Maailmalla pyörivä COVID-19 on räjähdysmäisesti kasvattanut etätyötä ja aiheuttanut yrityksille päänvaivaa tietoturvan osalta. Yritysten tulee huolehtia, kuinka turvata yhteys toimiston ja työntekijän etätoimiston välillä niin, että yrityksen käyttäjä saa käyttöönsä yrityksen palvelut, aivan kuin hän olisi yrityksen sisäverkossa.
VPN on tarjonnut tähän turvallisen ratkaisun nyt ja tulevaisuudessa. VPN on laajalti otettu käyttöön ja on edelleen todellinen standardi turvallisen etäyhteyden tarjoamiseksi. Monet VPN-toteutukset kuitenkin vaativat lisäohjelmistoja toimiakseen, ne on otettava käyttöön käyttäjille ja ne vaativat päivityksiä. Ongelmana on ollut käyttäjän näkökulmasta myöskin ratkaisun käyttömukavuus ja vikojen selvitys.
Microsoft tarjoaa nykyään kahta eri ohjelmistopohjaista VPN-ratkaisua. DirectAccess on ollut olemassa jo Windows Server 2008R2-versiossa, mutta vaatii taustajärjestelmältä useita palvelimia ja sen käyttöönotto on ollut suhteellisen haastavaa. DirectAccess on kuitenkin tuettuna vielä Windows Server 2019 elinkaaren loppuun.
Always On VPN on Direct Access -palvelun seuraaja, joka on asennettavissa Windows 2012 R2 ja sitä uudemmille palvelinkäyttöjärjestelmille. Moni yritys pohtiikin nyt, mitä siis tehdä, jatkaako Direct Accessin käyttöä vai siirtyäkö jo nyt Always On VPNn käyttöön.
Molemmissa ratkaisuissa on tietenkin omat hyvät puolensa. Always On VPN tukee muun muassa toimialueeseen liitettyjä, toimiverkkotunnuksella liitettyjä (työryhmä) tai Azure AD:hen liitettyjä laitteita, jopa henkilökohtaisesti omistettuja laitteita. Tietoturvan osalta on mahdollisuus käyttää Windows Hello for Business sekä monivaiheista tunnistautumista (MFA).
Active Directory/DNS, varmenteiden myöntäjäpalvelin (PKI), VPN palvelin (RRAS) ja NPS (Radius) palvelin. Yleensä edellä luetelluista on muutama jo olemassa yrityksen IT-infrassa. DMZ-alueen käyttöönotto on suositeltavaa ja tämän lisäksi tarvitaan muutoksia palomuurin säännöissä. Yhtenä hyvänä ominaisuutena on, että VPN-palvelimena voi käyttää esimerkiksi Ciscon, Checkpointin, Juniperin tai Sophoksen laitteita.
Käyttöjärjestelmänä pitää olla Windows 10 tai uudempi, mutta kuitenkin voidaan käyttää sekä Windows 10 Professional- että Home-versiota. Windows 10 Enterprise -versio mahdollistaa käyttäjän suoran yhdistämisen yrityksen verkkoon jo ennen kuin käyttäjä on kirjautunut koneelle. Muissa versiossa ei automaattisen VPN-yhteyden luominen ole mahdollista, vaan käyttäjältä vaaditaan yhdistäminen VPN-verkkoon. Windows 10 Professional sisältyy esimerkiksi M365 Business Premium -pakettiin.
Hallintaan ei ole mahdollista käyttää Group Policya, kuten Direct Access oli mahdollista vaan Always On VPNn hallinta tapahtuu Microsoft Intunen, Microsoft System Center Configuration Manager (SCCM) tai PowerShellin avulla. Group Policyn korvaa xml-tiedosto, jossa määritetään käyttäjän VPN-profiili ja joka jaellaan siten esimerkiksi Microsoft Intunen avulla.
Tunnelityypit tässä ovat Split tunnel ja Force tunnel. Split-tunnelissa voidaan osa liikenteestä ohjata suoraan internettiin ja osa yrityksen omiin palveluihin. Force-tunnel puolestaan pakottaa kaiken liikenteen yrityksen verkkoon ja sieltä internettiin. Tämä voi aiheuttaa suurta kuormaa verkolle, mutta mahdollistaa kuitenkin etäkäyttäjien valvonnan, koska kaikki liikenne kulkee yrityksen verkon kautta.
VPN-yhteyden ollessa kytkettynä, käyttäjää ja laitetta voidaan hallita kuin yrityksen sisäverkossa eli myös kaikkien palveluiden osalta, jotka eivät ole pilvessä tai selaimella käytettävissä. Esimerkkinä levypalvelut ja mahdolliset käyttöjärjestelmäpäivitykset infran taustajärjestelmistä, tai vaikka Windows-päivitykset.
Jos yrityksellänne on käytössä jo Direct Access, tällöin kannattaa huomioida, että tuotteen tuki jatkuu yhtä kauan kuin Windows Server 2019 tuki. Mutta jos käytössä ei vielä ole VPN-ratkaisua ja nykyinen IT-infranne tukee jo Always On VPN -vaatimuksia, on se tällöin hyvinkin varteenotettava vaihtoehto.
Jos Always on VPN alkoi kiinnostaa myös teidän yrityksellenne, niin otathan meihin marskilaisiin yhteyttä, niin kerromme lisää palvelusta ja sen käyttöönotosta!