Technologia może odgrywać ważną rolę w zmniejszaniu wpływu COVID-19 na ludzi i realia biznesowe, pomagając pracownikom pozostać produktywnymi, gdy nie są w stanie fizycznie przebywać w miejscu pracy. W tych dniach zagrożenia, firmy zostały zmuszone do przyjęcia skutecznych rozwiązań szybko, aby umożliwić swoim pracownikom do pracy zdalnej bez poświęcania współpracy, produktywności i bezpieczeństwa. Rozwiązania, które mogą być przyjęte w tej dziedzinie są różne, każdy z własnymi cechami i osobliwościami, w stanie zaspokoić różne potrzeby. W tym artykule przedstawiono główne cechy technologii Microsoft Always On VPN, aby ocenić korzyści i jakie są główne przypadki użycia tego rozwiązania.
Kluczowe cechy Always On VPN
Począwszy od Windows Server 2016 i później Microsoft wprowadził nową technologię zdalnego dostępu dla punktów końcowych o nazwie Always On VPN, która umożliwia przezroczysty dostęp do sieci korporacyjnej, dzięki czemu jest szczególnie przydatna w scenariuszach inteligentnej pracy. Jest to ewolucja technologii DirectAccess i, jakkolwiek skuteczna, przedstawiała pewne ograniczenia, które utrudniały jej przyjęcie.
Jak sama nazwa mówi, VPN jest „zawsze aktywny”, W rzeczywistości bezpieczne połączenie z siecią korporacyjną jest ustanawiane automatycznie, gdy tylko autoryzowany klient ma połączenie z Internetem, wszystko bez konieczności wprowadzania danych przez użytkownika lub interakcji, chyba że włączony jest mechanizm uwierzytelniania wieloczynnikowego. Użytkownicy zdalni uzyskują dostęp do danych i aplikacji biznesowych w taki sam sposób, tak jakby byli w miejscu pracy.
Zawsze włączone połączenia VPN obejmują następujące rodzaje tuneli:
- Tunel urządzenia: urządzenie łączy się z serwerem VPN, zanim użytkownicy zalogują się do urządzenia.
- Tunel użytkownika: aktywuje się dopiero po zalogowaniu się użytkowników do urządzenia.
Używając Always On VPN, możesz mieć połączenie użytkownika, połączenie urządzenia lub kombinację obu. Zarówno tunel urządzenia, jak i tunel użytkownika działają niezależnie i mogą korzystać z różnych metod uwierzytelniania. Dlatego możliwe jest włączenie uwierzytelniania urządzenia w celu zdalnego zarządzania nim przez Tunel urządzenia, a także włączenie uwierzytelniania użytkownika w celu połączenia z zasobami wewnętrznymi przez Tunel użytkownika. User Tunnel obsługuje SSTP, oraz IKEv2, natomiast Device Tunnel tylko IKEv2.
Wspierane scenariusze
Technologia Always On VPN jest rozwiązaniem tylko dla systemów Windows 10. Jednak w przeciwieństwie do DirectAccess, urządzenia klienckie nie muszą mieć uruchomionej edycji Enterprise, ale wszystkie wersje Windows 10 wspierają tę technologię, przyjmując typ tunelu zdefiniowany jako User Tunnel. W tym scenariuszu urządzenia mogą być członkami domeny Active Directory, ale nie jest to bezwzględnie konieczne. Klient Always On VPN może nie być połączony z domeną (grupa robocza), a więc również należeć do użytkownika. Aby korzystać z niektórych zaawansowanych funkcji, klienci mogą być przyłączeni do Azure Active Directory. Tylko do użytku systemy Device Tunnel są wymagane, aby dołączyć do domeny i muszą mieć Windows 10 Enterprise lub Education. W tym scenariuszu zalecana wersja to 1809 lub nowsza.
Wymagania infrastrukturalne
Do wdrożenia architektury Always On VPN wymagane są następujące komponenty infrastruktury, z których wiele jest już zazwyczaj aktywnych w realiach biznesowych:
- Kontrolery domen
- Serwery DNS
- Serwer polityki sieciowej (NPS)
- Serwer urzędu certyfikacji (CA)
- Serwer routingu i dostępu zdalnego (ang. (RRAS)
Figure 1 – Overview of VPN Always On technology
W tym kontekście należy sprecyzować, że Always On VPN jest niezależny od infrastruktury i może być aktywowany przy użyciu infrastruktury VPN.i można ją aktywować za pomocą roli Windows Routing and Remote Access (RRAS) lub poprzez przyjęcie dowolnego urządzenia VPN innej firmy. Uwierzytelnianie może być również zapewnione przez rolę Windows Network Policy Server (NPS) lub z dowolnej platformy RADIUS innej firmy.
