Ce este Microsoft Always On VPN – vembu

Accesul la distanță este una dintre componentele cheie ale abilitării forței de muncă mobile pentru productivitate atunci când se află departe de locația centrală de producție și de rețea. De-a lungul anilor, rețeaua privată virtuală sau conexiunea VPN a fost un element de bază pentru forța de muncă mobilă cu acces de la distanță, care permite conectarea la rețelele de afaceri printr-un tunel privat criptat și securizat prin intermediul internetului. Cu toate acestea, implementările VPN pot fi dificil de implementat și de întreținut.

Cu câțiva ani în urmă, Microsoft a introdus DirectAccess, care a fost prezentat ca fiind soluția pentru provocările legate de accesul la distanță. S-a dovedit a fi dificil de implementat corect și a avut limitări care au afectat adoptarea sa. Cu Windows Server 2016 și versiunile ulterioare, împreună cu Windows 10, Microsoft a introdus o nouă tehnologie de acces la distanță numită Always On VPN.

În această postare, vom analiza următoarele:

  • Ce este Microsoft Always On VPN?
  • Care sunt beneficiile și cerințele sale?
  • Tipuri de scenarii de implementare

Ce este Microsoft Always On VPN?

Microsoft’s Always On VPN este reînnoirea tehnologiei de acces la distanță DirectAccess care caută să depășească limitările DirectAccess și să obțină o adopție mult mai largă. Cu noua tehnologie Always On VPN, Microsoft caută să realizeze o soluție unică de acces la distanță care să susțină o gamă largă de clienți. La fel ca și DirectAccess, conexiunea VPN este „Always On”, ceea ce înseamnă că nu este necesară nicio introducere din partea utilizatorului, cu excepția cazului în care este activată autentificarea cu factori multipli. De îndată ce un client este conectat la internet, conexiunea VPN este stabilită. Gama de clienți suportați, spre deosebire de DirectAccess, include mai mult decât simplii clienți conectați la un domeniu:

  • Domain-joined
  • Non Domain-joined
  • Azure AD-joined devices
  • BYOD

Un blocaj suplimentar la DirectAccess a fost faptul că acesta necesita Enterprise edition din perspectiva clientului. Cu toate acestea, cu AOVPN, Microsoft permite clienților cu Windows 10 Pro și superior să beneficieze de această tehnologie. Conexiunile suportă atât conexiunile de tip utilizator, cât și cele de tip dispozitiv, dar pot, de asemenea, să le combine pe cele două. Acest lucru permite gestionarea unui dispozitiv cu gestionarea dispozitivului, precum și activarea autentificării utilizatorului pentru conectivitatea la site-urile și serviciile interne ale companiei.

VPN1

O prezentare generală la nivel înalt a tehnologiei Always On VPN Cerințe de infrastructură

Procesul de conectare pentru conectarea cu ajutorul tehnologiei Always On VPN implică următorii pași:

  • Rezolvarea DNS este utilizată de clientul Windows 10 de la distanță pentru a rezolva adresa IP a gateway-ului VPN
  • După ce rezoluția numelui rezolvă adresa IP publică a gateway-ului VPN, clientul trimite o cerere de conectare către gateway-ul VPN Always On
  • Pasarela VPN se dublează ca un client RADIUS care transmite cererea de conectare către serverul NPS corporativ pentru a procesa cererea de autentificare
  • Serverul de politici de rețea efectuează autorizarea necesară, autentificare și, în cele din urmă, permite sau refuză cererea
  • Conectarea este apoi stabilită sau deconectată pe baza răspunsului primit de la serverul NPS

Microsoft Always On VPN Requirements

Există diverse părți și piese mobile ale soluției Microsoft Always On VPN. Multe dintre cerințe se regăsesc deja în majoritatea mediilor clienților de tip enterprise. Cu toate acestea, acestea includ:

  • Controlere de domeniu
  • Servere DNS
  • Servere de politici de rețea (NPS)
  • Servere de autoritate de certificare (CA)
  • Servere de rutare și acces la distanță

Pentru a pătrunde puțin mai adânc în cerințele/precondițiile pentru configurarea Microsoft Always On VPN, sunt necesare multe componente ale mediului Active Directory, inclusiv serverele DNS și Certificate Authority.

  • Business-urile trebuie să aibă configurată atât o structură DNS externă, cât și una internă, cu zone pentru fiecare. O configurație de tip părinte și subdomeniu este presupusă cel puțin în documentația Microsoft de poate un contoso.com și un corp.contoso.com
  • Organizațiile vor trebui să configureze o infrastructură de chei publice folosind Active Directory Certificate Services (AD CS). La fel ca și în cazul DirectAccess, tehnologia Always On VPN utilizează certificate pentru a face tehnologia fără întreruperi.
  • Este necesar un server de politici de rețea existent sau nou. Serverele existente pot fi utilizate cu configurația suplimentară pentru AOVPN
  • Remote Access as RAS Gateway VPN – caracteristici activate pentru a sprijini conexiunile IKEv2 VPN și rutarea LAN
  • Configurație cu două firewall-uri – Un firewall va fi firewall-ul de margine, iar celălalt este firewall-ul intern. Interfața publică a serverului de acces la distanță va face uplink către firewall-ul de margine, iar interfața internă va sta în fața firewall-ului intern
  • Serverul de acces la distanță poate fi un VM sau un server fizic pentru a fi utilizat ca gazdă RAS cu conexiunile de rețea corespunzătoare „instalate” între firewall-uri
  • Permisiuni de administrator pentru implementarea tehnologiilor AOVPN

