Cos’è Microsoft Always On VPN – vembu
L’accesso remoto è uno dei componenti chiave per potenziare la forza lavoro mobile per la produttività quando si è lontani dalla posizione di produzione centrale e dalla rete. Nel corso degli anni, la connessione Virtual Private Network o VPN è stata un punto fermo della forza lavoro mobile ad accesso remoto che permette la connessione alle reti aziendali attraverso un tunnel privato criptato e sicuro via Internet. Tuttavia, le implementazioni VPN possono essere difficili da implementare e mantenere.
Alcuni anni fa, Microsoft ha introdotto DirectAccess che è stato propagandato come la soluzione per le sfide di accesso remoto. Si è rivelato difficile da implementare correttamente e ha avuto limitazioni che hanno influenzato la sua adozione. Con Windows Server 2016 e superiori, insieme a Windows 10, Microsoft ha introdotto una nuova tecnologia di accesso remoto chiamata Always On VPN.
In questo post, daremo uno sguardo a quanto segue:
- Che cos’è Microsoft Always On VPN?
- Quali sono i suoi benefici e requisiti?
- Tipi di scenari di implementazione
Che cos’è Microsoft Always On VPN?
Microsoft Always On VPN è il rinnovamento della tecnologia di accesso remoto DirectAccess che cerca di superare i limiti di DirectAccess e raggiungere un’adozione molto più ampia. Con la nuova tecnologia Always On VPN, Microsoft sta cercando di ottenere una singola soluzione di accesso remoto che supporti una vasta gamma di client. Come DirectAccess, la connessione VPN è “Always On”, il che significa che non è richiesto alcun input da parte dell’utente, a meno che non sia abilitata l’autenticazione a più fattori. Non appena un client è connesso a Internet, la connessione VPN viene stabilita. La gamma di client supportati, a differenza di DirectAccess, include più di semplici client collegati al dominio:
- Collegamento al dominio
- Dispositivi non collegati al dominio
- Azure AD-joined
- BYOD
Un ulteriore ostacolo a DirectAccess è che richiede l’edizione Enterprise dal punto di vista del client. Tuttavia, con AOVPN, Microsoft sta permettendo ai client Windows 10 Pro e superiori di beneficiare della tecnologia. Le connessioni supportano sia le connessioni di tipo utente che quelle di tipo dispositivo, ma possono anche combinare le due cose. Questo permette di gestire un dispositivo con la gestione del dispositivo e di abilitare l’autenticazione dell’utente per la connettività ai siti e ai servizi interni dell’azienda.
Il processo di connessione per connettersi utilizzando la tecnologia Always On VPN prevede i seguenti passaggi:
- La risoluzione DNS viene utilizzata dal client remoto di Windows 10 per risolvere l’indirizzo IP del gateway VPN
- Una volta che la risoluzione del nome risolve l’indirizzo IP pubblico del gateway VPN, il client invia una richiesta di connessione al gateway VPN Always On
- Il gateway VPN funge da client RADIUS che inoltra la richiesta di connessione al server NPS aziendale per elaborare la richiesta di autenticazione
- Il Network Policy Server esegue l’autorizzazione necessaria, autenticazione, e infine permette o nega la richiesta
- La connessione viene quindi stabilita o disconnessa in base alla risposta del server NPS
Requisiti Microsoft Always On VPN
Ci sono varie parti e pezzi in movimento nella soluzione Microsoft Always On VPN. Molti dei requisiti si trovano già nella maggior parte degli ambienti dei clienti aziendali. Tuttavia, questi includono:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
Per approfondire i requisiti/prerequisiti per impostare la Microsoft Always On VPN, ci sono molti componenti dell’ambiente Active Directory, compresi i server DNS e Certificate Authority che sono necessari.
- Le aziende devono avere sia una struttura DNS esterna che interna configurata con zone per ciascuna. Una configurazione di genitore e sottodominio è assunta almeno nella documentazione Microsoft di forse un contoso.com e un corp.contoso.com
- Le organizzazioni dovranno configurare un’infrastruttura a chiave pubblica usando Active Directory Certificate Services (AD CS). Come con DirectAccess, la tecnologia Always On VPN fa uso di certificati per rendere la tecnologia senza soluzione di continuità.
