Wat is Microsoft Always On VPN – vembu
Remote Access is een van de belangrijkste onderdelen om mobiele werknemers in staat te stellen productief te zijn wanneer ze niet in de buurt zijn van de centrale productielocatie en het netwerk. In de loop der jaren is een virtueel privénetwerk of VPN-verbinding een belangrijk hulpmiddel geworden voor mobiele werknemers die op afstand toegang willen krijgen tot bedrijfsnetwerken via een versleutelde en beveiligde privétunnel via internet. VPN-implementaties kunnen echter moeilijk te implementeren en te onderhouden zijn.
Een paar jaar geleden introduceerde Microsoft DirectAccess, dat werd aangeprezen als dé oplossing voor remote access-uitdagingen. Het bleek moeilijk om correct te implementeren en had beperkingen die de adoptie ervan beïnvloedden. Met Windows Server 2016 en hoger, samen met Windows 10, heeft Microsoft een nieuwe technologie voor toegang op afstand geïntroduceerd, genaamd Always On VPN.
In dit bericht nemen we het volgende onder de loep:
- Wat is Microsoft Always On VPN?
- Wat zijn de voordelen en vereisten?
- Types van implementatie scenario’s
Wat is Microsoft Always On VPN?
Microsoft’s Always On VPN is de opwaardering van DirectAccess remote access technologie met als doel de beperkingen van DirectAccess te overwinnen en een veel bredere acceptatie te bereiken. Met de nieuwe Always On VPN-technologie wil Microsoft komen tot een enkele oplossing voor toegang op afstand die een breed scala aan clients ondersteunt. Net als DirectAccess is de VPN-verbinding “Always On”, wat betekent dat er geen gebruikersinput nodig is, tenzij multifactorauthenticatie is ingeschakeld. Zodra een client verbinding heeft met het Internet, wordt de VPN-verbinding tot stand gebracht. De reeks ondersteunde clients omvat, in tegenstelling tot DirectAccess, meer dan alleen maar domain-joined clients:
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
Een extra blokkade voor DirectAccess was dat het een Enterprise-editie vereiste vanuit het perspectief van de client. Met AOVPN laat Microsoft echter Windows 10 Pro en hogere clients profiteren van de technologie. De verbindingen ondersteunen zowel verbindingen van het type gebruiker als apparaat, maar kunnen beide ook combineren. Zo kan een apparaat worden beheerd met apparaatbeheer, maar kan ook gebruikersauthenticatie worden ingeschakeld voor connectiviteit met interne bedrijfssites en -diensten.
Het verbindingsproces om verbinding te maken met behulp van de Always On VPN-technologie omvat de volgende stappen:
- DNS-resolutie wordt door de externe Windows 10-client gebruikt om het IP-adres van de VPN-gateway op te lossen
- Nadat de naamresolutie het openbare IP-adres van de VPN-gateway heeft opgelost, stuurt de client een verbindingsverzoek naar de Always On VPN-gateway
- De VPN-gateway doet dienst als een RADIUS-client die het verbindingsverzoek doorstuurt naar de bedrijfs-NPS-server om het authenticatieverzoek te verwerken
- De Network Policy Server voert de noodzakelijke autorisatie uit, authenticatie, en staat uiteindelijk het verzoek toe of wijst het af
- De verbinding wordt dan tot stand gebracht of verbroken op basis van het antwoord van de NPS-server
Microsoft Always On VPN Eisen
Er zijn verschillende bewegende delen en stukken aan de Microsoft Always On VPN-oplossing. Veel van de eisen zijn al te vinden in de meeste enterprise klantomgevingen. Echter, deze omvatten:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
Om wat dieper in de eisen/vereisten te duiken voor het opzetten van het Microsoft Always On VPN, zijn er veel componenten van de Active Directory omgeving, waaronder DNS en Certificate Authority Servers, die nodig zijn.
- Bedrijven moeten zowel een externe als interne DNS structuur geconfigureerd hebben met zones voor elk. Een parent en subdomain configuratie wordt verondersteld, althans in Microsoft documentatie van misschien een contoso.com en een corp.contoso.com
- Organisaties zullen een Public Key Infrastructure moeten configureren met behulp van Active Directory Certificate Services (AD CS). Net als bij DirectAccess maakt de Always On VPN-technologie gebruik van certificaten om de technologie naadloos te maken.
