5 Choses que Microsoft DirectAccess Ne Peut pas Faire

5 Choses que NetMotion Mobility® Peut faire que Microsoft DirectAccess Ne Peut pas

DirectAccess est une technologie d’accès à distance de Microsoft qui fournit une connectivité à distance transparente et toujours active pour les clients Windows gérés (liés à un domaine). Bien qu’il se positionne comme une solution d’accès à distance d’entreprise, il manque des fonctionnalités de sécurité et de performance essentielles dont de nombreuses grandes organisations ont besoin. Dans cet article, je vais démontrer 5 choses importantes que NetMotion Mobility peut faire que Microsoft DirectAccess ne peut pas faire.

1) Filtrage du trafic

Lorsqu’un client établit une connexion DirectAccess, il a un accès complet à toutes les ressources réseau internes. C’est par conception, car DirectAccess était destiné à émuler la connectivité LAN interne qui fournit généralement un accès au réseau sans restriction. Cela n’est cependant pas toujours souhaitable du point de vue de la sécurité. Généralement, les administrateurs sont tenus de restreindre l’accès à un sous-ensemble spécifique de ressources réseau. DirectAccess ne fournit aucune installation native pour accomplir cette tâche.

La seule façon de restreindre l’accès aux ressources internes pour les clients DirectAccess est de placer un pare-feu entre le serveur DirectAccess et le réseau interne. Le défi ici est que la même stratégie s’applique à tous les clients DirectAccess, car toutes les adresses client DirectAccess sont traduites sur le serveur DirectAccess. De plus, le trafic réseau doit traverser la connexion sécurisée avant d’être filtré, ce qui n’est pas idéal.

NetMotion Mobility® permet aux administrateurs d’appliquer des contrôles précis sur l’accès au réseau client. L’accès peut être autorisé ou refusé par l’adresse source et/ou de destination, le port source et/ou de destination et le protocole. En outre, le filtrage du trafic peut être défini pour des applications ou des processus individuels. De plus, les restrictions d’accès peuvent être appliquées dynamiquement en fonction du type de réseau (par exemple ethernet, Wi-Fi, cellulaire), de l’emplacement du réseau (SSID, nom de suffixe DNS, etc.), la bande passante disponible, l’alimentation de la batterie et le niveau de la batterie, l’heure de la journée et même l’emplacement physique. Il est important de noter que les stratégies de filtrage du trafic sont appliquées au client, ce qui élimine le gaspillage d’envoyer du trafic via la connexion VPN uniquement pour être supprimé par un pare-feu sur site.

2) Accès conditionnel

Dans le passé, DirectAccess prenait en charge la Protection d’accès réseau (NAP) de Microsoft, qui était leur version d’une solution de contrôle d’accès réseau (NAC). NAP a permis aux administrateurs d’évaluer la configuration du client et l’état de santé pour éclairer les décisions de contrôle d’accès. Cependant, Microsoft a déprécié NAP dans Windows Server 2012 R2 et a complètement supprimé la fonctionnalité dans Windows Server 2016 et Windows 10. DirectAccess ne prend pas en charge l’intégration avec des plates-formes NAC tierces.

NetMotion Mobility inclut une fonctionnalité NAC intégrée, permettant aux administrateurs de définir un ensemble de normes que les périphériques de connexion doivent respecter avant d’obtenir l’accès au réseau. En option, l’accès au réseau peut être contrôlé dynamiquement en fonction de l’état du client établissant la connexion. Par exemple, Mobility NAC peut être configuré pour avertir un client qu’il ne répond pas aux exigences actuelles de vérification de l’état, mais autorise tout de même l’accès. NAC peut également être configuré pour mettre en quarantaine le client, limitant l’accès au réseau à un ensemble limité de ressources telles que des serveurs de correction. Le client peut également se voir strictement refuser l’accès, si nécessaire.

De nombreux paramètres peuvent être utilisés pour définir la politique NAC, notamment l’existence et l’état des logiciels antivirus et antimalware (Microsoft et tiers), l’existence et l’état du pare-feu (Microsoft et tiers), la version du logiciel de mobilité, la version du système d’exploitation et l’état de mise à jour, l’existence et l’état d’un processus spécifique, etc. Les clés de registre et les fichiers du système de fichiers client peuvent également être évalués pour éclairer les décisions d’accès au besoin.