- Sarà necessario un Network Policy Server esistente o nuovo. I server esistenti possono essere utilizzati con la configurazione aggiuntiva per AOVPN
- Remote Access as RAS Gateway VPN – caratteristiche abilitate per supportare le connessioni VPN IKEv2 e il routing LAN
- Configurazione con due firewall – Un firewall sarà il firewall di bordo e l’altro è il firewall interno. L’interfaccia pubblica del server di accesso remoto si collegherà all’edge firewall e l’interfaccia interna si troverà di fronte al firewall interno
- Il server di accesso remoto può essere una VM o un server fisico da usare come host RAS con le connessioni di rete appropriate “piombate” tra i firewall
- I permessi dell’amministratore per distribuire le tecnologie AOVPN
Tipi di scenari di distribuzione per Microsoft Always On VPN
Ci sono effettivamente due scenari di distribuzione per la tecnologia Microsoft Always On VPN. Questi includono:
- Solo Always On VPN
- Always On VPN con connettività VPN utilizzando l’accesso condizionato Azure Active Directory
Che cos’è l’accesso condizionato Azure Active Directory?
L’accesso condizionato di Azure Active Directory tiene conto di come si accede a una risorsa in una decisione di controllo dell’accesso. Queste decisioni automatiche di controllo dell’accesso aiutano a rendere sicuro l’accesso. L’accesso condizionato tiene conto di fattori quali il livello di rischio di accesso, la posizione della richiesta, l’applicazione client, ecc.
Questo aiuta a raggiungere l’equilibrio necessario per proteggere le risorse e consentire agli utenti finali di essere produttivi e di non ostacolare inutilmente il progresso.
Alcuni esempi dei fattori che sono presi in considerazione per concedere o negare l’accesso sono i seguenti:
- Rischio di accesso – Utilizzando l’apprendimento automatico, Azure rileva i rischi di accesso in base al comportamento della richiesta di accesso e potenzialmente anche bloccando un utente se giustificato
- Localizzazione della rete – In base alla posizione della rete, potrebbe essere necessaria una maggiore prova di identità per dimostrare che l’utente è chi dice di essere. Questo può essere considerato nell’accesso condizionato con Azure AD
- Gestione dei dispositivi – Forse vuoi limitare l’accesso solo ai dispositivi aziendali e gestiti, o vuoi limitare il tipo di dispositivo che permetti di accedere alle risorse aziendali
- Applicazione client – Controlla i tipi di applicazioni consentite per accedere agli ambienti aziendali o determinare quali app devono essere gestite dall’azienda
Funzioni avanzate di Microsoft Always On VPN
Ci sono molte funzioni avanzate che si trovano nella tecnologia AOVPN di Microsoft, tra cui:
- Alta disponibilità
- Autenticazione avanzata
- Funzionalità avanzate del traffico
- Protezione supplementare della sicurezza
Alta disponibilità
Per garantire un’alta disponibilità con AOVPN, è possibile bilanciare il traffico tra più Network Policy Server (NPS) e anche utilizzare la tecnologia clustering con Accesso remoto. Per fornire la resilienza del sito geografico è possibile utilizzare il Global Traffic Manager con DNS in Windows Server 2016.
Autenticazione avanzata
L’AOVPN supporta Windows Hello for Business che sostituisce le password con una forte autenticazione a due fattori, tra cui biometrica o PIN. Inoltre, è possibile utilizzare Azure Multi-Factor Authentication che può integrarsi con Windows VPN.
Funzionalità avanzate per il traffico
Funzionalità avanzate come il filtraggio del traffico, VPN attivata da app e accesso condizionato VPN possono essere utilizzate con Microsoft AOVPN per filtrare ulteriormente e proteggere il traffico.
Protezione aggiuntiva della sicurezza
AOVPN di Microsoft è compatibile con Trusted Platform Module (TPM) Key Attestation per fornire una maggiore garanzia di sicurezza per l’accesso.
Pensieri conclusivi
Microsoft sta puntando a rendere l’esperienza VPN il più semplice possibile. Dal momento che DirectAccess non ha preso piede come Microsoft aveva sperato, la nuova tecnologia Always On VPN che si trova in Windows Server 2016 e superiori spera di cambiare questo. Con il supporto per i client con licenza non-Enterprise così come per i client senza dominio, AOVPN è certamente in una posizione migliore per essere adottata dalle imprese oggi. AOVPN ha forti legami con Azure anche con la tecnologia di “accesso condizionato” che permette di prendere decisioni più intelligenti su chi ottiene l’accesso alle risorse. In generale, c’è un bel po’ di complessità nell’implementazione di AOVPN poiché richiede molte tecnologie più difficili da implementare come PKS e NPS. Ci sono certamente grandi vantaggi per la soluzione AOVPN per coloro che vogliono potenziare la loro forza lavoro mobile con l’ultima sicurezza e un’esperienza utente senza soluzione di continuità.
Segui i nostri feed di Twitter e Facebook per nuove uscite, aggiornamenti, post interessanti e altro ancora.