Mitä eroa on DirectAccessin ja Always On VPN:n välillä?

DirectAccess on ollut käytössä monta vuotta, ja kun Microsoft on nyt siirtymässä Always On VPN:n suuntaan, minulta kysytään usein: ”Mitä eroa on DirectAccessin ja Always On VPN:n välillä?”. Pohjimmiltaan ne molemmat tarjoavat saumattoman ja läpinäkyvän, aina päällä olevan etäyhteyden. Always On VPN:llä on kuitenkin useita etuja DirectAccessiin verrattuna tietoturvan, todennuksen ja hallinnan, suorituskyvyn ja tuen osalta.

Turvallisuus

DirectAccess tarjoaa täyden verkkoyhteyden, kun asiakas on etäkäytössä. Siitä puuttuu natiiviominaisuuksia, joilla pääsyä voitaisiin hallita rakeisesti. Sisäisten resurssien käyttöä on mahdollista rajoittaa sijoittamalla palomuuri DirectAccess-palvelimen ja lähiverkon väliin, mutta käytäntöä sovellettaisiin kaikkiin yhdistettyihin asiakkaisiin.

Windows 10 Always On VPN sisältää tuen liikenteen rakeiselle suodatukselle. Siinä missä DirectAccess tarjoaa pääsyn kaikkiin sisäisiin resursseihin, kun yhteys on muodostettu, Always On VPN antaa järjestelmänvalvojille mahdollisuuden rajoittaa asiakkaiden pääsyä sisäisiin resursseihin monin eri tavoin. Lisäksi liikenteen suodatuskäytäntöjä voidaan soveltaa käyttäjä- tai ryhmäkohtaisesti. Esimerkiksi kirjanpidon käyttäjille voidaan antaa pääsy vain oman osastonsa palvelimille. Sama voidaan tehdä henkilöstöhallinnolle, taloushallinnolle, IT:lle ja muille.

Autentikointi ja hallinta

DirectAccess sisältää tuen vahvalle käyttäjätunnistukselle älykorttien ja kertakäyttösalasanaratkaisujen (OTP) avulla. Pääsyä ei kuitenkaan voida myöntää laitteen kokoonpanon tai kunnon perusteella, sillä tämä ominaisuus poistettiin Windows Server 2016:sta ja Windows 10:stä. Lisäksi DirectAccess edellyttää, että asiakkaat ja palvelimet on liitetty toimialueeseen, sillä kaikkia määritysasetuksia hallitaan Active Directory -ryhmäkäytännön avulla.

Windows 10 Always On VPN sisältää tuen nykyaikaiselle todennukselle ja hallinnalle, mikä johtaa parempaan kokonaisturvallisuuteen. Always On VPN -asiakkaat voidaan liittää Azure Active Directoryyn, ja myös ehdollinen pääsy voidaan ottaa käyttöön. Nykyaikainen todennustuki Azure MFA:n ja Windows Hello for Businessin avulla on myös tuettu. Always On VPN:ää hallitaan mobiililaitteiden hallintaratkaisuilla (MDM, Mobile Device Management), kuten Microsoft Intune.

Suorituskyky

DirectAccess käyttää IPseciä IPv6:lla, joka on kapseloitava TLS:ään, jotta se voidaan reitittää julkisen IPv4-internetin yli. IPv6-liikenne käännetään sitten IPv4:ksi DirectAccess-palvelimella. DirectAccessin suorituskyky on usein hyväksyttävä, kun asiakkailla on luotettavat ja laadukkaat Internet-yhteydet. Jos yhteyden laatu on kuitenkin kohtalainen tai huono, DirectAccessin suuri protokollan yleiskustannus ja sen useat kapselointi- ja käännöskerrokset johtavat usein huonoon suorituskykyyn.

Windows 10:n Always On VPN -käyttöönotoissa käytettävä protokolla on IKEv2. Se tarjoaa TLS-pohjaisiin protokolliin verrattuna parhaan turvallisuuden ja suorituskyvyn. Lisäksi Always On VPN ei luota yksinomaan IPv6:een kuten DirectAccess. Tämä vähentää useita kapselointikerroksia ja poistaa tarpeen monimutkaisille IPv6-siirtymä- ja käännöstekniikoille, mikä parantaa suorituskykyä DirectAccessiin verrattuna entisestään.

Tukikelpoisuus

DirectAccess on Microsoftin oma ratkaisu, joka on otettava käyttöön Windows Serverin ja Active Directoryn avulla. Se vaatii myös Network Location Server (NLS) -palvelimen, jotta asiakkaat voivat määrittää, ovatko ne verkon sisällä vai ulkopuolella. NLS:n saatavuus on ratkaisevan tärkeää, ja sen varmistaminen, että sisäiset asiakkaat saavuttavat sen aina, voi aiheuttaa haasteita erityisesti hyvin suurissa organisaatioissa.

Windows 10:n Always On VPN:ää tukeva infrastruktuuri on paljon yksinkertaisempi kuin DirectAccess. NLS:ää ei tarvita, mikä tarkoittaa, että käyttöönotettavia, hallittavia ja valvottavia palvelimia on vähemmän. Lisäksi Always On VPN on täysin infrastruktuurista riippumaton, ja se voidaan ottaa käyttöön käyttämällä kolmannen osapuolen VPN-palvelimia, kuten Ciscon, Checkpointin, SonicWALLin, Palo Alton ja muiden valmistajien VPN-palvelimia.

Yhteenveto

Windows 10 Always On VPN on tulevaisuuden tapa. Se tarjoaa paremman kokonaisturvallisuuden kuin DirectAccess, se toimii paremmin ja sitä on helpompi hallita ja tukea.

Tässä on lyhyt yhteenveto VPN:n, DirectAccessin ja Windows 10 Always On VPN:n tärkeistä näkökohdista.

Aina VPN:n käsissä-On Training

Jos olet kiinnostunut oppimaan lisää Windows 10 Always On VPN:stä, harkitse ilmoittautumista yhdelle käytännönläheisistä koulutuksistani. Lisätietoja täältä.