Vienmēr ieslēgts VPN — biznesa un IT izmantošanas gadījums
Kas ir vienmēr ieslēgts VPN?
Microsoft DirectAccess(sākotnēji ieviests ar Windows Server 2008 R2) savulaik tika atzīts par labāko Microsoft VPN līdzīgu risinājumu, kas savieno lietotājus ar iekšējiem korporatīvajiem tīkliem internetā, neizmantojot tradicionālo VPN. Tomēr gadu gaitā DirectAccess izrādījās grūti īstenojams lielākajai daļai organizāciju, un tam bija ierobežojumi, kas ietekmēja tā pieņemšanu. Tas lika daudzām organizācijām izmantot alternatīvus trešo pušu risinājumus, lai pārvarētu problēmas. Šo notikumu rezultātā Microsoft nolēma ieviest jaunas tehnoloģijas operētājsistēmās Windows Server 2016 un Windows 10, kas ir paredzētas, lai izpildītu visu, ko DirectAccess solīja, bet nevarēja izpildīt, un daudz ko citu. Šo jauno attālās piekļuves tehnoloģiju saucVienmēr ieslēgts VPN.
Microsoft vienmēr ieslēgts VPNir DirectAccess VPN tehnoloģijas aizstājējs. Tas tika izstrādāts, lai nodrošinātu drošu savienojumu ar internetu atsevišķiem lietotājiem, kā arī drošu attālo piekļuvi korporatīvajiem tīkliem korporatīvajiem lietotājiem. Termins “Vienmēr ieslēgts” nozīmē, ka VPN savienojums vienmēr ir ieslēgts un ir droši savienots pēc savienojuma izveides. Atbalstītie Always On VPN klienti ir domēnam pievienotie un domēnam nepievienotie (darba grupas) klienti, Azure AD pievienotās ierīces un BYOD klienti.
Izmantojot Always On VPN, IT administratori ar minimālu piepūli var izveidot un izvietot drošus VPN risinājumus pat Azure mitinātajās lietojumprogrammās. Lai pilnībā izmantotu Always On VPN uzlabotās funkcijas, ierīces ir jāpievieno Azure AD. Integrējot Always On VPN ar Azure, organizācijas var viegli ieviestIdentitātes un piekļuves pārvaldība (IAM)procesus un nodrošināt mobilajiem darbiniekiem mierīgu piekļuvi mākoņa vai lokālām lietojumprogrammām.
Kā darbojas Always On VPN?
Vienmēr ieslēgts VPNdarbojas kā automatizēts pakalpojums, kas ļauj klientam izveidot VPN savienojumu bez lietotāja mijiedarbības, ja vien nav iespējots daudzfaktoru autentifikācijas mehānisms. Tas ir iespējams, pateicoties tehnoloģijai, kas pazīstama kā VPNv2Konfigurācijas pakalpojumu sniedzējs (CSP)kas ļauj konfigurēt iebūvēto Windows 10 VPN klientu, izmantojot MDM risinājumu, piemēram, Intune vai PowerShell. Always On VPN ir neatkarīgs no infrastruktūras, un tas neprasa papildu izmaksas par programmatūras licencēm.
To var izvietot, izmantojotWindows maršrutēšana un attālā piekļuve (RRAS)vai jebkura trešās puses VPN ierīce. Sertifikātu iestādei ir nepieciešama sertifikātu izsniegšana serveriem un klientiem. Sertifikāti tiks izmantoti, lai autentificētu VPN savienojumu. Autentificēšanu var nodrošinātWindows tīkla politikas serveris (NPS)vai jebkuras trešās puses RADIUS platformas. Vienmēr ieslēgts VPN savienojumi izmanto divu veidu tuneļus drošai attālās piekļuves pakalpojumiem. Šie divi tuneļu veidi ir
Lietotāju tuneļi: Lietotāja tunelis tiek izveidots, kad lietotājs piesakās savā tīkla ierīcē, piemēram, datorā, lai piekļūtu saviem resursiem korporatīvajā tīklā, izmantojot pakalpojumu Always On VPN. Šis tunelis ir ideāls, lai nodrošinātu piekļuvi failu koplietošanai vai lietojumprogrammām.
Ierīču tuneļi:Lai izveidotu ierīces tuneli, lietotājam nav jāpiesakās datorā. Ierīces tunelis tiek izveidots, kad dators ir ieslēgts un savienots ar internetu. Šis tunelis ir ideāls, lai nodrošinātu piekļuvi Active Directory vai citiem pārvaldības serveriem, piemēram, Configuration Manager.
