Direct Access что это? Как работает и как его попробовать?
Direct Access - одна из самых интересных технологий, которыми мне приходилось пользоваться за последнее время. С помощью нее мой компьютер без использования традиционного VPN подключен в корпоративную сеть Microsoft. Если мой ноутбук с Windows 7 подключен к интернет хоть каким либо способом, то абсолютно прозрачно для меня поверх IPv4 или IPv6 создается защищенное соединение с корпоративной сетью. При смене способа подключения к Интернет подключение к корпоративной сети восстанавливается практически мгновенно.
Никаких настроек для этого делать мне не пришлось и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access. Таким образом, налицо облегчение жизни мобильному пользователю, но в тоже время сделано это не в ущерб безопасности. Перед тем, как моей машине будет разрешено подключиться в корпоративную сеть, она должна пройти проверку с помощью NAP, а я должен авторизоваться с помощью смарт карты. Трафик между моей машиной и удаленными серверами в Microsoft абсолютно прозрачно для меня шифруется с помощью IPsec или https. Раньше у меня при поездках по разным городам бывали проблемы с присоединением к корпоративному VPN. Происходило это из-за того, что некоторые одаренные провайдеры запрещали прохождение пакетов IPsec. Теперь же проблем нет вовсе. В общем с точки зрения конечного пользователя благодать да и только.
Казалось бы, экая невидаль – прозрачный VPN. Но на самом деле это первые признаки полной смены того, как мы строим свои сети. Представьте себе, насколько проще станет жизнь администратора, если мобильные пользователи всегда подключены в сеть. Нет нужны поддерживать vpn сервера и клиентов сторонних производителей. С точки зрения безопасности и управляемости тоже получаем солидные плюсы. Если моя система всегда в сети, то ее проще обновлять, мониторить и удаленно управлять ею.
Еще одно изменение, о котором стоит задуматься состоит в том, что теперь межсетевой экран на внешнем периметре сети в его стандартном понимании становится бесполезен, т.к само понятие периметра размывается. Получается, что у вашей сети нет периметра как такового, а значит все сетевые соединения становятся не доверенными. Подробно об этом писал Олег Ржевский в свое заметке “Время корпоративных брандмауэров заканчивается”.
Так же есть хороший обзор технологии Direct Access от Тараса Злонова и подробное техническое описание Direct Access от Михаила Шмакова. Плюс к этому доступна демонстрация того как работает Direct Access и как он выглядит с точки зрения пользователя. Здесь есть двух страничный документ Direct Access Datasheet описывающий, что необходимо иметь для внедрения, более подробные сведения можно почерпнуть из документа Using DirectAccess to Provide Secure Access to Corporate Resources from Anywhere. Ну а в документе Next Generation Remote Access with DirectAccess and VPNs рассказывается, какие варианты внедрения существуют и как Direct Access может быть совмещен с традиционными VPN. Разобраться, как это работает с точки зрения ИТ специалиста можно, прочитав Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2.
После ознакомления с этими документами у вас наверняка появится вопрос. Что нужно для того, чтобы попробовать это пресловутый Direct Access и где взять дополнительную документацию. Нет ничего проще, вот вам пошаговая инструкция Step By Step Guide: Demonstrate DirectAccess in a Test Lab
Я надеюсь, что вы так же как и я по достоинству оцените все преимущества предоставляемые Direct Access. И с нетерпением будете ждать выхода Windows Server 2008 R2 и Windows 7 используя которые можно будет приобщиться к этому чуду. Ждать осталось совсем не долго.
В ближайшее время мы собираемся записать подробный доклад о Direct Access для Techdays.ru, так что следите за нашими новостями.
Обновление:
Сравнение DirectAccess и традиционного VPN
Вышли подробные русские статьи о том как работает DirectAccess и какие механизмы обеспечивают его функционирование.