What is Microsoft Always On VPN – vembu
Remote Access is one of the key components of empowering the mobile workforce for productivity when away from the central production location and network. Przez lata wirtualna sieć prywatna lub połączenie VPN było podstawą zdalnego dostępu mobilnych pracowników, które umożliwia łączenie się z sieciami firmowymi za pośrednictwem szyfrowanego i bezpiecznego tunelu prywatnego przez Internet. Wdrożenia VPN mogą być jednak trudne do wdrożenia i utrzymania.
Kilka lat temu firma Microsoft wprowadziła usługę DirectAccess, która była reklamowana jako rozwiązanie problemów związanych ze zdalnym dostępem. Okazało się, że jest on trudny do prawidłowego wdrożenia i miał ograniczenia, które wpłynęły na jego przyjęcie. W systemie Windows Server 2016 i nowszych, wraz z systemem Windows 10, firma Microsoft wprowadziła nową technologię zdalnego dostępu o nazwie Always On VPN.
W tym poście przyjrzymy się następującym zagadnieniom:
- Czym jest Microsoft Always On VPN?
- Jakie są jego korzyści i wymagania?
- Types of Deployment Scenarios
What is Microsoft Always On VPN?
Microsoft’s Always On VPN is the revamp of DirectAccess remote access technology seeking to overcome the limitations of DirectAccess and achieve much wider adoption. Z nową technologią Always On VPN, Microsoft chce osiągnąć jedno rozwiązanie zdalnego dostępu, które wspiera szeroki wachlarz klientów. Podobnie jak DirectAccess, połączenie VPN jest „Always On”, co oznacza, że nie jest wymagane wprowadzanie danych przez użytkownika, chyba że włączone jest uwierzytelnianie wieloczynnikowe. Gdy tylko klient jest podłączony do Internetu, połączenie VPN jest nawiązywane. Zakres obsługiwanych klientów, w przeciwieństwie do DirectAccess, obejmuje więcej niż tylko klientów połączonych z domeną:
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
Dodatkową blokadą dla DirectAccess było to, że wymagał on edycji Enterprise z perspektywy klienta. Jednak dzięki AOVPN Microsoft pozwala klientom z Windows 10 Pro i nowszym korzystać z tej technologii. Połączenia obsługują zarówno połączenia typu użytkownik, jak i urządzenie, ale mogą też łączyć oba te typy połączeń. Pozwala to na zarządzanie urządzeniem za pomocą zarządzania urządzeniem, jak również umożliwia uwierzytelnianie użytkownika w celu uzyskania łączności z wewnętrznymi witrynami i usługami firmy.
Proces łączenia się przy użyciu technologii Always On VPN obejmuje następujące kroki:
- Rozdzielczość DNS jest wykorzystywana przez zdalnego klienta systemu Windows 10 do rozwiązania adresu IP bramy VPN
- Po tym, jak rozdzielczość nazw rozwiąże publiczny adres IP bramy VPN, klient wysyła żądanie połączenia do bramy Always On VPN
- Brama VPN podwaja się jako klient RADIUS, który przekazuje żądanie połączenia do korporacyjnego serwera NPS w celu przetworzenia żądania uwierzytelnienia
- Serwer zasad sieciowych wykonuje niezbędną autoryzację, uwierzytelnianie i ostatecznie zezwala lub odrzuca żądanie
- Połączenie jest następnie nawiązywane lub rozłączane na podstawie odpowiedzi z serwera NPS
Wymagania Microsoft Always On VPN
W rozwiązaniu Microsoft Always On VPN występują różne ruchome części i elementy. Wiele z tych wymagań można już znaleźć w większości środowisk klientów korporacyjnych. Obejmują one jednak:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
Aby zanurzyć się nieco głębiej w wymaganiach/wymaganiach wstępnych dotyczących konfigurowania Microsoft Always On VPN, istnieje wiele komponentów środowiska Active Directory, w tym serwery DNS i Certificate Authority, które są wymagane.
- Przedsiębiorstwa muszą mieć zarówno zewnętrzną, jak i wewnętrzną strukturę DNS skonfigurowaną ze strefami dla każdej z nich. Konfiguracja domeny nadrzędnej i poddomeny jest zakładana przynajmniej w dokumentacji Microsoft, być może contoso.com i corp.contoso.com
- Organizacje będą musiały skonfigurować infrastrukturę klucza publicznego używając Active Directory Certificate Services (AD CS). Podobnie jak w przypadku DirectAccess, technologia Always On VPN wykorzystuje certyfikaty, aby uczynić tę technologię bezproblemową.