Tā kā ierīču un lietotāju tuneļi darbojas atsevišķi no VPN profiliem, tos var savienot vienlaikus un izmantot dažādas autentifikācijas metodes vai konfigurācijas iestatījumus. Vienmēr ieslēgti VPN izmanto noklusējuma Windows 10 iebūvēto paplašināmās autentifikācijas protokolu (EAP) drošai autentifikācijai, izmantojot lietotājvārdu un paroli vai uz sertifikātu balstītas pieteikšanās metodes. Uz EAP balstītu autentifikāciju var izmantot tikai ar iebūvētu VPN veidu, piemēram, IKEv2, L2TP, PPTP vai Automātiski.
Kā savā organizācijā var izvietot Always On VPN?
Vienmēr ieslēgtu VPN var iestatīt kā attālās piekļuves vai biznesa VPN, kas ļauj mobilajiem darbiniekiem vai attālinātajiem darbiniekiem piekļūt sava uzņēmuma iekštīklam no mājām vai jebkuras vietas pasaulē, izmantojot savus personālos datorus vai mobilos tālruņus. Tehnoloģija Always On VPN sniedz ievērojamas priekšrocības uzņēmumu klientiem, kuri meklē vienkāršotu automātisku piekļuvi korporatīvajam tīklam, vienlaikus saglabājot augstu drošības līmeni. To var viegli integrēt ar lielāko daļu mākoņpakalpojumu, piemēram, Azure, AWS, Salesforce un citiem, vienlaikus novēršot pakalpojumu pārtraukumus mobilajiem darbiniekiem.
Microsoft Always On VPN tehnoloģijai ir divi izvietošanas scenāriji. Pirmais ir tikai vienmēr ieslēgts VPN, bet otrais ir vienmēr ieslēgts VPN ar VPN savienojumu, izmantojot nosacītu Azure Active Directory piekļuvi. Vienmēr ieslēgts VPN ļauj tīkla administratoriem iestatīt detalizētas maršrutēšanas politikas no lietotājiem lietojumprogrammas līmenī. Tas palīdz nodrošināt piekļuvi kritiskām biznesa lietojumprogrammām, kurām nepieciešama īpaša attālā piekļuve. Lai organizācijā ieviestu vienmēr ieslēgtu VPN risinājumu, ir nepieciešami šādi infrastruktūras komponenti:
- Domēna kontrolieri
- DNS serveri
- Tīkla politikas serveris (NPS)
- Sertifikātu iestādes serveris (CA)
- Maršrutēšanas un attālās piekļuves serveris (RRAS)
Kad infrastruktūra ir iestatīta, varat reģistrēt un droši savienot klientus ar lokālo tīklu, veicot tālāk norādītās izmaiņas tīkla infrastruktūrā, kā to ieteicis Microsoft:
- Active Directory domēna infrastruktūra — ir nepieciešamas gan iekšējās, gan ārējās domēna nosaukumu sistēmas (DNS) zonas.
- Uz Active Directory balstīta publiskās atslēgas infrastruktūra (PKI) un Active Directory sertifikātu pakalpojumi (AD CS).
- Mainiet esošu NPS servera konfigurāciju vai instalējiet jaunu (virtuālu vai fizisku), ja tādas nav.
- RAS Gateway VPN serveris ar IKEv2 VPN savienojumu un LAN maršrutēšanas atbalstu.
- Jūsu perimetra tīklā ir jāietver divi ugunsmūri, kas konfigurēti tā, lai nodrošinātu trafiku, kas ir nepieciešams gan VPN, gan RADIUS sakaru pareizai darbībai.
- Jūsu perimetra tīklā jāiekļauj arī serveris (fizisks vai virtuāls) ar diviem tīkla adapteriem, lai instalētu attālo piekļuvi kā RAS vārtejas VPN serveri.
- Fiziskais serveris vai virtuālā mašīna (VM) jūsu perimetra tīklā ar diviem fiziskiem Ethernet tīkla adapteriem, lai instalētu attālo piekļuvi kā RAS vārtejas VPN serveri. Virtuālajām mašīnām saimniekdatoram ir nepieciešams virtuālais LAN (VLAN).
- Kontam, kas tiks izmantots iestatīšanai un konfigurēšanai, ir jābūt nepieciešamajām administratora tiesībām vai jābūt administratoru grupas dalībniekam.
