A technológia fontos szerepet játszhat a COVID-19 emberekre és üzleti realitásokra gyakorolt hatásának csökkentésében, segítve a személyzetet abban, hogy produktív maradjon, ha fizikailag nem tud a munkahelyén tartózkodni. Ezekben a vészterhes napokban a vállalatok kénytelenek voltak gyorsan hatékony megoldásokat elfogadni, hogy lehetővé tegyék alkalmazottaik számára a távoli munkavégzést anélkül, hogy ez az együttműködés, a termelékenység és a biztonság rovására menne. Az ezen a területen elfogadható megoldások különbözőek, mindegyiknek megvannak a maga jellemzői és sajátosságai, amelyek képesek kielégíteni a különböző igényeket. Ez a cikk bemutatja a Microsoft Always On VPN technológiájának főbb jellemzőit, hogy felmérje az előnyöket, és hogy melyek a megoldás fő felhasználási esetei.
Az Always On VPN legfontosabb jellemzői
A Windows Server 2016-tól kezdődően a Microsoft bevezette a végpontok számára az Always On VPN nevű új távoli hozzáférési technológiát, amely átlátható hozzáférést biztosít a vállalati hálózathoz, így különösen alkalmas az intelligens munkavégzés forgatókönyveiben. Ez a DirectAccess technológia továbbfejlesztése, és bármennyire is hatékony volt, néhány olyan korlátozást mutatott, amely megnehezítette az elfogadását.
Amint a neve is mutatja, a VPN “mindig aktív”, Valójában egy biztonságos vállalati hálózati kapcsolat automatikusan létrejön, amikor egy engedélyezett ügyfél internetkapcsolattal rendelkezik, mindezt anélkül, hogy felhasználói beavatkozásra vagy interakcióra lenne szükség, kivéve, ha egy többfaktoros hitelesítési mechanizmus engedélyezve van. A távoli felhasználók ugyanúgy hozzáférnek az üzleti adatokhoz és alkalmazásokhoz, mintha a munkahelyükön lennének.
A mindig aktív VPN-kapcsolatok a következő típusú alagutakat tartalmazzák:
- Eszköz-alagút: az eszköz csatlakozik a VPN-kiszolgálóhoz, mielőtt a felhasználók bejelentkeznek az eszközre.
- Felhasználói alagút: csak azután aktiválódik, hogy a felhasználók bejelentkeztek az eszközre.
A Always On VPN használatával lehet felhasználói kapcsolat, eszközkapcsolat vagy a kettő kombinációja. Mind az eszközalagút, mind a felhasználói alagút egymástól függetlenül működik, és különböző hitelesítési módszereket használhat. Ezért lehetségesnek tűnik az eszközhitelesítés engedélyezése az eszköz távoli kezeléséhez az eszközalagúton keresztül, és a felhasználói hitelesítés engedélyezése a belső erőforrásokhoz való csatlakozáshoz a felhasználói alagúton keresztül. A felhasználói alagút támogatja az SSTP-t és az IKEv2-t, míg az eszközalagút csak az IKEv2-t.
Támogatott forgatókönyvek
Technológia Az Always On VPN csak a Windows 10 rendszerek számára jelent megoldást. A DirectAccess-szel ellentétben azonban az ügyféleszközöknek nem kell az Enterprise kiadást futtatniuk, hanem a Windows 10 minden verziója támogatja ezt a technológiát, elfogadva a meghatározott User Tunnel alagút típust. Ebben a forgatókönyvben az eszközök tagjai lehetnek egy Active Directory tartománynak, de ez nem feltétlenül szükséges. Az Always On VPN kliens lehet nem tartományhoz (munkacsoporthoz) tartozó, tehát szintén a felhasználó tulajdonában lévő. Bizonyos speciális funkciók kihasználásához az ügyfeleknek csatlakozniuk kell az Azure Active Directoryhoz. Kizárólag a Device Tunnel használatához a rendszereknek csatlakozniuk kell egy tartományhoz, és Windows 10 Enterprise vagy Education rendszerrel kell rendelkezniük. Ebben a forgatókönyvben az ajánlott verzió a 1809-es vagy újabb.
Infrastrukturális követelmények
A Always On VPN-architektúra megvalósításához a következő infrastrukturális összetevőkre van szükség, amelyek közül több jellemzően már aktív az üzleti valóságban:
- Domain Controllers
- DNS szerverek
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server (Útválasztási és távoli hozzáférési szerver) (RRAS)
1. ábra – A VPN Always On technológia áttekintése
Ezzel összefüggésben célszerű pontosítani, hogy az Always On VPN az infrastruktúra-független, és a Windows Routing and Remote Access (RRAS) szerepkör használatával vagy bármely harmadik féltől származó VPN-eszköz alkalmazásával aktiválható. A hitelesítést a Windows Network Policy Server (NPS) szerepkör vagy bármely harmadik fél RADIUS platformja is biztosíthatja.
