5 Ting NetMotion Mobility® Kan Gjøre At Microsoft DirectAccess Ikke kan
DirectAccess er en ekstern tilgangsteknologi Fra Microsoft som gir sømløs, gjennomsiktig, alltid på ekstern tilkobling for administrerte (domene-tilsluttet) Windows-klienter. Selv om den er plassert som en enterprise remote access-løsning, mangler den viktige sikkerhets – og ytelsesfunksjoner som mange store organisasjoner krever. I denne artikkelen vil jeg demonstrere 5 viktige ting Som NetMotion Mobility kan gjøre At Microsoft DirectAccess ikke kan.
1) Trafikkfiltrering
når en klient etablerer En DirectAccess-tilkobling, har den full tilgang til alle interne nettverksressurser. Dette er av design, Som DirectAccess var ment å etterligne intern LAN-tilkobling som vanligvis gir ubegrenset nettverkstilgang. Dette er imidlertid ikke alltid ønskelig fra et sikkerhetsperspektiv. Vanligvis må administratorer begrense tilgangen til et bestemt delsett av nettverksressurser. DirectAccess gir ingen innfødte anlegget for å utføre denne oppgaven.
Den eneste måten å begrense tilgangen til interne ressurser For DirectAccess-klienter, er å plassere en brannmur mellom DirectAccess-serveren og det interne nettverket. Utfordringen her er at den samme policyen gjelder for Alle DirectAccess-klienter, da Alle DirectAccess-klientadresser oversettes på DirectAccess-serveren. I tillegg må nettverkstrafikken krysse den sikre tilkoblingen før den filtreres, noe som ikke er ideelt.
NetMotion Mobility® tillater administratorer å bruke finkornede kontroller på klientnettverkstilgang. Tilgang kan tillates eller nektes av kilde-og / eller destinasjonsadresse, kilde-og / eller destinasjonsport og protokoll. I tillegg kan trafikkfiltrering defineres for individuelle applikasjoner eller prosesser. Videre kan tilgangsbegrensninger håndheves dynamisk basert på nettverkstype (f. eks. ethernet, Wi-Fi, mobil), nettverksplassering (SSID, DNS-suffiksnavn, etc.), tilgjengelig båndbredde, på eller av batteristrøm og batterinivå, tid på dagen og til og med fysisk plassering. Det er viktig at trafikkfiltreringspolicyer håndheves på klienten, noe som eliminerer sløsing med å sende trafikk over VPN-tilkoblingen, bare for å bli droppet av en lokal brannmur.
2) Betinget Tilgang
Tidligere Inkluderte DirectAccess støtte For Microsoft Network Access Protection (NAP) som var deres versjon av En Nac-løsning (Network Access Control). Nap tillot administratorer å vurdere klientkonfigurasjon og helsestatus for å informere adgangskontrollbeslutninger. Microsoft avviklet IMIDLERTID NAP i Windows Server 2012 R2 og fjernet funksjonen helt i Windows Server 2016 Og Windows 10. DirectAccess støtter ikke integrasjon med tredjeparts nac-plattformer.
NetMotion Mobility inkluderer integrert nac-funksjonalitet, slik at administratorer kan definere et sett med standarder som tilkoblingsenheter må oppfylle før de får tilgang til nettverket. Eventuelt kan nettverkstilgang styres dynamisk basert på statusen til klienten som gjør tilkoblingen. MOBILITY NAC kan for Eksempel konfigureres til å advare en klient om at den ikke oppfyller gjeldende helsekontrollkrav, men likevel tillater tilgang. NAC kan også konfigureres til å sette klienten i karantene, noe som begrenser nettverkstilgangen til et begrenset sett med ressurser, for eksempel utbedringsservere. Klienten kan også bli strengt nektet tilgang, om nødvendig.
det er mange parametere som kan brukes til å definere nac-policy, inkludert eksistens og status antivirus-og antimalware-programvare (Microsoft og tredjepart), eksistens og status for brannmur (Microsoft og tredjepart), versjonen Av Mobilitetsprogramvaren, operativsystemversjon og oppdateringsstatus, eksistens og status for en bestemt prosess, og mer. Registernøkkel(er) og filer på klientfilsystemet kan også evalueres for å informere tilgangsbeslutninger etter behov.
