5 ting NetMotion Mobility kan gøre det Microsoft DirectAccess kan ikke
DirectAccess er en fjernadgangsteknologi fra Microsoft, der giver problemfri, gennemsigtig, altid på fjernforbindelse til administrerede (domænetilsluttede) vinduer klienter. Selvom det er placeret som en fjernadgangsløsning til virksomheder, mangler det vigtige sikkerheds-og ydeevnefunktioner, som mange store organisationer har brug for. I denne artikel vil jeg demonstrere 5 vigtige ting, som NetMotion Mobility kan gøre, som Microsoft DirectAccess ikke kan.
1) Trafikfiltrering
når en klient opretter en DirectAccess-forbindelse, har den fuld adgang til alle interne netværksressourcer. Dette er ved design, da DirectAccess var beregnet til at efterligne intern LAN-forbindelse, som typisk giver ubegrænset netværksadgang. Dette er dog ikke altid ønskeligt ud fra et sikkerhedsperspektiv. Normalt kræves det, at administratorer begrænser adgangen til en bestemt delmængde af netværksressourcer. DirectAccess giver ingen native facilitet til at udføre denne opgave.
den eneste måde at begrænse adgangen til interne ressourcer til DirectAccess-klienter er at placere en brandmur mellem DirectAccess-serveren og det interne netværk. Udfordringen her er, at den samme politik gælder for alle DirectAccess-klienter, da alle DirectAccess-klientadresser oversættes på DirectAccess-serveren. Derudover skal netværkstrafik krydse den sikre forbindelse, før den filtreres, hvilket ikke er ideelt.
NetMotion Mobility karts giver administratorer mulighed for at anvende finkornede kontroller på klientens netværksadgang. Adgang kan tillades eller nægtes via kilde-og/eller destinationsadresse, kilde-og/eller destinationsport og protokol. Derudover kan trafikfiltrering defineres til individuelle applikationer eller processer. Yderligere kan adgangsbegrænsninger håndhæves dynamisk baseret på netværkstype (f.eks.), tilgængelig båndbredde, til eller fra batteristrøm og batteriniveau, tidspunkt på dagen og endda fysisk placering. Det er vigtigt, at trafikfiltreringspolitikker håndhæves på klienten, hvilket eliminerer spild af at sende trafik over VPN-forbindelsen kun for at blive droppet af en lokal brandvæg.
2) betinget adgang
tidligere inkluderede DirectAccess support til Microsoft Netværksadgangsbeskyttelse (NAP), som var deres version af en NAC-løsning (netværksadgangskontrol). NAP tillod administratorer at vurdere klientkonfiguration og sundhedsstatus for at informere adgangskontrolbeslutninger. Microsoft udskrev dog NAP i vinduer Server 2012 R2 og fjernede funktionen fuldstændigt i vinduer Server 2016 og Vinduer 10. DirectAccess understøtter ikke integration med nogen tredjeparts NAC-platforme.
NetMotion Mobility inkluderer integreret NAC-funktionalitet, der giver administratorer mulighed for at definere et sæt standarder, som tilslutningsenheder skal opfylde, før de får adgang til netværket. Eventuelt kan netværksadgang styres dynamisk baseret på status for den klient, der opretter forbindelsen. For eksempel kan Mobility NAC konfigureres til at advare en klient om, at den ikke opfylder de nuværende krav til sundhedskontrol, men stadig tillader adgang. NAC kan også konfigureres til at sætte klienten i karantæne, hvilket begrænser netværksadgangen til et begrænset sæt ressourcer, såsom afhjælpningsservere. Klienten kan også strengt nægtes adgang, hvis det kræves.
der er adskillige parametre, der kan bruges til at definere NAC-politik, herunder eksistens og status antivirus-og antimalvareprogrammer (Microsoft og tredjepart), eksistens og status for Microsoft og tredjepart, versionen af Mobilitetsprogrammet, operativsystemversion og opdateringsstatus, eksistens og status for en bestemt proces med mere. Registreringsnøgler og filer på klientfilsystemet kan også evalueres for at informere adgangsbeslutninger efter behov.
