Microsoft Always On VPN: läpinäkyvä pääsy yritysverkkoon soveltuu älykkääseen työskentelyyn

Teknologia voi olla tärkeässä roolissa, kun vähennetään COVID-19:n vaikutuksia ihmisiin ja yritystoimintaan, ja se voi auttaa henkilöstöä pysymään tuottavana silloin, kun se ei voi olla fyysisesti työpaikalla. Näinä hätäpäivinä yritysten on ollut pakko ottaa nopeasti käyttöön tehokkaita ratkaisuja, joiden avulla työntekijät voivat työskennellä etänä uhraamatta yhteistyötä, tuottavuutta ja turvallisuutta. Ratkaisut, jotka voidaan ottaa käyttöön tällä alalla, ovat erilaisia, ja kullakin on omat ominaispiirteensä ja erityispiirteensä, jotka pystyvät vastaamaan erilaisiin tarpeisiin. Tässä artikkelissa esitellään Microsoftin Always On VPN -teknologian pääpiirteet, jotta voidaan arvioida sen hyötyjä ja sitä, mitkä ovat ratkaisun tärkeimmät käyttötapaukset.

Avainominaisuudet Always On VPN:ssä

Alkaen Windows Server 2016:sta ja sitä myöhemmistä versioista Microsoft otti käyttöön päätelaitteille tarkoitetun uuden etäkäyttöteknologian nimeltä Always On VPN, joka mahdollistaa läpinäkyvän pääsyn yritysverkkoon ja soveltuu siksi erityisen hyvin älykkääseen työskentelyyn. Se on DirectAccess-teknologian evoluutio, ja vaikka se olikin tehokas, siinä oli joitakin rajoituksia, jotka tekivät sen käyttöönotosta vaikeaa.

Kuten nimi kertoo, VPN on ”aina aktiivinen”, Itse asiassa suojattu yritysverkkoyhteys muodostetaan automaattisesti aina, kun valtuutetulla asiakkaalla on Internet-yhteys, ja kaikki tämä vaatii käyttäjän panosta tai vuorovaikutusta, ellei monitekijätodennusmekanismia ole käytössä. Etäkäyttäjät käyttävät yritystietoja ja -sovelluksia samalla tavalla, aivan kuin he olisivat työpaikalla.

Always On VPN-yhteyksiin kuuluvat seuraavantyyppiset tunnelit:

• Laitetunneli: Laite muodostaa yhteyden VPN-palvelimeen ennen kuin käyttäjät kirjautuvat laitteeseen.
• Käyttäjätunneli: se aktivoituu vasta sen jälkeen, kun käyttäjät ovat kirjautuneet laitteeseen.

Käytettäessä Always On VPN:ää voi olla käyttäjäyhteys, laiteyhteys tai näiden yhdistelmä. Sekä Laitetunneli että Käyttäjätunneli ne toimivat itsenäisesti ja voivat käyttää eri todennusmenetelmiä. Näyttää siis mahdolliselta ottaa käyttöön laitteen todennus laitteen etähallintaa varten laitetunnelin kautta ja ottaa käyttöön käyttäjän todennus sisäisten resurssien yhdistämistä varten käyttäjätunnelin kautta. Käyttäjätunneli tukee SSTP:tä ja IKEv2:ta, kun taas laitetunneli tukee vain IKEv2:ta.

Tuetut skenaariot

Tekniikka Always On VPN on ratkaisu vain Windows 10 -järjestelmille. Toisin kuin DirectAccessissa, asiakaslaitteiden ei kuitenkaan tarvitse käyttää Enterprise-versiota, vaan kaikki Windows 10 -versiot tukevat tätä tekniikkaa hyväksymällä määritellyn tunnelin tyypin User Tunnel. Tässä skenaariossa laitteet voivat olla Active Directory -toimialueen jäseniä, mutta se ei ole ehdottoman välttämätöntä. Always On VPN -asiakasohjelma voi olla toimialueeseen kuulumaton (työryhmä) ja siten myös käyttäjän omistama. Tiettyjen lisäominaisuuksien hyödyntämiseksi asiakkaiden voi olla pakko liittyä Azure Active Directoryyn. Vain käyttöä varten Device Tunnel -järjestelmien on liityttävä toimialueeseen, ja niissä on oltava Windows 10 Enterprise tai Education. Tässä skenaariossa suositeltu versio on 1809 tai uudempi.

Infrastruktuurivaatimukset

A Always On VPN -arkkitehtuurin toteuttaminen edellyttää seuraavia infrastruktuurikomponentteja, joista monet ovat tyypillisesti jo aktiivisia yritysrealiteeteissa:

• Domain Controllerit
• DNS-palvelimet
• Verkkokäytäntöpalvelin (NPS)
• Varmenneviranomaispalvelin (CA)
• Reititys- ja etäkäyttöpalvelin (Remote Access) (RRAS)

Tässä yhteydessä on tarkoituksenmukaista täsmentää, että Always On VPN on infrastruktuuri-riippumaton ja se voidaan aktivoida käyttämällä Windows Routing and Remote Access -roolia (RRAS) tai ottamalla käyttöön mikä tahansa kolmannen osapuolen VPN-laite. Todennus voidaan myös tarjota Windows Network Policy Server -roolilla (NPS) tai millä tahansa kolmannen osapuolen RADIUS-alustalla.

