Teknik kan spela en viktig roll för att minska COVID-19:s påverkan på människor och affärsverksamheter, och hjälpa personalen att förbli produktiv när de inte kan vara fysiskt på sin arbetsplats. I dessa dagar av nödsituationer har företagen tvingats anta effektiva lösningar snabbt för att låta sina anställda arbeta på distans utan att göra avkall på samarbete, produktivitet och säkerhet. De lösningar som kan antas på detta område är olika, var och en med sina egna egenskaper och särdrag, som kan tillgodose olika behov. I den här artikeln presenteras de viktigaste funktionerna i tekniken Microsoft Always On VPN, för att bedöma fördelarna och vilka de viktigaste användningsområdena för lösningen är.
Nyckelfunktioner i Always On VPN
Från och med Windows Server 2016 och senare introducerade Microsoft en ny teknik för fjärråtkomst för slutpunkter som kallas Always On VPN och som möjliggör transparent åtkomst till företagsnätverket, vilket gör den särskilt lämpad i smarta arbetsscenarier. Det är en vidareutveckling av tekniken DirectAccess och även om den var effektiv, hade den vissa begränsningar som gjorde den svår att ta i bruk.
Som namnet säger är VPN ”alltid aktiv”, Faktum är att en säker företagsnätverksanslutning upprättas automatiskt när en auktoriserad klient har internetanslutning, allt utan att kräva användarinmatning eller interaktion, såvida inte en mekanism för flerfaktorsautentisering är aktiverad. Fjärranvändare får tillgång till företagsdata och applikationer på samma sätt, precis som om de befann sig på arbetsplatsen.
Always On VPN-anslutningar omfattar följande typer av tunnlar:
- Enhetstunnel: Enheten ansluter till VPN-servern innan användarna loggar in på enheten.
- Användartunnel: den aktiveras först när användarna har loggat in på enheten.
Med Always On VPN kan du ha en användaranslutning, en enhetsanslutning eller en kombination av båda. Både enhetstunneln och användartunneln fungerar oberoende av varandra och kan använda olika autentiseringsmetoder. Det verkar därför möjligt att aktivera enhetsautentisering för att hantera enheten på distans via enhetstunneln och aktivera användarautentisering för anslutning till interna resurser via användartunneln. Användartunneln stöder SSTP och IKEv2, medan enhetstunneln endast stöder IKEv2.
Stödda scenarier
Teknik Always On VPN är en lösning endast för systemen Windows 10. Till skillnad från DirectAccess behöver klientenheterna dock inte köra Enterprise-utgåvan, utan alla versioner av Windows 10 har stöd för den här tekniken och antar den definierade tunneltypen Användartunnel. I det här scenariot kan enheterna vara medlemmar i en Active Directory-domän, men detta är inte strikt nödvändigt. Always On VPN-klienten kan vara icke-domän-ansluten (arbetsgrupp) och därför också ägas av användaren. För att dra nytta av vissa avancerade funktioner kan klienterna ansluta sig till Azure Active Directory. Endast för användning Enhetstunnelsystem måste ansluta sig till en domän och måste ha Windows 10 Enterprise eller Education. I det här scenariot är den rekommenderade versionen 1809 eller senare.
Infrastrukturkrav
Följande infrastrukturkomponenter krävs för att implementera en Always On VPN-arkitektur, varav många vanligtvis redan är aktiva i affärsrealiteterna:
- Domänkontrollanter
- DNS-servrar
- Nätverkspolicyserver (NPS)
- Server för certifikatutfärdare (CA)
- Server för omdirigering och fjärråtkomst. (RRAS)
Figur 1 – Översikt över VPN Always On-tekniken
I detta sammanhang är det lämpligt att ange att Always On VPN är en infrastruktur-oberoende av infrastrukturen och kan aktiveras med hjälp av Windows Routing and Remote Access-rollen (RRAS) eller genom att anta en VPN-enhet från tredje part. Autentisering kan också tillhandahållas av Windows Network Policy Server-rollen (NPS) eller från en RADIUS-plattform från en tredje part.
För mer information om kraven hänvisas till Microsofts officiella dokumentation.