3) Granulær Policyhåndhevelse
Noen DirectAccess-konfigurasjonsinnstillinger er globale i omfang. Innstillinger for delt eller tvunget tunnelering gjelder for alle DirectAccess-klienter. Muligheten til å håndheve sterk brukerautentisering multifaktorautentisering gjelder også for alle brukere. Hvis ulike brukere krever forskjellige konfigurasjonsinnstillinger, må en separat DirectAccess-distribusjon implementeres for å oppfylle dette kravet.
NetMotion Mobilitetskonfigurasjonsinnstillinger kan brukes på en detaljert måte for å møte behovene til enhver organisasjon. Innstillinger kan distribueres basert på brukerkonto eller gruppemedlemskap (lokal Eller Active Directory), enhetstype eller enhetsgruppe og mer. Hvis for eksempel bare noen brukere krever tilgang til et bestemt program, kan en policy konfigureres til å bare tillate programtilgang hvis brukeren er medlem av En Bestemt Active Directory-gruppe. I tillegg kan nettverkstilgang være begrenset til alle som bruker En Android-enhet, eller bestemte programmer kan blokkeres når en mobil enhet er koblet til et mobilnettverk. Alternativene for politikkhåndhevelse er nesten ubegrensede, noe som gir nettverks-og sikkerhetsadministratorer finkornet kontroll over tilgang og kommunikasjon for sine mobile enheter.
4) Rollebasert Administrasjon
som standard må brukeren være medlem av domeneadministratorgruppen for å åpne Administrasjonskonsollen DirectAccess. Det finnes alternativer for å eliminere dette kravet, men de krever fortsatt at brukeren er en lokal administrator på Alle DirectAccess-servere og har full kontroll over DirectAccess-spesifikke Gruppepolicyobjekter (Gpoer) I Active Directory. Det finnes ingen naturlig måte å gi begrenset, skrivebeskyttet tilgang til administrasjonskonsollen for å gjennomgå eller overvåke konfigurasjonsinnstillinger eller vise tilkoblingsstatus eller historiske rapporter.
netmotion mobility management console støtter Role-Based Access Control (RBAC), slik at administratorer kan definere ulike tilgangsnivåer basert på spesifikke krav. Help desk-administratorer kan for eksempel få tilgang til å gjøre endringer i bruker-og / eller enhetsgruppemedlemskap, men ikke til å gjøre endringer i serverinnstillingene. Roller kan tilordnes til lokale eller Active Directory-domenebrukere eller domenegrupper.
5) Skydistribusjon
Directaccess Er Overraskende nok Ikke en støttet arbeidsbelastning for noen offentlig sky, inkludert Microsofts Egen Azure-skyløsning. Siden mange organisasjoner flytter applikasjoner, tjenester og infrastruktur til skyen, er det viktig å ha en fullt støttet mobilitetsløsning i skyen.
NetMotion Mobility Er en programvarebasert løsning som er installert På Windows server. Den støttes fullt ut når den installeres lokalt eller i en offentlig sky, For Eksempel Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) og andre. NetMotion mobility gateway-og infrastrukturservere kan installeres og konfigureres lokalt, i skyen eller begge deler ved hybriddistribusjoner.
Sammendrag
DirectAccess er en god ekstern tilgangsløsning For Microsoft-sentriske organisasjoner, men mangler noen viktige evner som kreves fra en sikker og robust enterprise mobility-plattform. NetMotion Mobilitet har en klar fordel Over DirectAccess fordi det gir administratorer med verktøy for å begrense nettverkstilgang og gjøre det på en svært detaljert måte. Konfigurasjonsstatusen for eksterne enheter kan bestemmes før tilkobling, slik at dynamisk policyhåndhevelse eller begrenset tilgang etter behov. DEN støtter OGSÅ RBAC for administrativ konsolltilgang, og støttes fullt ut for både lokale, sky og hybrid distribusjonsscenarier.
Gjesteforfatter: Richard Hicks / Grunnlegger & Hovedkonsulent, Richard M. Hicks Consulting
synspunktene og meningene til gjesteforfattere gjenspeiler ikke nødvendigvis synspunktene Og meningene Til NetMotion Software.
Fortsett Å Lese
- SASE, hvorfor trenger vi det?
- hva skjer hvis professional services arbeidsstyrken går 100% mobil?
- Planlegging FOR Sase: en trinnvis veiledning for hvordan du kommer dit
- Stemmer Av NetMotion: feirer Den Internasjonale Kvinnedagen
- få SASE på sekunder med netmotion og Microsoft partnership