5 Věcí, které Microsoft DirectAccess Nemůže Udělat,

5 Věcí, které NetMotion Mobility® Může Dělat, že Microsoft DirectAccess Nemůže

technologie DirectAccess je vzdálený přístup na technologii od společnosti Microsoft, který poskytuje bezproblémové, transparentní, a to vždy na vzdálené připojení pro spravované (doméně) klienti se systémem Windows. Přestože je umístěn jako podnikové řešení vzdáleného přístupu, postrádá základní funkce zabezpečení a výkonu, které mnoho velkých organizací vyžaduje. V tomto článku budu demonstrovat 5 důležitých věcí, které NetMotion Mobilita může udělat, že Microsoft DirectAccess nemůže.

1) Filtrování Provozu

Když se klient zavádí technologie DirectAccess připojení, má plný přístup ke všem interním síťovým prostředkům. To je záměrné, protože DirectAccess měl emulovat interní připojení LAN, které obvykle poskytuje neomezený přístup k síti. To však není z bezpečnostního hlediska vždy žádoucí. Správci jsou obvykle povinni omezit přístup k určité podmnožině síťových zdrojů. DirectAccess neposkytuje žádné nativní zařízení pro splnění tohoto úkolu.

jediným způsobem, jak omezit přístup k interním prostředkům pro klienty DirectAccess, je umístit firewall mezi Server DirectAccess a interní síť. Výzvou je, že stejné zásady platí pro všechny klienty DirectAccess, protože všechny adresy klientů DirectAccess jsou přeloženy na serveru DirectAccess. Kromě toho musí síťový provoz před filtrováním procházet zabezpečeným připojením, což není ideální.

NetMotion Mobility® umožňuje správcům aplikovat jemnozrnné ovládací prvky v přístupu k klientské síti. Přístup může být povolen nebo odepřen zdrojovou a / nebo cílovou adresou, zdrojovým a / nebo cílovým portem a protokolem. Kromě toho lze pro jednotlivé aplikace nebo procesy definovat filtrování provozu. Dále lze omezení přístupu dynamicky vynucovat na základě typu sítě (např. ethernet, Wi-Fi, cellular), umístění sítě (SSID, název přípony DNS atd.), dostupná šířka pásma, zapnutí nebo vypnutí baterie a úroveň nabití baterie, denní doba a dokonce i fyzické umístění. Důležité je, že zásady filtrování provozu jsou na klientovi vynucovány, což eliminuje zbytečnost odesílání provozu přes připojení VPN, pouze aby byl zrušen místním firewallem.

2) Podmíněný Přístup

V minulosti, DirectAccess zahrnuje podporu pro Microsoft Network Access Protection (NAP), který byl jejich verze Network Access Control (NAC) řešení. NAP umožnil správcům posoudit konfiguraci klienta a zdravotní stav, aby informovali o rozhodnutích o řízení přístupu. Microsoft však v systému Windows Server 2012 R2 zastaral a funkci zcela odstranil v systémech Windows Server 2016 a Windows 10. DirectAccess nepodporuje integraci s žádnými platformami třetích stran NAC.

NetMotion Mobility zahrnuje integrovanou funkci NAC, která umožňuje správcům definovat soubor standardů, které musí připojovací zařízení splňovat před udělením přístupu k síti. Volitelně přístup k síti může být dynamicky řízené na základě stavu klienta spojení. Například Mobility NAC může být nakonfigurován tak, aby varoval klienta, že nesplňuje aktuální požadavky na kontrolu stavu, ale stále umožňuje přístup. NAC může také být nakonfigurován tak, aby karantény klienta, omezuje přístup k síti na omezenou sadu prostředků, jako jsou sanace servery. Klientovi může být v případě potřeby přísně odepřen přístup.

Existuje mnoho parametrů, které mohou být použity k definování NAC politiky včetně existence a stav antivirus a antimalware software (Microsoft a třetích stran), existence a stav brány firewall (Microsoft a třetích stran), verze Mobility software, verze operačního systému a aktualizace stavu, existence a stav konkrétního procesu, a další. Klíče registru a soubory v klientském souborovém systému lze také vyhodnotit, aby bylo možné podle potřeby informovat o přístupových rozhodnutích.

