Qual è la differenza tra DirectAccess e Always On VPN?
Il Dicembre 17, 2021 da admin
DirectAccess esiste da molti anni, e con Microsoft che ora si muove nella direzione di Always On VPN, mi viene spesso chiesto “Qual è la differenza tra DirectAccess e Always On VPN? Fondamentalmente entrambi forniscono un accesso remoto senza soluzione di continuità e trasparente, sempre attivo. Tuttavia, Always On VPN ha una serie di vantaggi rispetto a DirectAccess in termini di sicurezza, autenticazione e gestione, prestazioni e supportabilità.
Sicurezza
DirectAccess fornisce la piena connettività di rete quando un client è collegato in remoto. Manca di qualsiasi caratteristica nativa per controllare l’accesso su una base granulare. E’ possibile limitare l’accesso alle risorse interne posizionando un firewall tra il server DirectAccess e la LAN, ma la politica si applicherebbe a tutti i client connessi.
Windows 10 Always On VPN include il supporto per il filtraggio granulare del traffico. Dove DirectAccess fornisce l’accesso a tutte le risorse interne quando è connesso, Always On VPN permette agli amministratori di limitare l’accesso dei client alle risorse interne in una varietà di modi. Inoltre, le politiche di filtraggio del traffico possono essere applicate per utente o per gruppo. Per esempio, agli utenti della contabilità può essere concesso l’accesso solo ai server del loro dipartimento. Lo stesso potrebbe essere fatto per HR, finanza, IT e altri.
Autenticazione e gestione
DirectAccess include il supporto per una forte autenticazione degli utenti con smart card e soluzioni OTP (one-time password). Tuttavia, non vi è alcuna disposizione per concedere l’accesso in base alla configurazione o alla salute del dispositivo, in quanto tale funzione è stata rimossa in Windows Server 2016 e Windows 10. Inoltre, DirectAccess richiede che i client e i server siano uniti a un dominio, poiché tutte le impostazioni di configurazione sono gestite utilizzando i criteri di gruppo di Active Directory.
Windows 10 Always On VPN include il supporto per l’autenticazione e la gestione moderna, che si traduce in una migliore sicurezza complessiva. I client Always On VPN possono essere uniti a una Azure Active Directory e si può anche abilitare l’accesso condizionato. È supportato anche il supporto dell’autenticazione moderna tramite Azure MFA e Windows Hello for Business. Always On VPN è gestito utilizzando soluzioni Mobile Device Management (MDM) come Microsoft Intune.
Performance
DirectAccess utilizza IPsec con IPv6, che deve essere incapsulato in TLS per essere instradato su Internet IPv4 pubblico. Il traffico IPv6 viene poi tradotto in IPv4 sul server DirectAccess. Le prestazioni di DirectAccess sono spesso accettabili quando i clienti hanno connessioni Internet affidabili e di alta qualità. Tuttavia, se la qualità della connessione è da discreta a scarsa, l’elevato overhead di protocollo di DirectAccess con i suoi molteplici livelli di incapsulamento e traduzione spesso produce prestazioni scadenti.
Il protocollo di scelta per le implementazioni VPN Always On di Windows 10 è IKEv2. Offre la migliore sicurezza e prestazioni rispetto ai protocolli basati su TLS. Inoltre, Always On VPN non si basa esclusivamente su IPv6 come fa DirectAccess. Questo riduce i molti strati di incapsulamento ed elimina la necessità di complesse tecnologie di transizione e traduzione IPv6, migliorando ulteriormente le prestazioni rispetto a DirectAccess.
Supportabilità
DirectAccess è una soluzione proprietaria di Microsoft che deve essere distribuita utilizzando Windows Server e Active Directory. Richiede anche un Network Location Server (NLS) per i client per determinare se sono dentro o fuori la rete. La disponibilità dell’NLS è cruciale e garantire che sia sempre raggiungibile dai clienti interni può rappresentare una sfida, specialmente in organizzazioni molto grandi.
L’infrastruttura di supporto di Windows 10 Always On VPN è molto meno complessa di DirectAccess. Non c’è bisogno di un NLS, il che significa meno server da fornire, gestire e monitorare. Inoltre, Always On VPN è completamente indipendente dall’infrastruttura e può essere distribuito utilizzando server VPN di terze parti come Cisco, Checkpoint, SonicWALL, Palo Alto e altri.
Sommario
Windows 10 Always On VPN è la via del futuro. Fornisce una migliore sicurezza complessiva rispetto a DirectAccess, ha prestazioni migliori ed è più facile da gestire e supportare.
Ecco un rapido riassunto di alcuni aspetti importanti di VPN, DirectAccess e Windows 10 Always On VPN.
| Tradizionale VPN | DirectAccess | Always On VPN | |
| Senza problemi e trasparente | No | Sì | Sì |
| Opzioni di connessione automatica | Nessuno | Sempre attivo | Sempre attivo, app triggered |
| Supporto protocollo | IPv4 e IPv6 | Solo IPv6 | IPv4 e IPv6 |
| Traffic Filtering | No | No | Sì |
| Azure AD Integration | No | No | Sì |
| Modern Management | Sì | No (solo group policy) | Sì (MDM) |
| I clienti devono essere uniti al dominio?unito al dominio? | No | Sì | No |
| Richiede l’infrastruttura Microsoft | No | Sì | No |
| Supporta Windows 7 | Sì | Sì | Solo Windows 10 |
Sempre su VPN Hands-On Training
Se sei interessato a saperne di più su Windows 10 Always On VPN, considera la possibilità di iscriverti a una delle mie lezioni di formazione pratica. Maggiori dettagli qui.
Lascia un commento