Mi az a Microsoft Always On VPN – vembu
A távoli hozzáférés az egyik legfontosabb összetevője annak, hogy a mobil munkaerő a központi termelési helyszíntől és hálózattól távol termelékenyebbé váljon. Az évek során a virtuális magánhálózat vagy VPN-kapcsolat a távoli hozzáférésű mobil munkaerő egyik alapeleme lett, amely lehetővé teszi az üzleti hálózatokhoz való csatlakozást egy titkosított és biztonságos magánalagúton keresztül az interneten keresztül. A VPN-telepítéseket azonban nehéz lehet megvalósítani és karbantartani.
Néhány évvel ezelőtt a Microsoft bevezette a DirectAccess-t, amelyet a távoli hozzáférés kihívásainak megoldásaként hirdettek. Nehéznek bizonyult a helyes megvalósítása, és olyan korlátozásokkal rendelkezett, amelyek befolyásolták az elfogadottságát. A Windows Server 2016 és újabb operációs rendszerekkel, valamint a Windows 10 rendszerrel együtt a Microsoft bevezetett egy új távoli hozzáférési technológiát, az Always On VPN-t.
Ebben a bejegyzésben a következőket vesszük szemügyre:
- Mi a Microsoft Always On VPN?
- Milyen előnyei és követelményei vannak?
- Típusos telepítési forgatókönyvek
Mi a Microsoft Always On VPN?
A Microsoft Always On VPN a DirectAccess távoli hozzáférési technológia megújítása, amely a DirectAccess korlátainak leküzdésére és sokkal szélesebb körű elterjedésére törekszik. Az új Always On VPN technológiával a Microsoft egyetlen, a kliensek széles körét támogató távoli hozzáférési megoldást szeretne elérni. A DirectAccess-hez hasonlóan a VPN-kapcsolat is “Always On”, ami azt jelenti, hogy nincs szükség felhasználói beavatkozásra, hacsak nincs engedélyezve a többfaktoros hitelesítés. Amint az ügyfél csatlakozik az internethez, a VPN-kapcsolat létrejön. A támogatott kliensek köre a DirectAccess-szel ellentétben nem csak tartományhoz csatlakozó klienseket tartalmaz:
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
A DirectAccess további gátja volt, hogy az ügyfél szempontjából Enterprise kiadás szükséges. Az AOVPN-nel azonban a Microsoft lehetővé teszi, hogy a Windows 10 Pro és magasabb szintű kliensek is élvezhessék a technológia előnyeit. A kapcsolatok mind a felhasználói, mind az eszköztípusú kapcsolatokat támogatják, de a kettőt kombinálni is lehet. Ez lehetővé teszi az eszköz kezelését az eszközkezeléssel, valamint a felhasználói hitelesítés lehetővé tételét a belső vállalati webhelyekhez és szolgáltatásokhoz való kapcsolódáshoz.
A csatlakozási folyamat az Always On VPN technológia használatával történő csatlakozáshoz a következő lépésekből áll:
- A távoli Windows 10 kliens a DNS-feloldást használja a VPN-átjáró IP-címének feloldásához
- Mihelyt a névfeloldás feloldja a VPN-átjáró nyilvános IP-címét, az ügyfél kapcsolati kérelmet küld az Always On VPN átjárónak
- A VPN átjáró RADIUS-kliensként is működik, amely továbbítja a kapcsolati kérelmet a vállalati NPS-kiszolgálónak a hitelesítési kérelem feldolgozásához
- A hálózati házirend-kiszolgáló elvégzi a szükséges engedélyezést, hitelesítést, és végül engedélyezi vagy elutasítja a kérést
- A kapcsolat ezután létrejön vagy megszakad az NPS-kiszolgálótól kapott válasz alapján
Microsoft Always On VPN követelmények
A Microsoft Always On VPN megoldásnak számos mozgó része és darabja van. A követelmények közül sok már megtalálható a legtöbb vállalati ügyfélkörnyezetben. Ezek közé tartoznak azonban a következők:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
A Microsoft Always On VPN beállításának követelményeiben/előfeltételeiben kicsit mélyebben elmerülve, az Active Directory környezet számos összetevőjére van szükség, beleértve a DNS és a Tanúsítványkezelő szervereket is.
- A vállalkozásoknak mind külső, mind belső DNS-struktúrát kell konfigurálniuk, mindkét zónával. Egy szülő és egy aldomain konfigurációt feltételez legalábbis a Microsoft dokumentációja, talán egy contoso.com és egy corp.contoso.com
- A szervezeteknek be kell konfigurálniuk egy nyilvános kulcsú infrastruktúrát az Active Directory tanúsítványszolgáltatások (AD CS) segítségével. A DirectAccess-hez hasonlóan az Always On VPN technológia is tanúsítványokat használ a technológia zökkenőmentessé tétele érdekében.
