מהו Microsoft Tunnel

by · 24/09/2020

גישה למשאב מקומי ברשת הארגונית אינו דבר של מה בכך, וכאשר מנגישים משאב מקומי אנו צריכים לוודא שיש את כל הדרישות לכך, בין אם מדובר על דרישות IT או דרישות אבטחה.

לדוגמה כיום, כאשר אנו מנגישים משאב מקומי מתוך תחנה שהיא מבוססת על Windows 10 אנו צריכים לוודא שבין היתר יש חיבור VPN, ואותו חיבור VPN יודע לעבוד עם ספק זהויות על גבי אותה זהות וע"י כך לאפשר חיבור VPN מאובטח.

מה קורה כאשר מכשיר מסוג iOS או אנדרואיד צריך גישה למשאב מקומי? למשל גישה אל CRM או גישה אל SAP מקומי? במכשירים זה מתחיל להיות מסובך.

בנוסף לכך המעבר המהיר לעבודה מהבית הותיר ארגונים רבים לחפש את הדרך הטובה והחסכונית ביותר לסייע למשתמשים להיות פרודוקטיביים עם מכשירי iOS / iPadOS או Android Enterprise .

ארגונים שמבוססים בענן עשו את המעבר בצורה יחסית חלקה, אך יחד עם זאת ארגונים רבים אינם נמצאים בענן ולכן לא היו מוכנים למעבר המהיר ומצאו את עצמם בבעיה של הנגשת משאבים מרחוק.

פתרון הנגשה למכשירים חכמים הוא חלק מתוך Mobility והנגשת ניידות וכן חלק בפאזל של יישום Zero Trust

Microsoft Tunnel הוא פתרון VPN למכשירים חכמים באמצעות Microsoft Endpoint Manager.

באמצעות Tunnel ספציפי ניתן לגשת למשאבים מקומיים מתוך מכשירי iOS / iPadOS או Android Enterprise וזאת על גבי הזדהות מבוססת Modern Authentication.

המאמר הנוכחי מתמקד איך עובד Microsoft Tunnel ואיך מגדירים את היכולות והאפשרויות בשירות

ארכיטקטורה

Microsoft Tunnel Gateway או בקצרה MTG, רץ על Docker containers מבוסס לינוקס ומכיל מספר רכיבים שהם חלק מתוך הארכיטקטורה והיישום:

Microsoft Endpoint Manager (Intune)
Azure AD
Linux Server with Docker (Azure VM or Physical Server)
Tunnel Gateway
Management Agent
Authentication Plugin
Enrolled Device
Public IP (for MTG)
Corp Network and Internet access
Firewall Ports

בכדי ליישם MTG חייבים לוודא שישנה תשתית Endpoint Manager וכן תשתית Azure AD מוגדרת עם תצורת Modern Authentication בצורה הבסיסית (לפחות) לפי המלצות Microsoft, והסיבה לכך היא, שללא תשתית עם הגדרות מומלצות היישום של MTG לא יעבוד כנדרש, ולמשל, משתמשים שמנותבים לרשת הארגונית עלולים להיתקל בקשיים מסוימים כמו סיסמאות קופצות או גישה חלקית למשאבים.

איך כל זה עובד?

בשלב ראשון אנו נדרשים להתקין את הרכיב של Microsoft Tunnel Gateway על גבי שרת לינוקס ברמת Docker containers, ואותו שרת לינוקס יכול להיות מכונת Azure או שרת פיזי.

לאחר התקנת MTG אנו ממשיכים לשלב הבא של יצירת פרופיל VPN עבור מכשירים עם מערכות iOS או Android ופרופיל VPN חייב להיות מנותב מול אותו MTG וכן חייב להיות מנותב מול הרשת המקומית (הרשת הארגונית).

הערה: כאשר ישנו שרת MTG מוגדר בשירות Azure הדרישה היא לשלב פתרון Azure ExpressRoute בכדי להרחיב את הרשת המקומית (הרשת הארגונית) אל הענן

הארכיטקטורה הבאה מתארת באופן כללי את הגישה של מכשירים חכמים דרך שרת MTG על גבי הזדהות מבוססת Azure AD ועד גישה למשאב הנדרש.

