5 Things NetMotion Mobility® Can Do that Microsoft DirectAccess Can’t
DirectAccess ist eine Remotezugriffstechnologie von Microsoft, die nahtlose, transparente und immer verfügbare Remotekonnektivität für verwaltete (domänengebundene) Windows-Clients bietet. Obwohl es sich um eine Remotezugriffslösung für Unternehmen handelt, fehlen wesentliche Sicherheits- und Leistungsmerkmale, die viele große Organisationen benötigen. In diesem Artikel zeige ich 5 wichtige Dinge, die NetMotion Mobility tun kann, was Microsoft DirectAccess nicht kann.
1) Datenverkehrsfilterung
Wenn ein Client eine DirectAccess-Verbindung herstellt, hat er vollen Zugriff auf alle internen Netzwerkressourcen. Dies ist beabsichtigt, da DirectAccess die interne LAN-Konnektivität emulieren sollte, die normalerweise uneingeschränkten Netzwerkzugriff bietet. Dies ist jedoch aus sicherheitstechnischer Sicht nicht immer wünschenswert. Im Allgemeinen müssen Administratoren den Zugriff auf eine bestimmte Teilmenge von Netzwerkressourcen einschränken. DirectAccess bietet keine native Funktion zum Ausführen dieser Aufgabe.
Die einzige Möglichkeit, den Zugriff auf interne Ressourcen für DirectAccess-Clients einzuschränken, besteht darin, eine Firewall zwischen dem DirectAccess-Server und dem internen Netzwerk zu platzieren. Die Herausforderung besteht darin, dass für alle DirectAccess-Clients dieselbe Richtlinie gilt, da alle DirectAccess-Clientadressen auf dem DirectAccess-Server übersetzt werden. Darüber hinaus muss der Netzwerkverkehr die sichere Verbindung durchlaufen, bevor er gefiltert wird, was nicht ideal ist.
Mit NetMotion Mobility® können Administratoren feingranulare Steuerelemente für den Clientnetzwerkzugriff anwenden. Der Zugriff kann nach Quell- und / oder Zieladresse, Quell- und / oder Zielport und Protokoll zugelassen oder verweigert werden. Darüber hinaus kann die Traffic-Filterung für einzelne Anwendungen oder Prozesse definiert werden. Darüber hinaus können Zugriffsbeschränkungen basierend auf dem Netzwerktyp (z. B. Ethernet, Wi-Fi, Mobilfunk), dem Netzwerkstandort (SSID, DNS-Suffixname usw.) dynamisch erzwungen werden.), verfügbare Bandbreite, Ein- oder Ausschalten der Batterieleistung und Batteriestand, Tageszeit und sogar physischen Standort. Wichtig ist, dass Datenverkehrsfilterrichtlinien auf dem Client erzwungen werden, wodurch die Verschwendung des Sendens von Datenverkehr über die VPN-Verbindung beseitigt wird, der nur von einer lokalen Firewall gelöscht wird.
2) Bedingter Zugriff
In der Vergangenheit enthielt DirectAccess Unterstützung für Microsoft Network Access Protection (NAP), eine Version einer NAC-Lösung (Network Access Control). Mit NAP konnten Administratoren die Clientkonfiguration und den Integritätsstatus bewerten, um Entscheidungen zur Zugriffssteuerung zu treffen. Microsoft hat NAP jedoch in Windows Server 2012 R2 veraltet und das Feature in Windows Server 2016 und Windows 10 vollständig entfernt. DirectAccess unterstützt keine Integration mit NAC-Plattformen von Drittanbietern.
NetMotion Mobility enthält integrierte NAC-Funktionen, mit denen Administratoren eine Reihe von Standards definieren können, die Verbindungsgeräte erfüllen müssen, bevor sie Zugriff auf das Netzwerk erhalten. Optional kann der Netzwerkzugriff basierend auf dem Status des Clients, der die Verbindung herstellt, dynamisch gesteuert werden. Beispielsweise kann Mobility NAC so konfiguriert werden, dass ein Client gewarnt wird, dass er die aktuellen Anforderungen für die Integritätsprüfung nicht erfüllt, aber dennoch den Zugriff zulässt. NAC kann auch so konfiguriert werden, dass der Client unter Quarantäne gestellt wird, wodurch der Netzwerkzugriff auf einen begrenzten Satz von Ressourcen, z. B. Sanierungsserver, beschränkt wird. Dem Kunden kann bei Bedarf auch der Zugriff strikt verweigert werden.
Es gibt zahlreiche Parameter, die verwendet werden können, um NAC-Richtlinien zu definieren, einschließlich Existenz und Status Antiviren- und Antimalware-Software (Microsoft und Drittanbieter), Existenz und Status der Firewall (Microsoft und Drittanbieter), die Version der Mobilitätssoftware, Betriebssystemversion und Update-Status, Existenz und Status eines bestimmten Prozesses und mehr. Registrierungsschlüssel und Dateien auf dem Client-Dateisystem können ebenfalls ausgewertet werden, um bei Bedarf Zugriffsentscheidungen zu treffen.
