Qual é a diferença entre o DirectAccess e o Always On VPN?
On Dezembro 17, 2021 by admin
DirectAccess existe há muitos anos, e com a Microsoft agora se movendo na direção do Always On VPN, me perguntam frequentemente “Qual é a diferença entre o DirectAccess e o Always On VPN? Fundamentalmente, ambos oferecem um acesso remoto transparente e sem falhas. Entretanto, o Always On VPN tem uma série de vantagens sobre o DirectAccess em termos de segurança, autenticação e gerenciamento, desempenho e suporte.
Security
DirectAccess fornece conectividade de rede completa quando um cliente está conectado remotamente. Falta-lhe qualquer característica nativa para controlar o acesso em uma base granular. É possível restringir o acesso aos recursos internos colocando um firewall entre o servidor DirectAccess e a LAN, mas a política se aplicaria a todos os clientes conectados.
Windows 10 Always On VPN inclui suporte para filtragem de tráfego granular. Onde o DirectAccess fornece acesso a todos os recursos internos quando conectado, o Always On VPN permite aos administradores restringir o acesso do cliente aos recursos internos de várias maneiras. Além disso, as políticas de filtragem de tráfego podem ser aplicadas por usuário ou grupo. Por exemplo, usuários em contabilidade podem ter acesso apenas aos seus servidores de departamento. O mesmo poderia ser feito para RH, finanças, TI e outros.
Autenticação e Gerenciamento
DirectAccess inclui suporte para autenticação forte de usuários com cartões inteligentes e soluções de senha única (OTP). Entretanto, não há nenhuma provisão para conceder acesso com base na configuração ou saúde do dispositivo, pois esse recurso foi removido no Windows Server 2016 e no Windows 10. Além disso, o DirectAccess requer que clientes e servidores sejam unidos a um domínio, pois todas as configurações são gerenciadas usando a política de grupo do Active Directory.
Windows 10 Always On VPN inclui suporte para autenticação e gerenciamento moderno, o que resulta em uma melhor segurança geral. Os clientes Always On VPN podem ser unidos a um Active Directory Azure e o acesso condicional também pode ser activado. O suporte à autenticação moderna usando o Azure MFA e Windows Olá para Empresas também é suportado. Always On VPN é gerenciado usando soluções de Gerenciamento de Dispositivos Móveis (MDM) como Microsoft Intune.
Performance
DirectAccess usa IPsec com IPv6, que deve ser encapsulado em TLS para ser roteado através da Internet IPv4 pública. O tráfego IPv6 é então traduzido para IPv4 no servidor DirectAccess. O desempenho do DirectAccess é muitas vezes aceitável quando os clientes têm conexões de Internet confiáveis e de alta qualidade. No entanto, se a qualidade da conexão é justa a fraca, a alta sobrecarga de protocolo do DirectAccess com suas múltiplas camadas de encapsulamento e tradução muitas vezes resulta em um mau desempenho.
O protocolo de escolha para implantações de Windows 10 Always On VPN é IKEv2. Ele oferece a melhor segurança e desempenho quando comparado aos protocolos baseados em TLS. Além disso, Always On VPN não depende exclusivamente de IPv6 como o DirectAccess. Isso reduz as muitas camadas de encapsulamento e elimina a necessidade de tecnologias complexas de transição e tradução IPv6, melhorando ainda mais o desempenho sobre o DirectAccess.
Suportabilidade
DirectAccess é uma solução proprietária da Microsoft que deve ser implantada usando Windows Server e Active Directory. Ele também requer um Network Location Server (NLS) para que os clientes determinem se eles estão dentro ou fora da rede. A disponibilidade do NLS é crucial e garantir que ele seja sempre acessível por clientes internos pode representar desafios, especialmente em organizações muito grandes.
Windows 10 Always On VPN support infrastructure é muito menos complexo do que o DirectAccess. Não há necessidade de um NLS, o que significa menos servidores para provisionar, gerenciar e monitorar. Além disso, o Always On VPN é completamente independente da infraestrutura e pode ser implantado usando servidores VPN de terceiros, como Cisco, Checkpoint, SonicWALL, Palo Alto e mais.
Sumário
Windows 10 Always On VPN é o caminho do futuro. Ele oferece melhor segurança geral que o DirectAccess, tem melhor desempenho e é mais fácil de gerenciar e suportar.
Aqui está um resumo rápido de alguns aspectos importantes de VPN, DirectAccess e Windows 10 Always On VPN.
| Tradicional VPN | Acesso Direto | Sempre Na VPN | |
| Menor e Transparente | Não | Sim | Sim |
| Opções de Ligação Automática | Nenhum | Sempre ligado | Sempre ligado, app triggered |
| Protocol Support | IPv4 e IPv6 | IPv6 Only | IPv4 e IPv6 |
| Filtragem de tráfego | Não | Não | Sim |
| Integração do ADzure | Não | Não | Sim |
| Gestão Moderna | Sim | Não (apenas política de grupo) | Sim (MDM) |
| Clientes devem ser de domínio-juntou-se? | Não | Sim | Não |
| Requer a infra-estrutura Microsoft | Não | Sim | Não |
| Suporta Windows 7 | Sim | Sim | Apenas Windows 10 |
Sempre na VPN Mãos…Em Treinamento
Se estiver interessado em aprender mais sobre o Windows 10 Always On VPN, considere inscrever-se para uma das minhas aulas de formação prática. Mais detalhes aqui.
Deixe uma resposta