5 dolog, amit a Microsoft DirectAccess nem tud

5 dolog, amit a NetMotion Mobility a Microsoft DirectAccess nem tud

a DirectAccess a Microsoft távoli hozzáférési technológiája, amely zökkenőmentes, átlátható, mindig távoli kapcsolatot biztosít a felügyelt (tartományhoz csatlakozott) Windows ügyfelek számára. Annak ellenére, hogy vállalati távoli hozzáférési megoldásként van elhelyezve, hiányzik belőle az alapvető biztonsági és teljesítményjellemzők, amelyeket sok nagy szervezet igényel. Ebben a cikkben 5 fontos dolgot mutatok be, amelyeket a NetMotion Mobility képes megtenni, amit a Microsoft DirectAccess nem tud.

1) Forgalomszűrés

amikor az ügyfél DirectAccess kapcsolatot hoz létre, teljes hozzáféréssel rendelkezik az összes belső hálózati erőforráshoz. Ez a tervezés, mivel a DirectAccess célja a belső LAN-kapcsolat emulálása volt, amely általában korlátlan hálózati hozzáférést biztosít. Ez azonban biztonsági szempontból nem mindig kívánatos. Általában a rendszergazdáknak korlátozniuk kell a hozzáférést a hálózati erőforrások egy meghatározott részhalmazához. DirectAccess nem nyújt natív lehetőség, hogy ezt a feladatot.

a DirectAccess ügyfelek belső erőforrásaihoz való hozzáférés korlátozásának egyetlen módja, ha tűzfalat helyez a DirectAccess kiszolgáló és a belső hálózat közé. A kihívás itt az, hogy ugyanaz a házirend vonatkozik az összes DirectAccess kliensre, mivel az összes DirectAccess ügyfélcímet lefordítják a DirectAccess kiszolgálón. Ezenkívül a hálózati forgalomnak át kell haladnia a biztonságos kapcsolatot a szűrés előtt, ami nem ideális.

a NetMotion Mobility (mobilitási) lehetővé teszi a rendszergazdák számára, hogy az ügyfélhálózathoz való hozzáférés finomszemcsés vezérlését alkalmazzák. A hozzáférés engedélyezhető vagy megtagadható a forrás és/vagy a célcím, a forrás és/vagy a célport és a protokoll alapján. Ezenkívül a forgalom szűrése meghatározható az egyes alkalmazásokhoz vagy folyamatokhoz. Továbbá a hozzáférési korlátozások dinamikusan érvényesíthetők a hálózat típusa (például ethernet, Wi-Fi, cellular), a hálózati hely (SSID, DNS utótag neve stb.), rendelkezésre álló sávszélesség, be-vagy kikapcsolt akkumulátor és az akkumulátor töltöttségi szintje, a napszak és még a fizikai helyét. Fontos, hogy a forgalomszűrési házirendeket az ügyfélre kényszerítik, kiküszöbölve a VPN-kapcsolaton keresztüli forgalom pazarlását, amelyet csak egy helyszíni tűzfal dobhat el.

2) feltételes hozzáférés

a múltban a DirectAccess támogatta a Microsoft hálózati hozzáférés-védelmet (NAP), amely a hálózati hozzáférés-vezérlés (NAC) megoldásának verziója volt. A NAP lehetővé tette a rendszergazdák számára, hogy felmérjék az ügyfél konfigurációját és egészségi állapotát, hogy tájékoztassák a hozzáférés-vezérlési döntéseket. A Microsoft azonban elavult A Windows Server 2012 R2 rendszerben, és teljesen eltávolította a funkciót a Windows Server 2016 és a Windows 10 rendszerben. A DirectAccess nem támogatja az integrációt harmadik fél NAC platformjaival.

a NetMotion Mobility integrált NAC funkciót tartalmaz, amely lehetővé teszi a rendszergazdák számára, hogy meghatározzák azokat a szabványokat, amelyeknek a csatlakozó eszközöknek meg kell felelniük a hálózathoz való hozzáférés előtt. Opcionálisan a hálózati hozzáférés dinamikusan szabályozható a kapcsolatot létesítő ügyfél állapota alapján. Például a Mobility NAC konfigurálható úgy, hogy figyelmeztesse az Ügyfelet, hogy nem felel meg a jelenlegi állapotfelmérési követelményeknek, de mégis engedélyezi a hozzáférést. A NAC úgy is konfigurálható, hogy karanténba helyezze az ügyfelet, korlátozva a hálózati hozzáférést korlátozott erőforrásokhoz, például helyreállítási kiszolgálókhoz. Az ügyfél szigorúan megtagadhatja a hozzáférést, ha szükséges.

számos paraméter használható a NAC házirend meghatározására, beleértve a víruskereső és kártevőirtó szoftverek (Microsoft és harmadik fél) létezését és állapotát, a tűzfal létezését és állapotát (Microsoft és harmadik fél), a mobilitási szoftver verzióját, az operációs rendszer verzióját és frissítésének állapotát, egy adott folyamat létezését és állapotát stb. A rendszerleíró kulcs (ok) és fájlok az ügyfél fájlrendszerén szintén kiértékelhetők, hogy szükség esetén tájékoztassák a hozzáférési döntéseket.