3) Application granulaire de la stratégie

Certains paramètres de configuration DirectAccess ont une portée globale. Par exemple, les paramètres de fractionnement ou de force de tunneling s’appliquent à tous les clients DirectAccess. L’option d’appliquer l’authentification multifactorielle d’authentification forte de l’utilisateur s’applique également à tous les utilisateurs. Si différents utilisateurs nécessitent des paramètres de configuration différents, un déploiement DirectAccess distinct doit être implémenté pour répondre à cette exigence.

Les paramètres de configuration de mobilité NetMotion peuvent être appliqués de manière granulaire pour répondre aux besoins de toute organisation. Les paramètres peuvent être déployés en fonction du compte d’utilisateur ou de l’appartenance à un groupe (local ou Active Directory), du type d’appareil ou du groupe d’appareils, etc. Par exemple, si seuls certains utilisateurs ont besoin d’accéder à une application spécifique, une stratégie peut être configurée pour autoriser l’accès à l’application uniquement si l’utilisateur est membre d’un groupe Active Directory spécifique. De plus, l’accès au réseau pourrait être limité à toute personne utilisant un appareil Android, ou des applications spécifiques pourraient être bloquées lorsqu’un appareil mobile est connecté à un réseau cellulaire. Les options d’application des politiques sont presque illimitées, ce qui donne aux administrateurs de réseau et de sécurité un contrôle précis de l’accès et de la communication pour leurs appareils mobiles.

4) Administration basée sur les rôles

Par défaut, pour ouvrir la console d’administration DirectAccess, l’utilisateur doit être membre du groupe administrateurs de domaine. Il existe des options pour éliminer cette exigence, mais elles exigent toujours que l’utilisateur soit un administrateur local sur tous les serveurs DirectAccess et qu’il ait un contrôle total sur les objets de stratégie de groupe (GPO) spécifiques à DirectAccess dans Active Directory. Il n’existe aucun moyen natif de fournir un accès limité en lecture seule à la console de gestion aux fins de l’examen ou de l’audit des paramètres de configuration ou de l’affichage de l’état de la connectivité ou des rapports historiques.

La console de gestion de la mobilité NetMotion prend en charge le Contrôle d’accès basé sur les rôles (RBAC), permettant aux administrateurs de définir différents niveaux d’accès en fonction des exigences spécifiques. Par exemple, les administrateurs du centre d’assistance peuvent se voir accorder l’accès pour apporter des modifications à l’appartenance à un utilisateur et/ou à un groupe d’appareils, mais pas pour apporter des modifications aux paramètres du serveur. Les rôles peuvent être attribués à des utilisateurs de domaines locaux ou Active Directory, ou à des groupes de domaines.

5) Déploiement Cloud

Étonnamment, DirectAccess n’est pas une charge de travail prise en charge pour un cloud public, y compris la propre solution cloud Azure de Microsoft. Comme de nombreuses organisations déplacent des applications, des services et des infrastructures vers le cloud, il est essentiel de disposer d’une solution de mobilité entièrement prise en charge dans le cloud.

NetMotion Mobility est une solution logicielle installée sur Windows Server. Il est entièrement pris en charge lorsqu’il est installé sur site ou dans un cloud public tel que Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP), etc. Les serveurs NetMotion Mobility Gateway et infrastructure peuvent être installés et configurés sur site, dans le cloud ou les deux dans le cas de déploiements hybrides.

Résumé

DirectAccess est une bonne solution d’accès à distance pour les organisations centrées sur Microsoft, mais il manque certaines fonctionnalités importantes requises par une plate-forme de mobilité d’entreprise sécurisée et robuste. NetMotion Mobility présente un net avantage par rapport à DirectAccess car il fournit aux administrateurs des outils pour restreindre l’accès au réseau et le faire de manière très granulaire. L’état de configuration des périphériques distants peut être déterminé avant la connexion, ce qui permet l’application dynamique de la stratégie ou l’accès restreint si nécessaire. Il prend également en charge RBAC pour l’accès à la console d’administration et est entièrement pris en charge pour les scénarios de déploiement sur site, dans le cloud et hybrides.

Auteur invité: Richard Hicks / Fondateur & Consultant principal, Richard M. Hicks Consulting

Les points de vue et les opinions des auteurs invités ne reflètent pas nécessairement les points de vue et les opinions du logiciel NetMotion.

Continuer la lecture

  • SASE, pourquoi en avons-nous besoin?
  • Que se passe-t-il si la main-d’œuvre des services professionnels devient 100 % mobile?
  • Planification de SASE: un guide étape par étape pour y arriver
  • Voices of NetMotion: célébration de la Journée internationale de la femme
  • Rendez-vous à SASE en quelques secondes grâce au partenariat entre NetMotion et Microsoft
 Facebook  Twitter  Email  Partager



+