5 Things Microsoft DirectAccess Can’ t Do

5 Things Netmotion Mobility® Can Do that Microsoft DirectAccess Can ’ t
1) liikenteen suodatus
2) ehdollinen pääsy
3) yksityiskohtaisten sääntöjen täytäntöönpano
4) Roolipohjainen hallinto
5) Cloud Deployment
Summary
Jatka lukemista

5 Things Netmotion Mobility® Can Do that Microsoft DirectAccess Can ’ t

DirectAccess on Microsoftin etäkäyttötekniikka, joka tarjoaa saumattoman, läpinäkyvän, aina etäyhteyden hallinnoiduille (domain-joined) Windows-asiakkaille. Vaikka se on sijoitettu yrityksen etäkäyttöratkaisuna, siitä puuttuu monien suurten organisaatioiden vaatimat olennaiset turvallisuus-ja suorituskykyominaisuudet. Tässä artikkelissa esittelen 5 tärkeää asiaa, jotka NetMotion Mobility voi tehdä, että Microsoft DirectAccess ei voi.

1) liikenteen suodatus

kun asiakas perustaa DirectAccess-yhteyden, sillä on täysi pääsy kaikkiin sisäisen verkon resursseihin. Tämä on suunniteltu, koska DirectAccess oli tarkoitus jäljitellä sisäistä LAN-yhteyttä, joka tyypillisesti tarjoaa rajoittamattoman verkkoyhteyden. Tämä ei kuitenkaan ole aina toivottavaa turvallisuuden kannalta. Yleisesti järjestelmänvalvojia vaaditaan rajoittamaan pääsyä tiettyyn verkkoresurssien osajoukkoon. DirectAccess ei tarjoa mitään natiivi laitosta tämän tehtävän suorittamiseen.

ainoa tapa rajoittaa DirectAccess-asiakkaiden pääsyä sisäisiin resursseihin on asettaa palomuuri DirectAccess-palvelimen ja sisäisen verkon välille. Haasteena on, että sama käytäntö koskee kaikkia DirectAccess-asiakkaita, sillä kaikki DirectAccess-asiakasosoitteet käännetään DirectAccess-palvelimella. Lisäksi verkkoliikenteen on kuljettava suojatun yhteyden läpi ennen suodatusta, mikä ei ole ihanteellista.

NetMotion Mobility® – Palvelun ylläpitäjät voivat käyttää hienorakeisia kontrolleja asiakkaan verkkoon pääsyssä. Pääsy voidaan sallia tai evätä lähde-ja/tai kohdeosoitteen, lähde-ja/tai kohdeportin ja protokollan perusteella. Lisäksi liikenteen suodatus voidaan määritellä yksittäisille sovelluksille tai prosesseille. Lisäksi pääsyä koskevia rajoituksia voidaan dynaamisesti valvoa verkkotyypin (esim.ethernet, Wi-Fi, cellular), verkon sijainnin (SSID, DNS-päätenimi jne.) perusteella.), käytettävissä oleva kaistanleveys, akun virta ja akun taso, kellonaika ja jopa fyysinen sijainti. Tärkeää on, että liikenteen suodatuskäytännöt pannaan täytäntöön asiakkaalla, mikä poistaa tuhlaavaisuuden lähettämällä liikennettä VPN-yhteyden yli vain pudotettavaksi paikan päällä olevalla palomuurilla.

2) ehdollinen pääsy

aiemmin DirectAccess sisälsi tuen Microsoft Network Access Protectionille (NAP), joka oli heidän versionsa Network Access Control (NAC) – ratkaisusta. VERKONKÄYTTÖKÄYTÄNNÖN avulla järjestelmänvalvojat pystyivät arvioimaan asiakkaan asetuksia ja terveydentilaa, jotta he voivat ilmoittaa kulunvalvontapäätöksistä. Microsoft kuitenkin poisti VERKONKÄYTTÖKÄYTÄNNÖN Windows Server 2012 R2: ssa ja poisti ominaisuuden kokonaan Windows Server 2016: ssa ja Windows 10: ssä. DirectAccess ei tue integraatiota minkään kolmannen osapuolen NAC-alustojen kanssa.

NetMotion Mobility sisältää integroidun NAC-toiminnon, jonka avulla järjestelmänvalvojat voivat määritellä standardit, jotka laitteiden liittämisen on täytettävä, ennen kuin niille myönnetään pääsy verkkoon. Valinnaisesti verkkoyhteyttä voidaan dynaamisesti ohjata yhteyden muodostavan asiakkaan tilan perusteella. Esimerkiksi Mobility NAC voidaan konfiguroida varoittamaan asiakasta siitä, että se ei täytä nykyisiä terveystarkastusvaatimuksia, mutta sallii silti pääsyn. NAC voidaan myös konfiguroida karanteeniin asiakas, rajoittaa verkkoon pääsy rajoitettu joukko resursseja, kuten korjauspalvelimet. Asiakkaalta voidaan myös tarvittaessa tiukasti evätä pääsy.

NAC-käytäntöjen määrittelyyn on olemassa lukuisia parametreja, kuten olemassa ja tilassa olevat virustorjunta-ja haittaohjelmistojen torjuntaohjelmat (Microsoft ja kolmas osapuoli), palomuurin olemassaolo ja tila (Microsoft ja kolmas osapuoli), Liikkuvuusohjelmiston versio, käyttöjärjestelmän versio ja Päivitystila, tietyn prosessin olemassaolo ja tila ja paljon muuta. Asiakastiedostojärjestelmän rekisteriavaimia ja tiedostoja voidaan myös arvioida käyttöoikeuspäätösten ilmoittamiseksi tarpeen mukaan.

