Teknologi kan spille en vigtig rolle i at reducere virkningen af COVID-19 på mennesker og forretningsverdenen og hjælpe medarbejderne med at forblive produktive, når de ikke er i stand til at være fysisk på deres arbejdsplads. I disse nødhjælpsdage er virksomhederne blevet tvunget til hurtigt at indføre effektive løsninger for at give deres medarbejdere mulighed for at arbejde eksternt uden at ofre samarbejde, produktivitet og sikkerhed. De løsninger, der kan vedtages på dette område, er forskellige, hver med sine egne karakteristika og særegenheder, der kan opfylde forskellige behov. Denne artikel præsenterer de vigtigste funktioner i teknologien Microsoft Always On VPN, for at vurdere fordelene, og hvad der er de vigtigste anvendelsestilfælde for løsningen.
Nøglefunktioner i Always On VPN
Med Windows Server 2016 og senere introducerede Microsoft en ny fjernadgangsteknologi til slutpunkter kaldet Always On VPN, der giver gennemsigtig adgang til virksomhedsnetværket, hvilket gør den særligt velegnet i smart working-scenarier. Det er en videreudvikling af teknologien DirectAccess, og selv om den var effektiv, var der nogle begrænsninger, som gjorde den vanskelig at indføre.
Som navnet fortæller, er VPN “altid aktiv”, Faktisk etableres en sikker virksomhedsnetværksforbindelse automatisk, når en autoriseret klient har internetforbindelse, alt sammen uden at kræve brugerinput eller interaktion, medmindre der er aktiveret en flerfaktorautentifikationsmekanisme. Fjernbrugere får adgang til virksomhedsdata og -programmer på samme måde, ligesom hvis de var på arbejdspladsen.
Always On VPN-forbindelser omfatter følgende typer tunneler:
- Enhedstunnel: Enheden opretter forbindelse til VPN-serveren, før brugerne logger på enheden.
- Brugertunnel: Den aktiveres først, efter at brugerne har logget på enheden.
Med Always On VPN kan du have en brugerforbindelse, en enhedsforbindelse eller en kombination af begge dele. Både enhedstunnelen og brugertunnelen fungerer uafhængigt af hinanden og kan bruge forskellige godkendelsesmetoder. Det synes derfor muligt at aktivere enhedsgodkendelse for at administrere enheden eksternt via enhedstunnelen og aktivere brugergodkendelse for tilslutning til interne ressourcer via brugertunnelen. Brugertunnelen understøtter SSTP og IKEv2, mens enhedstunnelen kun understøtter IKEv2.
Støttede scenarier
Teknologi Always On VPN er kun en løsning til systemer Windows 10. I modsætning til DirectAccess behøver klientenhederne dog ikke at køre Enterprise-udgaven, men alle versioner af Windows 10 understøtter denne teknologi, idet de vedtager den definerede tunneltype Brugertunnel. I dette scenarie kan enhederne være medlemmer af et Active Directory-domæne, men det er ikke strengt nødvendigt. Always On VPN-klienten kan være ikke-domænetilsluttet (arbejdsgruppe), og derfor også ejes af brugeren. For at drage fordel af visse avancerede funktioner kan klienterne være at blive tilknyttet Azure Active Directory. Kun til brug Enhedstunnelsystemer skal tilslutte sig et domæne og skal have Windows 10 Enterprise eller Education. I dette scenarie er den anbefalede version 1809 eller nyere.
Infrastrukturkrav
Følgende infrastrukturkomponenter er nødvendige for at implementere en Always On VPN-arkitektur, hvoraf mange af dem typisk allerede er aktive i forretningsrealiteterne:
- Domænecontrollere
- DNS-servere
- Netværkspolitikserver (NPS)
- Certificate Authority Server (CA)
- Routing- og fjernadgangsserver (RRAS)
Figur 1 – Oversigt over VPN Always On-teknologien
I denne sammenhæng er det hensigtsmæssigt at specificere, at Always On VPN er infrastruktur-uafhængig af infrastrukturen og kan aktiveres ved hjælp af Windows Routing and Remote Access-rollen (RRAS) eller ved at indføre en VPN-enhed fra en tredjepart. Autentificering kan også leveres af Windows Network Policy Server-rollen (NPS) eller fra enhver tredjeparts RADIUS-platform.
