5 Cosas que NetMotion Mobility® Puede Hacer que Microsoft DirectAccess no puede
DirectAccess es una tecnología de acceso remoto de Microsoft que proporciona conectividad remota sin interrupciones, transparente y siempre activa para clientes Windows administrados (unidos a dominios). Aunque se posiciona como una solución de acceso remoto empresarial, carece de las características esenciales de seguridad y rendimiento que requieren muchas organizaciones grandes. En este artículo, demostraré 5 cosas importantes que NetMotion Mobility puede hacer que Microsoft DirectAccess no puede.
1) Filtrado de tráfico
Cuando un cliente establece una conexión de DirectAccess, tiene acceso completo a todos los recursos de red internos. Esto es por diseño, ya que DirectAccess estaba destinado a emular la conectividad LAN interna que normalmente proporciona acceso a la red sin restricciones. Sin embargo, esto no siempre es deseable desde el punto de vista de la seguridad. Por lo general, los administradores deben restringir el acceso a un subconjunto específico de recursos de red. DirectAccess no proporciona ninguna instalación nativa para realizar esta tarea.
La única forma de restringir el acceso a los recursos internos de los clientes de DirectAccess es colocar un firewall entre el servidor de DirectAccess y la red interna. El desafío aquí es que la misma política se aplica a todos los clientes de DirectAccess, ya que todas las direcciones de cliente de DirectAccess se traducen en el servidor de DirectAccess. Además, el tráfico de red debe atravesar la conexión segura antes de ser filtrado, lo cual no es ideal.
NetMotion Mobility ® permite a los administradores aplicar controles detallados en el acceso a la red del cliente. El acceso se puede permitir o denegar por dirección de origen y/o destino, puerto de origen y/o destino y protocolo. Además, el filtrado de tráfico se puede definir para aplicaciones o procesos individuales. Además, las restricciones de acceso se pueden aplicar dinámicamente en función del tipo de red (por ejemplo, Ethernet, Wi-Fi, celular), la ubicación de la red (SSID, nombre de sufijo DNS, etc.), ancho de banda disponible, encendido o apagado de la batería y nivel de batería, hora del día e incluso ubicación física. Es importante destacar que las políticas de filtrado de tráfico se aplican en el cliente, lo que elimina el desperdicio de enviar tráfico a través de la conexión VPN para que un firewall local lo deje caer.
2) Acceso condicional
En el pasado, DirectAccess incluía soporte para Microsoft Network Access Protection (NAP), que era su versión de una solución de Control de Acceso a la red (NAC). NAP permitió a los administradores evaluar la configuración del cliente y el estado de mantenimiento para informar las decisiones de control de acceso. Sin embargo, Microsoft dejó de usar NAP en Windows Server 2012 R2 y eliminó la función por completo en Windows Server 2016 y Windows 10. DirectAccess no admite la integración con plataformas NAC de terceros.
NetMotion Mobility incluye la funcionalidad NAC integrada, lo que permite a los administradores definir un conjunto de estándares que los dispositivos de conexión deben cumplir antes de obtener acceso a la red. Opcionalmente, el acceso a la red se puede controlar dinámicamente en función del estado del cliente que realiza la conexión. Por ejemplo, Mobility NAC se puede configurar para advertir a un cliente que no cumple con los requisitos actuales de comprobación de estado, pero que aún así permite el acceso. NAC también se puede configurar para poner en cuarentena al cliente, restringiendo el acceso a la red a un conjunto limitado de recursos, como servidores de actualizaciones. El cliente también puede ser estrictamente denegado el acceso, si es necesario.
Hay numerosos parámetros que se pueden utilizar para definir la política de NAC, incluida la existencia y el estado del software antivirus y antimalware (Microsoft y de terceros), la existencia y el estado del firewall (Microsoft y de terceros), la versión del software de movilidad, la versión del sistema operativo y el estado de actualización, la existencia y el estado de un proceso específico, y más. Las claves del registro y los archivos del sistema de archivos del cliente también se pueden evaluar para informar las decisiones de acceso según sea necesario.
