Microsoft ha entregado una VPN administrada para dispositivos móviles, utilizando un contenedor de Linux.
Los trabajadores remotos necesitan saber que pueden utilizar sus dispositivos móviles de forma segura.
Getty Images / iStockphoto
Nueve meses después de la pandemia, el trabajo remoto sigue siendo una herramienta importante para ayudar a reprimir el virus.
Pero muchos de los recursos que necesitamos utilizar están en máquinas en nuestros centros de datos corporativos, por lo que necesitamos un acceso seguro desde las PC domésticas a través de la Internet pública. Eso significa configurar, ejecutar y administrar VPN.
No es difícil configurar y ejecutar una VPN, ya que son estándar con la mayoría de los sistemas operativos de servidor o incluso están integrados en muchos enrutadores SME, aunque ejecutar uno de forma segura puede ser otra historia.
Cualquiera puede conectarse a una VPN, con el nombre de usuario y la contraseña correctos. Y esa conexión puede ser desde cualquier dispositivo, en cualquier lugar. Tecnologías como Acceso directo Intenté cambiar el modelo de VPN, pero eran complejas y requerían importantes habilidades de red y hardware dedicado.
Protección del trabajo remoto
¿Qué puede evitar que alguien ponga en peligro una PC doméstica que está conectada a su red y accede a datos confidenciales? Ni siquiera tiene que ser deliberado: considere un iPad que se usa tanto para el trabajo como para las lecciones en video de un niño que se conecta accidentalmente a la red corporativa en medio de una clase y muestra documentos a todos en la escuela.
Endpoint Security de Microsoft, junto con Azure Active Directory e Intune, ofrece un conjunto de herramientas de acceso condicional que establecen políticas para controlar el acceso a la red tanto para flotas corporativas como para hardware BYOD.
Son políticas que cubren más que PC, funcionan con Android e iOS, establecen estándares para la seguridad del dispositivo, para las versiones compatibles y administran una amplia selección de escenarios de seguridad, como “el viajero imposible”, o aumentar y disminuir la configuración de seguridad por ubicación de inicio de sesión.
Si bien la VPN de Windows Server predeterminada funciona bien con la mayoría de los sistemas operativos y es ideal para usar con clientes de Windows que utilizan herramientas como el acceso condicional y la autenticación moderna, no se obtiene el mismo nivel de control con los dispositivos móviles.
Con el cambio al trabajo remoto, esos dispositivos son una parte cada vez más importante de un entorno de trabajo combinado, lo que permite a los usuarios acceder rápidamente a versiones móviles de aplicaciones clave o trabajar con herramientas como Teams y Power Platform.
Microsoft Tunnel es una puerta de enlace VPN que permite el acceso a recursos locales desde dispositivos iOS, iPadOS y Android Enterprise mediante autenticación moderna y acceso condicional. Tunnel se proporciona como un contenedor que se ejecuta en un host Linux.
Imagen: Microsoft
Presentación de Microsoft Tunnel
Microsoft está obteniendo una vista previa de una alternativa a la VPN de Windows, Túnel de Microsoft, dirigido a dispositivos iOS, iPadOS y Android Enterprise.
Es una VPN basada en políticas que le permite bloquear el acceso a los dispositivos que cumplen con sus políticas de seguridad, lo que reduce el riesgo de intrusión por parte de malos actores y de fuga de datos a través de dispositivos mal configurados que no tienen la separación adecuada entre el trabajo y el contenido personal.
Tunnel se proporciona como un contenedor que se ejecuta en un host Linux. Ese host puede ejecutarse en las instalaciones o en la nube y, una vez instalado, se administra desde Microsoft Endpoint Manager mediante los perfiles de dispositivo de Intune para controlar el acceso al dispositivo.
Los servidores alojados en la nube necesitan una conexión directa entre la nube y su red local, a menos que esté trabajando con una infraestructura virtual alojada en la nube.
Microsoft recomienda utilizar su servicio MPLS Express Route para conexiones de sitio a nube, ya que es probable que desee una conexión con la latencia más baja posible. Aunque podría usar una conexión VPN de punto a punto, la sobrecarga asociada con este enfoque podría agregar un retraso significativo a las conexiones, además de tener dificultades para transportar todo el tráfico.
Se pueden vincular varios servidores como un sitio, con configuraciones de servidor que se aplican cuando los servidores se unen a un sitio utilizando scripts preparados.
Estos se pueden usar con un equilibrador de carga para administrar el acceso y pueden vincular a los usuarios directamente con aplicaciones específicas, en lugar de proporcionar una VPN de uso general. Se pueden aplicar políticas de VPN por aplicación, así como reglas para trabajar con conexiones VPN abiertas.
La aplicación Microsoft Tunnel está disponible para dispositivos Android e iOS / iPadOS.
Imágenes: Microsoft
Introducción a Microsoft Tunnel
Hay algunos requisitos previos antes de que pueda comenzar a usar Tunnel. Actualmente, solo se admiten cuatro sistemas operativos de host Linux, con Docker instalado para el contenedor Tunnel. Pueden ser servidores independientes o puede ejecutarlos como máquinas virtuales en Windows Server.
Microsoft también sugiere tamaños de CPU y memoria según la cantidad de conexiones que espera administrar. Debe tener un certificado TLS para sus servidores que esté asignado a la dirección IP del punto final del túnel o su nombre de dominio completo.
Los dispositivos cliente deben ejecutar la aplicación Microsoft Tunnel, que está disponible tanto en Tienda de aplicaciones de Apple y el Google Play Store. Puede usar Intune para administrar las instalaciones cuando sea necesario, enviando el cliente Tunnel a los dispositivos administrados.
El panel de Microsoft Endpoint Manager proporciona supervisión para Tunnel, con herramientas para manejar la configuración y mostrar el estado del servidor.
Una vez instalado, Microsoft Tunnel funciona como una solución administrada. No necesita administrarlo más allá de la administración de políticas, y todas las actualizaciones se administran desde Microsoft 365, incluso si está usando un conjunto de contenedores Tunnel configurados como un sitio. Brad Anderson, Microsoft CVP para Microsoft 365, señala:
“Lo construimos de una manera en la que, si tiene varias de estas puertas de enlace para manejar la carga, cuando vamos a actualizar, lo hacemos en un patrón continuo para que tenga siempre tengo dispositivos en línea “.
Llevando el trabajo remoto a todos sus dispositivos, de forma segura
Herramientas como Microsoft Tunnel abren el acceso a aplicaciones y servicios más allá de las PC, lo que permite a los trabajadores remotos usar dispositivos Android e iOS con el mismo nivel de seguridad garantizada. Al agrupar el servicio como un contenedor de Linux, Microsoft facilita el inicio: coloque un contenedor, conéctelo a una suscripción de Microsoft 365 Endpoint Security y listo.
Anderson describe este enfoque como permitir el acceso a servicios como Office 365 de una manera que sea amigable para la empresa: “Para entender ‘¿es realmente una sesión confiable?’, Debe tener un punto de vista sobre la confianza de la identidad, en la confianza del dispositivo, debe tener en cuenta aspectos como la ubicación física, la ubicación de la red; todas estas cosas tienen que entrar.
Esa fue, literalmente, la génesis de lo que ahora sabemos es el acceso condicional, que es el más implementado modelo de confianza cero en el planeta “.
Tener un enfoque de confianza cero para un dispositivo VPN como Microsoft Tunnel es importante, ya que garantiza que esté pensando de la manera correcta sobre la seguridad moderna, con un enfoque en la protección de datos y aplicaciones, y no en el hardware o los clientes.