Technologie kann eine wichtige Rolle bei der Verringerung der Auswirkungen von COVID-19 auf die Menschen und die Unternehmensrealität spielen, indem sie den Mitarbeitern hilft, produktiv zu bleiben, wenn sie nicht in der Lage sind, physisch an ihrem Arbeitsplatz zu sein. In diesen Tagen des Notstands sind die Unternehmen gezwungen, schnell wirksame Lösungen einzuführen, die es ihren Mitarbeitern ermöglichen, aus der Ferne zu arbeiten, ohne dabei die Zusammenarbeit, Produktivität und Sicherheit zu beeinträchtigen. Die Lösungen, die in diesem Bereich eingesetzt werden können, sind unterschiedlich, jede mit ihren eigenen Merkmalen und Eigenheiten, die den verschiedenen Bedürfnissen gerecht werden können. In diesem Artikel werden die wichtigsten Merkmale der Technologie Microsoft Always On VPN vorgestellt, um die Vorteile und die wichtigsten Anwendungsfälle der Lösung zu bewerten.
Schlüsselmerkmale von Always On VPN
Mit Windows Server 2016 und später führte Microsoft eine neue Fernzugriffstechnologie für Endgeräte namens Always On VPN ein, die einen transparenten Zugriff auf das Unternehmensnetzwerk ermöglicht und sich daher besonders für Smart-Working-Szenarien eignet. Es handelt sich um eine Weiterentwicklung der Technologie DirectAccess, die zwar effektiv war, aber einige Einschränkungen aufwies, die ihre Einführung erschwerten.
Wie der Name schon sagt, ist VPN „immer aktiv“, d. h. eine sichere Unternehmensnetzwerkverbindung wird automatisch hergestellt, sobald ein autorisierter Client eine Internetverbindung hat, ohne dass eine Benutzereingabe oder -interaktion erforderlich ist, es sei denn, ein Multi-Faktor-Authentifizierungsmechanismus ist aktiviert. Remote-Benutzer greifen auf die gleichen Weise auf Geschäftsdaten und -anwendungen zu, als wären sie am Arbeitsplatz.
Immer aktive VPN-Verbindungen umfassen die folgenden Arten von Tunneln:
- Gerätetunnel: Das Gerät verbindet sich mit dem VPN-Server, bevor sich die Benutzer am Gerät anmelden.
- Benutzertunnel: Er wird erst aktiviert, nachdem sich die Benutzer am Gerät angemeldet haben.
Bei Always On VPN können Sie eine Benutzerverbindung, eine Geräteverbindung oder eine Kombination aus beiden haben. Sowohl der Gerätetunnel als auch der Benutzertunnel arbeiten unabhängig voneinander und können unterschiedliche Authentifizierungsmethoden verwenden. Es ist daher möglich, die Geräteauthentifizierung zu aktivieren, um das Gerät über den Gerätetunnel aus der Ferne zu verwalten, und die Benutzerauthentifizierung für die Verbindung zu internen Ressourcen über den Benutzertunnel zu aktivieren. Der Benutzertunnel unterstützt SSTP und IKEv2, während der Gerätetunnel nur IKEv2 unterstützt.
Unterstützte Szenarien
Technologie Always On VPN ist eine Lösung nur für Systeme Windows 10. Im Gegensatz zu DirectAccess muss auf den Client-Geräten jedoch nicht die Enterprise-Edition laufen, sondern alle Versionen von Windows 10 unterstützen diese Technologie, indem sie den Tunneltyp „User Tunnel“ übernehmen. In diesem Szenario können die Geräte Mitglieder einer Active Directory-Domäne sein, dies ist jedoch nicht unbedingt erforderlich. Der Always On VPN-Client kann nicht mit einer Domäne verbunden sein (Arbeitsgruppe), also auch dem Benutzer gehören. Um bestimmte erweiterte Funktionen nutzen zu können, müssen die Clients möglicherweise dem Azure Active Directory beitreten. Nur für die Verwendung Device Tunnel Systeme sind erforderlich, um eine Domäne beizutreten und muss Windows 10 Enterprise oder Bildung haben. In diesem Szenario ist die empfohlene Version 1809 oder höher.
Infrastrukturanforderungen
Für die Implementierung einer Always On VPN-Architektur sind die folgenden Infrastrukturkomponenten erforderlich, von denen viele in der Regel bereits in der Unternehmensrealität aktiv sind:
- Domain Controller
- DNS Server
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server (RRAS)
Abbildung 1 – Überblick über die VPN Always On Technologie
In diesem Zusammenhang ist es angebracht zu erwähnen, dass Always On VPN infrastruktur-unabhängig ist und über die Windows-Routing- und Remote-Access-Rolle (RRAS) oder über ein beliebiges VPN-Gerät eines Drittanbieters aktiviert werden kann. Die Authentifizierung kann auch über die Windows Network Policy Server-Rolle (NPS) oder über eine RADIUS-Plattform eines Drittanbieters erfolgen.
Weitere Details zu den Anforderungen finden Sie in der offiziellen Dokumentation von Microsoft.
