O que é Microsoft Always On VPN – vembu
Acesso remoto é um dos componentes chave para capacitar a força de trabalho móvel para a produtividade quando longe do local de produção central e da rede. Ao longo dos anos, a Rede Privada Virtual ou conexão VPN tem sido um elemento básico da força de trabalho móvel de acesso remoto que permite a conexão a redes empresariais através de um túnel privado criptografado e seguro via Internet. No entanto, as implementações de VPN podem ser difíceis de implementar e manter.
A poucos anos atrás, a Microsoft introduziu o DirectAccess, que foi apontado como a solução para os desafios de acesso remoto. Provou ser difícil de implementar corretamente e teve limitações que afetaram sua adoção. Com o Windows Server 2016 e superiores, juntamente com o Windows 10, a Microsoft introduziu uma nova tecnologia de acesso remoto chamada Always On VPN.
Neste post, vamos dar uma olhada no seguinte:
- O que é Microsoft Always On VPN?
- Quais são os seus benefícios e requisitos?
- Tipos de Cenários de Implementação
O que é Microsoft Always On VPN?
A tecnologia de acesso remoto Always On VPN da Microsoft é a reformulação da tecnologia de acesso remoto DirectAccess, procurando superar as limitações do DirectAccess e conseguir uma adoção muito mais ampla. Com a nova tecnologia Always On VPN, a Microsoft procura alcançar uma solução única de acesso remoto que suporte uma vasta gama de clientes. Assim como o DirectAccess, a conexão VPN está “Always On”, o que significa que não há necessidade de entrada de usuário, a menos que a autenticação multi-factor esteja habilitada. Assim que um cliente é conectado à Internet, a conexão VPN é estabelecida. A gama de clientes suportados, ao contrário do DirectAccess, inclui mais do que simplesmente clientes unidos por domínio:
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
Um bloqueador adicional ao DirectAccess foi que ele requeria a edição Enterprise da perspectiva do cliente. Entretanto, com o AOVPN, a Microsoft está permitindo que clientes Windows 10 Pro e superiores se beneficiem da tecnologia. As conexões suportam tanto as conexões do usuário quanto as do tipo de dispositivo, mas também podem combinar as duas. Isto permite gerenciar um dispositivo com gerenciamento de dispositivos, bem como permitir a autenticação do usuário para conectividade com sites e serviços internos da empresa.
O processo de conexão para conectar usando a tecnologia Always On VPN envolve os seguintes passos:
- A resolução DNS é utilizada pelo cliente remoto Windows 10 para resolver o endereço IP do gateway VPN
- Após a resolução do nome resolve o endereço IP público do gateway VPN, o cliente envia um pedido de conexão para o gateway Always On VPN
- O gateway VPN dobra como um cliente RADIUS que encaminha o pedido de conexão para o servidor NPS corporativo para processar o pedido de autenticação
- O Network Policy Server executa a autorização necessária, autenticação, e por fim permite ou nega o pedido
- A conexão é então estabelecida ou desconectada com base na resposta do servidor NPS
Microsoft Always On VPN Requirements
Existem várias partes e peças móveis para a solução Microsoft Always On VPN. Muitos dos requisitos já são encontrados na maioria dos ambientes corporativos dos clientes. No entanto, estes incluem:
- Controladores de domínio
- Servidores DNS
- Servidor de políticas de rede (NPS)
- Servidor de autoridade de certificação (CA)
- Servidor de roteamento e acesso remoto
Para mergulhar um pouco mais fundo nos requisitos/pre-requisitos para configurar o Microsoft Always On VPN, há muitos componentes do ambiente do Active Directory, incluindo DNS e Servidores da Autoridade Certificadora que são necessários.
- Os negócios devem ter uma estrutura DNS externa e interna configurada com zonas para cada um. Uma configuração pai e subdomínio é assumida pelo menos na documentação Microsoft de talvez um contoso.com e um corp.contoso.com
- As organizações precisarão configurar uma infraestrutura de chave pública usando o Active Directory Certificate Services (AD CS). Assim como no DirectAccess, a tecnologia Always On VPN faz uso de certificados para tornar a tecnologia sem problemas.