For yderligere oplysninger om kravene henvises til Microsofts officielle dokumentation.
Always On VPN i Azure-miljø?
Generelt anbefales det at etablere VPN-forbindelser til slutpunkter så tæt som muligt på de ressourcer, der skal tilgås. For hybride virkeligheder er der flere muligheder for at placere arkitekturen Always On VPN. Implementering af Remote Access-rollen på en virtuel maskine i Azure-miljøet understøttes ikke, men du kan dog bruge Azure VPN Gateway med Windows 10 Always On til at etablere tunneler af både typen Enhedstunnel og Brugertunnel. I den forbindelse skal det bemærkes, at det er hensigtsmæssigt at foretage de korrekte vurderinger af typen og af SKU’en for at implementere Azure VPN Gateway.
Indsætningstyper
For Always On VPN er der to implementeringsscenarier:
- Indsæt kun af Always On VPN.
- Indsæt af Always On VPN med Microsoft Azure Conditional Access.
Den implementering af Always On VPN kan forudsige valgfrit, for klient Windows 10 tilsluttet til domæne, at konfigurere betinget adgang for at justere, hvordan VPN-brugere får adgang til virksomhedens ressourcer.
Figur 2 – Arbejdsgang for implementering af Always On VPN for Windows 10-klient domæne-tilsluttet
Klienten Always On VPN kan integreres med platformen Azure Contitional Access for at fremtvinge multi-faktor-godkendelse (MFA), enhedsoverholdelse eller en kombination af disse to aspekter. Hvis kriterierne for Contitional Access er opfyldt, udsteder Azure Active Directory (Azure AD) et kortvarigt IPsec-godkendelsescertifikat, som kan bruges til at godkende VPN-gatewayen. Enhedsoverholdelse bruger Microsoft Endpoint Manager-overholdelsespolitikker (Configuration Manager / Intune), som kan omfatte status for integritetsattestering af enheden, som en del af overensstemmelseskontrollen for forbindelsen.
Figur 3 – Arbejdsgang for klientsideforbindelse
For flere detaljer om denne implementeringsmetode kan du se denne Microsoft-dokumentation.
Løsningens tilrådighedsstillelse på klienten
Always On VPN er designet til at blive implementeret og administreret ved hjælp af en platform til administration af mobile enheder, f.eks. Microsoft Endpoint Manager, men du kan også bruge Mobile Device Management-løsninger (MDM) fra tredjeparter. For Always On VPN er der ingen støtte til konfiguration og administration via Group Policy i Active Directory, men hvis du ikke har en MDM-løsning, er det muligt at fortsætte med en manuel implementering af konfigurationen via PowerShell.
Integration med andre Microsoft-løsninger
Ud over de tilfælde, der er angivet i de foregående afsnit, kan teknologien Always On VPN integreres med følgende Microsoft-teknologier:
- Azure Multifactor Authentication (MFA): Når den kombineres med RADIUS-tjenester (Remote Authentication Dial-In User Service) og udvidelsen NPS (Network Policy Server) for Azure MFA, kan VPN-godkendelse udnytte multi-faktor-godkendelsesmekanismer.
- Windows Information Protection (WIP): takket være denne integration er det tilladt at anvende netværkskriterier til at afgøre, om trafikken må passere gennem VPN-tunnelen.
- Windows Hello for Business: I Windows 10 erstatter denne teknologi passwords og giver en godkendelsesmekanisme med to stærke faktorer. Denne autentificering er en type brugeroplysninger relateret til en enhed og bruger en PIN-kode (Personal Identification Number) biometrisk eller personlig.
Konklusioner
Forbered din infrastruktur til at tillade slutpunktet at få adgang til virksomhedsnetværket via teknologien Always On VPN det kræver ingen ekstra omkostninger til softwarelicenser, og de nødvendige investeringer både i form af indsats og ressourcer er minimale. Takket være denne forbindelsesmetode kan du sikre den bedste brugeroplevelse på farten og give en gennemsigtig og automatisk adgang til virksomhedsnetværket, samtidig med at du opretholder et højt sikkerhedsniveau. På grund af de aspekter, der er anført ovenfor, er teknologien Always On VPN ikke egnet til alle brugsscenarier, men den skal helt sikkert overvejes ved tilstedeværelse af systemer Windows 10, der har brug for fjernadgang til virksomhedens ressourcer.
