La tecnología puede desempeñar un papel importante en la reducción del impacto de la COVID-19 en las personas y las realidades empresariales, ayudando al personal a seguir siendo productivo cuando no es capaz de estar físicamente en su lugar de trabajo. En estos días de emergencia, las empresas se han visto obligadas a adoptar rápidamente soluciones eficaces que permitan a sus empleados trabajar a distancia sin sacrificar la colaboración, la productividad y la seguridad. Las soluciones que se pueden adoptar en este ámbito son diferentes, cada una con sus propias características y peculiaridades, capaces de satisfacer diferentes necesidades. En este artículo se presentan las principales características de la tecnología Microsoft Always On VPN, para valorar los beneficios y cuáles son los principales casos de uso de la solución.
Características principales de Always On VPN
A partir de Windows Server 2016 y posteriores Microsoft introdujo una nueva tecnología de acceso remoto para endpoints denominada Always On VPN que permite un acceso transparente a la red corporativa, lo que la hace especialmente adecuada en escenarios de trabajo inteligente. Es la evolución de la tecnología DirectAccess y, aunque eficaz, presentaba algunas limitaciones que dificultaban su adopción.
Como su nombre indica, la VPN está «siempre activa», De hecho, se establece una conexión segura a la red corporativa de forma automática siempre que un cliente autorizado tenga conectividad a Internet, todo ello sin requerir la intervención o interacción del usuario, a menos que se habilite un mecanismo de autenticación multifactor. Los usuarios remotos acceden a los datos y aplicaciones empresariales de la misma manera, como si estuvieran en el lugar de trabajo.
Las conexiones VPN siempre activas incluyen los siguientes tipos de túneles:
- Túnel de dispositivo: el dispositivo se conecta al servidor VPN antes de que los usuarios inicien sesión en el dispositivo.
- Túnel de usuario: se activa sólo después de que los usuarios hayan iniciado sesión en el dispositivo.
Al utilizar Always On VPN puede tener una conexión de usuario, una conexión de dispositivo o una combinación de ambas. Tanto el túnel de dispositivo que el túnel de usuario funcionan de forma independiente y pueden utilizar diferentes métodos de autenticación. Por lo tanto, parece posible habilitar la autenticación del dispositivo para gestionarlo remotamente a través del Túnel de Dispositivo, y habilitar la autenticación del usuario para la conectividad a los recursos internos a través del Túnel de Usuario. El Túnel de Usuario soporta SSTP, e IKEv2, mientras que el Túnel de Dispositivo sólo soporta IKEv2.
Escenarios soportados
Tecnología Always On VPN es una solución sólo para sistemas Windows 10. Sin embargo, a diferencia de DirectAccess, los dispositivos cliente no tienen que ejecutar la edición Enterprise, sino que todas las versiones de Windows 10 soportan esta tecnología, adoptando el tipo de túnel definido User Tunnel. En este escenario, los dispositivos pueden ser miembros de un dominio de Active Directory, pero no es estrictamente necesario. El cliente Always On VPN puede no estar unido a un dominio (grupo de trabajo), por lo que también es propiedad del usuario. Para aprovechar ciertas características avanzadas, los clientes pueden ser para unirse a Azure Active Directory. Sólo para el uso de sistemas Device Tunnel se requiere unirse a un dominio y debe tener Windows 10 Enterprise o Education. En este escenario, la versión recomendada es la 1809 o posterior.
Requisitos de infraestructura
Se requieren los siguientes componentes de infraestructura para implementar una arquitectura VPN Always On, muchos de los cuales suelen estar ya activos en las realidades empresariales:
- Controladores de dominio
- Servidores DNS
- Servidor de políticas de red (NPS)
- Servidor de autoridad de certificados (CA)
- Servidor de enrutamiento y acceso remoto (RRAS)
Figura 1 – Visión general de la tecnología VPN Always On
En este contexto es conveniente especificar que la VPN Always On es independiente de la infraestructuraindependiente y puede activarse utilizando la función de enrutamiento y acceso remoto de Windows (RRAS) o adoptando cualquier dispositivo VPN de terceros. La autenticación también puede ser proporcionada por el rol Windows Network Policy Server (NPS) o desde cualquier plataforma RADIUS de terceros.
