DirectAccess–חיבור שקוף לארגון מכל מקום ללא התערבות משתמש

4 בFebruary 2014

אין תגובות

בארגונים רבים כיום הולך ופוחת השימוש במחשבים נייחים לצד מגמת העלייה המשמעותית ברצון להתנייד והוא מבוסס בעיקר על מחשבים ניידים שנמצאים כמעט בשימוש של כל עובד.

המגמות הללו בשנים האחרונות הביאו עמן צרכים משמעותיים גם בצד מנהלי המחשוב והתשתיות וגם בצד העובד.

מנהלי המחשוב רוצים לוודא שכלל המחשבים בארגון, בין אם הם פיזית בארגון ובין אם לא, מקבלים ומצייתים לכל כללי המדיניות שחלים עליהם כמו Group Policy, Firewall, עדכוני אנטי וירוס וכדומה.

ומצד העובד, יש את הצורך כאשר מתבצעת עבודה על המחשב השייך לארגון, להרגיש באופן שקוף את כלל המשאבים סביבו ללא כל פעולה מצידו.

את כל אלו ועוד, ניתן להשיג באמצעות הטמעת Microsoft Direct Access

מה הוא פתרון ה-Direct Access?

Direct Access הינה טכנולוגיית גישה מרחוק הדומה ל-VPN, הקיימת במהדורת ה-Enterprise של Windows 7/8/8.1, ומספקת חיבור למחשבים החברים ב-Domain אל משאבי הארגון בכל זמן שקיים עבורם חיבור לרשת האינטרנט.

ההבדל המהותי בין חיבור VPN ל-Direct Access הוא השקיפות של המשתמש במתן גישה לארגון

המשתמש, כאשר הוא מחובר לרשת האינטרנט, לא צריך לבצע כל פעולה לביצוע החיבור לארגון. כל עוד הוא מחובר לאינטרנט – הוא מחובר לארגון ולמשאבים השונים ובנוסף חלה עליו מדיניות האבטחה שהוגדרה.

טכנולוגיית הDirect Access- משתמשת בבניית IPSec Tunnels מהעובד הנייד לשרת ה-Direct Access ומשתמשת ב- IPv6 על מנת לגשת למשאבים המקומיים.

כל התעבורה לרשת הארגונית מוצפנת האמצעות IPSEC ונארזת ב IPv4 Packetsכך התקשורת מועברת בצורה מאובטחת ולעיתים גם מונעת שימוש במנגנוני אבטחה נוספים כמו Firewall או Proxy.

פרטים וקבלת החלטות לפני הטמעה

1. הטכנולוגיה מבוססת על פרוטוקול IPv6

2. יישומים ארגוניים שישתמשו ב-DirectAccess כדי להתחבר למשאבים מקומיים יכולים להתבסס על IPv4

3. היישומים הארגוניים שיהיו בשימוש דרך DirectAccess חייבים להשתמש ב-Windows Name Resolution APIs וב-Windows DNS Client Service כדי לפענח שמות של המשאבים המקומיים.

4. DirectAccess משתמש ברכיב DNS64\NAT64 כדי לתמוך בתקשורת IPv4 בינו לבין שרת היעד אליו המשתמש צריך להגיע ברשת המקומית.

דרישות מקדימות להקמת תשתית DirectAccess:

· שרת Active Directory מבוסס Windows Server 2008 R2 לפחות

· שרת DNS מבוסס Windows Server 2008 R2 לפחות

· תשתית Public Key Infrastructure (PKI) לטיפול בתעודות דיגיטליות פנים ארגוניות

· כתובת IP חוקית ציבורית לכל אתר (יכול להתקיים מאחורי NAT)

· לפחות שרת אחד מבוסס Windows Server 2012 R2 המחובר לדומיין (כדי להשתמש בכלל האפשרויות החדשות)

· שרת Web המארח כתובת HTTPS-Based עבור

חידושים חשובים בגרסת Direct Access המבוססת על Windows Server 2012:

1. תמיכה מובנית באיזון עומסים באמצעות Windows Network Load Balancing

2. תמיכה ב-Domains רבים

3. תמיכה ב-One Time Password (OTP)

4. תמיכה ב-Force Tunneling – שכל המידע במחשב יעבור דרך השרת DirectAccess ולא רק המידע הארגוני.

לסיכום:

אין לי ספק שכל נושא החיבור מרחוק לארגון הוא משהו קריטי, ולכן – הוא לא יכול להמשיך להתקיים במספר לחיצות של המשתמש, החיבור צריך להיות ממושך, מאובטח ומאפשר למחשב הארגוני להיות תמיד חלק פיזי מהארגון – בכל זמן, בכל מקום.

אורי הוסיט

הכותב הינו מנהל צוות היועצים בחברת Agile IT

הוסף תגובה
facebook linkedin twitter email

Leave a Reply

Your email address will not be published. Required fields are marked *