Lisätietoja vaatimuksista on Microsoftin virallisessa dokumentaatiossa.

Always On VPN Azure-ympäristössä?

Yleisesti ottaen on suositeltavaa luoda VPN-yhteydet päätepisteisiin mahdollisimman lähelle resursseja, joihin on päästävä. Hybriditodellisuuksia varten on useita vaihtoehtoja Always On VPN -arkkitehtuurin sijoittamiseen. Etäkäyttöroolin käyttöönottoa virtuaalikoneessa Azure-ympäristössä ei tueta, mutta voit kuitenkin käyttää Azure VPN Gatewaya Windows 10 Always On -käyttöjärjestelmän kanssa sekä laitetunnelin että käyttäjätunnelin tyyppisten tunneleiden luomiseen. Tässä yhteydessä on huomattava, että Azure VPN Gatewayn käyttöönottoa varten on aiheellista tehdä oikeat tyypin ja SKU:n arvioinnit.

Käyttötyypit

A Always On VPN:lle on kaksi käyttöönottoskenaariota:

• Käyttöönotto vain Always On VPN:n kanssa.
• Käyttöönotto vain Always On VPN:n kanssa, jossa on mukana Microsoft Azure Conditional Access.

A Always On VPN:n käyttöönotto voi ennakoida valinnaisesti, toimialueeseen liitetyille Windows 10 -asiakkaille, ehdollisen pääsyn määrittämistä, jotta voidaan säätää, miten VPN-käyttäjät käyttävät yrityksen resursseja.

Allower On VPN -asiakkaalle voidaan integroida Azure Contitional Access -alustaan monitekijätodennuksen (MFA) pakottamiseksi, laitteen vaatimustenmukaisuuden noudattamiseksi tai näiden kahden näkökohdan yhdistelmäksi. Jos se täyttää Contitional Access -kriteerit, Azure Active Directory (Azure AD) myöntää lyhytikäisen IPsec-todennusvarmenteen, jota voidaan käyttää VPN-yhdyskäytävän todennukseen. Laitteen vaatimustenmukaisuus käyttää Microsoft Endpoint Managerin vaatimustenmukaisuuskäytäntöjä (Configuration Manager / Intune), joihin voi sisältyä laitteen eheystodistuksen tila osana yhteyden vaatimustenmukaisuuden tarkistusta.

Lisätietoja tästä käyttöönottomenetelmästä on tässä Microsoftin dokumentaatiossa.

Ratkaisun käyttöönotto asiakkaalla
Always On VPN on suunniteltu otettavaksi käyttöön ja hallittavaksi mobiililaitteiden hallinta-alustan, kuten Microsoft Endpoint Managerin, avulla, mutta voit käyttää myös kolmannen osapuolen mobiililaitteiden hallintaratkaisuja (MDM). Always On VPN:lle ei ole tukea Active Directoryn ryhmäkäytäntöjen kautta tapahtuvaan konfigurointiin ja hallintaan, mutta jos sinulla ei ole MDM-ratkaisua, konfiguraatio on mahdollista ottaa käyttöön manuaalisesti PowerShellin avulla.

Integrointi muiden Microsoftin ratkaisujen kanssa

Edellisissä kappaleissa määriteltyjen tapausten lisäksi Always On VPN -tekniikka voidaan integroida seuraaviin Microsoftin teknologioihin:

• Azure Multifactor Authentication (MFA): Kun se yhdistetään RADIUS-palveluihin (Remote Authentication Dial-In User Service, etätunnistusvalintakäyttäjäpalvelu) ja NPS-laajennukseen (NPS = verkkokäytäntöjen palvelin, Network Policy Server) Azure MFA:ta varten, VPN:n autentikointi voi käyttää hyväksi usean eri tekijän autentikointijärjestelmiä.
• Windows Information Protection (WIP): tämän integraation ansiosta sallitaan verkkokriteerien soveltaminen sen määrittämiseksi, sallitaanko liikenteen kulkeminen VPN-tunnelin läpi.
• Windows Hello for Business: Windows 10:ssä tämä tekniikka korvaa salasanat ja tarjoaa todennusmekanismin kahdella vahvalla tekijällä. Tämä todennus on eräänlainen laitteeseen liittyvä käyttäjän tunnistetietojen tyyppi ja käyttää PIN-koodia (Personal Identification Number) biometristä tai henkilökohtaista.

Johtopäätökset

Valmista infrastruktuurisi niin, että päätepiste voi käyttää yritysverkkoa tekniikan avulla Always On VPN se ei vaadi lisäkustannuksia ohjelmistolisensseistä ja tarvittavat investoinnit sekä vaivannäön että resurssien osalta ovat vähäisiä. Tämän yhteysmenetelmän ansiosta voit varmistaa parhaan käyttäjäkokemuksen liikkeellä ollessasi ja tarjota läpinäkyvän ja automaattisen pääsyn yritysverkkoon säilyttäen samalla korkean turvallisuustason. Edellä lueteltujen näkökohtien vuoksi tekniikka Always On VPN ei sovellu kaikkiin käyttöskenaarioihin, mutta sitä kannattaa varmasti harkita Windows 10 -järjestelmissä, jotka tarvitsevat etäkäyttöä yrityksen resursseihin.