5 Cose NetMotion Mobilità® Può Fare che Microsoft DirectAccess non Può
DirectAccess è una tecnologia di accesso remoto di Microsoft che fornisce senza soluzione di continuità, trasparente, sempre sulla connettività remota per la gestione (dominio) i client Windows. Sebbene sia posizionato come soluzione di accesso remoto aziendale, manca di funzionalità essenziali di sicurezza e prestazioni richieste da molte grandi organizzazioni. In questo articolo illustrerò 5 cose importanti che NetMotion Mobility può fare che Microsoft DirectAccess non può.
1) Filtraggio del traffico
Quando un client stabilisce una connessione DirectAccess, ha pieno accesso a tutte le risorse di rete interne. Questo è di progettazione, in quanto DirectAccess è stato pensato per emulare la connettività LAN interna che in genere fornisce accesso alla rete senza restrizioni. Questo non è sempre auspicabile dal punto di vista della sicurezza, tuttavia. In genere, gli amministratori sono tenuti a limitare l’accesso a un sottoinsieme specifico di risorse di rete. DirectAccess non fornisce alcuna funzione nativa per eseguire questa attività.
L’unico modo per limitare l’accesso alle risorse interne per i client DirectAccess è posizionare un firewall tra il server DirectAccess e la rete interna. La sfida qui è che la stessa politica si applica a tutti i client DirectAccess, poiché tutti gli indirizzi client DirectAccess vengono tradotti sul server DirectAccess. Inoltre, il traffico di rete deve attraversare la connessione protetta prima di essere filtrato, il che non è l’ideale.
NetMotion Mobility ® consente agli amministratori di applicare controlli a grana fine sull’accesso alla rete client. L’accesso può essere consentito o negato dall’indirizzo di origine e/o di destinazione, dalla porta di origine e / o di destinazione e dal protocollo. Inoltre, il filtraggio del traffico può essere definito per singole applicazioni o processi. Inoltre, le restrizioni di accesso possono essere applicate dinamicamente in base al tipo di rete (ad esempio ethernet, Wi-Fi, cellulare), alla posizione di rete (SSID, nome suffisso DNS, ecc.), larghezza di banda disponibile, on o off di potenza della batteria e il livello della batteria, ora del giorno e anche la posizione fisica. È importante sottolineare che i criteri di filtraggio del traffico vengono applicati sul client, eliminando lo spreco di inviare traffico sulla connessione VPN solo per essere eliminato da un firewall locale.
2) Accesso condizionale
In passato, DirectAccess includeva il supporto per Microsoft Network Access Protection (NAP) che era la loro versione di una soluzione di controllo degli accessi di rete (NAC). NAP ha permesso agli amministratori di valutare la configurazione del client e lo stato di salute per informare le decisioni di controllo degli accessi. Tuttavia, Microsoft ha deprecato NAP in Windows Server 2012 R2 e rimosso completamente la funzionalità in Windows Server 2016 e Windows 10. DirectAccess non supporta l’integrazione con piattaforme NAC di terze parti.
NetMotion Mobility include funzionalità NAC integrate, consentendo agli amministratori di definire un insieme di standard che i dispositivi di connessione devono soddisfare prima di ottenere l’accesso alla rete. Facoltativamente, l’accesso alla rete può essere controllato dinamicamente in base allo stato del client che effettua la connessione. Ad esempio, Mobility NAC può essere configurato per avvisare un client che non soddisfa i requisiti correnti di controllo dello stato ma consente comunque l’accesso. NAC può anche essere configurato per mettere in quarantena il client, limitando l’accesso alla rete a un insieme limitato di risorse come i server di correzione. Il cliente può anche essere severamente negato l’accesso, se necessario.
Esistono numerosi parametri che possono essere utilizzati per definire i criteri NAC, tra cui esistenza e stato software antivirus e antimalware (Microsoft e di terze parti), esistenza e stato del firewall (Microsoft e di terze parti), versione del software Mobility, versione del sistema operativo e stato di aggiornamento, esistenza e stato di un processo specifico e altro ancora. Chiave di registro (s) e file sul file system client possono anche essere valutati per informare le decisioni di accesso, se necessario.
3) Applicazione granulare dei criteri
Alcune impostazioni di configurazione di DirectAccess sono globali nell’ambito. Ad esempio, le impostazioni dividi o Forza tunneling si applicano a tutti i client DirectAccess. L’opzione per applicare l’autenticazione a più fattori strong user authentication si applica anche a tutti gli utenti. Se utenti diversi richiedono impostazioni di configurazione diverse, è necessario implementare una distribuzione DirectAccess separata per soddisfare questo requisito.
