjä asiakkaita:

  • Toimialueeseen liitetyt
  • Ei toimialueeseen liitetyt
  • Azure AD:hen liitetyt laitteet
  • BYOD

Lisäestävänä tekijänä DirectAccessissa oli se, että se vaati Enterprise editionin asiakkaan näkökulmasta. AOVPN:n myötä Microsoft kuitenkin sallii Windows 10 Pro ja sitä uudemmat asiakkaat hyötymään tekniikasta. Yhteydet tukevat sekä käyttäjä- että laitetyyppisiä yhteyksiä, mutta niitä voi myös yhdistää. Tämä mahdollistaa laitteen hallinnan laitehallinnalla sekä käyttäjän todennuksen mahdollistamisen yhteyden muodostamiseksi yrityksen sisäisiin sivustoihin ja palveluihin.

VPN1

Korkean tason yleiskatsaus Always On VPN -tekniikkaan Infrastruktuurivaatimukset

Yhteyden muodostaminen Always On VPN -tekniikan avulla edellyttää seuraavia vaiheita:

  • DNS-resoluutiota hyödynnetään etä-Windows 10 -asiakkaassa VPN-yhdyskäytävän IP-osoitteen ratkaisemiseksi
  • Kun nimiresoluutio on ratkaissut VPN-yhdyskäytävän julkisen IP-osoitteen, asiakas lähettää yhteyspyynnön Always On VPN-yhdyskäytävälle
  • VPN-yhdyskäytävä toimii RADIUS-asiakkaana, joka välittää yhteyspyynnön edelleen yrityksen NPS-palvelimelle todennuspyynnön käsittelyä varten
  • Verkkokäytäntöpalvelin suorittaa tarvittavan valtuutuksen, todennuksen ja lopulta sallii tai hylkää pyynnön
  • Yhteys muodostetaan tai katkaistaan NPS-palvelimen vastauksen perusteella

Microsoftin Always On VPN -vaatimukset

Microsoftin Always On VPN-ratkaisussa on useita liikkuvia osia ja osia. Monet vaatimuksista löytyvät jo useimmista yritysasiakkaiden ympäristöistä. Näitä ovat kuitenkin mm:

  • Domain Controllerit
  • DNS-palvelimet
  • Verkkokäytäntöpalvelin (Network Policy Server, NPS)
  • Varmenneviranomaispalvelin (Certification Authority Server, CA)
  • Reititys- ja etäkäyttöpalvelin

Sukelletaan hieman syvemmälle Microsoftin Always On VPN:n käyttöönoton vaatimuksiin/edellytyksiin, tarvitaan monia Active Directory -ympäristön komponentteja, kuten DNS- ja varmennepalvelimet.

  • Yrityksillä on oltava sekä ulkoinen että sisäinen DNS-rakenne, joka on määritetty ja jossa on vyöhykkeet molempia varten. Vanhempien ja alidomainien konfiguraation oletetaan ainakin Microsoftin dokumentaatiossa olevan ehkä contoso.com ja corp.contoso.com
  • Organisaatioiden on konfiguroitava julkisen avaimen infrastruktuuri Active Directory Certificate Services (AD CS) -palvelun avulla. Kuten DirectAccessissa, myös Always On VPN -tekniikassa käytetään varmenteita, jotta tekniikka olisi saumatonta.
  • Tarvitaan olemassa oleva tai uusi Network Policy Server. Olemassa olevia palvelimia voidaan käyttää AOVPN:n lisäkonfiguraatiolla
  • Remote Access as RAS Gateway VPN – ominaisuudet käytössä tukemaan IKEv2 VPN-yhteyksiä ja LAN-reititystä
  • Kahden palomuurin konfiguraatio – Toinen palomuuri on reunapalomuuri ja toinen sisäinen palomuuri. Etäyhteyspalvelimen julkinen rajapinta kytkeytyy reunapalomuuriin ja sisäinen rajapinta sisäisen palomuurin eteen
  • Eläyhteyspalvelin voi olla VM tai fyysinen palvelin, jota käytetään RAS-isäntänä ja jossa on asianmukaiset verkkoyhteydet. ”putkitetaan” palomuurien väliin
  • Valvojan oikeudet AOVPN-tekniikoiden käyttöönottoon

Microsoft Always On VPN:n käyttöönottoskenaarioiden tyypit

Microsoft Always On VPN -tekniikan käyttöönottoskenaarioita on itse asiassa kaksi. Nämä ovat:

  • Always On VPN vain
  • Always On VPN ja VPN-yhteys, jossa käytetään ehdollista Azure Active Directory -käyttöoikeutta

Mikä on ehdollinen Azure Active Directory -käyttöoikeus?

