5 rzeczy, których NetMotion Mobility® może zrobić, czego Microsoft DirectAccess nie może
DirectAccess to technologia zdalnego dostępu firmy Microsoft, która zapewnia płynną, przejrzystą, zawsze zdalną łączność dla zarządzanych (połączonych z domeną) klientów Windows. Chociaż jest to rozwiązanie do zdalnego dostępu dla przedsiębiorstw, brakuje mu podstawowych funkcji bezpieczeństwa i wydajności, których wymaga wiele dużych organizacji. W tym artykule zademonstruję 5 ważnych rzeczy, które NetMotion Mobility może zrobić, czego Microsoft DirectAccess nie może.
1) filtrowanie ruchu
gdy klient ustanawia połączenie DirectAccess, ma pełny dostęp do wszystkich wewnętrznych zasobów sieciowych. Jest to projekt, ponieważ DirectAccess miał emulować wewnętrzną łączność LAN, która zazwyczaj zapewnia nieograniczony dostęp do sieci. Nie zawsze jest to jednak pożądane z punktu widzenia bezpieczeństwa. Zwykle administratorzy są zobowiązani do ograniczenia dostępu do określonego podzbioru zasobów sieciowych. DirectAccess nie zapewnia natywnej funkcji do wykonania tego zadania.
jedynym sposobem ograniczenia dostępu do zasobów wewnętrznych dla klientów DirectAccess jest umieszczenie zapory pomiędzy serwerem DirectAccess a siecią wewnętrzną. Wyzwanie polega na tym, że ta sama zasada dotyczy wszystkich klientów DirectAccess, ponieważ wszystkie adresy klientów DirectAccess są tłumaczone na serwerze DirectAccess. Ponadto ruch sieciowy musi przechodzić przez bezpieczne połączenie przed filtrowaniem, co nie jest idealne.
NetMotion Mobility® umożliwia administratorom stosowanie precyzyjnych kontroli dostępu do sieci klienta. Dostęp może być dozwolony lub zabroniony na podstawie adresu źródłowego i/lub docelowego, portu źródłowego i / lub docelowego oraz protokołu. Ponadto filtrowanie ruchu może być zdefiniowane dla poszczególnych aplikacji lub procesów. Ponadto ograniczenia dostępu mogą być dynamicznie egzekwowane w zależności od typu sieci (np. ethernet, Wi-Fi, komórkowa), lokalizacji sieci (SSID, nazwa przyrostka DNS itp.), dostępna przepustowość, Włączanie lub wyłączanie zasilania i poziomu baterii, pory dnia, a nawet fizycznej lokalizacji. Co ważne, zasady filtrowania ruchu są egzekwowane na kliencie, eliminując marnotrawstwo wysyłania ruchu przez połączenie VPN tylko po to, aby zostać usuniętym przez lokalną zaporę.
2) Dostęp warunkowy
w przeszłości DirectAccess zawierał obsługę Microsoft Network Access Protection (NAP), która była ich wersją rozwiązania kontroli dostępu do sieci (Nac). NAP umożliwiał administratorom ocenę konfiguracji klienta i stanu zdrowia w celu informowania o decyzjach kontroli dostępu. Jednak firma Microsoft przestarzała NAP w systemie Windows Server 2012 R2 i całkowicie usunęła tę funkcję w systemie Windows Server 2016 i Windows 10. DirectAccess nie obsługuje integracji z żadnymi platformami NAC innych firm.
Netmotion Mobility zawiera zintegrowaną funkcjonalność NAC, pozwalającą administratorom na zdefiniowanie zestawu standardów, które muszą spełniać urządzenia łączące przed uzyskaniem dostępu do sieci. Opcjonalnie dostęp do sieci może być dynamicznie kontrolowany na podstawie statusu klienta wykonującego połączenie. Na przykład Mobility NAC można skonfigurować tak, aby ostrzegał klienta, że nie spełnia on aktualnych wymagań dotyczących kontroli stanu, ale nadal zezwala na dostęp. NAC można również skonfigurować do kwarantanny klienta, ograniczając dostęp do sieci do ograniczonego zestawu zasobów, takich jak serwery naprawcze. W razie potrzeby Klientowi można również odmówić dostępu.
istnieje wiele parametrów, które można wykorzystać do zdefiniowania polityki NAC, w tym istnienie i status oprogramowania antywirusowego i antymalware (Microsoft i firmy trzecie), istnienie i status zapory sieciowej (Microsoft i firmy trzecie), wersja oprogramowania mobilnego, wersja systemu operacyjnego i status aktualizacji, istnienie i status określonego procesu i wiele innych. Klucze rejestru i pliki w systemie plików klienta można również oceniać, aby w razie potrzeby informować o decyzjach dotyczących dostępu.