W celu uzyskania szczegółowych informacji na temat wymagań, należy zapoznać się z oficjalną dokumentacją firmy Microsoft.
Always On VPN w środowisku Azure?
Ogólnie, zaleca się ustanowienie połączeń VPN do punktów końcowych jak najbliżej zasobów, do których należy uzyskać dostęp. W przypadku rzeczywistości hybrydowych, istnieje kilka opcji pozycjonowania architektury Always On VPN. Wdrażanie roli Remote Access na maszynie wirtualnej w środowisku Azure nie jest wspierane, jednak można wykorzystać Azure VPN Gateway z Windows 10 Always On, do ustanowienia tuneli zarówno typu Device Tunnel, jak i User Tunnel. W związku z tym należy zauważyć, że należy dokonać prawidłowych ocen typu i SKU, aby wdrożyć Azure VPN Gateway.
Typy wdrożeń
Dla Always On VPN istnieją dwa scenariusze wdrożeń:
- Wdrożenie tylko Always On VPN.
- Wdrożenie Always On VPN z Microsoft Azure Conditional Access.
Wdrożenie Always On VPN może przewidywać opcjonalnie, dla klienta Windows 10 dołączonego do domeny, konfigurację dostępu warunkowego w celu dostosowania sposobu, w jaki użytkownicy VPN uzyskują dostęp do zasobów firmy.
Figure 2 – Workflow for the deployment of Always On VPN for Windows 10 client domain-joined
Klient Always On VPN może być zintegrowany z platformą Azure Contitional Access, aby wymusić uwierzytelnianie wieloczynnikowe (MFA), zgodność urządzenia lub kombinację tych dwóch aspektów. Jeśli spełnia kryteria Contitional Access, Azure Active Directory (Azure AD) wystawia krótkotrwały certyfikat uwierzytelniający IPsec, który może być użyty do uwierzytelnienia na bramie VPN. Zgodność urządzenia wykorzystuje zasady zgodności Microsoft Endpoint Manager (Configuration Manager / Intune), które mogą obejmować status poświadczenia integralności urządzenia, jako część sprawdzania zgodności połączenia.
Figura 3 – Przepływ pracy połączenia po stronie klienta
Więcej szczegółów na temat tej metody wdrażania można znaleźć w tej dokumentacji firmy Microsoft.
Provisioning of the solution on the client
Always On VPN jest przeznaczony do wdrażania i zarządzania przy użyciu platformy zarządzania urządzeniami mobilnymi, takiej jak Microsoft Endpoint Manager, ale można również użyć rozwiązań Mobile Device Management (MDM) stron trzecich. Dla Always On VPN nie ma wsparcia dla konfiguracji i zarządzania poprzez Group Policy w Active Directory, ale jeśli nie posiadasz rozwiązania MDM, możliwe jest ręczne wdrożenie konfiguracji poprzez PowerShell.
Integracja z innymi rozwiązaniami Microsoft
Poza przypadkami określonymi w poprzednich akapitach, technologia Always On VPN może być zintegrowana z następującymi technologiami Microsoft:
- Azure Multifactor Authentication (MFA): w połączeniu z usługami RADIUS (Remote Authentication Dial-In User Service) i rozszerzeniem NPS (Network Policy Server) dla Azure MFA, uwierzytelnianie VPN może wykorzystywać mechanizmy uwierzytelniania wieloczynnikowego.
- Windows Information Protection (WIP): dzięki tej integracji dozwolone jest stosowanie kryteriów sieciowych do określania, czy ruch jest dozwolony do przejścia przez tunel VPN.
- Windows Hello for Business: w Windows 10 technologia ta zastępuje hasła, zapewniając mechanizm uwierzytelniania z dwoma silnymi czynnikami. Uwierzytelnianie to jest rodzajem poświadczeń użytkownika związanych z urządzeniem i wykorzystuje PIN (Personal Identification Number) biometryczny lub osobisty.
Wnioski
Przygotuj swoją infrastrukturę, aby umożliwić punktowi końcowemu dostęp do sieci korporacyjnej poprzez technologię Always On VPN nie wymaga ona żadnych dodatkowych kosztów za licencje na oprogramowanie, a niezbędne inwestycje zarówno pod względem wysiłku, jak i zasobów są minimalne. Dzięki tej metodzie łączności można zapewnić najlepsze doświadczenie użytkownika w ruchu, zapewniając przejrzysty i automatyczny dostęp do sieci korporacyjnej przy zachowaniu wysokiego poziomu bezpieczeństwa. Ze względu na aspekty wymienione powyżej technologia Always On VPN nie jest odpowiednia dla wszystkich scenariuszy użytkowania, ale z pewnością należy ją rozważyć w obecności systemów Windows 10, które potrzebują zdalnego dostępu do zasobów korporacyjnych.
.