5 Coisas NetMotion Mobilidade® Pode Fazer o que a Microsoft DirectAccess não Pode
o DirectAccess é uma tecnologia de acesso remoto da Microsoft que proporciona perfeita, transparente, sempre em conectividade remota para gerenciados (domínio) do Windows clientes. Embora esteja posicionado como uma solução de acesso remoto da empresa, não possui características essenciais de segurança e desempenho que muitas grandes organizações necessitam. Neste artigo vou demonstrar 5 coisas importantes que NetMotion Mobilidade pode fazer o que a Microsoft DirectAccess não pode.
1) Filtragem de Tráfego
Quando um cliente estabelece uma conexão DirectAccess, ele tem acesso total a todos os recursos da rede interna. Isto é por design, como DirectAccess foi feito para emular conectividade LAN interna, que normalmente fornece acesso irrestrito à rede. No entanto, isto nem sempre é desejável do ponto de vista da segurança. Geralmente, os administradores são obrigados a restringir o acesso a um subconjunto específico de recursos de rede. O DirectAccess não oferece nenhuma facilidade nativa para realizar esta tarefa.
a única forma de restringir o acesso aos recursos internos dos clientes de acesso directo é colocar uma firewall entre o servidor de acesso directo e a rede interna. O desafio, aqui, é que a mesma política se aplica a todos os clientes DirectAccess, como todos os cliente DirectAccess endereços são convertidos para o servidor DirectAccess. Além disso, o tráfego de rede deve atravessar a conexão segura antes de ser filtrado, o que não é ideal.
NetMotion Mobility® permite que os administradores apliquem controles de grão fino no acesso à rede do cliente. O acesso pode ser permitido ou negado por código fonte e/ou endereço de destino, porto de origem e/ou destino e protocolo. Além disso, a filtragem de tráfego pode ser definida para aplicações ou processos individuais. Além disso, as restrições de acesso podem ser impostas dinamicamente com base no tipo de rede (por exemplo, ethernet, Wi-Fi, celular), Localização da rede (SSID, nome do sufixo DNS, etc.), largura de banda disponível, Energia Da Bateria e nível da bateria, hora do dia e até mesmo localização física. O que é importante é que as Políticas de Filtragem de tráfego são aplicadas ao cliente, eliminando o desperdício do envio de tráfego através da ligação VPN apenas para ser derrubado por uma firewall no local.
2) Acesso Condicional
no passado, o acesso direto incluía suporte para a Microsoft Network Access Protection (PAP), que era a sua versão de uma solução de controle de acesso à rede (NAC). O PNA permitiu que os administradores avaliassem a configuração do cliente e o estado de saúde para informar as decisões de controle de acesso. No entanto, a Microsoft depreciou o PAP no Windows Server 2012 R2 e removeu o recurso completamente no Windows Server 2016 e no Windows 10. O acesso direto não suporta a integração com quaisquer plataformas NAC de terceiros.
a mobilidade de NetMotion inclui a funcionalidade integrada de NAC, permitindo que os administradores definam um conjunto de normas que os dispositivos de ligação devem cumprir antes de lhes ser concedido acesso à rede. Opcionalmente, o acesso à rede pode ser controlado dinamicamente com base no estado do cliente que faz a conexão. Por exemplo, a mobilidade NAC pode ser configurada para avisar um cliente de que não cumpre os requisitos atuais do exame de saúde, mas ainda permite o acesso. A ESAN também pode ser configurada para colocar o cliente em quarentena, restringindo o acesso à rede a um conjunto limitado de recursos, como servidores de remediação. O cliente também pode ser estritamente negado acesso, se necessário.
Existem vários parâmetros que podem ser usados para definir NAC política, incluindo a existência e estado de antivírus e antimalware de software (Microsoft e de terceiros), a existência e o estado do firewall (Microsoft e de terceiros), a versão do software de Mobilidade, sistema operativo, versão e atualizar o status, a existência e estado de um processo específico, e muito mais. Chaves de registro e arquivos no sistema de arquivos do cliente também podem ser avaliados para informar as decisões de acesso, conforme necessário.