Ehdollinen Azure Active Directory -käyttöoikeus ottaa huomioon sen, miten resurssia käytetään, käytönvalvontapäätöksessä. Nämä automaattiset pääsynvalvontapäätökset auttavat turvaamaan pääsyn. Ehdollinen käyttöoikeus ottaa huomioon esimerkiksi kirjautumisriskin tason, pyynnön sijainnin, asiakassovelluksen jne.

Tämä auttaa löytämään tasapainon, jota tarvitaan resurssien suojaamiseen ja siihen, että loppukäyttäjät voivat olla tuottavia eikä edistymistä estetä tarpeettomasti.

VPN2

Azure Active Directory conditional access designs/center>

Muutamia esimerkkejä tekijöistä, jotka otetaan huomioon joko käyttöoikeuden myöntämisessä tai epäämisessä, ovat seuraavat:

  • Kirjautumisriski – Azure havaitsee koneoppimisen avulla kirjautumispyynnön käyttäytymisen perusteella kirjautumisriskin ja mahdollisesti jopa estää käyttäjän, jos se on perusteltua
  • Verkon sijainti – Verkon sijainnin perusteella voidaan tarvita enemmän henkilöllisyystodisteita sen osoittamiseksi, että olet se, joka väität olevasi. Tämä voidaan ottaa huomioon ehdollisessa käyttöoikeudessa Azure AD:n kanssa
  • Laitteiden hallinta – Ehkä haluat rajoittaa pääsyn vain yrityksen omistamiin ja hallinnoimiin laitteisiin, tai haluat rajoittaa laitetyyppiä, jolla sallit pääsyn yrityksen resursseihin
  • Asiakassovellukset – Hallitse sovellustyyppejä, joilla sallitaan pääsy yritysympäristöihin, tai määritä, mitä sovelluksia yrityksen on hallinnoitava

Microsoft Always On VPN:n lisäominaisuudet

Microsoftin AOVPN-teknologiassa on monia lisäominaisuuksia, kuten:

  • Korkea käytettävyys
  • Edistynyt todennus
  • Edistyneet liikenneominaisuudet
  • Lisätietoturvasuojaus

Korkea käytettävyys

Korkea käytettävyys

Korkean käytettävyyden takaamiseksi AOVPN:n avulla voit tasata kuormanjakoa useiden verkkokäyttöpolitiikkapalvelimien (Network Policy Servers, NPS) välillä ja käyttää klusterointitekniikan käyttöä myös etäkäytön kanssa. Voit tarjota maantieteellisen sijainnin häiriönsietokyvyn käyttämällä Windows Server 2016:n DNS:ää sisältävää Global Traffic Manageria.

Edistynyt todennus

AOVPN tukee Windows Hello for Business -palvelua, joka korvaa salasanat vahvalla kaksitekijätodennuksella, mukaan lukien biometrinen tai PIN-koodi. Lisäksi voit käyttää Azuren monitekijätodennusta, joka voidaan integroida Windows VPN:ään.

Edistyneet liikenneominaisuudet

Edistyneempiä ominaisuuksia, kuten liikenteen suodatusta, sovellusten käynnistämää VPN:ää ja VPN:n ehdollista käyttöoikeutta, voidaan käyttää Microsoftin AOVPN:n kanssa liikenteen suodattamisen ja suojaamisen tehostamiseksi.

Lisätietoturvasuojaus

Microsoftin AOVPN on yhteensopiva Trusted Platform Module (TPM) Key Attestation -avaimen varmentamisen kanssa, mikä tarjoaa korkeamman turvallisuustason käyttövarmuuden.

Loppuajatuksia

Microsoft pyrkii tekemään VPN-kokemuksesta mahdollisimman saumattoman. Koska DirectAccess ei levinnyt Microsoftin toivomalla tavalla, uusi Windows Server 2016:sta ja sitä korkeammista versioista löytyvä Always On VPN -tekniikka toivoo muutosta tähän. Kun se tukee muita kuin Enterprise-lisenssillä varustettuja asiakkaita sekä muita kuin toimialueeseen liittyneitä asiakkaita, AOVPN:llä on varmasti paljon paremmat mahdollisuudet tulla hyväksytyksi yrityksissä nykyään. AOVPN:llä on vahvat yhteydet Azureen myös ehdollisen pääsyn tekniikan avulla, joka mahdollistaa älykkäämpien päätösten tekemisen siitä, kuka saa pääsyn resursseihin. Yleisesti ottaen AOVPN:n käyttöönotto on melko monimutkaista, koska se edellyttää monia vaikeammin käyttöönotettavia tekniikoita, kuten PKS:ää ja NPS:ää. AOVPN-ratkaisulla on varmasti suuria etuja niille, jotka haluavat antaa liikkuvalle henkilöstölleen uusimman tietoturvan ja saumattoman käyttökokemuksen.

Seuraa Twitter- ja Facebook-syötteitämme saadaksesi uusia julkaisuja, päivityksiä, oivaltavia viestejä ja paljon muuta.

Tykkäätkö lukemastasi? Arvioi meitä
0.0
00