Jaký je rozdíl mezi DirectAccess a Always On VPN?

DirectAccess existuje již mnoho let a vzhledem k tomu, že společnost Microsoft se nyní ubírá směrem Always On VPN, jsem často dotazován: „Jaký je rozdíl mezi DirectAccess a Always On VPN?“. V zásadě oba poskytují bezproblémový a transparentní, vždy zapnutý vzdálený přístup. Always On VPN má však oproti DirectAccess řadu výhod, pokud jde o zabezpečení, ověřování a správu, výkon a podporu.

Zabezpečení

DirectAccess poskytuje při vzdáleném připojení klienta plné připojení k síti. Postrádá jakékoli nativní funkce pro řízení přístupu na granulární bázi. Je možné omezit přístup k interním zdrojům umístěním brány firewall mezi server DirectAccess a síť LAN, ale zásady by se vztahovaly na všechny připojené klienty.

Systém Windows 10 Always On VPN obsahuje podporu granulárního filtrování provozu. Zatímco DirectAccess poskytuje po připojení přístup ke všem interním zdrojům, Always On VPN umožňuje správcům různými způsoby omezit přístup klientů k interním zdrojům. Zásady filtrování provozu lze navíc aplikovat na jednotlivé uživatele nebo skupiny. Například uživatelé v účetnictví mohou mít přístup pouze k serverům svého oddělení. Totéž lze provést pro oddělení lidských zdrojů, financí, IT a další.

Ověřování a správa

DirectAccess obsahuje podporu silného ověřování uživatelů pomocí čipových karet a řešení s jednorázovým heslem (OTP). Neexistuje však žádné ustanovení pro udělování přístupu na základě konfigurace nebo stavu zařízení, protože tato funkce byla v systémech Windows Server 2016 a Windows 10 odstraněna. DirectAccess navíc vyžaduje, aby byli klienti a servery připojeni k doméně, protože veškerá nastavení konfigurace jsou spravována pomocí zásad skupiny Active Directory.

Systém Windows 10 Always On VPN obsahuje podporu moderního ověřování a správy, což vede k lepšímu celkovému zabezpečení. Klienti Always On VPN mohou být připojeni k Azure Active Directory a lze také povolit podmíněný přístup. Podporována je také podpora moderního ověřování pomocí Azure MFA a Windows Hello for Business. Služba Always On VPN je spravována pomocí řešení pro správu mobilních zařízení (MDM), jako je Microsoft Intune.

Výkon

DirectAccess používá IPsec s protokolem IPv6, který musí být zapouzdřen v TLS, aby mohl být směrován přes veřejný internet IPv4. Provoz IPv6 je pak na serveru DirectAccess překládán na IPv4. Výkon DirectAccess je často přijatelný, pokud mají klienti spolehlivé a kvalitní připojení k internetu. Pokud je však kvalita připojení dostatečná nebo špatná, vysoká protokolová režie DirectAccess s několika vrstvami zapouzdření a překladu často přináší nízký výkon.

Protokolem volby pro nasazení Windows 10 Always On VPN je IKEv2. Ve srovnání s protokoly založenými na TLS nabízí nejlepší zabezpečení a výkon. Kromě toho Always On VPN nespoléhá výhradně na protokol IPv6 jako DirectAccess. Tím se snižuje počet vrstev zapouzdření a odpadá potřeba složitých technologií přechodu a překladu IPv6, což dále zvyšuje výkon oproti DirectAccess.

Podpora

DirectAccess je proprietární řešení společnosti Microsoft, které musí být nasazeno pomocí systému Windows Server a služby Active Directory. Vyžaduje také síťový lokalizační server (NLS), aby klienti mohli určit, zda se nacházejí uvnitř nebo vně sítě. Dostupnost NLS je klíčová a zajištění jeho neustálé dosažitelnosti pro interní klienty může představovat problém, zejména ve velmi velkých organizacích.

Podpůrná infrastruktura Always On VPN systému Windows 10 je mnohem méně složitá než DirectAccess. Není vyžadována žádná služba NLS, což znamená méně serverů, které je třeba zajistit, spravovat a monitorovat. Služba Always On VPN je navíc zcela nezávislá na infrastruktuře a lze ji nasadit pomocí serverů VPN třetích stran, například Cisco, Checkpoint, SonicWALL, Palo Alto a dalších.

Shrnutí

Systém Windows 10 Always On VPN je cestou budoucnosti. Poskytuje celkově lepší zabezpečení než DirectAccess, je výkonnější a snadněji se spravuje a podporuje.

Tady je stručné shrnutí některých důležitých aspektů sítí VPN, DirectAccess a Windows 10 Always On VPN.

.

Vždy v provozu VPN Hands-On Training

Pokud máte zájem dozvědět se více o systému Windows 10 Always On VPN, zvažte přihlášení na jedno z mých praktických školení. Více informací najdete zde.