5 dingen die NetMotion Mobility® kan doen dat Microsoft DirectAccess niet kan
DirectAccess is een technologie voor externe toegang van Microsoft die naadloze, transparante, altijd op externe connectiviteit voor beheerde (domein-aangesloten) Windows-clients biedt. Hoewel het is gepositioneerd als een enterprise remote access-oplossing, mist het essentiële beveiliging en prestatiefuncties die veel grote organisaties nodig hebben. In dit artikel zal Ik 5 belangrijke dingen demonstreren die NetMotion mobiliteit kan doen wat Microsoft DirectAccess niet kan.
1) Verkeersfiltering
wanneer een client een DirectAccess-verbinding tot stand brengt, heeft deze volledige toegang tot alle interne netwerkbronnen. Dit is door het ontwerp, omdat DirectAccess bedoeld was om interne LAN-connectiviteit te emuleren die doorgaans onbeperkte netwerktoegang biedt. Uit veiligheidsoogpunt is dit echter niet altijd wenselijk. Vaak moeten beheerders de toegang tot een specifieke subset netwerkbronnen beperken. DirectAccess biedt geen native mogelijkheid om deze taak uit te voeren.
de enige manier om de toegang tot interne bronnen voor DirectAccess-clients te beperken is door een firewall te plaatsen tussen de DirectAccess-server en het interne netwerk. De uitdaging hier is dat hetzelfde beleid van toepassing is op alle DirectAccess-clients, aangezien alle DirectAccess-clientadressen worden vertaald op de DirectAccess-server. Bovendien moet het netwerkverkeer de beveiligde verbinding doorlopen voordat het wordt gefilterd, wat niet ideaal is.
met NetMotion Mobility® kunnen beheerders fijnkorrelige besturingselementen toepassen op clientnetwerktoegang. Toegang kan worden toegestaan of geweigerd door bron-en/of bestemmingsadres, bron-en / of bestemmingspoort en protocol. Daarnaast kan verkeersfiltering worden gedefinieerd voor individuele toepassingen of processen. Verder kunnen toegangsbeperkingen dynamisch worden afgedwongen op basis van het type netwerk (bijvoorbeeld ethernet, Wi-Fi, cellular), netwerklocatie (SSID, DNS-achtervoegselnaam, enz.), beschikbare bandbreedte, aan-of uit-batterijvermogen en batterijniveau, tijdstip van de dag en zelfs fysieke locatie. Belangrijk is dat het beleid voor het filteren van verkeer wordt afgedwongen op de client, waardoor de verspilling van het verzenden van verkeer over de VPN-verbinding wordt geëlimineerd en alleen door een on-premise firewall wordt weggelaten.
2) voorwaardelijke toegang
in het verleden bevatte DirectAccess ondersteuning voor Microsoft Network Access Protection (NAP), de versie van een NAC-oplossing (Network Access Control). Met NAP konden beheerders clientconfiguratie en statusstatus beoordelen om toegangsbeheer-beslissingen mee te delen. Microsoft heeft NAP echter verouderd in Windows Server 2012 R2 en de functie volledig verwijderd in Windows Server 2016 en Windows 10. DirectAccess ondersteunt geen integratie met NAC-platforms van derden.
NetMotion Mobility omvat Geïntegreerde NAC-functionaliteit, waardoor beheerders een reeks normen kunnen definiëren waaraan apparaten moeten voldoen voordat ze toegang krijgen tot het netwerk. Optioneel kan de netwerktoegang dynamisch worden geregeld op basis van de status van de client die de verbinding maakt. Mobility NAC kan bijvoorbeeld worden geconfigureerd om een client te waarschuwen dat deze niet voldoet aan de huidige vereisten voor statuscontrole, maar toch toegang toestaat. NAC kan ook worden geconfigureerd om de client in quarantaine te plaatsen, waardoor de netwerktoegang Wordt beperkt tot een beperkt aantal bronnen, zoals herstelservers. De klant kan ook strikt de toegang worden geweigerd, indien nodig.
er zijn tal van parameters die kunnen worden gebruikt om NAC-beleid te definiëren, waaronder het bestaan en de status van antivirus-en antimalwaresoftware (Microsoft en derden), het bestaan en de status van firewall (Microsoft en derden), de versie van de Mobiliteitssoftware, de versie van het besturingssysteem en de updatestatus, het bestaan en de status van een specifiek proces, en meer. Registersleutel (s) en bestanden op het clientbestandssysteem kunnen ook worden geëvalueerd om toegangsbeslissingen zo nodig te informeren.