3) granulær Politikhåndhævelse
nogle DirectAccess-konfigurationsindstillinger er globale. For eksempel gælder split-eller force tunneling-indstillinger for alle DirectAccess-klienter. Muligheden for at håndhæve stærk brugergodkendelse multifaktorgodkendelse gælder også for alle brugere. Hvis forskellige brugere kræver forskellige konfigurationsindstillinger, skal der implementeres en separat DirectAccess-implementering for at opfylde dette krav.
NetMotion Mobilitetskonfigurationsindstillinger kan anvendes på en detaljeret måde for at imødekomme enhver organisations behov. Indstillinger kan implementeres baseret på brugerkonto eller gruppemedlemskab (lokal eller Active Directory), Enhedstype eller enhedsgruppe og meget mere. For eksempel, hvis kun nogle brugere har brug for adgang til et bestemt program, kan en politik konfigureres til kun at tillade programadgang, hvis brugeren er medlem af en bestemt Active Directory-gruppe. Derudover kan netværksadgang være begrænset til alle, der bruger en Android-enhed, eller specifikke applikationer kan blokeres, når en mobilenhed er tilsluttet et mobilnetværk. Mulighederne for politisk håndhævelse er næsten ubegrænsede, hvilket giver netværks-og sikkerhedsadministratorer finkornet kontrol med adgang og kommunikation til deres mobile enheder.
4) rollebaseret Administration
for at åbne DirectAccess administrative console skal brugeren som standard være medlem af gruppen domæneadministratorer. Der er muligheder for at eliminere dette krav, men de kræver stadig, at brugeren er en lokal administrator på alle DirectAccess-servere og har fuld kontrol over DirectAccess-specifikke gruppepolitiske objekter (Gpo ‘ er) i Active Directory. Der er ingen indbygget måde at give begrænset, skrivebeskyttet adgang til administrationskonsollen med det formål at gennemgå eller revidere konfigurationsindstillinger eller se forbindelsesstatus eller historiske rapporter.
NetMotion Mobility management console understøtter rollebaseret adgangskontrol (RBAC), så administratorer kan definere forskellige adgangsniveauer baseret på specifikke krav. For eksempel kan helpdesk-administratorer få adgang til at foretage ændringer i bruger-og/eller enhedsgruppemedlemskab, men ikke til at foretage ændringer i serverindstillinger. Roller kan tildeles til lokale eller Active Directory-domænebrugere eller domænegrupper.
5) Cloud Deployment
overraskende nok er DirectAccess ikke en understøttet arbejdsbyrde for nogen offentlig sky, inklusive Microsofts egen cloud-løsning. Da mange organisationer flytter applikationer, tjenester og infrastruktur til skyen, er det kritisk at have en fuldt understøttet mobilitetsløsning i skyen.
NetMotion Mobility er en programbaseret løsning, der er installeret på en server. Det understøttes fuldt ud, når det installeres lokalt eller i en offentlig sky som f.eks. NetMotion Mobilitetsport-og infrastrukturservere kan installeres og konfigureres lokalt, i skyen eller begge dele i tilfælde af hybridinstallationer.
Resume
DirectAccess er en god fjernadgangsløsning til Microsoft-centrerede organisationer, men den mangler nogle vigtige funktioner, der kræves fra en sikker og robust enterprise mobility platform. NetMotion Mobility har en klar fordel i forhold til DirectAccess, fordi det giver administratorer værktøjer til at begrænse netværksadgang og gøre det på en meget detaljeret måde. Konfigurationsstatus for eksterne enheder kan bestemmes inden tilslutning, hvilket muliggør dynamisk politikhåndhævelse eller begrænset adgang efter behov. Det understøtter også RBAC til administrativ konsoladgang og understøttes fuldt ud til både on-premises, cloud og hybrid implementeringsscenarier.
Gæst Forfatter: Richard Hicks / Grundlægger & Hovedkonsulent, Richard M. Hicks Consulting
gæsteforfatteres synspunkter og meninger afspejler ikke nødvendigvis netmotions synspunkter og meninger.
fortsæt med at læse
- SASE, hvorfor har vi brug for det?
- Hvad sker der, hvis arbejdsstyrken for professionelle tjenester går 100% mobil?
- planlægning af SASE: en trinvis vejledning til, hvordan man kommer dertil
- Voices of NetMotion: fejring af den internationale kvindedag
- kom til SASE på få sekunder med NetMotion og Microsoft-partnerskab