5 saker Microsoft DirectAccess kan inte göra

5 saker NetMotion Mobility kan göra det Microsoft DirectAccess kan inte

DirectAccess är en fjärråtkomstteknik från Microsoft som ger sömlös, transparent, alltid på fjärranslutning för hanterade (domänanslutna) Windows-klienter. Även om den är placerad som en fjärråtkomstlösning för företag saknar den viktiga säkerhets-och prestandafunktioner som många stora organisationer kräver. I den här artikeln visar jag 5 Viktiga saker som NetMotion Mobility kan göra som Microsoft DirectAccess inte kan.

1) Trafikfiltrering

när en klient etablerar en DirectAccess-anslutning har den full tillgång till alla interna nätverksresurser. Detta är genom design, eftersom DirectAccess var tänkt att emulera intern LAN-anslutning som vanligtvis ger obegränsad nätverksåtkomst. Detta är dock inte alltid önskvärt ur ett säkerhetsperspektiv. Vanligtvis måste administratörer begränsa åtkomsten till en viss delmängd av nätverksresurser. DirectAccess ger ingen inbyggd möjlighet att utföra denna uppgift.

det enda sättet att begränsa åtkomsten till interna resurser för DirectAccess-klienter är att placera en brandvägg mellan DirectAccess-servern och det interna nätverket. Utmaningen här är att samma policy gäller för alla DirectAccess-klienter, eftersom alla DirectAccess-klientadresser översätts på DirectAccess-servern. Dessutom måste nätverkstrafik korsa den säkra anslutningen innan den filtreras, vilket inte är idealiskt.

NetMotion Mobility låter administratörer tillämpa finkorniga kontroller på klientnätverksåtkomst. Åtkomst kan tillåtas eller nekas av käll-och/eller destinationsadress, käll-och/eller destinationsport och protokoll. Dessutom kan trafikfiltrering definieras för enskilda applikationer eller processer. Vidare kan åtkomstbegränsningar tillämpas dynamiskt baserat på nätverkstyp (t.ex. ethernet, Wi-Fi, mobil), nätverksplats (SSID, DNS-suffixnamn etc.), tillgänglig bandbredd, på eller av batteriström och batterinivå, tid på dagen och till och med fysisk plats. Det är viktigt att trafikfiltreringspolicyer tillämpas på klienten, vilket eliminerar slöseri med att skicka trafik över VPN-anslutningen bara för att tappas av en lokal brandvägg.

2) villkorad åtkomst

tidigare inkluderade DirectAccess stöd för Microsoft Network Access Protection (NAP) som var deras version av en NAC-lösning (Network Access Control). NAP tillät administratörer att bedöma klientkonfiguration och hälsotillstånd för att informera beslut om åtkomstkontroll. Microsoft avvecklade dock NAP i Windows Server 2012 R2 och tog bort funktionen helt i Windows Server 2016 och Windows 10. DirectAccess stöder inte integration med någon tredje part NAC-plattformar.

NetMotion Mobility innehåller integrerad NAC-funktionalitet, så att administratörer kan definiera en uppsättning standarder som anslutande enheter måste uppfylla innan de får åtkomst till nätverket. Eventuellt kan nätverksåtkomst styras dynamiskt baserat på status för klienten som gör anslutningen. Mobility NAC kan till exempel konfigureras för att varna en klient att den inte uppfyller nuvarande hälsokontrollkrav men ändå tillåter åtkomst. NAC kan också konfigureras för att karantänera klienten, vilket begränsar nätverksåtkomst till en begränsad uppsättning resurser som saneringsservrar. Klienten kan också strikt nekas åtkomst, om det behövs.

det finns många parametrar som kan användas för att definiera NAC-policy, inklusive existens och status antivirus-och antimalware-programvara (Microsoft och tredje part), existens och status för brandvägg (Microsoft och tredje part), versionen av Mobilitetsprogramvaran, Operativsystemversion och uppdateringsstatus, existens och status för en specifik process och mer. Registernycklar och filer på klientfilsystemet kan också utvärderas för att informera åtkomstbeslut vid behov.

