Vad är Microsoft Always On VPN – vembu
Remote Access är en av de viktigaste komponenterna för att ge den mobila arbetskraften möjlighet till produktivitet när den är borta från den centrala produktionsplatsen och nätverket. Under årens lopp har det virtuella privata nätverket eller VPN-anslutningen varit en viktig del av den mobila arbetskraften med fjärråtkomst som gör det möjligt att ansluta till företagsnätverk via en krypterad och säker privat tunnel via Internet. VPN-installationer kan dock vara svåra att genomföra och underhålla.
För några år sedan introducerade Microsoft DirectAccess som presenterades som lösningen på problemen med fjärråtkomst. Det visade sig vara svårt att implementera korrekt och hade begränsningar som påverkade användningen. Med Windows Server 2016 och högre, tillsammans med Windows 10, har Microsoft introducerat en ny teknik för fjärråtkomst som kallas Always On VPN.
I det här inlägget tar vi en titt på följande:
- Vad är Microsoft Always On VPN?
- Vad är dess fördelar och krav?
- Typer av distributionsscenarier
Vad är Microsoft Always On VPN?
Microsofts Always On VPN är en omarbetning av fjärråtkomsttekniken DirectAccess som syftar till att övervinna begränsningarna i DirectAccess och få en mycket bredare användning. Med den nya Always On VPN-tekniken vill Microsoft skapa en enda lösning för fjärråtkomst som stöder ett stort antal klienter. Liksom DirectAccess är VPN-anslutningen ”Always On”, vilket innebär att det inte krävs någon användarinmatning om inte flerfaktorsautentisering är aktiverad. Så snart en klient är ansluten till Internet upprättas VPN-anslutningen. Utbudet av klienter som stöds omfattar, till skillnad från DirectAccess, mer än bara domänanslutna klienter:
- Domänanslutna
- Non Domain-joined
- Azure AD-anslutna enheter
- BYOD
En ytterligare blockerare till DirectAccess var att det krävde Enterprise edition ur ett klientperspektiv. Med AOVPN tillåter dock Microsoft att Windows 10 Pro och högre klienter kan dra nytta av tekniken. Anslutningarna stöder både anslutningar av användar- och enhetstyp men kan även kombinera de två. Detta gör det möjligt att hantera en enhet med enhetshantering samt att möjliggöra användarautentisering för anslutning till interna företagswebbplatser och tjänster.
Anlutningsprocessen för att ansluta med hjälp av Always On VPN-tekniken omfattar följande steg:
- DNS-upplösning används av den fjärrstyrda Windows 10-klienten för att lösa upp VPN-gatewayens IP-adress
- När namnupplösningen löser upp den offentliga IP-adressen för VPN-gatewayen, skickar klienten en anslutningsbegäran till Always On VPN-gatewayen
- VPN-gatewayen fungerar som en RADIUS-klient som vidarebefordrar anslutningsbegäran till företagets NPS-server för att behandla autentiseringsbegäran
- Nätverkspolicyservern utför den nödvändiga auktoriseringen, autentisering och tillåter eller nekar begäran
- Förbindelsen upprättas eller avbryts sedan baserat på svaret från NPS-servern
Microsoft Always On VPN Requirements
Det finns olika rörliga delar i Microsoft Always On VPN-lösningen. Många av kraven finns redan i de flesta företagskunders miljöer. Dessa omfattar dock bland annat följande:
- Domänkontrollanter
- DNS-servrar
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server
För att dyka lite djupare ner i kraven/förutsättningarna för att konfigurera Microsoft Always On VPN, finns det många komponenter i Active Directory-miljön, inklusive DNS och Certificate Authority Servers som krävs.
- Företagen måste ha både en extern och intern DNS-struktur konfigurerad med zoner för var och en. En överordnad och subdomänkonfiguration antas åtminstone i Microsofts dokumentation av kanske en contoso.com och en corp.contoso.com
- Organisationer måste konfigurera en infrastruktur för offentliga nycklar med hjälp av Active Directory Certificate Services (AD CS). Precis som med DirectAccess använder Always On VPN-tekniken certifikat för att göra tekniken sömlös.
