마이크로소프트 다이렉트 액세스가 할 수 없는 5 가지

마이크로소프트 다이렉트 액세스가 할 수 없는 5 가지

마이크로소프트 다이렉트 액세스가 할 수 없는 5 가지

엔터프라이즈 원격 액세스 솔루션으로 자리매김하고 있지만 많은 대규모 조직에서 요구하는 필수 보안 및 성능 기능이 부족합니다. 9959>

1)트래픽 필터링

클라이언트가 다이렉트 액세스 연결을 설정하면 모든 내부 네트워크 리소스에 대한 전체 액세스 권한을 갖습니다. 이는 일반적으로 제한 없는 네트워크 액세스를 제공하는 내부 랜 연결을 에뮬레이트하기 위한 것이었기 때문입니다. 그러나 보안 관점에서 항상 바람직한 것은 아닙니다. 일반적으로 관리자는 네트워크 리소스의 특정 하위 집합에 대한 액세스를 제한해야 합니다. 이 작업을 수행 할 기본 기능을 제공하지 않습니다.

다이렉트 액세스 클라이언트의 내부 리소스에 대한 액세스를 제한하는 유일한 방법은 다이렉트 액세스 서버와 내부 네트워크 사이에 방화벽을 배치하는 것입니다. 여기서 문제는 모든 다이렉트 액세스 클라이언트 주소가 다이렉트 액세스 서버에서 번역되므로 동일한 정책이 모든 다이렉트 액세스 클라이언트에 적용된다는 것입니다. 또한 네트워크 트래픽은 필터링되기 전에 보안 연결을 통과해야 하며 이는 적합하지 않습니다.

관리자가 클라이언트 네트워크 액세스에 대해 세분화된 컨트롤을 적용할 수 있습니다. 소스 및/또는 대상 주소,소스 및/또는 대상 포트 및 프로토콜에 의해 액세스가 허용되거나 거부 될 수 있습니다. 또한 개별 응용 프로그램 또는 프로세스에 대해 트래픽 필터링을 정의할 수 있습니다. 또한 네트워크 유형(예:이더넷,와이파이,셀룰러),네트워크 위치(예:네트워크 위치,접미사 이름 등)에 따라 액세스 제한을 동적으로 적용 할 수 있습니다.),사용 가능한 대역폭,배터리 전원 및 배터리 수준,시간 및 물리적 위치 켜기 또는 끄기. 중요한 것은 클라이언트에서 트래픽 필터링 정책이 적용되므로 온-프레미스 방화벽에 의해서만 트래픽을 전송할 필요가 없습니다.2)조건부 액세스

과거에는 네트워크 액세스 제어 솔루션의 버전이었던 마이크로소프트 네트워크 액세스 보호에 대한 지원이 포함되었습니다. 낮잠을 통해 관리자는 클라이언트 구성 및 상태를 평가하여 액세스 제어 결정을 알릴 수있었습니다. 그러나,마이크로소프트는 윈도우 서버 2012 에서 낮잠을 더 이상 사용하지 않으며 윈도우 서버 2016 및 윈도우 10 에서 기능을 완전히 제거했습니다. 이 응용 프로그램은 타사 플랫폼과의 통합을 지원하지 않습니다.관리자는 네트워크에 대한 액세스 권한을 부여하기 전에 연결 장치가 충족해야 하는 표준 집합을 정의할 수 있습니다. 필요에 따라 연결을 만드는 클라이언트의 상태에 따라 네트워크 액세스를 동적으로 제어할 수 있습니다. 예를 들어 클라이언트에게 현재 상태 검사 요구 사항을 충족하지 않지만 여전히 액세스를 허용한다고 경고하도록 구성할 수 있습니다. 또한 클라이언트를 격리하여 업데이트 관리 서버와 같은 제한된 리소스 집합에 대한 네트워크 액세스를 제한하도록 구성할 수도 있습니다. 필요한 경우 클라이언트는 엄격하게 액세스를 거부 할 수 있습니다.

안티바이러스 및 맬웨어 방지 소프트웨어(마이크로소프트 및 타사),방화벽의 존재 여부 및 상태(마이크로소프트 및 타사),모빌리티 소프트웨어 버전,운영 체제 버전 및 업데이트 상태,특정 프로세스의 존재 여부 및 상태 등 다양한 매개 변수를 사용하여 정책을 정의할 수 있습니다. 레지스트리 키 및 클라이언트 파일 시스템의 파일을 평가하여 필요에 따라 액세스 결정을 알릴 수도 있습니다.

