Technologie může hrát důležitou roli při snižování dopadu COVID-19 na lidi a obchodní realitu a pomáhat zaměstnancům zůstat produktivní, když nemohou být fyzicky na svém pracovišti. V dnešní době nouze jsou společnosti nuceny rychle přijmout účinná řešení, která umožní jejich zaměstnancům pracovat na dálku, aniž by byla obětována spolupráce, produktivita a bezpečnost. Řešení, která lze v této oblasti přijmout, jsou různá, každé má své charakteristiky a zvláštnosti, schopné uspokojit různé potřeby. V tomto článku jsou představeny hlavní vlastnosti technologie Microsoft Always On VPN, aby bylo možné posoudit, jaké jsou její přínosy a jaké jsou hlavní případy použití tohoto řešení.
Klíčové vlastnosti Always On VPN
Počínaje systémem Windows Server 2016 a později společnost Microsoft představila novou technologii vzdáleného přístupu pro koncové body s názvem Always On VPN, která umožňuje transparentní přístup do podnikové sítě, takže je vhodná zejména ve scénářích inteligentní práce. Jedná se o evoluci technologie DirectAccess a jakkoli byla účinná, představovala některá omezení, která ztěžovala její přijetí.
Jak název napovídá, VPN je „vždy aktivní“, Bezpečné připojení k podnikové síti je ve skutečnosti navázáno automaticky, kdykoli má autorizovaný klient připojení k internetu, a to vše bez nutnosti vstupu nebo interakce uživatele, pokud není povolen mechanismus vícefaktorového ověřování. Vzdálení uživatelé přistupují k podnikovým datům a aplikacím stejným způsobem, jako by byli na pracovišti.
Připojení VPN vždy aktivní zahrnují následující typy tunelů:
- Tunel zařízení: Zařízení se připojí k serveru VPN dříve, než se k němu přihlásí uživatelé.
- Uživatelský tunel: aktivuje se až po přihlášení uživatelů k zařízení.
Při použití Always On VPN můžete mít uživatelské připojení, připojení zařízení nebo kombinaci obou. Jak tunel zařízení, tak uživatelský tunel pracují nezávisle a mohou používat různé metody ověřování. Zdá se tedy, že je možné povolit ověřování zařízení pro jeho vzdálenou správu prostřednictvím tunelu zařízení a povolit ověřování uživatele pro připojení k interním zdrojům prostřednictvím uživatelského tunelu. Uživatelský tunel podporuje SSTP a IKEv2, zatímco tunel zařízení podporuje pouze IKEv2.
Podporované scénáře
Technologie Always On VPN je řešením pouze pro systémy Windows 10. Na rozdíl od DirectAccess však na klientských zařízeních nemusí běžet edice Enterprise, ale tuto technologii podporují všechny verze systému Windows 10, které přijmou definovaný typ tunelu User Tunnel. V tomto scénáři mohou být zařízení členy domény Active Directory, ale není to nezbytně nutné. Klient Always On VPN může být nepřipojený k doméně (pracovní skupině), tedy také vlastněný uživatelem. Aby bylo možné využívat některé pokročilé funkce, mohou být klienti připojeni k Azure Active Directory. Pouze pro použití zařízení Tunelové systémy se musí připojit k doméně a musí mít systém Windows 10 Enterprise nebo Education. V tomto scénáři je doporučená verze 1809 nebo novější.
Požadavky na infrastrukturu
Pro implementaci architektury Always On VPN jsou zapotřebí následující součásti infrastruktury, z nichž mnohé jsou již v podnikové realitě obvykle aktivní:
- Řadiče domén
- Servery DNS
- Server síťových zásad (NPS)
- Server certifikační autority (CA)
- Server směrování a vzdáleného přístupu (RRAS)
Obrázek 1 – Přehled technologie VPN Always On
V této souvislosti je vhodné upřesnit, že Always On VPN je infrastruktura-nezávislá a lze ji aktivovat pomocí role Směrování a vzdálený přístup (RRAS) systému Windows nebo přijetím libovolného zařízení VPN třetí strany. Ověřování lze také zajistit pomocí role Server síťových zásad systému Windows (NPS) nebo pomocí libovolné platformy RADIUS třetí strany.