3) Gedetailleerde beleidshandhaving
sommige instellingen voor DirectAccess-configuratie hebben een globaal bereik. De instellingen voor tunneling splitsen of forceren zijn bijvoorbeeld van toepassing op alle DirectAccess-clients. De optie om sterke gebruikersverificatie af te dwingen is ook van toepassing op alle gebruikers. Als verschillende gebruikers verschillende configuratie-instellingen vereisen, moet een afzonderlijke implementatie van DirectAccess worden geïmplementeerd om aan deze eis te voldoen.
instellingen voor Netwerkmobiliteit kunnen op een gedetailleerde manier worden toegepast om aan de behoeften van elke organisatie te voldoen. Instellingen kunnen worden geïmplementeerd op basis van gebruikersaccount of groepslidmaatschap (lokaal of Active Directory), apparaattype of apparaatgroep en meer. Als alleen sommige gebruikers toegang tot een specifieke toepassing nodig hebben, kan een beleid worden geconfigureerd om alleen toegang tot toepassingen toe te staan als de gebruiker lid is van een specifieke Active Directory-groep. Daarnaast kan netwerktoegang worden beperkt tot iedereen die een Android-apparaat gebruikt, of kunnen specifieke toepassingen worden geblokkeerd wanneer een mobiel apparaat is aangesloten op een mobiel netwerk. De opties voor de handhaving van het beleid zijn bijna onbegrensd, waardoor netwerk-en beveiligingsbeheerders verfijnde controle hebben over de toegang en communicatie voor hun mobiele apparaten.
4) op rollen gebaseerd beheer
om de DirectAccess-beheerconsole te openen, moet de gebruiker lid zijn van de groep Domeinadministrators. Er zijn opties om deze vereiste te elimineren, maar deze vereisen nog steeds dat de gebruiker een lokale beheerder is op alle DirectAccess-servers en volledige controle heeft over DirectAccess-specifieke groepsbeleidsobjecten in Active Directory. Er is geen native manier om beperkte, alleen-lezen toegang tot de beheerconsole te bieden voor het bekijken of controleren van configuratieinstellingen of het bekijken van verbindingsstatus of historische rapporten.
de NetMotion Mobility management console ondersteunt Role-Based Access Control (RBAC), waardoor beheerders verschillende toegangsniveaus kunnen definiëren op basis van specifieke vereisten. Helpdesk-beheerders kunnen bijvoorbeeld toegang krijgen om wijzigingen aan te brengen in het lidmaatschap van gebruikers en/of apparaatgroepen, maar niet om wijzigingen aan te brengen in serverinstellingen. Functies kunnen worden toegewezen aan lokale of Active Directory-domeingebruikers of domeingroepen.
5) cloudimplementatie
verrassend genoeg is DirectAccess geen ondersteunde werklast voor een openbare cloud, inclusief Microsoft ‘ s eigen Azure cloud-oplossing. Omdat veel organisaties applicaties, services en infrastructuur naar de cloud verplaatsen, is een volledig ondersteunde mobiliteitsoplossing in de cloud van cruciaal belang.
NetMotion Mobility is een op software gebaseerde oplossing die op Windows server is geïnstalleerd. Het wordt volledig ondersteund wanneer geïnstalleerd op locatie of in een openbare cloud, zoals Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP), en anderen. NetMotion Mobility Gateway en infrastructuur servers kunnen worden geïnstalleerd en geconfigureerd op locatie, in de cloud, of beide in het geval van hybride implementaties.
samenvatting
DirectAccess is een goede oplossing voor externe toegang voor Microsoft-centric organisaties, maar het mist enkele belangrijke mogelijkheden die nodig zijn van een veilig en robuust enterprise mobility platform. NetMotion Mobility heeft een duidelijk voordeel ten opzichte van DirectAccess omdat het beheerders hulpmiddelen biedt om netwerktoegang te beperken en dit op een zeer gedetailleerde manier te doen. De configuratiestatus van externe apparaten kan worden bepaald voordat verbinding wordt gemaakt, waardoor dynamische beleidshandhaving of beperkte toegang mogelijk wordt. Het ondersteunt ook RBAC voor toegang tot de administratieve console en wordt volledig ondersteund voor zowel on-premises, cloud en hybride implementatiescenario ‘ s.
Gastauteur: Richard Hicks / Oprichter & Hoofdadviseur, Richard M. Hicks Consulting
de standpunten en meningen van gastauteurs weerspiegelen niet noodzakelijk de standpunten en meningen van NetMotion Software.
Continue Reading
- SASE, waarom hebben we het nodig?
- Wat gebeurt er als het personeel in de professionele dienstverlening 100% mobiel wordt?
- Planning voor SASE: een stap-voor-stap handleiding om er te komen
- stemmen van NetMotion: vier Internationale Vrouwendag
- kom binnen enkele seconden naar SASE met NetMotion en Microsoft partnership