- Een bestaande of nieuwe Network Policy Server zal nodig zijn. Bestaande servers kunnen worden gebruikt met de extra configuratie voor de AOVPN
- Remote Access als RAS Gateway VPN – functies ingeschakeld ter ondersteuning van IKEv2 VPN-verbindingen en LAN routing
- Twee Firewall configuratie – Een firewall zal de rand firewall en de andere is de interne firewall. De publieke interface van de remote access server zal uplinken naar de edge firewall en de interne interface zal voor de interne firewall staan
- De remote access server kan een VM of een fysieke server zijn voor gebruik als de RAS host met de juiste netwerkverbindingen “
- Toestemming van de beheerder om de AOVPN-technologieën te implementeren
Typen implementatiescenario’s voor Microsoft Always On VPN
Er zijn eigenlijk twee implementatiescenario’s voor de Microsoft Always On VPN-technologie. Deze omvatten:
- Always On VPN alleen
- Always On VPN met VPN-connectiviteit met voorwaardelijke Azure Active Directory-toegang
Wat is de voorwaardelijke Azure Active Directory-toegang?
Voorwaardelijke Azure Active Directory-toegang houdt rekening met de manier waarop een bron wordt benaderd in een toegangscontrolebeslissing. Deze geautomatiseerde toegangscontrole beslissingen helpen om de toegang te beveiligen. De voorwaardelijke toegang houdt rekening met zaken als het risiconiveau van aanmelding, de locatie van het verzoek, de clienttoepassing, enz.
Dit helpt om de balans te vinden die nodig is om bronnen te beschermen en eindgebruikers productief te laten zijn en de voortgang niet onnodig te belemmeren.
Een paar voorbeelden van factoren waarmee rekening wordt gehouden bij het verlenen of weigeren van toegang, zijn de volgende:
- Aanmeldingsrisico – Met behulp van machine learning detecteert Azure aanmeldingsrisico’s op basis van het gedrag van het aanmeldingsverzoek en kan een gebruiker mogelijk zelfs worden geblokkeerd als dat gerechtvaardigd is
- Netwerklocatie – Op basis van een netwerklocatie kan meer identiteitsbewijs nodig zijn om aan te tonen dat u bent wie u zegt dat u bent. Dit kan worden overwogen in voorwaardelijke toegang met Azure AD
- Device Management – Misschien wilt u de toegang beperken tot alleen apparaten die eigendom zijn van het bedrijf en worden beheerd, of u wilt het type apparaat beperken dat u toegang geeft tot bedrijfsmiddelen
- Client Application – Bepaal de typen toepassingen die toegang mogen hebben tot bedrijfsomgevingen of bepaal welke apps moeten worden beheerd door het bedrijf
Microsoft Always On VPN Advanced Features
Er zijn veel geavanceerde functies die worden gevonden in de AOVPN-technologie van Microsoft, waaronder:
- Hoge beschikbaarheid
- Geavanceerde authenticatie
- Geavanceerde verkeersfuncties
- Aanvullende beveiligingsbescherming
Hoge beschikbaarheid
Om een hoge beschikbaarheid met AOVPN te garanderen, kunt u verkeer load balanceren tussen meerdere Network Policy Servers (NPS) en ook clusteringstechnologie gebruiken met Remote Access. Om geografische locatieresilience te bieden, kunt u de Global Traffic Manager met DNS in Windows Server 2016 gebruiken.
Advanced Authentication
Het AOVPN ondersteunt Windows Hello for Business dat wachtwoorden vervangt door sterke tweefactorauthenticatie, inclusief biometrische of PIN. Daarnaast kunt u Azure Multi-Factor Authentication gebruiken dat kan integreren met Windows VPN.
Advanced Traffic Features
Advanced features zoals traffic filtering, app-triggered VPN, en VPN conditional access kunnen allemaal worden gebruikt met de Microsoft AOVPN om verkeer verder te filteren en te beveiligen.
Aanvullende beveiligingsbeveiliging
Microsoft’s AOVPN is compatibel met Trusted Platform Module (TPM) Key Attestation om een hogere beveiligingszekerheid voor toegang te bieden.
Conclusie
Microsoft streeft ernaar de VPN-ervaring zo naadloos mogelijk te maken. Omdat DirectAccess niet aansloeg zoals Microsoft had gehoopt, hoopt de nieuwe Always On VPN-technologie die in Windows Server 2016 en hoger te vinden is, daar verandering in te brengen. Met ondersteuning voor niet-Enterprise-gelicenseerde clients, evenals voor niet-domain joined clients, is AOVPN zeker in een veel betere positie om te worden overgenomen door ondernemingen vandaag. AOVPN heeft ook sterke banden met Azure met de “voorwaardelijke toegang” technologie die het mogelijk maakt om slimmere beslissingen te nemen over wie toegang krijgt tot middelen. Over het algemeen is er nogal wat complexiteit gemoeid met de implementatie van AOVPN omdat het veel moeilijker te implementeren technologieën vereist zoals PKS en NPS. Er zijn zeker grote voordelen aan de AOVPN-oplossing voor degenen die hun mobiele werknemers willen voorzien van de nieuwste beveiliging en naadloze gebruikerservaring.
Volg onze Twitter- en Facebook-feeds voor nieuwe releases, updates, inzichtelijke berichten en meer.