Tehnologia poate juca un rol important în reducerea impactului COVID-19 asupra oamenilor și a realităților de afaceri, ajutând personalul să rămână productiv atunci când nu poate fi prezent fizic la locul său de muncă. În aceste zile de urgență, companiile au fost nevoite să adopte rapid soluții eficiente pentru a le permite angajaților lor să lucreze de la distanță fără a sacrifica colaborarea, productivitatea și securitatea. Soluțiile care pot fi adoptate în acest domeniu sunt diferite, fiecare cu propriile caracteristici și particularități, capabile să răspundă unor nevoi diferite. Acest articol prezintă principalele caracteristici ale tehnologiei Microsoft Always On VPN, pentru a evalua beneficiile și care sunt principalele cazuri de utilizare a soluției.
Caracteristicile principale ale Always On VPN
Începând cu Windows Server 2016 și ulterior, Microsoft a introdus o nouă tehnologie de acces la distanță pentru puncte finale, denumită Always On VPN, care permite accesul transparent la rețeaua corporativă, ceea ce o face deosebit de potrivită în scenariile de lucru inteligent. Este evoluția tehnologiei DirectAccess și, deși eficientă, prezenta unele limitări care o făceau dificil de adoptat.
După cum îi spune și numele, VPN este „mereu activă”, De fapt, o conexiune securizată la rețeaua corporativă este stabilită automat ori de câte ori un client autorizat are conectivitate la internet, totul fără a necesita intervenția sau interacțiunea utilizatorului, cu excepția cazului în care este activat un mecanism de autentificare cu mai mulți factori. Utilizatorii de la distanță accesează datele și aplicațiile de afaceri în același mod, ca și cum ar fi la locul de muncă.
Conexiunile VPN întotdeauna active includ următoarele tipuri de tuneluri:
- Tunel de dispozitiv: dispozitivul se conectează la serverul VPN înainte ca utilizatorii să se conecteze la dispozitiv.
- Tunel de utilizator: se activează numai după ce utilizatorii s-au conectat la dispozitiv.
Utilizând Always On VPN puteți avea o conexiune de utilizator, o conexiune de dispozitiv sau o combinație a celor două. Atât tunelul de dispozitiv, cât și tunelul de utilizator ele funcționează independent și pot utiliza metode de autentificare diferite. Prin urmare, pare posibil să activați autentificarea dispozitivului pentru a-l gestiona de la distanță prin intermediul Device Tunnel (Tunel dispozitiv) și să activați autentificarea utilizatorului pentru conectivitatea la resursele interne prin intermediul User Tunnel (Tunel utilizator). User Tunnel suportă SSTP, și IKEv2, în timp ce Device Tunnel suportă doar IKEv2.
Scenarii acceptate
Tehnologia Always On VPN este o soluție doar pentru sistemele Windows 10. Cu toate acestea, spre deosebire de DirectAccess, dispozitivele client nu trebuie să ruleze ediția Enterprise, ci toate versiunile de Windows 10 suportă această tehnologie, adoptând tipul de tunel definit User Tunnel. În acest scenariu, dispozitivele pot fi membre ale unui domeniu Active Directory, dar acest lucru nu este strict necesar. Clientul Always On VPN poate fi nondomain-joined (workgroup), deci deținut tot de utilizator. Pentru a beneficia de anumite caracteristici avansate, clienții pot fi să se alăture Azure Active Directory. Doar pentru utilizare Sistemele Device Tunnel sunt necesare pentru a se alătura unui domeniu și trebuie să aibă Windows 10 Enterprise sau Education. În acest scenariu, versiunea recomandată este 1809 sau o versiune ulterioară.
Requizite de infrastructură
Sunt necesare următoarele componente de infrastructură pentru a implementa o arhitectură VPN Always On, dintre care multe sunt de obicei deja active în realitățile de afaceri:
- Controlere de domeniu
- Servere DNS
- Servere de politici de rețea (NPS)
- Servere de autoritate de certificare (CA)
- Servere de rutare și acces la distanță. (RRAS)
Figura 1 – Prezentare generală a tehnologiei VPN Always On
În acest context este oportun să precizăm că Always On VPN este o infrastructură-independentă de infrastructură și poate fi activată prin utilizarea rolului Windows Routing and Remote Access (RRAS) sau prin adoptarea oricărui dispozitiv VPN de la terți. Autentificarea poate fi asigurată, de asemenea, de rolul Windows Network Policy Server (NPS) sau de orice platformă RADIUS terță parte.
