Microsoft Always On VPN: l’accesso trasparente alla rete aziendale adatto in scenari di smart working

La tecnologia può svolgere un ruolo importante nel ridurre l’impatto di COVID-19 sulle persone e sulle realtà aziendali, aiutando il personale a rimanere produttivo quando non è in grado di essere fisicamente presso il proprio posto di lavoro. In questi giorni di emergenza le aziende sono state costrette ad adottare in tempi rapidi soluzioni efficaci per consentire ai propri dipendenti di lavorare da remoto senza sacrificare la collaborazione, la produttività e la sicurezza. Le soluzioni che è possibile adottare in questo ambito sono differenti, ciascuna con le proprie caratteristiche e peculiarità, in grado di rispondere a differenti esigenze. In questo articolo vengono riportate le principali caratteristiche della tecnologia Microsoft Always On VPN, per valutarne i vantaggi e quali sono i principali casi d’uso della soluzione.

Caratteristiche principali di Always On VPN

A partire da Windows Server 2016 e versioni successive Microsoft ha introdotto una nuova tecnologia di accesso remoto degli endpoint denominata Always On VPN che permette un accesso trasparente alla rete aziendale, rendendola particolarmente adatta in scenari di smart working.  Si tratta dell’evoluzione della tecnologia DirectAccess che, per quanto efficace, presentava delle limitazioni che ne rendevano difficile l’adozione.

Come dice il nome, la VPN è “sempre attiva”, infatti una connessione sicura alla rete aziendale viene stabilita automaticamente ogni volta che un client autorizzato ha connettività Internet, il tutto senza richiedere all’utente input oppure interazione, a meno che non sia abilitato un meccanismo di autenticazione a più fattori. Gli utenti remoti accedono ai dati e alle applicazioni aziendali allo stesso modo, proprio come se fossero sul posto di lavoro.

Le connessioni Always On VPN includono le seguenti tipologie di tunnel:

  • Device Tunnel: il dispositivo si collega ai server VPN prima che gli utenti accedano al dispositivo stesso.
  • User Tunnel: si attiva solo dopo che gli utenti hanno effettuato l’accesso al dispositivo.

Utilizzando Always On VPN è infatti possibile avere una connessione utente, del dispositivo, oppure una combinazione di entrambe. Sia il Device Tunnel che lo User Tunnel funzionano infatti in modo indipendente e possono utilizzare diversi metodi di autenticazione. Risulta pertanto possibile abilitare l’autenticazione del dispositivo per gestirlo remotamente tramite il Device Tunnel, ed abilitare l’autenticazione utente per la connettività alle risorse interne all’azienda attraverso lo User Tunnel. Lo User Tunnel supporta SSTP e IKEv2, mentre il Device Tunnel supporta solamente IKEv2.

Scenari supportati

La tecnologia Always On VPN è una soluzione solo per sistemi Windows 10. Tuttavia, a differenza di DirectAccess, i dispositivi client non devono necessariamente eseguire l’edizione Enterprise, ma tutte le versioni di Windows 10 supportano questa tecnologia, adottando la tipologia di tunnel definita User Tunnel. In questo scenario i dispositivi possono essere membri di un dominio Active Directory, ma ciò non è strettamente necessario. I client Always On VPN possono essere nondomain-joined (workgroup), pertanto anche di proprietà personale dell’utente. Per sfruttare determinate funzionalità avanzate, i client possono essere in join ad Azure Active Directory. Solamente per utilizzare il Device Tunnel è richiesto che i sistemi siano in join a un dominio e devono necessariamente avere Windows 10 Enterprise oppure Education. In questo scenario è consigliata la versione 1809 o successiva.

Requisiti di infrastruttura

Per poter implementare una architettura Always On VPN è necessaria la presenza dei seguenti componenti di infrastruttura, molti dei quali sono tipicamente già attivi nelle realtà aziendali:

  • Domain Controllers
  • DNS Servers
  • Network Policy Server (NPS)
  • Certificate Authority Server (CA)
  • Routing and Remote Access Server (RRAS)

Figura 1 – Panoramica della tecnologia VPN Always On

In questo contesto è opportuno specificare che Always On VPN è indipendente dall’infrastruttura e può essere attivata utilizzando il ruolo Windows Routing and Remote Access (RRAS) oppure adottando un qualsiasi dispositivo VPN di terze parti. Anche l’autenticazione può essere fornita dal ruolo Windows Network Policy Server (NPS) oppure da una qualsiasi piattaforma RADIUS di terze parti.