Tipuri de scenarii de implementare pentru Microsoft Always On VPN

Există de fapt două scenarii de implementare pentru tehnologia Microsoft Always On VPN. Acestea includ:

  • Doar Always On VPN
  • Always On VPN cu conectivitate VPN utilizând accesul condiționat la Azure Active Directory

Ce este accesul condiționat la Azure Active Directory?

Accesul condiționat Azure Active Directory ia în considerare modul în care este accesată o resursă într-o decizie de control al accesului. Aceste decizii automate de control al accesului ajută la securizarea accesului. Accesul condiționat ia în considerare factori precum nivelul de risc al semnării, locația solicitării, aplicația clientului etc.

Acest lucru ajută la atingerea echilibrului necesar cu protejarea resurselor și permite utilizatorilor finali să fie productivi și progresul să nu fie împiedicat în mod inutil.

VPN2

Azure Active Directory conditional access designs/center>

Câteva exemple de factori care sunt luați în considerare fie pentru a acorda accesul, fie pentru a refuza accesul sunt următoarele:

  • Sign-in Risk – Utilizând învățarea automată, Azure detectează riscurile de conectare pe baza comportamentului solicitării de conectare și, eventual, chiar blocarea unui utilizator, dacă este justificat
  • Network Location – Pe baza unei locații de rețea, este posibil să fie necesare mai multe dovezi de identitate pentru a dovedi că sunteți cine spuneți că sunteți. Acest lucru poate fi luat în considerare în cadrul accesului condiționat cu Azure AD
  • Gestionarea dispozitivelor – Poate doriți să restricționați accesul doar la dispozitivele deținute și gestionate de companie, sau doriți să restricționați tipul de dispozitiv căruia îi permiteți să acceseze resursele corporative
  • Client Application – Controlați tipurile de aplicații cărora li se permite accesul la mediile corporative sau determinați ce aplicații trebuie să fie gestionate de către corporație

Microsoft Always On VPN Advanced Features

Există multe caracteristici avansate care se regăsesc în tehnologia AOVPN de la Microsoft, inclusiv:

  • Disponibilitate ridicată
  • Autentificare avansată
  • Funcționalități avansate de trafic
  • Protecție suplimentară de securitate

Disponibilitate ridicată

Pentru a asigura o disponibilitate ridicată cu AOVPN, puteți echilibra traficul între mai multe servere de politici de rețea (NPS) și puteți utiliza, de asemenea, tehnologia de clusterizare cu acces la distanță. Pentru a asigura reziliența geografică a site-urilor, puteți utiliza Global Traffic Manager cu DNS în Windows Server 2016.

Autentificare avansată

AVOPN suportă Windows Hello for Business care înlocuiește parolele cu o autentificare puternică cu doi factori, inclusiv biometrică sau PIN. În plus, puteți utiliza Azure Multi-Factor Authentication care se poate integra cu Windows VPN.

Funcționalități avansate de trafic

Funcționalitățile avansate, cum ar fi filtrarea traficului, VPN declanșat de aplicații și accesul condiționat la VPN, pot fi toate utilizate cu Microsoft AOVPN pentru a filtra și securiza și mai mult traficul.

Protecție suplimentară de securitate

Protecția suplimentară de securitate

AOVPN de la Microsoft este compatibilă cu Trusted Platform Module (TPM) Key Attestation pentru a oferi o asigurare de securitate mai mare pentru acces.

Gânduri de încheiere

Microsoft urmărește să facă experiența VPN cât mai transparentă posibil. Deoarece DirectAccess nu a prins așa cum spera Microsoft, noua tehnologie Always On VPN care se găsește în Windows Server 2016 și mai sus speră să schimbe acest lucru. Cu suport pentru clienții fără licență Enterprise, precum și pentru clienții care nu s-au alăturat domeniului, AOVPN se află cu siguranță într-o poziție mult mai bună pentru a fi adoptat de întreprinderi în prezent. AOVPN are legături puternice cu Azure, de asemenea, cu tehnologia de „acces condiționat” care permite luarea unor decizii mai inteligente cu privire la cine obține acces la resurse. În general, implementarea AOVPN implică o complexitate destul de mare, deoarece necesită multe tehnologii mai dificil de implementat, cum ar fi PKS și NPS. Există cu siguranță mari beneficii ale soluției AOVPN pentru cei care doresc să își împuternicească forța de muncă mobilă cu cea mai recentă securitate și o experiență de utilizare fără cusur.

Să urmăriți fluxurile noastre de pe Twitter și Facebook pentru noi versiuni, actualizări, postări pătrunzătoare și multe altele.

Vă place ce ați citit? Evaluați-ne
0.0
00

.