Tālāk esošajā tabulā ir parādītas dažas no visizplatītākajām Always On VPN funkcijām un funkcijām, kas attiecas uz korporatīvajām organizācijām un lietotājiem. Ja pašlaik izmantojat DirectAccess, Microsoft iesaka “rūpīgi izpētīt funkcionalitāti Always On VPN, lai noteiktu, vai tā atbilst visām jūsu attālās piekļuves vajadzībām, pirms migrēt no DirectAccess uz Always On VPN”.
| Nevainojama, caurspīdīga savienojamība ar korporatīvo tīklu | Varat konfigurēt Always On VPN, lai atbalstītu automātisko aktivizēšanu, pamatojoties uz lietojumprogrammas palaišanu vai nosaukumvietas izšķirtspējas pieprasījumiem |
| Īpaša infrastruktūras tuneļa izmantošana, lai nodrošinātu savienojumu lietotājiem, kuri nav pierakstījušies korporatīvajā tīklā. | Šo funkcionalitāti varat sasniegt, izmantojot VPN profila funkciju Ierīces tunelis. |
| Pārvaldības izmantošana, lai nodrošinātu attālo savienojumu ar klientiem no pārvaldības sistēmām, kas atrodas korporatīvajā tīklā | Šo funkcionalitāti varat sasniegt, izmantojot VPN profila funkciju Ierīces tunelis kopā ar VPN savienojuma konfigurēšanu, lai dinamiski reģistrētu IP adreses, kas piešķirtas VPN saskarnei ar iekšējiem DNS pakalpojumiem. |
| Atkāpieties, kad klienti atrodas aiz ugunsmūriem vai starpniekserveriem | Varat konfigurēt to, lai tas atgrieztos pie SSTP (no IKEv2), VPN profilā izmantojot automātisko tuneļa/protokola veidu. |
| Atbalsts piekļuves režīmam no gala līdz malai | Vienmēr ieslēgts VPN nodrošina savienojumu ar uzņēmuma resursiem, izmantojot tuneļa politikas, kurām nepieciešama autentifikācija un šifrēšana, līdz tās sasniedz VPN vārteju. |
| Spēja noteikt iekštīkla savienojumu, kad ir izveidots savienojums ar korporatīvo tīklu | Uzticama tīkla noteikšana nodrošina iespēju noteikt uzņēmuma tīkla savienojumus, un tā ir balstīta uz tīkla saskarnēm un tīkla profiliem piešķirtā savienojuma DNS sufiksa novērtējumu. |
| Atbalsts serveriem aiz malas ugunsmūra vai NAT ierīces | Vienmēr ieslēgts VPN sniedz iespēju izmantot tādus protokolus kā IKEv2 un SSTP, kas pilnībā atbalsta VPN vārtejas izmantošanu, kas atrodas aiz NAT ierīces vai malas ugunsmūra. |
| Izmantojiet drošības grupas, lai ierobežotu attālās piekļuves funkcionalitāti tikai konkrētiem klientiem | Varat konfigurēt Always On VPN, lai atbalstītu detalizētu autorizāciju, izmantojot RADIUS, kas ietver drošības grupu izmantošanu VPN piekļuves kontrolei. |
| Atbilstība, izmantojot tīkla piekļuves aizsardzību (NAP) | Vienmēr ieslēgts VPN klients var integrēties ar Azure nosacīto piekļuvi, lai nodrošinātu MFA, ierīces atbilstību vai abu kombināciju. |
| Domēnam pievienotas ierīces ar uzņēmuma SKU prasībām. | Vienmēr ieslēgts VPN atbalsta domēnam pievienotas, domēnam nepievienotas (darba grupas) vai Azure AD savienotas ierīces, lai nodrošinātu gan uzņēmuma, gan BYOD scenārijus. |
| Atbalsts vairākiem domēniem un mežiem | Platforma Always On VPN nav atkarīga no Active Directory domēna pakalpojumu (AD DS) mežiem vai domēna topoloģijas, jo, lai tā darbotos, VPN klientam nav jābūt savienotam ar domēnu. |
| Atbalsts gan sadalītajam, gan spēka tunelim interneta/iekštīkla trafika atdalīšanai. | Varat konfigurēt vienmēr ieslēgtu VPN, lai sākotnēji atbalstītu gan piespiedu tuneli (noklusējuma darbības režīmu), gan dalīto tuneli. |
| Uzņēmuma resursu nosaukumu atrisināšana, izmantojot FQDN un DNS sufiksu | Vienmēr ieslēgts VPN var sākotnēji definēt vienu vai vairākus DNS sufiksus kā daļu no VPN savienojuma un IP adreses piešķiršanas procesa |
| Atbalsts gan IPv4, gan IPv6 | Izmantojot Always On VPN, lietotāji var piekļūt gan IPv4, gan IPv6 resursiem korporatīvajā tīklā |
1.0 tabula | Vienmēr ieslēgts VPN uzņēmuma līdzekļi un funkcionalitātes | Tabulas kredīts: Microsoft
Vienmēr ieslēgts VPN risinājums no Perimetrs 81
Daudzi mūsdienu uzņēmumi ir pārcēluši savu lokālā tīkla vidi, biznesa lietojumprogrammas un datus mākonī, un ar parastajiem VPN, piemēram, iepriekš aprakstītajiem, vairs nepietiek, lai nodrošinātu datu drošību. Organizācijām, kuru biznesa LAN vide vai ikdienas biznesa lietojumprogrammas (piemēram, ERP vai Active Directory Services) ir pārcēlušās uz mākoni,Perimetrs 81 Vienmēr ieslēgts VPN risinājumspiedāvā labāko alternatīvu lētai un drošai piekļuvei.