3)세분화된 정책 적용

일부 직접 액세스 구성 설정은 전역 범위입니다. 예를 들어 분할 또는 강제 터널링 설정은 모든 다이렉트 액세스 클라이언트에 적용됩니다. 강력한 사용자 인증 다단계 인증을 적용하는 옵션은 모든 사용자에게도 적용됩니다. 사용자마다 다른 구성 설정이 필요한 경우 이 요구 사항을 충족하기 위해 별도의 직접 액세스 배포를 구현해야 합니다.

넷모션 모빌리티 구성 설정은 모든 조직의 요구를 충족하기 위해 세분화된 방식으로 적용할 수 있습니다. 사용자 계정 또는 그룹 구성원(로컬 또는 활성 디렉터리),장치 유형 또는 장치 그룹 등을 기반으로 설정을 배포할 수 있습니다. 예를 들어 일부 사용자만 특정 응용 프로그램에 액세스해야 하는 경우 사용자가 특정 활성 디렉터리 그룹의 구성원인 경우에만 응용 프로그램 액세스를 허용하도록 정책을 구성할 수 있습니다. 또한,네트워크 액세스는 안드로이드 장치를 사용하는 사람으로 제한 될 수 있습니다,또는 모바일 장치가 셀룰러 네트워크에 연결되어있을 때 특정 응용 프로그램이 차단 될 수 있습니다. 정책 시행 옵션은 거의 무한하므로 네트워크 및 보안 관리자는 모바일 장치에 대한 액세스 및 통신을 세밀하게 제어할 수 있습니다.

4)역할 기반 관리

기본적으로 사용자가 도메인 관리자 그룹의 구성원이어야 합니다. 이 요구 사항을 제거할 수 있는 옵션이 있지만 사용자가 모든 다이렉트 액세스 서버의 로컬 관리자로 있어야 하며 활성 디렉터리에 있는 다이렉트 액세스 관련 그룹 정책 개체를 완벽하게 제어할 수 있어야 합니다. 구성 설정을 검토 또는 감사하거나 연결 상태 또는 기록 보고서를 보기 위해 관리 콘솔에 대한 제한된 읽기 전용 액세스를 제공하는 네이티브 방법은 없습니다.

넷모션 모빌리티 관리 콘솔은 역할 기반 액세스 제어를 지원하므로 관리자는 특정 요구 사항에 따라 서로 다른 액세스 수준을 정의할 수 있습니다. 예를 들어 헬프 데스크 관리자에게 사용자 및/또는 장치 그룹 구성원을 변경할 수 있는 액세스 권한을 부여할 수 있지만 서버 설정을 변경할 수는 없습니다. 역할은 로컬 또는 활성 디렉터리 도메인 사용자 또는 도메인 그룹에 할당할 수 있습니다.

5)클라우드 배포

놀랍게도,마이크로소프트 자체 애저 클라우드 솔루션을 포함한 퍼블릭 클라우드에 대해 지원되는 워크로드가 아닙니다. 많은 조직이 애플리케이션,서비스 및 인프라를 클라우드로 이전하고 있기 때문에 클라우드에서 완벽하게 지원되는 이동성 솔루션을 보유하는 것이 중요합니다.

넷모션 모빌리티는 윈도우 서버에 설치된 소프트웨어 기반 솔루션입니다. 이 도구는 당신의 시스템의 모든 것을 통제하에 관리하는데 도움을 줍니다. 넷모션 모빌리티 게이트웨이 및 인프라 서버는 온-프레미스,클라우드 또는 하이브리드 배포의 경우 둘 다 설치 및 구성할 수 있습니다.

요약

마이크로소프트 중심의 조직에 대 한 좋은 원격 액세스 솔루션 이지만 보안 및 강력한 엔터프라이즈 모빌리티 플랫폼에서 필요한 몇 가지 중요 한 기능이 부족 합니다. 네트워크 액세스를 제한하고 매우 세분화된 방식으로 수행할 수 있는 도구를 관리자에게 제공하기 때문입니다. 원격 장치의 구성 상태는 연결하기 전에 확인할 수 있으므로 필요에 따라 동적 정책 적용 또는 제한된 액세스를 사용할 수 있습니다. 또한 온-프레미스,클라우드 및 하이브리드 배포 시나리오 모두에 대해 완벽하게 지원됩니다.

게스트 저자:리처드 힉스/설립자&수석 컨설턴트,리처드 엠. 힉스 컨설팅

게스트 저자의 견해와 의견은 반드시 넷 모션 소프트웨어의 견해와 의견을 반영하지 않습니다.

계속 읽기

  • 사세,우리는 왜 필요합니까?
  • 전문 서비스 인력이 100%모바일로 이동하면 어떻게됩니까?
  • 넷모션의 목소리: 국제 여성의 날 기념
페이스 북트위터이메일공유

Facebook



+