What is the Difference Between DirectAccess and Always On VPN?
On 17 grudnia, 2021 by admin
DirectAccess istnieje od wielu lat, a z Microsoftem zmierzającym teraz w kierunku Always On VPN, często jestem pytany „Jaka jest różnica między DirectAccess i Always On VPN?”. Zasadniczo oba zapewniają bezproblemowy i przejrzysty, zawsze włączony zdalny dostęp. Jednak Always On VPN ma szereg zalet w stosunku do DirectAccess pod względem bezpieczeństwa, uwierzytelniania i zarządzania, wydajności i możliwości wsparcia.
Bezpieczeństwo
DirectAccess zapewnia pełną łączność sieciową, gdy klient jest podłączony zdalnie. Brakuje w nim natywnych funkcji do kontroli dostępu na zasadzie granularnej. Możliwe jest ograniczenie dostępu do zasobów wewnętrznych poprzez umieszczenie firewalla pomiędzy serwerem DirectAccess a siecią LAN, ale polityka ta dotyczyłaby wszystkich podłączonych klientów.
Windows 10 Always On VPN zawiera wsparcie dla granularnego filtrowania ruchu. Podczas gdy DirectAccess zapewnia dostęp do wszystkich zasobów wewnętrznych po połączeniu, Always On VPN pozwala administratorom ograniczyć dostęp klientów do zasobów wewnętrznych na wiele sposobów. Ponadto, polityki filtrowania ruchu mogą być stosowane na zasadzie per-user lub grupowej. Na przykład, użytkownicy w księgowości mogą mieć dostęp tylko do serwerów swojego działu. To samo można zrobić dla HR, finansów, IT i innych.
Uwierzytelnianie i zarządzanie
DirectAccess zawiera wsparcie dla silnego uwierzytelniania użytkowników za pomocą kart inteligentnych i haseł jednorazowych (OTP). Nie ma jednak możliwości przyznawania dostępu na podstawie konfiguracji lub stanu urządzenia, ponieważ funkcja ta została usunięta w systemach Windows Server 2016 i Windows 10. Na dodatek DirectAccess wymaga przyłączenia klientów i serwerów do domeny, ponieważ wszystkie ustawienia konfiguracyjne są zarządzane przy użyciu zasad grupy Active Directory.
Windows 10 Always On VPN zawiera obsługę nowoczesnego uwierzytelniania i zarządzania, co przekłada się na lepsze ogólne bezpieczeństwo. Klienci Always On VPN mogą być dołączani do usługi Azure Active Directory, można również włączyć dostęp warunkowy. Obsługiwane jest również nowoczesne uwierzytelnianie przy użyciu Azure MFA i Windows Hello for Business. Always On VPN jest zarządzany przy użyciu rozwiązań Mobile Device Management (MDM), takich jak Microsoft Intune.
Wydajność
DirectAccess wykorzystuje IPsec z IPv6, który musi być enkapsulowany w TLS, aby mógł być kierowany przez publiczny Internet IPv4. Ruch IPv6 jest następnie tłumaczony na IPv4 na serwerze DirectAccess. Wydajność DirectAccess jest często akceptowalna, gdy klienci mają niezawodne, wysokiej jakości połączenia internetowe. Jeśli jednak jakość połączenia jest dobra lub słaba, wysoki narzut protokołu DirectAccess z jego wieloma warstwami enkapsulacji i translacji często daje słabą wydajność.
Protokół z wyboru dla wdrożeń Windows 10 Always On VPN to IKEv2. Oferuje on najlepsze bezpieczeństwo i wydajność w porównaniu z protokołami opartymi na TLS. Ponadto, Always On VPN nie opiera się wyłącznie na IPv6, jak ma to miejsce w przypadku DirectAccess. Zmniejsza to wiele warstw enkapsulacji i eliminuje potrzebę stosowania złożonych technologii przejścia i translacji IPv6, co dodatkowo poprawia wydajność w stosunku do DirectAccess.
Wsparcie
DirectAccess jest rozwiązaniem zastrzeżonym przez Microsoft, które musi być wdrożone przy użyciu Windows Server i Active Directory. Wymaga również Network Location Server (NLS), aby klienci mogli określić, czy znajdują się wewnątrz czy na zewnątrz sieci. Dostępność NLS jest kluczowa i zapewnienie, że jest on zawsze osiągalny dla klientów wewnętrznych może stanowić wyzwanie, zwłaszcza w bardzo dużych organizacjach.
Infrastruktura wspierająca Windows 10 Always On VPN jest znacznie mniej złożona niż DirectAccess. Nie ma wymogu dla NLS, co oznacza mniej serwerów do dostarczenia, zarządzania i monitorowania. Ponadto, Always On VPN jest całkowicie niezależny od infrastruktury i może być wdrożony przy użyciu serwerów VPN innych firm, takich jak Cisco, Checkpoint, SonicWALL, Palo Alto i innych.
Podsumowanie
Windows 10 Always On VPN jest drogą przyszłości. Zapewnia lepsze ogólne bezpieczeństwo niż DirectAccess, działa lepiej i jest łatwiejszy w zarządzaniu i obsłudze.
Oto szybkie podsumowanie niektórych ważnych aspektów VPN, DirectAccess i Windows 10 Always On VPN.
| Tradycyjna VPN | DirectAccess | Always On VPN | ||
| Seamless and Transparent | No | Yes | Tak | |
| Automatic Connection Options | None | Always on | Always on, app triggered | |
| Protocol Support | IPv4 and IPv6 | IPv6 Only | IPv4 and IPv6 | |
| Filtrowanie ruchu | Nie | Nie | Tak | |
| Azure AD Integration | Nie | Nie | Tak | |
| Nowoczesne zarządzanie | Tak | Nie (tylko polityka grupowa) | Tak (MDM) | |
| Klienci muszą być połączeni z domeną?dołączone do domeny? | Nie | Tak | Nie | |
| Wymaga infrastruktury Microsoft | Nie | Tak | Nie | Nie |
| Wspiera Windows 7 | Tak | Tak | Windows 10 only |
Always On VPN Hands-On Training
Jeśli jesteś zainteresowany dowiedzeniem się więcej o Windows 10 Always On VPN, rozważ zarejestrowanie się na jedno z moich praktycznych szkoleń. Więcej szczegółów tutaj.
Dodaj komentarz