- Servidor de Políticas de Rede existente ou novo será necessário. Os servidores existentes podem ser usados com a configuração adicional para o AOVPN
- Acesso remoto como RAS Gateway VPN – recursos habilitados para suportar conexões IKEv2 VPN e roteamento LAN
- Duas configurações de Firewall – Um firewall será o firewall de borda e o outro será o firewall interno. A interface pública do servidor de acesso remoto fará um uplink para o firewall de borda e a interface interna ficará na frente do firewall interno
- O servidor de acesso remoto pode ser uma VM ou um servidor físico para uso como host RAS com as conexões de rede apropriadas. “encanada” entre as firewalls
- Permissões do administrador para implantar as tecnologias AOVPN
Tipos de cenários de implantação para Microsoft Always On VPN
Existem na verdade dois cenários de implantação para a tecnologia Microsoft Always On VPN. Estes incluem:
- Always On VPN only
- Always On VPN com conectividade VPN usando acesso condicional ao Active Directory
Qual é o acesso condicional ao Active Directory Azure?
Condicional Azure Active Directory factores de acesso em como um recurso é acessado em uma decisão de controle de acesso. Estas decisões de controle de acesso automatizado ajudam a garantir o acesso. Os fatores de acesso condicional em coisas como o nível de risco de acesso, localização da solicitação, aplicação cliente, etc.
Isso ajuda a atingir o equilíbrio necessário para proteger os recursos e permitir que os usuários finais sejam produtivos e que o progresso não seja impedido desnecessariamente.
A poucos exemplos dos fatores que são levados em conta para conceder acesso ou negar acesso são os seguintes:
- Sign-in Risk – Usando a aprendizagem da máquina, o Azure detecta riscos de login com base no comportamento do pedido de login e potencialmente até mesmo bloqueando um usuário, se justificado
- Localização da rede – Com base em uma localização da rede, mais provas de identidade podem ser necessárias para provar que você é quem você diz ser. Isto pode ser considerado em acesso condicional com Azure AD
- Device Management – Talvez você queira restringir o acesso apenas a dispositivos de propriedade corporativa e gerenciados, ou você quer restringir o tipo de dispositivo que você permite acessar recursos corporativos
- Aplicativo Cliente – Controle os tipos de aplicativos permitidos para acessar ambientes corporativos ou determine quais aplicativos precisam ser gerenciados pela empresa
Microsoft Always On VPN Advanced Features
Existem muitos recursos avançados que são encontrados na tecnologia AOVPN da Microsoft, inclusive:
- Alta Disponibilidade
- Advanced Authentication
- Advanced Traffic Features
- Additional Security Protection
High Availability
Para garantir alta disponibilidade com AOVPN, você pode carregar o tráfego de equilíbrio entre vários Network Policy Servers (NPS) e também usar a tecnologia de clustering com Acesso Remoto. Para fornecer resiliência geográfica do site você pode usar o Global Traffic Manager com DNS no Windows Server 2016.
Advanced Authentication
O AOVPN suporta Windows Hello for Business que substitui as senhas por autenticação forte de dois fatores, incluindo biometria ou PIN. Adicionalmente, você pode usar a autenticação Azure Multi-Factor Authentication que pode integrar com o Windows VPN.
Advanced Traffic Features
Advanced features such as traffic filtering, app-triggered VPN, and VPN conditional access can all be used with the Microsoft AOVPN to further filter and secure traffic.
Proteção de Segurança Adicional
O AOVPN da Microsoft é compatível com o Trusted Platform Module (TPM) Key Attestation para fornecer maior segurança no acesso.
Conclusão de Pensamentos
A Microsoft tem como objetivo tornar a experiência VPN o mais perfeita possível. Uma vez que o DirectAccess não pegou como a Microsoft esperava, a nova tecnologia Always On VPN encontrada no Windows Server 2016 e maiores esperanças de mudar isso. Com suporte para clientes não licenciados e não licenciados, a AOVPN está certamente em uma posição muito melhor para ser adotada pelas empresas hoje. AOVPN tem uma forte ligação com o Azure, bem como com a tecnologia de “acesso condicional”, que permite tomar decisões mais inteligentes sobre quem ganha acesso aos recursos. Em geral, há um pouco de complexidade na implantação da AOVPN, uma vez que é muito mais difícil implantar tecnologias como PKS e NPS. Há certamente grandes benefícios na solução AOVPN para aqueles que querem capacitar sua força de trabalho móvel com a mais recente segurança e experiência de usuário perfeita.
Sigam nossos feeds do Twitter e Facebook para novos lançamentos, atualizações, posts perspicazes e mais.