Platforma Perimeter 81 ir mērogojams risinājums bez aparatūras, kas palīdz organizācijām nodrošināt drošu piekļuvi savai tīkla infrastruktūrai un digitālajiem aktīviem. Risinājums ir ideāli piemērots MVU, īpaši tiem, kas meklē modernu alternatīvu tradicionālajām korporatīvajām VPN sistēmām. Apvienojumā ar Secure Access Service Edge (SASE) tehnoloģiju — tīkla arhitektūru, kas integrē VPN un SD-WAN iespējas ar mākoņa vietējām drošības funkcijām (piemēram, ugunsmūri, CASB, ZTNA), Perimeter 81 Always On VPN sastāv no četrām galvenajām iespējām:
- Vienotā tīkla platforma:Viena uz mākoņiem balstīta platforma, kas nodrošina piekļuves pārvaldību, uzraudzību, atļauju piešķiršanu un citas iespējas.
- Nulles uzticamības tīkla piekļuve (ZTNA):Pārbauda ierīču identitāti un integritāti neatkarīgi no atrašanās vietas un nodrošina piekļuvi lietojumprogrammām un pakalpojumiem, pamatojoties uz ierīces identitātes pārliecību un ierīces stāvokli kombinācijā ar lietotāja autentifikāciju.
- Vairāku nomnieku mākonis:Segmentē tīklu atbilstoši jūsu drošības politikām, lai nodrošinātu labāku tīkla resursu aizsardzību.
- Klientu piekļuves kontrole:Atbalsts 2FA un vienreizējai pierakstīšanās datoros un Mac datoros, iOS un Android ierīcēs un tīmeklī.
Perimeter 81 Always On VPN risinājums organizācijām piedāvā šādas priekšrocības:
- Ierīču drošība:Nodrošina drošu piekļuvi korporatīvajiem tīkliem visiem attāliem darbiniekiem un ierīcēm, tostarp atbalstu BYOD politikām, dalītu tunelēšanu, tīkla auditēšanu un uzraudzību.
- Cloud Agnostic integrācija:Viena no lielākajām Always On VPN priekšrocībām ir tā, ka tie ir draudzīgi mākoņiem un ir mākoņagnostiķi, kas nozīmē, ka to var nemanāmi integrēt jebkurā mākoņa platformā vai lokālā vidē. Perimeter 81 vienmēr ieslēgtā VPN tehnoloģija atbalsta vienmērīgu Azure integrāciju, automātisku tīkla izvietošanu, vairāku tunelēšanas vārtejas savienojumus, DNS filtrēšanu un daudz ko citu.
- Lietotāju segmentācija:Platforma Perimeter 81 nodrošina detalizētu uz politiku balstītu atļauju piešķiršanu, kas palīdz organizācijām veikt lielāku tīkla piekļuves kontroli.
- Droša attālā piekļuve:Automātiskā Wi-Fi drošība ļauj attāliem darbiniekiem izveidot savienojumu ar sensitīviem uzņēmuma tīkla resursiem no publiskā interneta, neapdraudot drošību.
- IP iekļaušana baltajā sarakstā:Ļauj tīkla administratoriem skaidri definēt IP adreses, kurām ir atļauts piekļūt tīklam, un piešķirt piekļuvi uzticamiem avotiem, piešķirot statiskas IP adreses.
- Kvalitātes nodrošināšanas pārbaude:Izmantojot 700 serverus dažādos reģionos un 36 valstīs, jūsu kvalitātes nodrošināšanas komanda var viegli mainīt ģeogrāfisko atrašanās vietu un pārbaudīt jūsu produkta kvalitāti galvenajos starptautiskajos tirgos.
Kad jūspierakstieties, izmantojot Perimetru 81, jūs iegūstat pilnu pārvaldības platformu, kurā varat izveidot, pārvaldīt un aizsargāt savu tīklu. Perimeter 81 piedāvā elastīgus maksājumu plānus ar norēķiniem katru gadu vai mēnesi. Antiešsaistes demonstrācijair pieejams pēc pieprasījuma, lai pirms iegādes varētu izmēģināt risinājumu.
Perimeter 81 Always On VPN Reģistrējieties BEZMAKSAS demonstrācijai