- En befintlig eller ny Network Policy Server kommer att behövas. Befintliga servrar kan användas med den extra konfigurationen för AOVPN
- Remote Access as RAS Gateway VPN – funktioner aktiverade för att stödja IKEv2 VPN-anslutningar och LAN-routing
- Konfiguration med två brandväggar – en brandvägg är kantbrandväggen och den andra är den interna brandväggen. Fjärråtkomstserverns offentliga gränssnitt kommer att kopplas upp till kantbrandväggen och det interna gränssnittet kommer att sitta framför den interna brandväggen
- Fjärråtkomstservern kan vara en virtuell maskin eller en fysisk server för användning som RAS-värd med lämpliga nätverksanslutningar. ”lottade” mellan brandväggarna
- Administratörsbehörigheter för att distribuera AOVPN-teknik
Typer av distributionsscenarier för Microsoft Always On VPN
Det finns faktiskt två distributionsscenarier för Microsoft Always On VPN-tekniken. Dessa inkluderar:
- Endast Always On VPN
- Always On VPN med VPN-anslutning med hjälp av villkorlig Azure Active Directory-åtkomst
Vad är den villkorliga Azure Active Directory-åtkomsten?
Betingad Azure Active Directory-åtkomst tar hänsyn till hur en resurs nås i ett beslut om åtkomstkontroll. Dessa automatiserade beslut om åtkomstkontroll bidrar till att säkra åtkomsten. Den villkorade åtkomsten tar hänsyn till sådant som risknivå för inloggning, plats för begäran, klientprogram etc.
Detta hjälper till att hitta den balans som behövs för att skydda resurser och tillåta slutanvändare att vara produktiva och att framsteg inte hindras i onödan.
Några exempel på faktorer som beaktas för att antingen bevilja eller neka åtkomst är följande:
- Risk för inloggning – Med hjälp av maskininlärning upptäcker Azure inloggningsrisker baserat på beteendet i inloggningsbegäran och kan eventuellt till och med blockera en användare om det är motiverat
- Nätverksplacering – Baserat på en nätverksplacering kan det behövas mer bevis på identiteten för att bevisa att du är den du säger att du är. Detta kan beaktas i villkorad åtkomst med Azure AD
- Enhetshantering – Kanske vill du begränsa åtkomsten till endast företagsägda och hanterade enheter, eller så vill du begränsa den typ av enhet som du tillåter åtkomst till företagsresurser
- Klientapplikation – Kontrollera vilka typer av applikationer som tillåts åtkomst till företagsmiljöer eller bestämma vilka applikationer som måste hanteras av företaget
Microsoft Always On VPN Avancerade funktioner
Det finns många avancerade funktioner i AOVPN-tekniken från Microsoft, bland annat:
- Hög tillgänglighet
- Avancerad autentisering
- Avancerade trafikfunktioner
- Att ytterligare säkerhetsskydd
Hög tillgänglighet
För att säkerställa hög tillgänglighet med AOVPN kan du lastbalansera trafiken mellan flera NPS (Network Policy Server) och även använda klusterteknik med fjärråtkomst. För att ge geografisk platsresiliens kan du använda Global Traffic Manager med DNS i Windows Server 2016.
Avancerad autentisering
AOVPN har stöd för Windows Hello for Business som ersätter lösenord med stark tvåfaktorsautentisering, inklusive biometrisk autentisering eller PIN-kod. Dessutom kan du använda Azure Multi-Factor Authentication som kan integreras med Windows VPN.
Avancerade trafikfunktioner
Avancerade funktioner som trafikfiltrering, App-triggered VPN och VPN Conditional Access kan alla användas med Microsofts AOVPN för att ytterligare filtrera och säkra trafiken.
Tillkommande säkerhetsskydd
Microsofts AOVPN är kompatibel med Trusted Platform Module (TPM) Key Attestation för att ge högre säkerhetsgaranti för åtkomst.
Avslutande tankar
Microsoft strävar efter att göra VPN-upplevelsen så smidig som möjligt. Eftersom DirectAccess inte slog igenom som Microsoft hade hoppats hoppas den nya Always On VPN-tekniken som finns i Windows Server 2016 och högre på att ändra på det. Med stöd för klienter som inte är licensierade av Enterprise samt klienter som inte är anslutna till en domän är AOVPN säkerligen i ett mycket bättre läge för att antas av företag idag. AOVPN har också en stark koppling till Azure med tekniken för ”villkorad åtkomst” som gör det möjligt att fatta smartare beslut om vem som får tillgång till resurser. Generellt sett är det ganska komplicerat att införa AOVPN eftersom det kräver många mer svårinstallerade tekniker som PKS och NPS. Det finns definitivt stora fördelar med AOVPN-lösningen för dem som vill ge sin mobila arbetskraft den senaste säkerheten och en sömlös användarupplevelse.
Följ våra Twitter- och Facebook-flöden för nya versioner, uppdateringar, insiktsfulla inlägg och mycket mer.