3) részletes házirend-érvényesítés

néhány DirectAccess Konfigurációs beállítás globális hatókörű. Például a split vagy force tunneling beállítások az összes DirectAccess kliensre vonatkoznak. Az erős felhasználói hitelesítés többtényezős hitelesítés érvényesítésének lehetősége minden felhasználóra vonatkozik. Ha a különböző felhasználók eltérő konfigurációs beállításokat igényelnek, külön DirectAccess telepítést kell végrehajtani ennek a követelménynek a teljesítéséhez.

a NetMotion Mobility konfigurációs beállításai szemcsés módon alkalmazhatók bármely szervezet igényeinek kielégítésére. A Beállítások telepíthetők felhasználói fiók vagy csoporttagság (helyi vagy Active Directory), eszköztípus vagy eszközcsoport stb.alapján. Ha például csak néhány felhasználó igényel hozzáférést egy adott alkalmazáshoz, a házirend konfigurálható úgy, hogy csak akkor engedélyezze az alkalmazásokhoz való hozzáférést, ha a felhasználó egy adott Active Directory-csoport tagja. Ezenkívül a hálózati hozzáférést bárki korlátozhatja, aki Android-eszközt használ, vagy bizonyos alkalmazások blokkolhatók, ha egy mobileszköz mobilhálózathoz csatlakozik. A házirend-végrehajtási lehetőségek szinte korlátlanok, így a hálózati és biztonsági rendszergazdák finom szemcsés ellenőrzést biztosítanak a mobileszközeik hozzáférése és kommunikációja felett.

4) szerepkör-alapú adminisztráció

alapértelmezés szerint a DirectAccess felügyeleti konzol megnyitásához a Felhasználónak a tartományi rendszergazdák csoport tagjának kell lennie. Vannak lehetőségek ennek a követelménynek a kiküszöbölésére, de továbbra is megkövetelik, hogy a felhasználó helyi rendszergazda legyen az összes DirectAccess-kiszolgálón, és teljes ellenőrzést gyakoroljon az Active Directory DirectAccess-specifikus Csoportházirend-objektumai (csoportházirend-objektumok) felett. Nincs natív módja annak, hogy korlátozott, csak olvasható hozzáférést biztosítson a Felügyeleti konzolhoz a konfigurációs beállítások áttekintése vagy naplózása, illetve a kapcsolódási állapot vagy az előzményjelentések megtekintése céljából.

a NetMotion Mobility management console támogatja a szerepalapú hozzáférés-vezérlést (RBAC), amely lehetővé teszi a rendszergazdák számára, hogy meghatározott követelmények alapján különböző hozzáférési szinteket határozzanak meg. A help desk rendszergazdái például hozzáférést kaphatnak a felhasználói és/vagy eszközcsoport-tagság módosításához, de a kiszolgáló beállításainak módosításához nem. A szerepkörök helyi vagy Active Directory tartományi felhasználókhoz vagy tartománycsoportokhoz rendelhetők.

5) Felhőtelepítés

meglepő módon a DirectAccess nem támogatott munkaterhelés egyetlen nyilvános felhőhöz sem, beleértve a Microsoft saját Azure felhőmegoldását. Mivel számos szervezet alkalmazásait, szolgáltatásait és infrastruktúráját a felhőbe helyezi át, kritikus fontosságú a teljes mértékben támogatott mobilitási megoldás megléte a felhőben.

a NetMotion Mobility egy Windows server rendszerre telepített szoftveralapú megoldás. Teljes mértékben támogatott, ha telephelyen vagy nyilvános felhőben telepítik, például Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) és mások. A NetMotion Mobility gateway és infrastructure szerverek telepíthetők és konfigurálhatók a helyszínen, a felhőben, vagy hibrid telepítések esetén mindkettő.

Összegzés

a DirectAccess egy jó távoli hozzáférési megoldás a Microsoft-központú szervezetek számára, de hiányzik belőle néhány fontos képesség, amely egy biztonságos és robusztus vállalati mobilitási platformhoz szükséges. A NetMotion Mobility határozott előnnyel rendelkezik a DirectAccess-szel szemben, mivel a rendszergazdák számára olyan eszközöket biztosít, amelyek korlátozzák a hálózati hozzáférést, és ezt nagyon szemcsés módon teszik meg. A távoli eszközök konfigurációs állapota a csatlakozás előtt meghatározható, szükség esetén lehetővé téve a dinamikus házirend-végrehajtást vagy a korlátozott hozzáférést. Támogatja az RBAC adminisztrációs konzolhoz való hozzáférését is, és teljes mértékben támogatja mind a helyszíni, mind a felhőalapú, mind a hibrid telepítési forgatókönyveket.

Vendég Szerző: Richard Hicks | Alapító & Fő Tanácsadó, Richard M. Hicks Consulting

a vendég szerzők nézetei és véleményei nem feltétlenül tükrözik a NetMotion szoftver nézeteit és véleményét.

Continue Reading

  • SASE, miért van szükségünk rá?
  • mi történik, ha a szakmai szolgáltatások munkaerő megy 100% mobil?
  • Sase tervezése: lépésről lépésre útmutató az odajutáshoz
  • a NetMotion hangjai: a Nemzetközi Nőnap ünneplése
  • a NetMotion és a Microsoft partnerségével pillanatok alatt eljuthat a SASE-hez
Facebook  Twitter Email  Megosztás



+