3) Granulare Richtliniendurchsetzung
Einige DirectAccess-Konfigurationseinstellungen haben einen globalen Gültigkeitsbereich. Beispielsweise gelten Split- oder Force-Tunneling-Einstellungen für alle DirectAccess-Clients. Die Option zum Erzwingen einer starken Benutzerauthentifizierung Die Multifaktor-Authentifizierung gilt auch für alle Benutzer. Wenn verschiedene Benutzer unterschiedliche Konfigurationseinstellungen benötigen, muss eine separate DirectAccess-Bereitstellung implementiert werden, um diese Anforderung zu erfüllen.
NetMotion Mobility-Konfigurationseinstellungen können granular angewendet werden, um die Anforderungen jeder Organisation zu erfüllen. Einstellungen können basierend auf Benutzerkonto oder Gruppenmitgliedschaft (lokal oder Active Directory), Gerätetyp oder Gerätegruppe und mehr bereitgestellt werden. Wenn beispielsweise nur einige Benutzer Zugriff auf eine bestimmte Anwendung benötigen, kann eine Richtlinie so konfiguriert werden, dass der Anwendungszugriff nur zulässig ist, wenn der Benutzer Mitglied einer bestimmten Active Directory-Gruppe ist. Darüber hinaus kann der Netzwerkzugriff auf Personen beschränkt sein, die ein Android-Gerät verwenden, oder bestimmte Anwendungen können blockiert werden, wenn ein Mobilgerät mit einem Mobilfunknetz verbunden ist. Die Optionen für die Richtliniendurchsetzung sind nahezu unbegrenzt und geben Netzwerk- und Sicherheitsadministratoren eine feinkörnige Kontrolle über den Zugriff und die Kommunikation für ihre mobilen Geräte.
4) Rollenbasierte Verwaltung
Standardmäßig muss der Benutzer zum Öffnen der DirectAccess-Verwaltungskonsole Mitglied der Gruppe Domänenadministratoren sein. Es gibt Optionen, um diese Anforderung zu beseitigen, aber sie erfordern weiterhin, dass der Benutzer ein lokaler Administrator auf allen DirectAccess-Servern ist und die volle Kontrolle über DirectAccess-spezifische Gruppenrichtlinienobjekte (GPOs) in Active Directory hat. Es gibt keine native Möglichkeit, eingeschränkten schreibgeschützten Zugriff auf die Verwaltungskonsole zum Überprüfen oder Überwachen von Konfigurationseinstellungen oder zum Anzeigen von Verbindungsstatus oder Verlaufsberichten bereitzustellen.
Die NetMotion Mobility Management Console unterstützt Role-Based Access Control (RBAC), sodass Administratoren je nach Anforderung unterschiedliche Zugriffsebenen definieren können. Beispielsweise können Helpdesk-Administratoren Zugriff erhalten, um Änderungen an der Benutzer- und/oder Gerätegruppenmitgliedschaft vorzunehmen, nicht jedoch, um Änderungen an den Servereinstellungen vorzunehmen. Rollen können lokalen oder Active Directory-Domänenbenutzern oder Domänengruppen zugewiesen werden.
5) Cloud-Bereitstellung
Überraschenderweise wird DirectAccess für keine öffentliche Cloud unterstützt, einschließlich der Microsoft-eigenen Azure-Cloud-Lösung. Da viele Unternehmen Anwendungen, Dienste und Infrastruktur in die Cloud verlagern, ist eine vollständig unterstützte Mobilitätslösung in der Cloud von entscheidender Bedeutung.
NetMotion Mobility ist eine softwarebasierte Lösung, die auf Windows Server installiert wird. Es wird vollständig unterstützt, wenn es lokal oder in einer öffentlichen Cloud wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) und anderen installiert wird. NetMotion Mobility Gateway- und Infrastrukturserver können lokal, in der Cloud oder bei Hybridbereitstellungen beides installiert und konfiguriert werden.
Zusammenfassung
DirectAccess ist eine gute Remotezugriffslösung für Microsoft-zentrierte Organisationen, es fehlen jedoch einige wichtige Funktionen, die für eine sichere und robuste Enterprise Mobility-Plattform erforderlich sind. NetMotion Mobility hat gegenüber DirectAccess einen deutlichen Vorteil, da es Administratoren Tools zur Verfügung stellt, mit denen sie den Netzwerkzugriff auf sehr detaillierte Weise einschränken können. Der Konfigurationsstatus von Remotegeräten kann vor dem Herstellen einer Verbindung ermittelt werden, wodurch bei Bedarf eine dynamische Richtlinienerzwingung oder ein eingeschränkter Zugriff ermöglicht werden. Es unterstützt auch RBAC für den Zugriff auf die Verwaltungskonsole und wird sowohl für lokale als auch für Cloud- und Hybridbereitstellungsszenarien vollständig unterstützt.
Gastautor: Richard Hicks / Gründer & Principal Consultant, Richard M. Hicks Consulting
Die Ansichten und Meinungen von Gastautoren spiegeln nicht unbedingt die Ansichten und Meinungen von NetMotion Software wider.
Weiterlesen
- SASE, warum brauchen wir es?
- Was passiert, wenn die Professional Services-Belegschaft zu 100% mobil wird?
- Planung für SASE: eine Schritt-für-Schritt-Anleitung zur Anreise
- Stimmen von NetMotion: feier des Internationalen Frauentags
- Mit der Partnerschaft von NetMotion und Microsoft erreichen Sie SASE in Sekundenschnelle