Para más detalles sobre los requisitos, consulte la documentación oficial de Microsoft.
¿Siempre On VPN en entorno Azure?
En general,, es aconsejable establecer conexiones VPN a los puntos finales lo más cerca posible de los recursos a los que se debe acceder. Para realidades híbridas, existen varias opciones para posicionar la arquitectura Always On VPN. El despliegue del rol de Acceso Remoto en una máquina virtual en entorno Azure no está soportado, sin embargo, se puede utilizar Azure VPN Gateway con Windows 10 Always On, para establecer túneles tanto de tipo Túnel de Dispositivo como Túnel de Usuario. En este sentido hay que tener en cuenta que es conveniente realizar las valoraciones correctas del tipo y del SKU para desplegar Azure VPN Gateway.
Tipos de despliegue
Para Always On VPN existen dos escenarios de despliegue:
- Despliegue sólo de Always On VPN.
- Despliegue de Always On VPN con Microsoft Azure Conditional Access.
El despliegue de Always On VPN puede predecir opcionalmente, para el cliente Windows 10 unido al dominio, para configurar el acceso condicional para ajustar cómo los usuarios de VPN acceden a los recursos de la empresa.
Figura 2 – Flujo de trabajo para el despliegue de Always On VPN para clientes Windows 10 unidos a dominio
El cliente Always On VPN puede integrarse con la plataforma Azure Contitional Access para forzar la autenticación multifactor (MFA), la conformidad del dispositivo o una combinación de estos dos aspectos. Si cumple los criterios de Contitional Access, Azure Active Directory (Azure AD) emite un certificado de autenticación IPsec de corta duración que puede utilizarse para autenticarse en la pasarela VPN. El cumplimiento del dispositivo utiliza las políticas de cumplimiento de Microsoft Endpoint Manager (Configuration Manager / Intune), que pueden incluir el estado de atestación de integridad del dispositivo, como parte de la comprobación del cumplimiento de la conexión.
Figura 3 – Flujo de trabajo de conexión del lado del cliente
Para más detalles sobre este método de despliegue puede consultar esta documentación de Microsoft.
Aprovisionamiento de la solución en el cliente
Always On VPN está diseñado para ser desplegado y gestionado utilizando una plataforma de gestión de dispositivos móviles como Microsoft Endpoint Manager, pero también puede utilizar soluciones de gestión de dispositivos móviles (MDM) de terceros. Para Always On VPN no hay soporte para la configuración y gestión a través de Políticas de Grupo en Active Directory, pero si no se dispone de una solución MDM es posible proceder a un despliegue manual de la configuración a través de PowerShell.
Integración con otras soluciones de Microsoft
Además de los casos especificados en los párrafos anteriores, la tecnología Always On VPN puede integrarse con las siguientes tecnologías de Microsoft:
- Azure Multifactor Authentication (MFA): cuando se combina con los servicios RADIUS (Remote Authentication Dial-In User Service) y la extensión NPS (Network Policy Server) para Azure MFA, la autenticación VPN puede explotar los mecanismos de autenticación multifactor.
- Windows Information Protection (WIP): gracias a esta integración se permite la aplicación de criterios de red para determinar si se permite el paso del tráfico a través del túnel VPN.
- Windows Hello for Business: en Windows 10, esta tecnología sustituye a las contraseñas, proporcionando un mecanismo de autenticación con dos factores fuertes. Esta autenticación es un tipo de credencial de usuario relacionada con un dispositivo y utiliza un PIN (Número de Identificación Personal) biométrico o personal.
Conclusiones
Prepare su infraestructura para permitir que el endpoint acceda a la red corporativa a través de la tecnología Always On VPN no requiere ningún coste adicional por licencias de software y las inversiones necesarias tanto en términos de esfuerzo como de recursos son mínimas. Gracias a este método de conectividad se puede garantizar la mejor experiencia de usuario en movilidad, proporcionando un acceso transparente y automático a la red corporativa y manteniendo un alto nivel de seguridad. Por los aspectos enumerados anteriormente la tecnología Always On VPN no es adecuada para todos los escenarios de uso, pero es sin duda a tener en cuenta en presencia de sistemas Windows 10 que necesitan acceso remoto a los recursos corporativos.
.