Pentru mai multe detalii privind cerințele, vă rugăm să consultați documentația oficială Microsoft.
Always On VPN în mediul Azure?
În general,, este recomandabil să se stabilească conexiuni VPN la punctele finale cât mai aproape de resursele care trebuie accesate. Pentru realitățile hibride, există mai multe opțiuni de poziționare a arhitecturii Always On VPN. Implementarea rolului Remote Access pe o mașină virtuală în mediul Azure nu este suportată, însă, puteți utiliza Azure VPN Gateway cu Windows 10 Always On, pentru a stabili tuneluri atât de tip Device Tunnel, cât și User Tunnel. În acest sens, trebuie remarcat faptul că este oportun să se facă evaluările corecte ale tipului și ale SKU pentru a implementa Azure VPN Gateway.
Tipuri de implementare
Pentru Always On VPN există două scenarii de implementare:
- Desfășurarea numai a Always On VPN.
- Desfășurarea Always On VPN cu Microsoft Azure Conditional Access.
Dezvoltarea de Always On VPN poate prevedea opțional, pentru clientul Windows 10 alăturat domeniului, să configureze accesul condiționat pentru a ajusta modul în care utilizatorii VPN accesează resursele companiei.
Figura 2 – Fluxul de lucru pentru implementarea Always On VPN pentru clientul Windows 10 alăturat la domeniu
Clientul Always On VPN poate fi integrat cu platforma Azure Contitional Access pentru a forța autentificarea multifactorială (MFA), conformitatea dispozitivului sau o combinație a acestor două aspecte. Dacă îndeplinește criteriile Contitional Access, Azure Active Directory (Azure AD) emite un certificat de autentificare IPsec de scurtă durată care poate fi utilizat pentru a se autentifica la gateway-ul VPN. Conformitatea dispozitivului utilizează politicile de conformitate Microsoft Endpoint Manager (Configuration Manager / Intune), care pot include starea de atestare a integrității dispozitivului, ca parte a verificării conformității conexiunii.
Figura 3 – Fluxul de lucru al conexiunii pe partea clientului
Pentru mai multe detalii despre această metodă de implementare, puteți consulta această documentație Microsoft.
Aprovizionarea soluției pe client
Always On VPN este conceput pentru a fi implementat și gestionat cu ajutorul unei platforme de gestionare a dispozitivelor mobile, cum ar fi Microsoft Endpoint Manager, dar puteți utiliza și soluții de gestionare a dispozitivelor mobile (MDM) ale unor terțe părți. Pentru Always On VPN nu există suport pentru configurarea și gestionarea prin intermediul Group Policy în Active Directory, dar dacă nu aveți o soluție MDM este posibil să procedați la o implementare manuală a configurației prin PowerShell.
Integrarea cu alte soluții Microsoft
În afară de cazurile specificate în paragrafele anterioare, tehnologia Always On VPN poate fi integrată cu următoarele tehnologii Microsoft:
- Azure Multifactor Authentication (MFA): atunci când este combinată cu serviciile RADIUS (Remote Authentication Dial-In User Service) și extensia NPS (Network Policy Server) pentru Azure MFA, autentificarea VPN poate exploata mecanismele de autentificare cu mai mulți factori.
- Windows Information Protection (WIP): datorită acestei integrări este permisă aplicarea de criterii de rețea pentru a determina dacă traficul este permis să treacă prin tunelul VPN.
- Windows Hello for Business: în Windows 10, această tehnologie înlocuiește parolele, oferind un mecanism de autentificare cu doi factori puternici. Această autentificare este un tip de credențiale de utilizator legate de un dispozitiv și utilizează un PIN (Personal Identification Number) biometric sau personal.
Concluzii
Pregătiți infrastructura pentru a permite ca punctul final să acceseze rețeaua corporativă prin intermediul tehnologiei Always On VPN nu necesită costuri suplimentare pentru licențe software, iar investițiile necesare atât în ceea ce privește efortul cât și resursele sunt minime. Datorită acestei metode de conectivitate puteți asigura cea mai bună experiență a utilizatorului în mișcare, oferind un acces transparent și automat la rețeaua corporativă, menținând în același timp un nivel ridicat de securitate. Pentru aspectele enumerate mai sus, tehnologia Always On VPN nu este potrivită pentru toate scenariile de utilizare, dar cu siguranță este de luat în considerare în prezența sistemelor Windows 10 care au nevoie de acces de la distanță la resursele corporative.
.