3) granulär policyhantering

vissa DirectAccess-konfigurationsinställningar är globala. Till exempel gäller split-eller force tunneling-inställningar för alla DirectAccess-klienter. Alternativet att genomdriva stark användarautentisering multifaktorautentisering gäller också för alla användare. Om olika användare behöver olika konfigurationsinställningar måste en separat DirectAccess-distribution implementeras för att uppfylla detta krav.

netmotion Mobility konfigurationsinställningar kan tillämpas på ett granulärt sätt för att möta behoven hos någon organisation. Inställningar kan distribueras baserat på användarkonto eller gruppmedlemskap (lokal eller Active Directory), Enhetstyp eller enhetsgrupp med mera. Om till exempel bara vissa användare behöver åtkomst till ett specifikt program kan en princip konfigureras för att endast tillåta programåtkomst om användaren är medlem i en specifik Active Directory-grupp. Dessutom kan nätverksåtkomst begränsas till alla som använder en Android-enhet, eller specifika applikationer kan blockeras när en mobil enhet är ansluten till ett mobilnätverk. Alternativen för policyhantering är nästan obegränsade, vilket ger nätverks-och säkerhetsadministratörer finkornig kontroll över åtkomst och kommunikation för sina mobila enheter.

4) rollbaserad Administration

som standard måste användaren vara medlem i gruppen domänadministratörer för att öppna DirectAccess administratörskonsol. Det finns alternativ för att eliminera detta krav, men de kräver fortfarande att användaren är en lokal administratör på alla DirectAccess-servrar och har full kontroll över DirectAccess-specifika grupprincipobjekt (GPO) i Active Directory. Det finns inget inbyggt sätt att ge begränsad, skrivskyddad åtkomst till hanteringskonsolen i syfte att granska eller granska konfigurationsinställningar eller visa anslutningsstatus eller historiska rapporter.

netmotion Mobility management console stöder rollbaserad åtkomstkontroll (RBAC), vilket gör det möjligt för administratörer att definiera olika åtkomstnivåer baserat på specifika krav. Till exempel kan helpdeskadministratörer få åtkomst till att göra ändringar i användar-och/eller enhetsgruppsmedlemskap, men inte att göra ändringar i serverinställningarna. Roller kan tilldelas lokala eller Active Directory-domänanvändare eller domängrupper.

5) cloud Deployment

överraskande är DirectAccess inte en arbetsbelastning som stöds för något offentligt moln, inklusive Microsofts egen Azure cloud-lösning. Eftersom många organisationer flyttar applikationer, tjänster och infrastruktur till molnet är det viktigt att ha en mobilitetslösning som stöds fullt ut i molnet.

NetMotion Mobility är en mjukvarubaserad lösning som är installerad på Windows server. Det stöds fullt ut när det installeras lokalt eller i ett offentligt moln som Microsoft Azure, Amazon Web Services (AWS) Google Cloud Platform (GCP) och andra. NetMotion Mobility gateway och infrastrukturservrar kan installeras och konfigureras lokalt, i molnet eller båda vid hybriddistributioner.

sammanfattning

DirectAccess är en bra fjärråtkomstlösning för Microsoft-centrerade organisationer, men det saknar några viktiga funktioner som krävs från en säker och robust företagsmobilitetsplattform. NetMotion Mobility har en tydlig fördel jämfört med DirectAccess eftersom det ger administratörer verktyg för att begränsa nätverksåtkomst och göra det på ett mycket granulärt sätt. Konfigurationsstatus för fjärrenheter kan bestämmas före anslutning, vilket möjliggör dynamisk policyhantering eller begränsad åtkomst vid behov. Det stöder också RBAC för administrativ konsolåtkomst och stöds fullt ut för både lokala, moln-och hybriddistributionsscenarier.

Gästförfattare: Richard Hicks / Grundare & Huvudkonsult, Richard M. Hicks Consulting

gästförfattarnas åsikter och åsikter återspeglar inte nödvändigtvis netmotion-programvarans åsikter och åsikter.

Fortsätt läsa

  • SASE, varför behöver vi det?
  • vad händer om arbetskraften för professionella tjänster går 100% mobil?
  • planering för SASE: en steg-för-steg-guide för hur man kommer dit
  • Voices of NetMotion: fira Internationella kvinnodagen
  • kom till SASE på några sekunder med NetMotion och Microsoft partnership
Facebook Twittere-post dela



+