La tecnologia può giocare un ruolo importante nel ridurre l’impatto della COVID-19 sulle persone e sulle realtà aziendali, aiutando il personale a rimanere produttivo quando non può essere fisicamente sul posto di lavoro. In questi giorni di emergenza, le aziende sono state costrette ad adottare rapidamente soluzioni efficaci per consentire ai loro dipendenti di lavorare in remoto senza sacrificare la collaborazione, la produttività e la sicurezza. Le soluzioni che possono essere adottate in questo ambito sono diverse, ognuna con le proprie caratteristiche e peculiarità, in grado di soddisfare esigenze diverse. Questo articolo presenta le principali caratteristiche della tecnologia Microsoft Always On VPN, per valutare i vantaggi e quali sono i principali casi d’uso della soluzione.
Caratteristiche principali di Always On VPN
A partire da Windows Server 2016 e successivi Microsoft ha introdotto una nuova tecnologia di accesso remoto per endpoint chiamata Always On VPN che permette un accesso trasparente alla rete aziendale, rendendola particolarmente adatta negli scenari di smart working. È l’evoluzione della tecnologia DirectAccess e, per quanto efficace, presentava alcune limitazioni che ne rendevano difficile l’adozione.
Come dice il nome, la VPN è “sempre attiva”, infatti, una connessione sicura alla rete aziendale viene stabilita automaticamente ogni volta che un client autorizzato ha la connettività Internet, il tutto senza richiedere input o interazione da parte dell’utente, a meno che non sia abilitato un meccanismo di autenticazione a più fattori. Gli utenti remoti accedono ai dati e alle applicazioni aziendali nello stesso modo, proprio come se fossero sul posto di lavoro.
Le connessioni VPN sempre attive includono i seguenti tipi di tunnel:
- Tunnel dispositivo: il dispositivo si connette al server VPN prima che gli utenti si colleghino al dispositivo.
- Tunnel utente: si attiva solo dopo che gli utenti si sono collegati al dispositivo.
Utilizzando Always On VPN è possibile avere una connessione utente, una connessione dispositivo o una combinazione di entrambe. Sia il Device Tunnel che lo User Tunnel funzionano indipendentemente e possono utilizzare diversi metodi di autenticazione. Sembra quindi possibile abilitare l’autenticazione del dispositivo per gestirlo da remoto attraverso il Device Tunnel, e abilitare l’autenticazione utente per la connettività alle risorse interne attraverso lo User Tunnel. Lo User Tunnel supporta SSTP, e IKEv2, mentre il Device Tunnel supporta solo IKEv2.
Scenari supportati
Tecnologia Always On VPN è una soluzione solo per sistemi Windows 10. Tuttavia, a differenza di DirectAccess, i dispositivi client non devono necessariamente eseguire l’edizione Enterprise, ma tutte le versioni di Windows 10 supportano questa tecnologia, adottando il tipo di tunnel definito User Tunnel. In questo scenario, i dispositivi possono essere membri di un dominio Active Directory, ma questo non è strettamente necessario. Il client Always On VPN può essere non appartenente al dominio (gruppo di lavoro), quindi anche di proprietà dell’utente. Per usufruire di alcune funzioni avanzate, i client possono essere di unirsi ad Azure Active Directory. Solo per i sistemi Device Tunnel uso sono tenuti a unirsi a un dominio e deve avere Windows 10 Enterprise o Education. In questo scenario, la versione consigliata è 1809 o successiva.
Requisiti dell’infrastruttura
I seguenti componenti dell’infrastruttura sono necessari per implementare un’architettura Always On VPN, molti dei quali sono tipicamente già attivi nelle realtà aziendali:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server (RRAS)
Figura 1 – Panoramica della tecnologia VPN Always On
In questo contesto è opportuno specificare che Always On VPN è indipendente dall’infrastrutturaindipendente e può essere attivata utilizzando il ruolo Routing and Remote Access di Windows (RRAS) o adottando qualsiasi dispositivo VPN di terze parti. L’autenticazione può essere fornita anche dal ruolo Network Policy Server (NPS) di Windows o da qualsiasi piattaforma RADIUS di terze parti.