Always On VPN in Azure-Umgebung?
Im Allgemeinen ist es ratsam, VPN-Verbindungen zu Endpunkten einzurichten, die so nah wie möglich an den Ressourcen liegen, auf die zugegriffen werden muss. Für hybride Realitäten gibt es mehrere Optionen für die Positionierung der Architektur Always On VPN. Die Bereitstellung der Fernzugriffsrolle auf einer virtuellen Maschine in einer Azure-Umgebung wird nicht unterstützt. Sie können jedoch Azure VPN Gateway mit Windows 10 Always On verwenden, um Tunnel sowohl vom Typ Gerätetunnel als auch vom Typ Benutzertunnel einzurichten. In diesem Zusammenhang sollte beachtet werden, dass es angebracht ist, die richtigen Einschätzungen des Typs und der SKU vorzunehmen, um Azure VPN Gateway bereitzustellen.
Bereitstellungsarten
Für Always On VPN gibt es zwei Bereitstellungsszenarien:
- Bereitstellung nur von Always On VPN.
- Bereitstellung von Always On VPN mit Microsoft Azure Conditional Access.
Die Bereitstellung von Always On VPN kann optional vorhersagen, dass für Client-Windows 10, die mit der Domäne verbunden sind, der bedingte Zugriff konfiguriert wird, um anzupassen, wie VPN-Benutzer auf Unternehmensressourcen zugreifen.
Abbildung 2 – Workflow für die Bereitstellung von Always On VPN für domänenverbundene Windows 10-Clients
Der Client Always On VPN kann in die Plattform Azure Contitional Access integriert werden, um Multi-Faktor-Authentifizierung (MFA), Gerätekonformität oder eine Kombination dieser beiden Aspekte zu erzwingen. Wenn die Kriterien für Contitional Access erfüllt sind, stellt Azure Active Directory (Azure AD) ein kurzlebiges IPsec-Authentifizierungszertifikat aus, das für die Authentifizierung am VPN-Gateway verwendet werden kann. Die Gerätekonformität verwendet Microsoft Endpoint Manager-Konformitätsrichtlinien (Configuration Manager / Intune), die den Status der Integritätsbescheinigung des Geräts als Teil der Konformitätsprüfung für die Verbindung enthalten können.
Abbildung 3 – Client-seitiger Verbindungsworkflow
Weitere Details zu dieser Bereitstellungsmethode finden Sie in dieser Microsoft-Dokumentation.
Bereitstellung der Lösung auf dem Client
Always On VPN ist für die Bereitstellung und Verwaltung mit einer Plattform zur Verwaltung mobiler Geräte wie dem Microsoft Endpoint Manager konzipiert, aber Sie können auch Mobile Device Management-Lösungen (MDM) von Drittanbietern verwenden. Für Always On VPN gibt es keine Unterstützung für die Konfiguration und Verwaltung über Gruppenrichtlinien in Active Directory, aber wenn Sie keine MDM-Lösung haben, ist es möglich, mit einer manuellen Bereitstellung der Konfiguration über PowerShell fortzufahren.
Integration mit anderen Microsoft-Lösungen
Neben den in den vorangegangenen Absätzen genannten Fällen kann die Technologie Always On VPN mit den folgenden Microsoft-Technologien integriert werden:
- Azure Multifactor Authentication (MFA): In Kombination mit RADIUS-Diensten (Remote Authentication Dial-In User Service) und der Erweiterung NPS (Network Policy Server) für Azure MFA kann die VPN-Authentifizierung Multi-Faktor-Authentifizierungsmechanismen nutzen.
- Windows Information Protection (WIP): dank dieser Integration ist die Anwendung von Netzwerkkriterien erlaubt, um zu bestimmen, ob der Datenverkehr durch den VPN-Tunnel passieren darf.
- Windows Hello for Business: in Windows 10 ersetzt diese Technologie Passwörter und bietet einen Authentifizierungsmechanismus mit zwei starken Faktoren. Diese Authentifizierung ist eine Art von Benutzeranmeldeinformationen im Zusammenhang mit einem Gerät und verwenden Sie eine PIN (Personal Identification Number) biometrischen oder persönlichen.
Abschluss
Vorbereiten Sie Ihre Infrastruktur, um den Endpunkt zu ermöglichen, das Unternehmensnetzwerk durch Technologie zugreifen Always On VPN es erfordert keine zusätzlichen Kosten für Software-Lizenzen und die notwendigen Investitionen sowohl in Bezug auf Aufwand und Ressourcen sind minimal. Dank dieser Konnektivitätsmethode können Sie die beste Benutzererfahrung unterwegs sicherstellen, indem Sie einen transparenten und automatischen Zugang zum Unternehmensnetzwerk bieten und gleichzeitig ein hohes Maß an Sicherheit aufrechterhalten. Aufgrund der oben genannten Aspekte ist die Technologie Always On VPN nicht für alle Nutzungsszenarien geeignet, aber sie ist sicherlich in Betracht zu ziehen, wenn Systeme mit Windows 10 vorhanden sind, die einen Fernzugriff auf Unternehmensressourcen benötigen.