- Egy meglévő vagy új hálózati házirend-kiszolgálóra lesz szükség. A meglévő kiszolgálók az AOVPN kiegészítő konfigurációjával használhatók
- Távoli hozzáférés RAS Gateway VPN-ként – az IKEv2 VPN-kapcsolatok és a LAN-útválasztás támogatására engedélyezett funkciók
- Két tűzfal konfiguráció – Az egyik tűzfal lesz a szélső tűzfal, a másik pedig a belső tűzfal. A távoli hozzáférési kiszolgáló nyilvános interfésze a szélső tűzfalhoz csatlakozik, a belső interfész pedig a belső tűzfal előtt helyezkedik el
- A távoli hozzáférési kiszolgáló lehet egy VM vagy egy fizikai kiszolgáló, amely a megfelelő hálózati kapcsolatokkal rendelkező RAS-gazdaként használható. a tűzfalak közé “vezetve”
- Az AOVPN technológiák telepítéséhez szükséges rendszergazdai engedélyek
A Microsoft Always On VPN telepítési forgatókönyveinek típusai
A Microsoft Always On VPN technológiának valójában két telepítési forgatókönyve van. Ezek a következők:
- KizárólagAlways On VPN
- Always On VPN VPN VPN-kapcsolattal, feltételes Azure Active Directory hozzáféréssel
Mi a feltételes Azure Active Directory hozzáférés?
A feltételes Azure Active Directory-hozzáférés a hozzáférés-szabályozási döntésnél figyelembe veszi az erőforrás elérésének módját. Ezek az automatizált hozzáférés-szabályozási döntések segítenek a hozzáférés biztosításában. A feltételes hozzáférés olyan dolgokat vesz figyelembe, mint a bejelentkezési kockázati szint, a kérés helye, az ügyfélalkalmazás stb.
Ez segít megtalálni az erőforrások védelméhez szükséges egyensúlyt, és lehetővé teszi, hogy a végfelhasználók produktívak legyenek, és ne akadályozzák szükségtelenül a fejlődést.
A hozzáférés engedélyezése vagy megtagadása során figyelembe vett tényezők közül néhány példa a következő:
- A bejelentkezési kockázat – Az Azure a gépi tanulás segítségével a bejelentkezési kérelem viselkedése alapján észleli a bejelentkezési kockázatokat, és adott esetben akár le is tilthatja a felhasználót, ha indokolt
- Hálózati hely – A hálózati hely alapján több személyazonossági bizonyítékra lehet szükség annak bizonyítására, hogy Ön az, akinek mondja magát. Ez figyelembe vehető az Azure AD-vel történő feltételes hozzáférésnél
- Készülékkezelés – Talán csak a vállalati tulajdonú és kezelt eszközökre szeretné korlátozni a hozzáférést, vagy korlátozni szeretné, hogy milyen típusú eszközzel engedélyezi a vállalati erőforrásokhoz való hozzáférést
- Kliensalkalmazások – Szabályozza a vállalati környezethez engedélyezett alkalmazástípusokat, vagy határozza meg, hogy mely alkalmazásokat kell a vállalatnak kezelnie
Microsoft Always On VPN speciális funkciók
A Microsoft AOVPN technológiájában számos speciális funkció található, többek között:
- Nagyfokú rendelkezésre állás
- Kifejlett hitelesítés
- Kifejlett forgalmi funkciók
- Kiegészítő biztonsági védelem
Nagyfokú rendelkezésre állás
Az AOVPN nagyfokú rendelkezésre állásának biztosítása érdekében a forgalom több hálózati házirend-kiszolgáló (NPS) közötti terheléselosztás és a fürtözési technológia használata is lehetséges a távoli eléréssel. A földrajzi telephelyek rugalmasságának biztosításához használhatja a Windows Server 2016-ban a DNS-t tartalmazó globális forgalomkezelőt.
Kifejlett hitelesítés
Az AOVPN támogatja a Windows Hello for Business szolgáltatást, amely a jelszavakat erős kétfaktoros hitelesítéssel helyettesíti, beleértve a biometrikus vagy PIN-kódot is. Emellett használhatja az Azure többfaktoros hitelesítést is, amely integrálható a Windows VPN-hez.
Továbbfejlesztett forgalmi funkciók
A Microsoft AOVPN-nel olyan továbbfejlesztett funkciók használhatók, mint a forgalomszűrés, az alkalmazásvezérelt VPN és a VPN feltételes hozzáférés a forgalom további szűrése és védelme érdekében.
Kiegészítő biztonsági védelem
A Microsoft AOVPN kompatibilis a Trusted Platform Module (TPM) kulcstanúsítással, így nagyobb biztonságot nyújt a hozzáféréshez.
Köszönő gondolatok
A Microsoft célja, hogy a VPN-élmény a lehető legzökkenőmentesebb legyen. Mivel a DirectAccess nem úgy vált be, ahogy azt a Microsoft remélte, a Windows Server 2016-ban és a magasabb szintű Windows Serverekben található új Always On VPN-technológia reméli, hogy ez megváltozik. A nem vállalati licenccel rendelkező ügyfelek, valamint a nem domainhez csatlakozott ügyfelek támogatásával az AOVPN ma már minden bizonnyal sokkal jobb helyzetben van ahhoz, hogy a vállalatok elfogadják. Az AOVPN erősen kapcsolódik az Azure-hoz is a “feltételes hozzáférés” technológiával, amely lehetővé teszi az okosabb döntések meghozatalát arról, hogy ki kap hozzáférést az erőforrásokhoz. Általánosságban elmondható, hogy az AOVPN telepítése meglehetősen összetett, mivel számos nehezebben telepíthető technológiát igényel, mint például a PKS és az NPS. Az AOVPN megoldás minden bizonnyal nagy előnyökkel jár azok számára, akik a legmodernebb biztonsággal és zökkenőmentes felhasználói élménnyel szeretnék felvértezni mobil munkatársaikat.
Kövesse Twitter és Facebook hírfolyamunkat az új kiadásokért, frissítésekért, tanulságos bejegyzésekért és még sok másért.