Per maggiori dettagli sui requisiti necessari è possibile fare riferimento alla documentazione ufficiale Microsoft.

Always On VPN in ambiente Azure?

In generale, è consigliabile far stabilire agli endpoint le connessioni VPN il più vicino possibile alle risorse a cui devono accedere. Per le realtà con ambienti ibridi, esistono diverse opzioni per posizionare l’architettura Always On VPN. Il deployment del ruolo Remote Access su una macchina virtuale in ambiente Azure non è supportato, tuttavia è possibile utilizzare gli Azure VPN Gateway con Windows 10 Always On, per stabilire tunnel sia di tipologia Device Tunnel che User Tunnel. A questo proposito è bene precisare che è opportuno fare le corrette valutazioni sulla tipologia e sulla SKU dell’Azure VPN Gateway da implementare.

Tipologie di deployment

Per Always On VPN sono previsti due scenari di deployment:

Il deployment di Always On VPN può prevedere opzionalmente, per i client Windows 10 in join al dominio, di configurare l’accesso condizionato per regolare le modalità in cui gli utenti VPN accedono alle risorse aziendali.

Figura 2 – Workflow per il deployment di Always On VPN per Windows 10 client domain-joined

Il client Always On VPN può infatti integrarsi con la piattaforma Azure Contitional Access per forzare l’autenticazione a più fattori (MFA), la conformità dei dispositivi oppure una combinazione di questi due aspetti. Se conforme ai criteri di Contitional Access, Azure Active Directory (Azure AD) emette un certificato di autenticazione IPsec di breve durata che può essere usato per autenticarsi sul gateway VPN. La conformità del dispositivo utilizza i criteri di conformità di Microsoft Endpoint Manager (Configuration Manager / Intune), che possono includere lo stato di attestazione dell’integrità del dispositivo, come parte del controllo di conformità per la connessione.

Figura 3 – Workflow per la connessione lato client

Per maggiori dettagli su questa metodologia di deployment è possibile fare riferimento a questa documentazione Microsoft.

Provisioning della soluzione sui client
Always On VPN è progettato per essere implementato e gestito utilizzando una piattaforma di gestione dei dispositivi mobile come ad esempio Microsoft Endpoint Manager, ma è possibile utilizzare anche soluzioni di Mobile Device Management (MDM) di terze parti. Per Always On VPN non è presente alcun supporto per la configurazione e la gestione tramite Group Policy di Active Directory, ma qualora non si disponga di una soluzione MDM è possibile procedere con un deploy della configurazione in modo manuale tramite PowerShell.

Integrazione con altre soluzioni Microsoft

Oltre a quanto riportato nei paragrafi precedenti, la tecnologia Always On VPN si può integrare con le seguenti tecnologie Microsoft:

  • Azure Multifactor Authentication (MFA): se combinata con i servizi RADIUS (Remote Authentication Dial-In User Service) e l’estensione NPS (Network Policy Server) per Azure MFA, l’autenticazione VPN può sfruttare meccanismi di autenticazione a più fattori.
  • Windows Information Protection (WIP): grazie a questa integrazione è consentita l’applicazione dei criteri di rete per determinare se il traffico è autorizzato a passare attraverso il tunnel VPN.
  • Windows Hello for Business: in Windows 10, questa tecnologia sostituisce le password, fornendo meccanismo di autenticazione a due fattori forte. Questa autenticazione consiste in una tipologia di credenziali utente legate a un dispositivo e utilizza un PIN (Personal Identification Number) biometrico o personale.

Conclusioni

Preparare la propria infrastruttura per consentire agli endpoint di accedere alla rete aziendale tramite la tecnologia Always On VPN non richiede nessun costo aggiuntivo per licenze software e gli investimenti necessari sia in termini di effort che di risorse sono minimi. Grazie a questa metodologia di connettività si riesce a garantire una esperienza utente ottimale anche in mobilità, fornendo un accesso trasparente e automatico alla rete aziendale pur mantenendo un elevato livello di sicurezza. Per gli aspetti sopra elencati la tecnologia Always On VPN non è adatta a tutti gli scenari d’uso, ma è sicuramente da tenere in considerazione in presenza di sistemi Windows 10 che devono accedere remotamente alle risorse aziendali.