3) Aplicación de directivas granulares
Algunas opciones de configuración de DirectAccess tienen un alcance global. Por ejemplo, la configuración de túnel dividido o forzado se aplica a todos los clientes de DirectAccess. La opción de aplicar la autenticación multifactor de autenticación de usuario fuerte también se aplica a todos los usuarios. Si diferentes usuarios requieren configuraciones de configuración diferentes, se debe implementar una implementación de DirectAccess independiente para cumplir con este requisito.
Los ajustes de configuración de movilidad de NetMotion se pueden aplicar de forma detallada para satisfacer las necesidades de cualquier organización. La configuración se puede implementar en función de la pertenencia a una cuenta de usuario o a un grupo (local o Active Directory), el tipo de dispositivo o el grupo de dispositivos, y más. Por ejemplo, si solo algunos usuarios requieren acceso a una aplicación específica, se puede configurar una directiva para permitir el acceso a la aplicación solo si el usuario es miembro de un grupo específico de Active Directory. Además, el acceso a la red podría restringirse a cualquier persona que use un dispositivo Android, o aplicaciones específicas podrían bloquearse cuando un dispositivo móvil está conectado a una red celular. Las opciones para la aplicación de políticas son casi ilimitadas, lo que brinda a los administradores de redes y seguridad un control preciso del acceso y la comunicación para sus dispositivos móviles.
4) Administración basada en roles
De forma predeterminada, para abrir la consola administrativa de DirectAccess, el usuario debe ser miembro del grupo administradores de dominio. Existen opciones para eliminar este requisito, pero siguen exigiendo que el usuario sea un administrador local en todos los servidores de DirectAccess y que tenga control total sobre los Objetos de directiva de grupo (GPO) específicos de DirectAccess en Active Directory. No existe una forma nativa de proporcionar acceso limitado de solo lectura a la consola de administración para revisar o auditar los ajustes de configuración o ver el estado de la conectividad o los informes históricos.
La consola de administración de movilidad de NetMotion admite el Control de Acceso basado en roles (RBAC), lo que permite a los administradores definir diferentes niveles de acceso en función de requisitos específicos. Por ejemplo, se puede conceder acceso a los administradores del servicio de asistencia para realizar cambios en la pertenencia a un grupo de usuarios o dispositivos, pero no para realizar cambios en la configuración del servidor. Los roles se pueden asignar a usuarios de dominio local o de Active Directory, o a grupos de dominio.
5) Implementación en la nube
Sorprendentemente, DirectAccess no es una carga de trabajo compatible con ninguna nube pública, incluida la propia solución de nube Azure de Microsoft. Dado que muchas organizaciones están trasladando aplicaciones, servicios e infraestructura a la nube, es fundamental contar con una solución de movilidad totalmente compatible en la nube.
NetMotion Mobility es una solución basada en software que se instala en Windows Server. Es totalmente compatible cuando se instala en las instalaciones o en una nube pública como Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) y otros. Los servidores de infraestructura y puerta de enlace de movilidad de NetMotion se pueden instalar y configurar en las instalaciones, en la nube o en ambos casos en implementaciones híbridas.
Resumen
DirectAccess es una buena solución de acceso remoto para organizaciones centradas en Microsoft, pero carece de algunas capacidades importantes que se requieren de una plataforma de movilidad empresarial segura y robusta. La movilidad NetMotion tiene una clara ventaja sobre DirectAccess porque proporciona a los administradores herramientas para restringir el acceso a la red y hacerlo de una manera muy detallada. El estado de configuración de los dispositivos remotos se puede determinar antes de la conexión, lo que permite la aplicación dinámica de políticas o el acceso restringido según sea necesario. También es compatible con RBAC para el acceso a la consola administrativa y es totalmente compatible con escenarios de implementación locales, en la nube e híbridos.
Autor invitado: Richard Hicks / Fundador & Consultor Principal, Richard M. Hicks Consulting
Los puntos de vista y opiniones de los autores invitados no reflejan necesariamente los puntos de vista y opiniones del Software NetMotion.
Seguir Leyendo
- SASE, ¿por qué lo necesitamos?
- ¿Qué sucede si el personal de servicios profesionales se vuelve 100% móvil?
- Planificación para SASE: una guía paso a paso para cómo llegar
- Voices of NetMotion: celebrando el Día Internacional de la Mujer
- Llega a SASE en segundos con la asociación de NetMotion y Microsoft