3) Szczegółowe egzekwowanie zasad
niektóre ustawienia konfiguracji DirectAccess mają zasięg globalny. Na przykład ustawienia tunelowania split lub force mają zastosowanie do wszystkich klientów DirectAccess. Opcja wymuszania silnego uwierzytelniania użytkownika uwierzytelnianie wieloczynnikowe dotyczy również wszystkich użytkowników. Jeśli różni użytkownicy wymagają różnych ustawień konfiguracyjnych, aby spełnić ten wymóg, należy zaimplementować osobne wdrożenie DirectAccess.
ustawienia konfiguracji Netmotion Mobility mogą być stosowane w sposób szczegółowy, aby zaspokoić potrzeby każdej organizacji. Ustawienia można wdrożyć w oparciu o konto użytkownika lub członkostwo w grupie (lokalna lub Active Directory), typ urządzenia lub grupę urządzeń i inne. Na przykład, jeśli tylko niektórzy użytkownicy wymagają dostępu do określonej aplikacji, można skonfigurować zasadę zezwalającą na dostęp do aplikacji tylko wtedy, gdy użytkownik jest członkiem określonej grupy Active Directory. Ponadto dostęp do sieci może być ograniczony dla osób korzystających z urządzenia z systemem Android lub określone aplikacje mogą zostać zablokowane, gdy urządzenie mobilne jest podłączone do sieci komórkowej. Możliwości egzekwowania zasad są niemal nieograniczone, co zapewnia administratorom sieci i zabezpieczeń precyzyjną kontrolę dostępu i komunikacji dla ich urządzeń mobilnych.
4) Administracja oparta na rolach
domyślnie, aby otworzyć konsolę administracyjną DirectAccess, użytkownik musi być członkiem grupy Administratorzy domeny. Istnieją opcje eliminujące ten wymóg, ale nadal wymagają, aby użytkownik był lokalnym Administratorem na wszystkich serwerach DirectAccess i miał pełną kontrolę nad obiektami zasad grupy specyficznych dla DirectAccess (GPO) w Active Directory. Nie ma natywnego sposobu na zapewnienie ograniczonego dostępu do konsoli zarządzania tylko do odczytu w celu przeglądania lub kontrolowania ustawień konfiguracji lub przeglądania stanu łączności lub raportów historycznych.
Konsola zarządzania mobilnością NetMotion obsługuje kontrolę dostępu opartą na rolach (RBAC), umożliwiając administratorom definiowanie różnych poziomów dostępu w oparciu o określone wymagania. Na przykład administratorzy help desk mogą uzyskać dostęp do wprowadzania zmian w członkostwie użytkowników i/lub grup urządzeń, ale nie do wprowadzania zmian w ustawieniach serwera. Role mogą być przypisane do użytkowników domeny lokalnej lub Active Directory lub grup domen.
5) wdrożenie w chmurze
co zaskakujące, DirectAccess nie jest obsługiwanym obciążeniem dla żadnej chmury publicznej, w tym własnego rozwiązania chmurowego Microsoft Azure. Ponieważ wiele organizacji przenosi aplikacje, usługi i infrastrukturę do chmury, posiadanie w pełni obsługiwanego rozwiązania mobilnego w chmurze ma kluczowe znaczenie.
NetMotion Mobility to oprogramowanie zainstalowane na Windows server. Jest w pełni obsługiwany, gdy jest zainstalowany lokalnie lub w chmurze publicznej, takiej jak Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) i inne. Serwery NetMotion Mobility gateway i infrastructure mogą być instalowane i konfigurowane lokalnie, w chmurze lub w obu przypadkach w przypadku wdrożeń hybrydowych.
podsumowanie
DirectAccess to dobre rozwiązanie do zdalnego dostępu dla organizacji zorientowanych na Microsoft, ale brakuje mu pewnych ważnych funkcji, które są wymagane od bezpiecznej i solidnej platformy mobilności korporacyjnej. Netmotion Mobility ma wyraźną przewagę nad DirectAccess, ponieważ zapewnia administratorom narzędzia do ograniczania dostępu do sieci i robi to w bardzo szczegółowy sposób. Stan konfiguracji urządzeń zdalnych można określić przed połączeniem, umożliwiając w razie potrzeby dynamiczne egzekwowanie zasad lub ograniczony dostęp. Obsługuje również RBAC dla dostępu do konsoli administracyjnej i jest w pełni obsługiwany zarówno w scenariuszach wdrożenia lokalnego, chmurowego, jak i hybrydowego.
Gość: Richard Hicks / Założyciel & Główny Konsultant, Richard M. Hicks Consulting
poglądy i opinie autorów gości niekoniecznie odzwierciedlają poglądy i opinie oprogramowania NetMotion.
Czytaj dalej
- SASE, po co nam to?
- co się stanie, jeśli pracownicy usług profesjonalnych będą w 100% mobilni?
- Planning for SASE: a step-by-step guide for how to get there
- Voices of NetMotion: świętowanie Międzynarodowego Dnia Kobiet
- dotrzyj do SASE w kilka sekund dzięki partnerstwu NetMotion i Microsoft