3) yksityiskohtaisten sääntöjen täytäntöönpano

jotkin Suoravaikutusasetukset ovat maailmanlaajuisia. Esimerkiksi split – tai force tunneling-asetukset koskevat kaikkia DirectAccess-asiakkaita. Mahdollisuus vahvistaa vahva käyttäjä todennus multifactor todennus koskee myös kaikkia käyttäjiä. Jos eri käyttäjät vaativat erilaisia määritysasetuksia, tämän vaatimuksen täyttämiseksi on toteutettava erillinen DirectAccess-käyttöönotto.

NetMotion Mobility configuration-asetuksia voidaan soveltaa rakeisella tavalla minkä tahansa organisaation tarpeisiin. Asetukset voidaan ottaa käyttöön käyttäjätilin tai ryhmän jäsenyyden (paikallinen tai Active Directory), laitetyypin tai laiteryhmän perusteella ja paljon muuta. Jos esimerkiksi vain jotkut käyttäjät vaativat pääsyä tiettyyn sovellukseen, käytäntö voidaan määrittää sallimaan sovelluksen käyttö vain, jos käyttäjä on tietyn Active Directory-ryhmän jäsen. Lisäksi verkkoyhteys voitaisiin rajoittaa kenelle tahansa, joka käyttää Android-laitetta, tai tietyt sovellukset voitaisiin estää, kun mobiililaite on kytketty matkapuhelinverkkoon. Politiikan täytäntöönpanon vaihtoehdot ovat lähes rajattomat, mikä antaa verkko-ja tietoturvavastaaville hienosäätöä mobiililaitteidensa pääsystä ja viestinnästä.

4) Roolipohjainen hallinto

oletusarvoisesti avatakseen DirectAccess-hallintakonsolin käyttäjän on oltava Toimialueen järjestelmänvalvojat-ryhmän jäsen. On olemassa vaihtoehtoja tämän vaatimuksen poistamiseksi, mutta ne edellyttävät silti, että käyttäjä on paikallinen järjestelmänvalvoja kaikilla DirectAccess-palvelimilla ja että hänellä on täysi valta hallita DirectAccess-erityisiä ryhmäkäytäntöobjekteja (GPO) Active Directory-hakemistossa. Ei ole olemassa omaa tapaa tarjota rajoitettua, vain lukuoikeutta sisältävää pääsyä hallintakonsoliin määritysasetusten tarkistamista tai auditointia varten tai yhteyden tilan tai historiallisten raporttien tarkastelua varten.

NetMotion Mobility management console tukee Roolipohjaista Kulunvalvontaa (Rbac), jonka avulla järjestelmänvalvojat voivat määritellä eri käyttöoikeustasoja erityisvaatimusten perusteella. Esimerkiksi help deskin järjestelmänvalvojille voidaan myöntää oikeus tehdä muutoksia käyttäjä-ja / tai laiteryhmän jäsenyyteen, mutta ei tehdä muutoksia palvelimen asetuksiin. Roolit voidaan antaa paikallisille tai Active Directory-toimialueen käyttäjille tai toimialueen ryhmille.

5) Cloud Deployment

yllättäen DirectAccess ei ole minkään julkisen pilven tuettu työmäärä, mukaan lukien Microsoftin oma Azure-pilviratkaisu. Koska monet organisaatiot siirtävät sovelluksia, palveluita ja infrastruktuuria pilveen, täysin tuetun liikkuvuusratkaisun saaminen pilveen on erittäin tärkeää.

NetMotion Mobility on ohjelmistopohjainen ratkaisu, joka on asennettu Windows Serverille. Se on täysin tuettu, kun se on asennettu toimitiloihin tai julkiseen pilveen, kuten Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) ja muut. NetMotion Mobility gateway ja infrastructure-palvelimet voidaan asentaa ja konfiguroida toimitiloihin, pilvipalveluihin tai molempiin, jos kyseessä on hybridikäyttö.

Summary

DirectAccess on hyvä Etäkäyttöratkaisu Microsoft-keskeisille organisaatioille, mutta siitä puuttuu joitakin tärkeitä ominaisuuksia, joita vaaditaan turvalliselta ja vankalta enterprise mobility-alustalta. NetMotion Mobilitylla on selvä etu Directaccessiin verrattuna, koska se tarjoaa ylläpitäjille työkaluja rajoittaa verkkoon pääsyä erittäin rakeisella tavalla. Etälaitteiden konfiguraatiotila voidaan määrittää ennen liittämistä, mikä mahdollistaa dynaamisen käytäntöjen noudattamisen tai tarvittaessa rajoitetun käytön. Se tukee myös rbac: tä hallintakonsolien käyttöön, ja se on täysin tuettu niin toimitiloissa, pilvipalveluissa kuin hybridikäyttöskenaarioissakin.

Vieraileva Tekijä: Richard Hicks / Perustaja & Pääkonsultti, Richard M. Hicks Consulting

vierailevien tekijöiden näkemykset ja mielipiteet eivät välttämättä vastaa NetMotion-ohjelmiston näkemyksiä ja mielipiteitä.