3) vynucování granulovaných zásad

některá nastavení konfigurace DirectAccess mají globální rozsah. Například nastavení split nebo force tunneling platí pro všechny klienty DirectAccess. Možnost vynutit silnou autentizaci uživatele multifaktorovou autentizaci platí také pro všechny uživatele. Pokud různí uživatelé vyžadují různá nastavení konfigurace, musí být pro splnění tohoto požadavku implementováno samostatné nasazení DirectAccess.

nastavení konfigurace NetMotion Mobility lze aplikovat podrobným způsobem, aby vyhovovaly potřebám jakékoli organizace. Nastavení lze nasadit na základě uživatelského účtu nebo členství ve skupině( místní nebo Active Directory), typu zařízení nebo skupiny zařízení a dalších. Například, pokud pouze někteří uživatelé vyžadují přístup k určité aplikaci, politika může být nakonfigurován tak, aby povolit pouze přístup k aplikaci, pokud uživatel je členem určité skupiny služby Active Directory. Kromě toho by přístup k síti mohl být omezen na kohokoli, kdo používá zařízení Android, nebo by mohly být blokovány konkrétní aplikace, když je mobilní zařízení připojeno k celulární síti. Možnosti prosazování zásad jsou téměř neomezené, což dává správcům sítí a zabezpečení jemnou kontrolu nad přístupem a komunikací pro jejich mobilní zařízení.

4) Správa založená na rolích

ve výchozím nastavení musí být uživatel členem skupiny správců domén. Existují možnosti, jak tento požadavek odstranit, ale stále vyžadují, aby uživatel byl místním správcem na všech serverech DirectAccess a měl plnou kontrolu nad objekty zásad skupiny specifické pro DirectAccess (GPO) ve službě Active Directory. Neexistuje žádný nativní způsob, jak poskytnout omezený přístup pouze pro čtení do konzoly pro správu pro účely přezkoumání nebo auditu konfigurace nastavení nebo zobrazení stavu připojení nebo historické zprávy.

konzola pro správu mobility NetMotion podporuje řízení přístupu na základě rolí (RBAC), což správcům umožňuje definovat různé úrovně přístupu na základě specifických požadavků. Správci help desk mohou mít například přístup k provádění změn v členství ve skupině uživatelů a / nebo zařízení, ale nikoli k provádění změn v nastavení serveru. Role mohou být přiřazeny místním nebo uživatelům domény služby Active Directory nebo skupinám domén.

5) Cloud Nasazení

Překvapivě, DirectAccess není podporované zátěž pro jakýkoliv veřejný cloud, včetně Microsoft Azure cloud řešení. Protože mnoho organizací přesouvá aplikace, služby a infrastrukturu do cloudu, je rozhodující mít plně podporované řešení mobility v cloudu.

NetMotion Mobility je softwarové řešení, které je nainstalováno na Windows server. Je plně podporován při instalaci v areálu nebo ve veřejném cloudu, jako je Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) a další. NetMotion Mobility gateway a infrastrukturní servery lze instalovat a konfigurovat v prostorách, v cloudu nebo v případě hybridních nasazení.

Shrnutí

technologie DirectAccess je dobré řešení vzdáleného přístupu pro Microsoft-centric organizací, ale postrádá některé důležité funkce, které jsou vyžadovány ze zabezpečené a robustní enterprise mobility platform. NetMotion Mobility má oproti DirectAccess výraznou výhodu, protože poskytuje správcům nástroje pro omezení přístupu k síti a to velmi podrobným způsobem. Stav konfigurace vzdálených zařízení lze určit před připojením, což umožňuje dynamické vymáhání zásad nebo podle potřeby omezený přístup. Podporuje také RBAC pro přístup ke konzoli pro správu a je plně podporován jak pro on-premises, cloud, tak pro hybridní scénáře nasazení.

Hostující Autor: Richard Hicks / Zakladatel & Hlavní Konzultant, Richard M. Hicks Consulting

názory a názory hostujících autorů nemusí nutně odrážet názory a názory softwaru NetMotion.

pokračovat ve čtení

  • SASE, proč to potřebujeme?
  • co se stane, když pracovní síla profesionálních služeb bude 100% mobilní?
  • plánování pro SASE: podrobný průvodce, jak se tam dostat
  • hlasy NetMotion: slavit Mezinárodní Den Žen
  • na SASE v sekundách s NetMotion a Microsoft partnerství
FacebookTwitterE-mailSdílet



+