Technologie kan een belangrijke rol spelen bij het verminderen van de impact van COVID-19 op mensen en zakelijke realiteiten, door het personeel te helpen productief te blijven wanneer het niet in staat is om fysiek op zijn werkplek te zijn. In deze tijd van noodsituaties zijn bedrijven gedwongen snel doeltreffende oplossingen in te voeren om hun werknemers in staat te stellen op afstand te werken zonder dat dit ten koste gaat van de samenwerking, de productiviteit en de veiligheid. Er bestaan verschillende oplossingen op dit gebied, elk met zijn eigen kenmerken en eigenaardigheden, die aan verschillende behoeften kunnen voldoen. In dit artikel worden de belangrijkste kenmerken van de technologie Microsoft Always On VPN gepresenteerd, om te beoordelen wat de voordelen zijn en wat de belangrijkste use cases van de oplossing zijn.
Key Features of Always On VPN
Startend met Windows Server 2016 en later introduceerde Microsoft een nieuwe technologie voor externe toegang voor endpoints, genaamd Always On VPN, die transparante toegang tot het bedrijfsnetwerk mogelijk maakt, waardoor het bijzonder geschikt is in scenario’s voor slim werken. Het is de evolutie van de technologie DirectAccess en, hoe effectief ook, het presenteerde enkele beperkingen die het moeilijk maakten om het te adopteren.
Zoals de naam vertelt, is VPN “altijd actief”, In feite wordt een veilige bedrijfsnetwerkverbinding automatisch tot stand gebracht wanneer een geautoriseerde client internetconnectiviteit heeft, allemaal zonder dat gebruikersinput of -interactie nodig is, tenzij een multifactorauthenticatiemechanisme is ingeschakeld. Externe gebruikers krijgen op dezelfde manier toegang tot bedrijfsgegevens en -toepassingen, net alsof ze op de werkplek zijn.
Always On VPN-verbindingen omvatten de volgende soorten tunnels:
- Device Tunnel: het apparaat maakt verbinding met de VPN-server voordat gebruikers zich aanmelden op het apparaat.
- Gebruikerstunnel: deze wordt pas geactiveerd nadat gebruikers op het apparaat zijn ingelogd.
Met Always On VPN kunt u een gebruikersverbinding, een apparaatverbinding, of een combinatie van beide hebben. Zowel de Device Tunnel als de User Tunnel werken onafhankelijk en kunnen verschillende authenticatie methoden gebruiken. Het blijkt dus mogelijk om de apparaatauthenticatie in te schakelen om het op afstand te beheren via de Device Tunnel, en de gebruikersauthenticatie in te schakelen om verbinding te maken met interne bronnen via de User Tunnel. De gebruikerstunnel ondersteunt SSTP en IKEv2, terwijl de Device Tunnel alleen IKEv2 ondersteunt.
Ondersteunde scenario’s
Technology Always On VPN is alleen een oplossing voor systemen Windows 10. Echter, in tegenstelling tot DirectAccess, hoeven client-apparaten niet de Enterprise-editie te draaien, maar alle versies van Windows 10 ondersteunen deze technologie, waarbij het tunneltype gedefinieerd wordt als Gebruikerstunnel. In dit scenario kunnen de apparaten lid zijn van een Active Directory-domein, maar dit is niet strikt noodzakelijk. De Always On VPN-client kan niet-domeingebonden zijn (werkgroep), dus ook eigendom van de gebruiker. Om gebruik te maken van bepaalde geavanceerde functies, kunnen clients lid worden van Azure Active Directory. Alleen voor gebruik Device Tunnel systemen zijn nodig om lid te worden van een domein en moet beschikken over Windows 10 Enterprise of Education. In dit scenario is de aanbevolen versie 1809 of later.
Infrastructuurvereisten
De volgende infrastructuurcomponenten zijn vereist om een Always On VPN-architectuur te implementeren, waarvan er veel doorgaans al actief zijn in de bedrijfsrealiteiten:
- Domain Controllers
- DNS Servers
- Network Policy Server (NPS)
- Certificate Authority Server (CA)
- Routing and Remote Access Server (RRAS)
Figuur 1 – Overzicht van VPN Always On technologie
In deze context is het gepast om te specificeren dat Always On VPN infrastructuur-onafhankelijk is en kan worden geactiveerd door gebruik te maken van de Windows Routing and Remote Access role (RRAS) of door een VPN-apparaat van een derde partij te gebruiken. Authenticatie kan ook worden geleverd door de Windows Network Policy Server rol (NPS) of van een derde-partij RADIUS platform.
