Wanneer je de overstap naar Microsoft Azure of een andere cloud (nog) niet kunt maken, maar toch jouw bedrijfsapplicaties en oplossingen veilig beschikbaar wilt stellen.
Terwijl ik dit blog schrijf zit heel Nederland nog zoveel mogelijk thuis vanwege de intelligente Covid-19/ Corona lockdown die in Nederland is ingesteld. De laatste paar weken heb ik klanten geholpen met het op een veilige manier beschikbaar maken van bedrijfsapplicaties en oplossingen. Veel bedrijven kijken tegenwoordig naar de cloud als ze op zoek zijn naar nieuwe oplossingen. Met de juiste vereisten en configuraties kun je op een relatief eenvoudige manier bedrijfsprocessen omzetten naar cloud oplossingen. Maar hoe moet je dan toch die “ouderwetse” applicaties die nog in je datacenter draaien beschikbaar maken aan je gebruikers? Deze blog vertelt je meer over de verschillende mogelijkheden.
De traditionele VPN-oplossing
Eén van de oplossingen waar je op terug kunt vallen is de traditionele VPN oplossing. Je configureert een firewall in je datacenter als VPN server en vervolgens laat je, al dan niet geautomatiseerd, een stukje VPN software installeren op de computer van je gebruikers. Zij kunnen dan deze VPN software gebruiken om verbinding te maken met het bedrijfsnetwerk. Dit is een solide en bewezen oplossing die al heel lang gebruikt wordt. Vaak wordt gebruik gemaakt van oplossingen van bijvoorbeeld Pulse Secure of Fortinet. Je hebt in ieder geval de keuze uit een aantal verschillende VPN-oplossingen.
DirectAccess
Als opvolger of alternatief voor de traditionele VPN oplossing heeft Microsoft DirectAccess geïntroduceerd in Windows Server 2008 R2. Hoewel DirectAccess een goede oplossing is om een directe verbinding met het bedrijfsnetwerk te maken, wordt de oplossing vaak als complex ervaren. Zo zijn er meerdere servers benodigd om DirectAccess te kunnen gebruiken en moet de datacenter leverancier het IPv6 protocol ondersteunen. Daarnaast is het verplicht dat de computer lid is van een Active Directory domein. Hierdoor is het lastig om gebruikers toegang te bieden vanuit (bijvoorbeeld) een tablet of ander mobiel apparaat dat geen lid is van het Active Directory domein.
Always-On VPN
Met de komst van Windows 10 (versie 1607) heeft Microsoft de Always-On VPN oplossing geïntroduceerd. Dit is een VPN oplossing die helemaal verwerkt is in het besturingssysteem van je computer. Always-On wordt door Microsoft gezien als de opvolger van DirectAccess. Allebei de oplossingen zijn in staat om op een intelligente manier verbinding te maken met het bedrijfsnetwerk zonder dat de gebruiker het merkt of er zelf iets voor hoeft te doen. Always-On VPN biedt echter meer configuratie mogelijkheden en ook minder restricties. Zo is de oplossing gebaseerd op bestaande (en vertrouwde) VPN standaarden als IKEv2 en bestaat de mogelijkheid om netwerk verkeer te filteren. Dit is handig als je netwerk segmenten voor gebruikersgroepen wil afsluiten of juist open wil stellen, bijvoorbeeld een management netwerk voor beheerders.
In onderstaande tabel zie je in het kort een aantal verschillen en overeenkomsten tussen de oplossingen:
| VPN | DirectAccess | Always On VPN | |
| Naadloos en transparant | Nee | Ja | Ja |
| Automatische verbinding | Nee | Always on | Always on, applicatie gestuurd |
| Protocol Support | IPv4 and IPv6 | IPv6 Only | IPv4 and IPv6 |
| Netwerk Filtering | Nee | Nee | Ja |
| Azure AD Integratie | Nee | Nee | Ja |
| Modern Management | Ja | Nee (group policy) | Ja (MDM) |
| Computer domain-joined? | Nee | Ja | Nee |
| Microsoft producten vereist | Nee | Ja | Nee |
| Supports Windows 7 | Ja | Ja | Windows 10 (versie 1607) |
Gebruik deze link als je meer details wil hebben over de verschillen tussen Always-On en DirectAccess.
De Always-On VPN oplossing die momenteel is ingebouwd in Windows 10 biedt aanzienlijk meer opties en flexibiliteit ten opzichte van de traditionele VPN verbinding, maar ook ten opzichte van DirectAccess. De mogelijkheid om te integreren in Azure AD en de bijbehorende beveiligingsmogelijkheden zoals Multi-Factor Authenticatie en Conditional Access regels biedt meer controle en inzichtelijkheid dan de “traditionele” oplossingen. Kijk op deze pagina voor een volledig overzicht van de verbeteringen.
Om zelf te kunnen testen met Always-On VPN kun je eenvoudig gebruik maken van de Routing and Remote Access rol in Windows Server. Deze ingebouwde functionaliteit biedt volledige ondersteuning voor het Always-On scenario. Benieuwd hoe je Remote Access in Always-On kunt uitrollen? Klik hier voor meer informatie.
Always-on: Minimale middelen, maximaal resultaat!
Met de ingebouwde Always-On capaciteit van Windows 10 heb je de beschikking over een kosten-efficiënte VPN oplossing. De integratie met Azure AD en daaraan gekoppelde beveiligingsmethodes hebben als voordeel dat je cloud technologie op een eenvoudige wijze kunt koppelen aan on-premises oplossingen. Als je daar de ondersteuning van industrie standaarden (IKEv2) bij optelt heb je een totaaloplossing waarmee je met minimale middelen toch een maximaal resultaat kunt behalen.
3fifty heeft verschillende innovatieve projecten uitgevoerd met betrekking tot de transformatie naar de cloud. Soms is het (nog) niet mogelijk om te transformeren, maar als organisatie wil je toch een optimale en fijne IT-omgeving voor jouw medewerkers. De Always-On oplossing van Microsoft biedt deze oplossing. Lees hier hoe onze klanten de samenwerking met 3fifty ervaren.