3) a aplicação da Política Granular
algumas configurações de configuração do acesso directo são de âmbito global. Por exemplo, split ou force tunneling settings apply to all DirectAccess clients. A opção para fazer valer uma autenticação forte do usuário de autenticação multifactor também se aplica a todos os usuários. Se diferentes usuários exigem diferentes configurações de configuração, uma implementação separada de acesso direto deve ser implementada para atender a este requisito.
configuração da mobilidade NetMotion pode ser aplicada de forma granular para atender às necessidades de qualquer organização. As configurações podem ser implantadas com base em conta de usuário ou membros de grupo (diretório local ou Ativo), tipo de dispositivo ou grupo de dispositivo, e muito mais. Por exemplo, se apenas alguns usuários necessitam de acesso a uma aplicação específica, uma política pode ser configurada para apenas permitir o acesso à aplicação se o usuário for um membro de um grupo de diretórios ativos específicos. Além disso, o acesso à rede pode ser restrito a qualquer pessoa usando um dispositivo Android, ou aplicações específicas podem ser bloqueadas quando um dispositivo móvel está conectado a uma rede celular. As opções para a aplicação de políticas são quase ilimitadas, dando aos administradores de rede e Segurança Controle fino de acesso e comunicação para seus dispositivos móveis.
4) administração por função
por padrão, para abrir a consola administrativa DirectAccess o Usuário deve ser um membro do grupo de administradores de domínio. Existem opções para eliminar este requisito, mas eles ainda exigem que o usuário seja um administrador local em todos os servidores DirectAccess e para ter controle total sobre objetos de Política de grupo específico DirectAccess (GPOs) em Diretório Ativo. Não existe uma forma nativa de fornecer acesso limitado, apenas de leitura, à consola de gestão para efeitos de revisão ou auditoria das configurações de configuração ou do Estado de conectividade de visualização ou relatórios históricos.
a consola de gestão de mobilidade NetMotion suporta controle de Acesso Baseado em papel (RBAC), permitindo que os administradores definam diferentes níveis de acesso com base em requisitos específicos. Por exemplo, os administradores de help desk podem ter acesso para fazer alterações aos membros do grupo do Usuário e/ou dispositivo, mas não para fazer alterações às configurações do servidor. As funções podem ser atribuídas a usuários de domínio de diretório local ou ativo, ou grupos de domínio.
5) Cloud Deployment
Surprisingly, DirectAccess is not a supported workply for any public cloud, including Microsoft’s own Azure cloud solution. Como muitas organizações estão transferindo aplicativos, serviços e infraestrutura para a nuvem, ter uma solução de mobilidade totalmente suportada na nuvem é fundamental.
a mobilidade NetMotion é uma solução baseada em software que está instalada no Windows server. Ele é totalmente suportado quando instalado nas instalações ou em uma nuvem pública, como Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP), e outros. NetMotion mobilidade gateway e servidores de infra-estrutura podem ser instalados e configurados nas instalações, na nuvem, ou ambos no caso de implementos híbridos.
resumo
DirectAccess é uma boa solução de acesso remoto para organizações Microsoft-centric, mas não possui algumas capacidades importantes que são necessárias a partir de uma plataforma segura e robusta de mobilidade empresarial. A mobilidade em NetMotion tem uma vantagem distinta sobre o acesso direto, pois fornece aos administradores ferramentas para restringir o acesso à rede e fazê-lo de forma altamente granular. O estado de configuração dos dispositivos remotos pode ser determinado antes da conexão, permitindo a aplicação dinâmica de políticas ou acesso restrito, conforme necessário. Ele também suporta RBAC para acesso administrativo a consoles, e é totalmente suportado tanto nas instalações, nuvem, e cenários de implantação híbrida.Autor Convidado: Richard Hicks / Fundador & Consultor Principal, Richard M. Hicks Consulting
the views and opinions of guest authors do not necessarily reflect the views and opinions of NetMotion Software.
Continue lendo
- SASE, por que precisamos dele?O que acontece se a mão-de-obra dos serviços profissionais for 100% móvel?
- Planning for SASE: a step-by-step guide for how to get there
- Voices of NetMotion: comemorando o Dia Internacional da Mulher
- Chegar ao SASE, em segundos, com NetMotion e de parceria com a Microsoft
