5 lucruri pe care NetMotion Mobility pot face ca Microsoft DirectAccess nu poate
DirectAccess este o tehnologie de acces la distanță de la Microsoft care oferă conectivitate fără sudură, transparentă, întotdeauna la distanță pentru clienții Windows gestionați (conectați la domeniu). Deși este poziționat ca o soluție de acces la distanță pentru întreprinderi, îi lipsesc caracteristicile esențiale de securitate și performanță pe care multe organizații mari le necesită. În acest articol voi demonstra 5 lucruri importante pe care NetMotion Mobility le poate face pe care Microsoft DirectAccess nu le poate face.
1) filtrarea traficului
atunci când un client stabilește o conexiune DirectAccess, acesta are acces complet la toate resursele de rețea interne. Acest lucru este prin design, deoarece DirectAccess a fost menit să imite conectivitatea LAN internă, care oferă de obicei acces la rețea nerestricționat. Cu toate acestea, acest lucru nu este întotdeauna de dorit din perspectiva securității. În mod obișnuit, administratorilor li se cere să restricționeze accesul la un anumit subset de resurse de rețea. DirectAccess nu oferă nicio facilitate nativă pentru a îndeplini această sarcină.
singura modalitate de a restricționa accesul la resursele interne pentru clienții DirectAccess este plasarea unui firewall între serverul DirectAccess și rețeaua internă. Provocarea aici este că aceeași politică se aplică tuturor clienților DirectAccess, deoarece toate adresele clientului DirectAccess sunt traduse pe serverul DirectAccess. În plus, traficul de rețea trebuie să traverseze conexiunea sigură înainte de a fi filtrat, ceea ce nu este ideal.
NetMotion mobility circulation permite administratorilor să aplice controale cu granulație fină asupra accesului la rețeaua clientului. Accesul poate fi permis sau refuzat prin adresa sursă și/sau destinație, portul sursă și/sau destinație și protocol. În plus, filtrarea traficului poate fi definită pentru aplicații sau procese individuale. În plus, restricțiile de acces pot fi aplicate dinamic în funcție de tipul de rețea (de exemplu, ethernet, Wi-Fi, celular), locația rețelei (SSID, numele sufixului DNS etc.), lățimea de bandă disponibilă, pornirea sau oprirea bateriei și nivelul bateriei, ora din zi și chiar locația fizică. Important, politicile de filtrare a traficului sunt aplicate clientului, eliminând risipa de a trimite trafic prin conexiunea VPN doar pentru a fi abandonat de un firewall local.
2) acces condiționat
în trecut, DirectAccess a inclus suport pentru Microsoft Network Access Protection (NAP), care a fost versiunea lor a unei soluții de control al accesului la rețea (NAC). NAP a permis administratorilor să evalueze configurația clientului și starea de sănătate pentru a informa deciziile de control al accesului. Cu toate acestea, Microsoft a depreciat NAP în Windows Server 2012 R2 și a eliminat complet funcția în Windows Server 2016 și Windows 10. DirectAccess nu acceptă integrarea cu platforme NAC terțe.
NetMotion Mobility include funcționalitate NAC integrată, permițând administratorilor să definească un set de standarde pe care dispozitivele de conectare trebuie să le îndeplinească înainte de a li se acorda acces la rețea. Opțional, accesul la rețea poate fi controlat dinamic în funcție de starea clientului care face conexiunea. De exemplu, Mobility NAC poate fi configurat pentru a avertiza un client că nu îndeplinește cerințele actuale de verificare a sănătății, dar permite totuși accesul. NAC poate fi, de asemenea, configurat pentru a pune în carantină clientul, restricționând accesul la rețea la un set limitat de resurse, cum ar fi serverele de remediere. De asemenea, Clientului i se poate refuza strict accesul, dacă este necesar.
există numeroși parametri care pot fi utilizați pentru a defini politica NAC, inclusiv existența și starea software-ului antivirus și antimalware (Microsoft și terță parte), existența și starea firewall-ului (Microsoft și terță parte), versiunea software-ului de mobilitate, versiunea sistemului de operare și starea actualizării, existența și starea unui proces specific și multe altele. Cheile de Registry și fișierele din sistemul de fișiere client pot fi, de asemenea, evaluate pentru a informa deciziile de acces, după cum este necesar.