Le impostazioni di configurazione di NetMotion Mobility possono essere applicate in modo granulare per soddisfare le esigenze di qualsiasi organizzazione. Le impostazioni possono essere distribuite in base all’account utente o all’appartenenza a un gruppo (directory locale o Attiva), al tipo di dispositivo o al gruppo di dispositivi e altro ancora. Ad esempio, se solo alcuni utenti richiedono l’accesso a un’applicazione specifica, è possibile configurare un criterio per consentire l’accesso all’applicazione solo se l’utente è membro di uno specifico gruppo Active Directory. Inoltre, l’accesso alla rete potrebbe essere limitato a chiunque utilizzi un dispositivo Android o applicazioni specifiche potrebbero essere bloccate quando un dispositivo mobile è collegato a una rete cellulare. Le opzioni per l’applicazione delle politiche sono quasi illimitate, offrendo agli amministratori di rete e di sicurezza un controllo preciso dell’accesso e della comunicazione per i loro dispositivi mobili.
4) Amministrazione basata sui ruoli
Per impostazione predefinita, per aprire la console di amministrazione DirectAccess, l’utente deve essere membro del gruppo domain administrators. Esistono opzioni per eliminare questo requisito, ma richiedono comunque all’utente di essere un amministratore locale su tutti i server DirectAccess e di avere il pieno controllo sugli oggetti Criteri di gruppo (GPO) specifici di DirectAccess in Active Directory. Non esiste un modo nativo per fornire un accesso limitato e di sola lettura alla console di gestione ai fini della revisione o del controllo delle impostazioni di configurazione o della visualizzazione dello stato della connettività o dei report storici.
La console di Netmotion Mobility Management supporta il controllo degli accessi basato sui ruoli (RBAC), consentendo agli amministratori di definire diversi livelli di accesso in base a requisiti specifici. Ad esempio, agli amministratori dell’help desk può essere concesso l’accesso per apportare modifiche all’appartenenza a gruppi di utenti e/o dispositivi, ma non per apportare modifiche alle impostazioni del server. I ruoli possono essere assegnati a utenti di domini locali o Active Directory o a gruppi di domini.
5) Distribuzione cloud
Sorprendentemente, DirectAccess non è un carico di lavoro supportato per qualsiasi cloud pubblico, inclusa la soluzione cloud Azure di Microsoft. Poiché molte organizzazioni stanno spostando applicazioni, servizi e infrastrutture nel cloud, avere una soluzione di mobilità completamente supportata nel cloud è fondamentale.
NetMotion Mobility è una soluzione basata su software installata su Windows Server. È completamente supportato quando installato on-premise o in un cloud pubblico come Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) e altri. I server NetMotion Mobility gateway e infrastructure possono essere installati e configurati on-premise, nel cloud o entrambi nel caso di distribuzioni ibride.
Sommario
DirectAccess è una buona soluzione di accesso remoto per le organizzazioni Microsoft-centric, ma manca di alcune importanti funzionalità che sono necessari da una piattaforma di mobilità aziendale sicura e robusta. NetMotion Mobility ha un netto vantaggio rispetto a DirectAccess perché fornisce agli amministratori strumenti per limitare l’accesso alla rete e farlo in modo altamente granulare. Lo stato di configurazione dei dispositivi remoti può essere determinato prima della connessione, consentendo l’applicazione dinamica dei criteri o l’accesso limitato, se necessario. Supporta inoltre RBAC per l’accesso alla console di amministrazione ed è completamente supportato per scenari di distribuzione on-premise, cloud e ibridi.
Autore ospite: Richard Hicks / Fondatore & Consulente principale, Richard M. Hicks Consulting
Le opinioni e le opinioni degli autori ospiti non riflettono necessariamente le opinioni e le opinioni di NetMotion Software.
Continua a leggere
- SASE, perché ne abbiamo bisogno?
- Cosa succede se la forza lavoro dei servizi professionali diventa mobile al 100%?
- Pianificazione per SASE: una guida passo-passo per come arrivarci
- Voci di NetMotion: celebrando la Giornata Internazionale della donna
- Raggiungi SASE in pochi secondi con la partnership NetMotion e Microsoft