Podrobnější informace o požadavcích naleznete v oficiální dokumentaci společnosti Microsoft.
Always On VPN v prostředí Azure?
Všeobecně je vhodné vytvořit připojení VPN ke koncovým bodům co nejblíže prostředkům, ke kterým je třeba přistupovat. Pro hybridní realitu existuje několik možností umístění architektury Always On VPN. Nasazení role Vzdálený přístup na virtuálním počítači v prostředí Azure není podporováno, nicméně můžete použít Azure VPN Gateway s Windows 10 Always On, abyste vytvořili tunely typu Device Tunnel i User Tunnel. V této souvislosti je třeba poznamenat, že je vhodné správně posoudit typ a SKU pro nasazení služby Azure VPN Gateway.
Typy nasazení
Pro Always On VPN existují dva scénáře nasazení:
- Nasazení pouze Always On VPN.
- Nasazení Always On VPN s podmíněným přístupem Microsoft Azure.
Při nasazení Always On VPN lze volitelně předvídat, pro klientské Windows 10 připojené k doméně, konfiguraci podmíněného přístupu, který upraví způsob přístupu uživatelů VPN k firemním zdrojům.
Obrázek 2 – Pracovní postup nasazení Always On VPN pro klienta Windows 10 připojeného k doméně
Klienta Always On VPN lze integrovat s platformou Azure Contitional Access a vynutit tak vícefaktorové ověřování (MFA), shodu zařízení nebo kombinaci těchto dvou aspektů. Pokud splňuje kritéria Contitional Access, služba Azure Active Directory (Azure AD) vydá krátkodobý ověřovací certifikát IPsec, který lze použít k ověření na bráně VPN. Shoda zařízení využívá zásady shody Microsoft Endpoint Manager (Configuration Manager / Intune), které mohou zahrnovat stav ověření integrity zařízení, jako součást kontroly shody připojení.
Obrázek 3 – Pracovní postup připojení na straně klienta
Podrobnější informace o tomto způsobu nasazení naleznete v této dokumentaci společnosti Microsoft.
Zavedení řešení na klientovi
Always On VPN je navrženo pro nasazení a správu pomocí platformy pro správu mobilních zařízení, jako je Microsoft Endpoint Manager, ale můžete také použít řešení pro správu mobilních zařízení (MDM) třetích stran. Pro Always On VPN neexistuje podpora konfigurace a správy prostřednictvím zásad skupiny v Active Directory, ale pokud nemáte řešení MDM, je možné přistoupit k ručnímu nasazení konfigurace prostřednictvím prostředí PowerShell.
Integrace s dalšími řešeními společnosti Microsoft
Kromě případů uvedených v předchozích odstavcích lze technologii Always On VPN integrovat s následujícími technologiemi společnosti Microsoft:
- Azure Multifactor Authentication (MFA): V kombinaci se službami RADIUS (Remote Authentication Dial-In User Service) a rozšířením NPS (Network Policy Server) pro Azure MFA může ověřování VPN využívat mechanismy vícefaktorového ověřování.
- Windows Information Protection (WIP): díky této integraci je povoleno použití síťových kritérií pro určení, zda je provoz povolen projít tunelem VPN.
- Windows Hello for Business: ve Windows 10 tato technologie nahrazuje hesla a poskytuje mechanismus ověřování se dvěma silnými faktory. Toto ověřování je typem uživatelských pověření souvisejících se zařízením a používá PIN (osobní identifikační číslo) biometrické nebo osobní.
Závěry
Připravte svou infrastrukturu tak, aby umožňovala koncovému zařízení přístup do podnikové sítě prostřednictvím technologie Always On VPN nevyžaduje žádné další náklady na softwarové licence a potřebné investice z hlediska úsilí i zdrojů jsou minimální. Díky tomuto způsobu připojení můžete zajistit nejlepší uživatelskou zkušenost na cestách a poskytnout transparentní a automatický přístup do podnikové sítě při zachování vysoké úrovně zabezpečení. Z výše uvedených hledisek není technologie Always On VPN vhodná pro všechny scénáře použití, ale určitě je třeba o ní uvažovat v přítomnosti systémů Windows 10, které potřebují vzdálený přístup k podnikovým zdrojům.
.