3) aplicarea politicii granulare
unele setări de configurare DirectAccess sunt globale în domeniu. De exemplu, setările split sau force tunneling se aplică tuturor clienților DirectAccess. Opțiunea de a impune autentificarea puternică a utilizatorilor autentificarea multifactorială se aplică și tuturor utilizatorilor. Dacă diferiți utilizatori necesită setări de configurare diferite, trebuie implementată o implementare separată DirectAccess pentru a îndeplini această cerință.
setările de configurare a mobilității NetMotion pot fi aplicate într-un mod granular pentru a satisface nevoile oricărei organizații. Setările pot fi implementate pe baza contului de utilizator sau a apartenenței la grup (local sau Active Directory), a tipului de dispozitiv sau a grupului de dispozitive și multe altele. De exemplu, dacă numai unii utilizatori necesită acces la o anumită aplicație, o politică poate fi configurată pentru a permite accesul la aplicație numai dacă utilizatorul este membru al unui anumit grup Active Directory. În plus, accesul la rețea ar putea fi restricționat pentru oricine utilizează un dispozitiv Android sau anumite aplicații ar putea fi blocate atunci când un dispozitiv mobil este conectat la o rețea celulară. Opțiunile de aplicare a politicilor sunt aproape nelimitate, oferind administratorilor de rețea și de securitate un control fin al accesului și comunicării pentru dispozitivele lor mobile.
4) administrare bazată pe roluri
în mod implicit, pentru a deschide consola administrativă DirectAccess, utilizatorul trebuie să fie membru al grupului Administratori de domenii. Există opțiuni pentru a elimina această cerință, dar totuși necesită ca utilizatorul să fie administrator local pe toate serverele DirectAccess și să aibă control deplin asupra obiectelor de politică de grup specifice DirectAccess (GPO) din Active Directory. Nu există nicio modalitate nativă de a oferi acces limitat, numai în citire, la consola de administrare în scopul revizuirii sau auditării setărilor de configurare sau vizualizării stării conectivității sau a rapoartelor istorice.
consola de gestionare a mobilității NetMotion acceptă controlul accesului bazat pe roluri (RBAC), permițând administratorilor să definească diferite niveluri de acces pe baza cerințelor specifice. De exemplu, administratorilor help desk li se poate acorda acces pentru a face modificări la apartenența la utilizator și/sau la grupul de dispozitive, dar nu pentru a face modificări la setările serverului. Rolurile pot fi atribuite utilizatorilor de domenii locale sau Active Directory sau grupurilor de domenii.
5) Cloud Deployment
în mod surprinzător, DirectAccess nu este o sarcină de lucru acceptată pentru niciun cloud public, inclusiv propria soluție cloud Azure Microsoft. Deoarece multe organizații mută aplicații, servicii și infrastructură în cloud, este esențial să ai o soluție de mobilitate complet acceptată în cloud.
NetMotion Mobility este o soluție bazată pe software care este instalată pe Windows server. Este acceptat pe deplin atunci când este instalat local sau într-un cloud public, cum ar fi Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) și altele. Serverele NetMotion Mobility gateway și infrastructure pot fi instalate și configurate local, în cloud sau ambele în cazul implementărilor hibride.
rezumat
DirectAccess este o soluție bună de acces la distanță pentru organizațiile centrate pe Microsoft, dar îi lipsesc câteva capabilități importante care sunt necesare de la o platformă sigură și robustă de mobilitate a întreprinderii. NetMotion Mobility are un avantaj distinct față de DirectAccess, deoarece oferă administratorilor instrumente pentru a restricționa accesul la rețea și a face acest lucru într-un mod foarte granular. Starea configurației dispozitivelor la distanță poate fi determinată înainte de conectare, permițând aplicarea dinamică a politicii sau accesul restricționat, după caz. De asemenea, acceptă RBAC pentru accesul la consola administrativă și este pe deplin acceptat atât pentru scenariile de implementare on-premises, cloud, cât și pentru cele hibride.
Autor Invitat: Richard Hicks / Fondator & Consultant Principal, Richard M. Hicks Consulting
opiniile și opiniile autorilor invitați nu reflectă neapărat opiniile și opiniile NetMotion Software.
Continue Reading
- SASE, de ce avem nevoie de ea?
- ce se întâmplă dacă forța de muncă din serviciile profesionale devine 100% mobilă?
- Planificarea pentru lase: un ghid pas cu pas pentru cum să ajungi acolo
- vocile NetMotion: sărbătorirea Zilei Internaționale a femeii
- ajunge la lase în câteva secunde cu NetMotion și Microsoft parteneriat