A követelményekkel kapcsolatos további részletekért olvassa el a Microsoft hivatalos dokumentációját.
Always On VPN Azure környezetben?
Általánosságban elmondható, hogy a VPN-kapcsolatokat a végpontokhoz a lehető legközelebb célszerű létrehozni azokhoz az erőforrásokhoz, amelyekhez hozzáférést kell biztosítani. A hibrid valóságok esetében több lehetőség is van az Always On VPN architektúra elhelyezésére. A Távoli hozzáférés szerepkör telepítése virtuális gépen Azure-környezetben nem támogatott, azonban a Windows 10 Always On Azure VPN Gateway-t használhatja az eszközalagút és a felhasználói alagút típusú alagutak létrehozására. Ezzel kapcsolatban meg kell jegyezni, hogy az Azure VPN Gateway telepítéséhez helyénvaló a típus és az SKU helyes felmérése.
Telepítési típusok
A Always On VPN esetében két telepítési forgatókönyv létezik:
- Kizárólag az Always On VPN telepítése.
- Az Always On VPN telepítése a Microsoft Azure Conditional Access-szel.
Az Always On VPN telepítése opcionálisan előre jelezheti, hogy a tartományhoz csatlakozott Windows 10 kliensek esetében a feltételes hozzáférés konfigurálásával beállítható, hogy a VPN-felhasználók hogyan férjenek hozzá a vállalati erőforrásokhoz.
2. ábra – Az Always On VPN telepítésének munkafolyamata a tartományhoz csatlakozó Windows 10 kliensek számára
A kliens Always On VPN integrálható az Azure Contitional Access platformmal a többfaktoros hitelesítés (MFA), az eszközmegfelelőség vagy e két szempont kombinációjának kikényszerítésére. Ha megfelel a Contitional Access kritériumoknak, az Azure Active Directory (Azure AD) kiállít egy rövid életű IPsec hitelesítési tanúsítványt, amely a VPN-átjáróhoz való hitelesítéshez használható. Az eszközmegfelelőség a Microsoft Endpoint Manager megfelelőségi irányelveit (Configuration Manager / Intune) használja, amelyek a kapcsolat megfelelőségi ellenőrzésének részeként tartalmazhatják az eszköz integritásigazolásának állapotát.
3. ábra – Ügyféloldali kapcsolat munkafolyamat
A telepítési módszer további részleteit ebben a Microsoft dokumentációban találja.
A megoldás telepítése az ügyfélre
Az Always On VPN-t úgy tervezték, hogy egy mobileszköz-kezelő platform, például a Microsoft Endpoint Manager segítségével telepíthető és kezelhető legyen, de használhatja harmadik fél mobileszköz-kezelő megoldásait (MDM) is. Az Always On VPN esetében nincs támogatás az Active Directory csoportházirendjén keresztül történő konfigurációhoz és kezeléshez, de ha nem rendelkezik MDM-megoldással, akkor lehetőség van a konfiguráció kézi telepítésére a PowerShell segítségével.
Integráció más Microsoft megoldásokkal
Az előző bekezdésekben meghatározott eseteken kívül az Always On VPN technológia a következő Microsoft technológiákkal is integrálható:
- Azure Multifaktoros hitelesítés (MFA): a RADIUS szolgáltatásokkal (Remote Authentication Dial-In User Service) és az Azure MFA NPS (Network Policy Server) kiterjesztésével kombinálva a VPN-hitelesítés kihasználhatja a többfaktoros hitelesítési mechanizmusokat.
- Windows Information Protection (WIP): ennek az integrációnak köszönhetően lehetővé válik a hálózati kritériumok alkalmazása annak meghatározására, hogy a forgalom áthaladhat-e a VPN-alagúton.
- Windows Hello for Business: a Windows 10-ben ez a technológia helyettesíti a jelszavakat, két erős tényezővel rendelkező hitelesítési mechanizmust biztosít. Ez a hitelesítés az eszközhöz kapcsolódó felhasználói hitelesítő adatok egy típusa, és PIN-kódot (személyi azonosító szám) használ biometrikus vagy személyes.
Következtetések
Készítse fel infrastruktúráját arra, hogy a végpont a vállalati hálózathoz a Always On VPN technológián keresztül férjen hozzá, nem igényel további költségeket a szoftverlicencekért, és a szükséges beruházások mind az erőfeszítés, mind az erőforrások tekintetében minimálisak. Ennek a csatlakozási módszernek köszönhetően a legjobb felhasználói élményt biztosíthatja útközben, átlátható és automatikus hozzáférést biztosítva a vállalati hálózathoz, miközben magas szintű biztonságot tart fenn. A fent felsorolt szempontok miatt az Always On VPN technológia nem alkalmas minden felhasználási forgatókönyvhöz, de mindenképpen megfontolandó a vállalati erőforrásokhoz távoli hozzáférést igénylő Windows 10 rendszerek jelenlétében.
.