Always On VPN i Azure-miljö?
Inallmänt är det tillrådligt att etablera VPN-anslutningar till slutpunkter så nära som möjligt till de resurser som man måste få tillgång till. För hybrida verkligheter finns det flera alternativ för att placera arkitekturen Always On VPN. Att distribuera rollen Remote Access på en virtuell maskin i Azure-miljön stöds inte, men du kan använda Azure VPN Gateway med Windows 10 Always On för att etablera tunnlar av både typen enhetstunnel och användartunnel. I detta avseende bör det noteras att det är lämpligt att göra korrekta bedömningar av typ och SKU för att distribuera Azure VPN Gateway.
Distributionstyper
För Always On VPN finns det två distributionsscenarier:
- Distribuera endast Always On VPN.
- Distribuera Always On VPN med Microsoft Azure Conditional Access.
Distributionen av Always On VPN kan förutsäga att det för Windows 10-klienter som är anslutna till en domän är möjligt att konfigurera villkorad åtkomst för att justera hur VPN-användare får tillgång till företagets resurser.
Figur 2 – Arbetsflöde för driftsättning av Always On VPN för Windows 10-klient som är ansluten till en domän
Klienten Always On VPN kan integreras med plattformen Azure Contitional Access för att tvinga fram flerfaktorsautentisering (MFA), enhetens överensstämmelse eller en kombination av dessa två aspekter. Om kriterierna för Contitional Access uppfylls utfärdar Azure Active Directory (Azure AD) ett kortlivat IPsec-autentiseringscertifikat som kan användas för att autentisera VPN-gatewayen. Enhetsöverensstämmelse använder Microsoft Endpoint Manager compliance policies (Configuration Manager/Intune), som kan inkludera statusen för enhetens integritetsintyg, som en del av överensstämmelsekontrollen för anslutningen.
Figur 3 – Arbetsflöde för klientanslutning på klientsidan
För mer information om den här implementeringsmetoden kan du se den här Microsoft-dokumentationen.
Lösningen tillhandahålls på klienten
Always On VPN är utformad för att distribueras och hanteras med hjälp av en plattform för hantering av mobila enheter, till exempel Microsoft Endpoint Manager, men du kan också använda lösningar för hantering av mobila enheter (MDM) från tredje part. För Always On VPN finns inget stöd för konfiguration och hantering via Group Policy i Active Directory, men om du inte har en MDM-lösning är det möjligt att fortsätta med en manuell distribution av konfigurationen via PowerShell.
Integration med andra Microsoft-lösningar
Bortsett från de fall som anges i föregående stycken kan tekniken Always On VPN integreras med följande Microsoft-tekniker:
- Azure Multifaktorautentisering (MFA): När den kombineras med RADIUS-tjänster (Remote Authentication Dial-In User Service) och förlängningen NPS (Network Policy Server) för Azure MFA kan VPN-autentisering utnyttja autentiseringsmekanismer med flera faktorer.
- Windows Information Protection (WIP): Tack vare den här integrationen är det tillåtet att tillämpa nätverkskriterier för att avgöra om trafik får passera genom VPN-tunneln.
- Windows Hello for Business: I Windows 10 ersätter den här tekniken lösenord och ger en autentiseringsmekanism med två starka faktorer. Denna autentisering är en typ av användarlegitimation relaterad till en enhet och använder en PIN (Personal Identification Number) biometrisk eller personlig.
Slutsatser
Förbered din infrastruktur för att slutpunkten ska kunna få tillgång till företagsnätverket genom tekniken Always On VPN det kräver ingen extra kostnad för programvarulicenser och de nödvändiga investeringarna både när det gäller ansträngning och resurser är minimala. Tack vare denna anslutningsmetod kan du säkerställa den bästa användarupplevelsen när du är på resande fot och ge en transparent och automatisk tillgång till företagsnätverket samtidigt som du upprätthåller en hög säkerhetsnivå. För de aspekter som anges ovan är tekniken Always On VPN inte lämplig för alla användningsscenarier, men den ska definitivt övervägas i närvaro av system Windows 10 som behöver fjärråtkomst till företagsresurser.
.