Per maggiori dettagli sui requisiti, si rimanda alla documentazione ufficiale di Microsoft.
Always On VPN in ambiente Azure?
In generale, è consigliabile stabilire connessioni VPN verso endpoint il più vicino possibile alle risorse a cui si deve accedere. Per le realtà ibride, ci sono diverse opzioni per posizionare l’architettura Always On VPN. Il deploy del ruolo Remote Access su una macchina virtuale in ambiente Azure non è supportato, tuttavia è possibile utilizzare Azure VPN Gateway con Windows 10 Always On, per stabilire tunnel sia di tipo Device Tunnel che User Tunnel. A tal proposito è bene precisare che è opportuno fare le corrette valutazioni del tipo e della SKU per implementare Azure VPN Gateway.
Tipi di deployment
Per Always On VPN esistono due scenari di deployment:
- Deploy solo di Always On VPN.
- Deploy di Always On VPN con Microsoft Azure Conditional Access.
La distribuzione di Always On VPN può prevedere facoltativamente, per client Windows 10 uniti al dominio, di configurare l’accesso condizionato per regolare come gli utenti VPN accedono alle risorse aziendali.
Figura 2 – Flusso di lavoro per la distribuzione di Always On VPN per Windows 10 client unito al dominio
Il client Always On VPN può essere integrato con la piattaforma Azure Contitional Access per forzare l’autenticazione a più fattori (MFA), conformità del dispositivo o una combinazione di questi due aspetti. Se soddisfa i criteri di accesso condizionale, Azure Active Directory (Azure AD) emette un certificato di autenticazione IPsec di breve durata che può essere utilizzato per autenticarsi al gateway VPN. La conformità del dispositivo utilizza le politiche di conformità di Microsoft Endpoint Manager (Configuration Manager / Intune), che possono includere lo stato di attestazione di integrità del dispositivo, come parte del controllo di conformità per la connessione.
Figura 3 – Flusso di lavoro della connessione lato client
Per maggiori dettagli su questo metodo di implementazione puoi fare riferimento a questa documentazione Microsoft.
Provisioning della soluzione sul client
Always On VPN è progettato per essere distribuito e gestito utilizzando una piattaforma di gestione dei dispositivi mobili come Microsoft Endpoint Manager, ma è anche possibile utilizzare soluzioni di Mobile Device Management (MDM) di terze parti. Per Always On VPN non c’è supporto per la configurazione e la gestione tramite Group Policy in Active Directory, ma se non si dispone di una soluzione MDM è possibile procedere con un deploy manuale della configurazione tramite PowerShell.
Integrazione con altre soluzioni Microsoft
Oltre ai casi specificati nei paragrafi precedenti, la tecnologia Always On VPN può essere integrata con le seguenti tecnologie Microsoft:
- Azure Multifactor Authentication (MFA): se combinata con i servizi RADIUS (Remote Authentication Dial-In User Service) e l’estensione NPS (Network Policy Server) per Azure MFA, l’autenticazione VPN può sfruttare i meccanismi di autenticazione multi-fattore.
- Windows Information Protection (WIP): grazie a questa integrazione è consentita l’applicazione di criteri di rete per determinare se il traffico è permesso di passare attraverso il tunnel VPN.
- Windows Hello for Business: in Windows 10, questa tecnologia sostituisce le password, fornendo meccanismo di autenticazione con due fattori forti. Questa autenticazione è un tipo di credenziali utente relative a un dispositivo e utilizzare un PIN (Personal Identification Number) biometrico o personale.
Conclusioni
Preparare l’infrastruttura per consentire l’endpoint per accedere alla rete aziendale attraverso la tecnologia Always On VPN non richiede alcun costo aggiuntivo per le licenze software e gli investimenti necessari sia in termini di sforzo e risorse sono minimi. Grazie a questo metodo di connettività è possibile garantire la migliore esperienza utente in mobilità, fornendo un accesso trasparente e automatico alla rete aziendale mantenendo un alto livello di sicurezza. Per gli aspetti sopra elencati la tecnologia Always On VPN non è adatta a tutti gli scenari di utilizzo, ma è sicuramente da considerare in presenza di sistemi Windows 10 che necessitano di un accesso remoto alle risorse aziendali.
