Tecnologia pode desempenhar um papel importante na redução do impacto da COVID-19 nas pessoas e na realidade empresarial, ajudando o pessoal a permanecer produtivo quando não é capaz de estar fisicamente no seu local de trabalho. Nestes dias de emergência, as empresas têm sido forçadas a adoptar rapidamente soluções eficazes para permitir aos seus colaboradores trabalharem remotamente sem sacrificar a colaboração, a produtividade e a segurança. As soluções que podem ser adotadas nesta área são diferentes, cada uma com suas próprias características e peculiaridades, capazes de atender a diferentes necessidades. Este artigo apresenta as principais características da tecnologia Microsoft Always On VPN, para avaliar os benefícios e quais são os principais casos de uso da solução.
Key Features of Always On VPN
Starting with Windows Server 2016 e posteriormente a Microsoft introduziu uma nova tecnologia de acesso remoto para endpoints chamada Always On VPN que permite o acesso transparente à rede corporativa, tornando-a particularmente adequada em cenários de trabalho inteligentes. É a evolução da tecnologia DirectAccess e, por mais eficaz que seja, apresentou algumas limitações que dificultaram a adoção.
Como o nome diz, VPN está “sempre ativa”, Na verdade, uma conexão segura de rede corporativa é estabelecida automaticamente sempre que um cliente autorizado tem conectividade com a Internet, tudo sem a necessidade de entrada ou interação do usuário, a menos que um mecanismo de autenticação multi-fator esteja habilitado. Os usuários remotos acessam dados e aplicativos empresariais da mesma forma, como se estivessem no local de trabalho.
Sempre Em conexões VPN incluem os seguintes tipos de túneis:
- Túnel do Dispositivo: o dispositivo se conecta ao servidor VPN antes que os usuários se conectem ao dispositivo.
- Túnel do Usuário: ele se ativa somente depois que os usuários se conectarem ao dispositivo.
Usando Sempre na VPN você pode ter uma conexão de usuário, uma conexão de dispositivo, ou uma combinação de ambas. Tanto o Túnel do Dispositivo como o Túnel do Usuário funcionam independentemente e podem usar diferentes métodos de autenticação. Parece portanto possível habilitar a autenticação do dispositivo para gerenciá-lo remotamente através do Túnel do Dispositivo, e habilitar a autenticação do usuário para conectividade com recursos internos através do Túnel do Usuário. O User Tunnel suporta SSTP, e IKEv2, enquanto o Device Tunnel suporta apenas IKEv2.
Cenários suportados
Technology Always On VPN é uma solução apenas para sistemas Windows 10. No entanto, ao contrário do DirectAccess, os dispositivos clientes não precisam executar a edição Enterprise, mas todas as versões do Windows 10 suportam esta tecnologia, adotando o tipo túnel definido pelo usuário Túnel. Neste cenário, os dispositivos podem ser membros de um domínio Active Directory, mas isto não é estritamente necessário. O cliente Always On VPN pode ser não só (grupo de trabalho), portanto também propriedade do usuário. Para tirar partido de certas funcionalidades avançadas, os clientes podem ser membros do Azure Active Directory. Apenas para utilização de sistemas Device Tunnel são necessários para aderir a um domínio e devem ter o Windows 10 Enterprise ou Education. Neste cenário, a versão recomendada é a 1809 ou posterior.
Requisitos de infra-estrutura
Os seguintes componentes de infra-estrutura são necessários para implementar uma arquitetura Always On VPN, muitos dos quais já estão tipicamente ativos na realidade empresarial:
- Controladores de domínio
- Servidores DNS
- Servidor de políticas de rede (NPS)
- Servidor de autoridade de certificação (CA)
- Servidor de roteamento e acesso remoto (RRAS)
Figure 1 – Visão geral da tecnologia Always On VPN
Neste contexto, é apropriado especificar que Always On VPN é infra-estrutura…independente e pode ser ativado usando a função de roteamento e acesso remoto do Windows (RRAS) ou adotando qualquer dispositivo VPN de terceiros. A autenticação também pode ser fornecida pela função Servidor de Políticas de Rede Windows (NPS) ou de qualquer plataforma RADIUS de terceiros.