מהו Microsoft Tunnel

ניהול Microsoft Tunnel נעשה באמצעות ממשק Endpoint Manager והפעולות שניתנות לביצוע, הם בין היתר:

  • ביצוע הגדרות Microsoft Tunnel Gateway
  • הורדת התקנת MTG לשרת לינוקס
  • הגדרה ופריסה של פורפילי VPN למכשירים נתמכים
  • הגדרה ופריסת אפליקצית Microsoft Tunnel למכשירים נתמכים

באמצעות אפליקציית Microsoft Tunnel אשר רצים על מכשירים נתמכים כדוגמת iOS / iPadOS או Android Enterprise ניתן לבצע:

  • הזדהות מבוססת Azure AD לאימות
  • תאימות גישה של מכשירים (Compliant)
  • חיבור באמצעות תנאי מבוסס Conditional Access

טיפ: אפליקציית Microsoft Tunnel זמינה בחנויות האפליקציות של iOS / iPadOS או Android, אך ניתן לפרוס את האפליצקיה באמצעות Endpoint Manager

בהגדרת של MTG ניתן להגדיר ולפרסו מספר שרתי לינוקס ולהגדיר לפי קבוצות לוגיות המבוססות על Sites, וכבר בהתקנה של השרת הראשון ניתן להגדיר Site ספציפי.

כאשר מגדירים Site אנו למעשה מגדירים את נקודת החיבור הראשונה של MTG וזאת שתשמש את המכשירים להתחברות דרכה, ולכן כל שרת מתבסס על קונפיגורציה ספציפית שיש לאתר.

מה קורה כאשר מכשירים צריכים להתחבר?

בכדי להפנות מכשירים חכמים לחיבור על גבי Microsoft Tunnel, הדרישה הראשונית היא ליצור פרופיל VPN ומדיניות לתצורות מכשירים בהתאם לסוג החיבור.

רגע לפני שמתחברים עם מכשירים צריך לוודא את הקונפיגורציה בצד השרת

  • טווח כתובות IP המוקצות למכשירים המתחברים
  • רשומות DNS אשר מוגדרות לפי אתרים ולפי דרישות גישה
  • פורטים ודרישות Firewall לטובת קונפיגורציה של MTG
  • Split Tunnel הכוללים 500 חוקים ולא מעבר לכך

כל Site צריך לעבוד לפי הקופיגורציה הבאה

  • כתובת IP ציבורית שתשמש לנקודת חיבור של המכשירים
  • ניתן להגדיר כתובות IP ציבוריות מול מספר שרתים לאיזון עומסים
  • תצורת Site חלה על כל שרת שנכנס אל אותו אתר

לאחר ישנו Site ושרתים אנו יכולים להגדיר פרופיל אשר מתבסס על הדגשים הבאים

  • Site שאליו חשוף המכשיר ודרכו יבוצע החיבור
  • תצורת VPN המוגדרות לפי הגישה אל המשאבים הנדרשים
  • ישנה אפשרות לבצע חיבור Always ON שבו הפרופיל VPN מחובר בכל רגע נתון
  • פוליסי מוגדר מראש עם גישה למשאבים ספציפיים
  • תמיכה במצב Proxy

לסיכום, האפשרות החדשה של Microsoft Tunnel מביאה איתה בשורה חדשה להתחברות אל משאבים מקומיים, וזאת ע"י הנגשה של פרופיל VPN מתוך Endpoint Manager.

במצב כזה אנו יכולים להוסיף שכבת אבטחה נוספת לתצורת Zero Trust.

איך מגדירים וטיפים לגבי הגדרת Microsoft Tunnel במאמר הבא

מאמרים נוספים בנושא Microsoft Endpoint Manager

מאמר רשמי בנושא Microsoft Tunnel

מאמרים וטיפים נוספים לגבי Intune

Tags:

השאר תגובה

error: Content is protected !!