Voor meer details over de eisen, verwijzen wij u naar de officiële documentatie van Microsoft.
Always On VPN in Azure omgeving?
In het algemeen, is het raadzaam om VPN-verbindingen tot stand te brengen met eindpunten zo dicht mogelijk bij de middelen die moeten worden benaderd. Voor hybride realiteiten zijn er verschillende opties voor het positioneren van de architectuur Always On VPN. Het implementeren van de Remote Access rol op een virtuele machine in een Azure omgeving wordt niet ondersteund, echter, u kunt Azure VPN Gateway gebruiken met Windows 10 Always On, om tunnels van zowel het type Device Tunnel als User Tunnel op te zetten. In dit verband moet worden opgemerkt dat het gepast is om de juiste beoordelingen van het type en van de SKU te maken om Azure VPN Gateway te implementeren.
Deployment types
Voor Always On VPN zijn er twee deployment scenario’s:
- Deploy alleen van Always On VPN.
- Deploy van Always On VPN met Microsoft Azure Conditional Access.
De inzet van Always On VPN kan optioneel voorspellen, voor client Windows 10 aangesloten op domein, om voorwaardelijke toegang te configureren om aan te passen hoe VPN-gebruikers toegang krijgen tot bedrijfsmiddelen.
Figuur 2 – Workflow voor de inzet van Always On VPN voor Windows 10 client-domein-gekoppeld
De client Always On VPN kan worden geïntegreerd met het platform Azure Contitional Access om multi-factor authenticatie (MFA), apparaat compliance of een combinatie van deze twee aspecten af te dwingen. Als aan de Contitional Access criteria wordt voldaan, geeft Azure Active Directory (Azure AD) een kortlevend IPsec authenticatie certificaat uit dat kan worden gebruikt om te authenticeren bij de VPN gateway. Apparaat compliance maakt gebruik van Microsoft Endpoint Manager compliance policies (Configuration Manager / Intune), die de status van integriteitsattestatie van het apparaat kunnen omvatten, als onderdeel van de compliance check voor de verbinding.
Figuur 3 – Client-side connection workflow
Voor meer details over deze implementatiemethode kunt u deze Microsoft documentatie raadplegen.
Provisioning van de oplossing op de client
Always On VPN is ontworpen om ingezet en beheerd te worden met behulp van een mobile device management platform zoals Microsoft Endpoint Manager, maar u kunt ook gebruik maken van Mobile Device Management oplossingen (MDM) van een derde partij. Voor Always On VPN is er geen ondersteuning voor de configuratie en het beheer via Group Policy in Active Directory, maar als u niet beschikt over een MDM oplossing is het mogelijk om de configuratie handmatig uit te rollen via PowerShell.
Integratie met andere Microsoft oplossingen
Naast de gevallen die in de voorgaande paragrafen zijn gespecificeerd, kan technologie Always On VPN worden geïntegreerd met de volgende Microsoft technologieën:
- Azure Multifactor Authentication (MFA): wanneer gecombineerd met RADIUS services (Remote Authentication Dial-In User Service) en de extensie NPS (Network Policy Server) voor Azure MFA, kan VPN authenticatie multi-factor authenticatie mechanismen benutten.
- Windows Information Protection (WIP): dankzij deze integratie is het toegestaan om netwerkcriteria toe te passen om te bepalen of verkeer door de VPN-tunnel mag.
- Windows Hello for Business: in Windows 10 vervangt deze technologie wachtwoorden en biedt een authenticatiemechanisme met twee sterke factoren. Deze authenticatie is een soort van gebruikersreferenties met betrekking tot een apparaat en gebruik een PIN (Personal Identification Number) biometrische of persoonlijke.
Conclusies
Prepareer uw infrastructuur om het eindpunt toegang tot het bedrijfsnetwerk via technologie Always On VPN het vereist geen extra kosten voor softwarelicenties en de noodzakelijke investeringen zowel in termen van inspanning en middelen zijn minimaal. Dankzij deze connectiviteitsmethode kunt u de beste gebruikerservaring onderweg garanderen, door een transparante en automatische toegang tot het bedrijfsnetwerk te bieden met behoud van een hoog niveau van beveiliging. Voor de bovengenoemde aspecten technologie Always On VPN is niet geschikt voor alle gebruiksscenario’s, maar het is zeker te overwegen in de aanwezigheid van systemen Windows 10 die op afstand toegang tot bedrijfsmiddelen nodig.
