Mr_SeReG@ [Off] [#] (24.06.2010 / 08:48)

При большом количестве внешних пользователей для серверов DirectAccess может применятся технологии кластеризации и балансировки нагрузки.

Важным преимуществом DirectAccess является возможность разделения “корпоративного” трафика и трафика, предназначенного для внешних Интернет серверов. Благодарая этому DirectAccess, в отличие от VPN, автоматически снижает нагрузку на корпоративные сервера, за счёт перенаправления интернет-трафика в обход установленных защищённых соединений.

DirectAccess производит аутентификацию компьютера ещё до входа пользователя в операционную систему, предоставляя доступ к DNS серверам и контроллерам домена. При последующей аутентификации пользователя ему предоставляются права доступа к другим внутренним ресурсам компании. При этом, помимо стандартной аутентификации пользователя по имени и паролю, для обеспечения более высокого уровня безопасности может использоваться двухфакторная аутентифкация с применением смарт-карт, что существенно снижает вероятность компрометации учётных данных пользователя.

При использовании DirectAccess смарт-карты могут применяться для аутентификации пользователя вне зависимости от используемого им компьютера, аутентификации компьютера вне зависимости от работающего за ним пользователя и дополнительной аутентификации при доступе к конкретным внутренним ресурсам.

Для использования DirectAccess желательна поддержка современного протокола IPv6, но, также допустима работа с использованием IPv4 или Teredo IPv6, которые позволяют инкапсулировать трафик IPv6 в широко распространённый сегодня IPv4.

При необходимости проверки состояния подключаемых к корпоративной сети компьютеров для снижения вероятности воздействия вредоносных программ на защищённость информационных ресурсов компании DirectAccess позволяет использовать технологии NAP (Network Access Protection — Безопасность сетевого доступа) и NAC (Network Access Control — Контроль сетевого доступа).

Так, например, для предоставления возможности подключения к корпоративной сети можно потребовать наличия на компьютере пользователя актуальных обновлений операционной системы, актуальных антивирусных баз и соответствия другим политикам безопасности. Компьютер пользователя, заражённый вирусом, не сможет получить доступа к корпоративным ресурсам, что ограничит распространение вирусной эпидемии.

Использование NAP и NAC совместно с DirectAccess не является обязательным условием, но крайне рекомендуется корпорацией Microsoft для обеспечения максимального уровня обеспечения информационной безопасности.
Таким, образом, для полноценного использования DirectAccess необходима соответствующая инфраструктура, в составе которой потребуются:
Сервер DirectAccess на базе ОС Windows Server 2008 R2;
Клиент DirectAccess на рабочей станции и Windows 7;
Два сетевых интерфейса на сервере для соединения с внешней (Интернет) и внутренней (Интранет) сетями;
Инфраструктура открытых ключей (PKI – Public Key Infrastructure;
Домен на базе Active Directory;
Поддержка протокола Ipv6;
NAC и/или NAP решения.

Такие технологии, как DirectAccess, напрямую направлены на дальнейшее развитие «облачных» вычислений, ставших столь популярными в последнее время.

Суть облачных вычислений состоит в том, чтобы предоставлять пользователю сервисы вне зависимости от его местонахождения. С учётом того, что скорости и пропускные способности каналов связи для мобильных устройств существенно выросли за последнее время и продолжают возрастать, всё больше и больше пользователей не будут замечать разницы при работе внутри стен офиса или далеко за его пределами. С помощью DirectAccess администраторы получают возможность удалённо управлять компьютерами организации вне зависимости от того, где в данный момент физически находится рабочая станция пользователя — в офисе, на другом краю света или существует в виде файла виртуальной машины в дата-центре.

Сочетание современных технологий позволит получить основные преимущества масштабируемости, мобильности и мощности вычислений.

DirectAccess – очень интересное решение. Вполне возможно, что со временем оно полностью вытеснит VPN. Действительно, возможность без дополнительной головной боли получать доступ к корпоративным файловым серверам, внутренним веб-сайтам и приложениям существенно облегчит жизнь как самим пользователям, так и администраторам — за счёт уменьшения времени, которое сейчас затрачивается на разъяснения и помощь при подключении к VPN-серверам.