Para mais detalhes sobre os requisitos, consulte a documentação oficial da Microsoft.
Always On VPN em ambiente Azure?
Em geral, é aconselhável estabelecer conexões VPN para pontos finais o mais próximo possível dos recursos que devem ser acessados. Para realidades híbridas, existem várias opções para posicionar a arquitetura Always On VPN. A implementação da função Acesso Remoto numa máquina virtual em ambiente Azure não é suportada, no entanto, pode utilizar o Gateway VPN Azure com Windows 10 Always On, para estabelecer túneis tanto do tipo Device Tunnel como User Tunnel. A este respeito, deve-se notar que é apropriado fazer as avaliações corretas do tipo e da SKU para implantar o Azure VPN Gateway.
Tipos de implantação
Para o Always On VPN existem dois cenários de implantação:
- Explantar somente o Always On VPN.
- Explantar o Always On VPN com Microsoft Azure Conditional Access.
A implantação da VPN Always On pode prever opcionalmente, para o cliente Windows 10 unido ao domínio, para configurar o acesso condicional para ajustar como os usuários da VPN acessam os recursos da empresa.
Figure 2 – Workflow para a implantação do Always On VPN para domínio cliente Windows 10-joined
O cliente Always On VPN pode ser integrado com a plataforma Azure Contitional Access para forçar a autenticação multi-factor (MFA), conformidade do dispositivo ou uma combinação destes dois aspectos. Se cumprir os critérios do Contitional Access, o Azure Active Directory (Azure AD) emite um certificado de autenticação IPsec de curta duração que pode ser utilizado para autenticar no gateway VPN. A conformidade do dispositivo utiliza as políticas de conformidade do Microsoft Endpoint Manager (Configuration Manager / Intune), que podem incluir o atestado de integridade do dispositivo, como parte da verificação de conformidade da conexão.
Figure 3 – Fluxo de trabalho de conexão do lado do cliente
Para mais detalhes sobre este método de implantação, você pode consultar esta documentação da Microsoft.
Provisionamento da solução no cliente
Always On VPN foi concebido para ser implementado e gerido utilizando uma plataforma de gestão de dispositivos móveis como o Microsoft Endpoint Manager, mas também pode utilizar soluções de gestão de dispositivos móveis (MDM) de terceiros. Para Always On VPN não há suporte para a configuração e gestão via Política de Grupo no Active Directory, mas se não tiver uma solução MDM é possível proceder a uma implementação manual da configuração via PowerShell.
Integração com outras soluções Microsoft
Além dos casos especificados nos parágrafos anteriores, a tecnologia Always On VPN pode ser integrada com as seguintes tecnologias Microsoft:
- Autenticação Multifactor Azure (MFA): quando combinada com os serviços RADIUS (Remote Authentication Dial-In User Service) e a extensão NPS (Network Policy Server) para Azure MFA, a autenticação VPN pode explorar mecanismos de autenticação multi-factor.
- Windows Information Protection (WIP): graças a esta integração é permitida a aplicação de critérios de rede para determinar se o tráfego é permitido passar pelo túnel VPN.
- Windows Hello for Business: no Windows 10, esta tecnologia substitui as senhas, fornecendo mecanismo de autenticação com dois fortes fatores. Esta autenticação é um tipo de credencial de usuário relacionada a um dispositivo e usa um PIN (Personal Identification Number) biométrico ou pessoal.
Conclusões
Prepare sua infra-estrutura para permitir que o endpoint acesse a rede corporativa através da tecnologia Always On VPN não requer nenhum custo adicional para licenças de software e os investimentos necessários tanto em termos de esforço como de recursos são mínimos. Graças a este método de conectividade você pode garantir a melhor experiência do usuário em movimento, proporcionando um acesso transparente e automático à rede corporativa, mantendo um alto nível de segurança. Para os aspectos listados acima a tecnologia Always On VPN não é adequada para todos os cenários de utilização, mas certamente deve ser considerada na presença de sistemas Windows 10 que necessitam de acesso remoto aos recursos corporativos.