- Potrzebny będzie istniejący lub nowy Network Policy Server. Istniejące serwery mogą być użyte z dodatkową konfiguracją dla AOVPN
- Remote Access as RAS Gateway VPN – funkcje włączone do obsługi połączeń IKEv2 VPN i routingu LAN
- Konfiguracja dwóch firewalli – Jeden firewall będzie firewallem brzegowym, a drugi wewnętrznym. Interfejs publiczny serwera zdalnego dostępu będzie łączył się z zaporą brzegową, a interfejs wewnętrzny będzie znajdował się przed zaporą wewnętrzną
- Serwer zdalnego dostępu może być maszyną wirtualną lub fizycznym serwerem używanym jako host RAS z odpowiednimi połączeniami sieciowymi „poprowadzonymi” między zaporami
- Uprawnienia administratora do wdrażania technologii AOVPN
Typowe scenariusze wdrożenia dla Microsoft Always On VPN
Właściwie istnieją dwa scenariusze wdrożenia technologii Microsoft Always On VPN. Należą do nich:
- Always On VPN only
- Always On VPN with VPN connectivity using conditional Azure Active Directory access
Co to jest warunkowy dostęp do Azure Active Directory?
Warunkowy dostęp do usługi Azure Active Directory uwzględnia sposób dostępu do zasobu w decyzji dotyczącej kontroli dostępu. Te zautomatyzowane decyzje kontroli dostępu pomagają zabezpieczyć dostęp. Dostęp warunkowy uwzględnia takie czynniki, jak poziom ryzyka logowania, lokalizacja żądania, aplikacja klienta itp.
Pomaga to osiągnąć równowagę potrzebną do ochrony zasobów i umożliwienia użytkownikom końcowym bycia produktywnym, a postęp nie był niepotrzebnie utrudniany.
Kilka przykładów czynników, które są brane pod uwagę przy przyznawaniu dostępu lub odmowie dostępu, jest następujących:
- Ryzyko logowania – Wykorzystując uczenie maszynowe, Azure wykrywa ryzyko logowania w oparciu o zachowanie żądania logowania i potencjalnie nawet blokuje użytkownika, jeśli jest to uzasadnione
- Lokalizacja sieci – W oparciu o lokalizację sieci może być potrzebny większy dowód tożsamości, aby udowodnić, że użytkownik jest tym, za kogo się podaje. Można to rozważyć w dostępie warunkowym z Azure AD
- Zarządzanie urządzeniami – Być może chcesz ograniczyć dostęp tylko do urządzeń będących własnością firmy i zarządzanych, lub chcesz ograniczyć typ urządzenia, któremu pozwalasz na dostęp do zasobów korporacyjnych
- Client Application – Kontroluj typy aplikacji dopuszczonych do środowisk korporacyjnych lub określ, które aplikacje muszą być zarządzane przez korporację
Microsoft Always On VPN Advanced Features
Istnieje wiele zaawansowanych funkcji, które można znaleźć w technologii AOVPN firmy Microsoft, w tym:
- Wysoka dostępność
- Zaawansowane uwierzytelnianie
- Zaawansowane funkcje ruchu
- Dodatkowa ochrona bezpieczeństwa
Wysoka dostępność
Aby zapewnić wysoką dostępność za pomocą AOVPN, można zrównoważyć ruch między wieloma serwerami Network Policy Servers (NPS), a także użyć technologii klastrowania z dostępem zdalnym. Aby zapewnić geograficzną odporność lokalizacji, można użyć Global Traffic Manager z DNS w Windows Server 2016.
Zaawansowane uwierzytelnianie
AOVPN obsługuje Windows Hello for Business, który zastępuje hasła silnym uwierzytelnianiem dwuskładnikowym, w tym biometrycznym lub PIN. Dodatkowo można użyć funkcji Azure Multi-Factor Authentication, która może zintegrować się z Windows VPN.
Zaawansowane funkcje ruchu
Zaawansowane funkcje, takie jak filtrowanie ruchu, VPN wyzwalane przez aplikacje i dostęp warunkowy VPN mogą być używane z siecią Microsoft AOVPN w celu dalszego filtrowania i zabezpieczania ruchu.
Dodatkowa ochrona bezpieczeństwa
Microsoft’s AOVPN jest kompatybilny z Trusted Platform Module (TPM) Key Attestation, aby zapewnić wyższe bezpieczeństwo dostępu.
Concluding Thoughts
Microsoft dąży do tego, aby doświadczenie VPN było jak najbardziej bezproblemowe. Ponieważ DirectAccess nie przyjął się tak, jak Microsoft miał nadzieję, nowa technologia Always On VPN, którą można znaleźć w systemie Windows Server 2016 i nowszych, ma nadzieję to zmienić. Ze wsparciem dla klientów z licencją inną niż Enterprise, jak również dla klientów nie związanych z domeną, AOVPN jest z pewnością w znacznie lepszej pozycji do przyjęcia przez przedsiębiorstwa. AOVPN ma silne powiązania z Azure, jak również z technologią „dostępu warunkowego”, która pozwala na podejmowanie mądrzejszych decyzji o tym, kto uzyskuje dostęp do zasobów. Ogólnie rzecz biorąc, istnieje dość duża złożoność związana z wdrożeniem AOVPN, ponieważ wymaga wielu trudniejszych do wdrożenia technologii, takich jak PKS i NPS. Z pewnością istnieją duże korzyści z rozwiązania AOVPN dla tych, którzy chcą wyposażyć swoich mobilnych pracowników w najnowsze zabezpieczenia i bezproblemowe doświadczenie użytkownika.
Śledź nasze kanały na Twitterze i Facebooku, aby uzyskać nowe wersje, aktualizacje, wnikliwe posty i więcej.