Среди специалистов по администрированию сетей давно ведутся дискуссии, как именно должен быть организован удаленный доступ сотрудников с сохранением при этом высокой производительности инфраструктуры.
Одни настаивают на масштабных финансовых вложениях и применении аппаратных шифраторов. Другие ориентируются на решения VPN туннелей.
Однако есть более гибкое и одновременно имеющее высокую степень защиты решение. Это CISCO AnyConnect - платформа VPN туннелирования, решающая задачи оценки соответствия, защищенного доступа и даже разделенного доступа, когда клиент может получить доступ к запрашиваемым ресурсам с минимальными задержками.
Применимость CISCO AnyConnect
Функционал CISCO AnyConnect может использоваться на огромном количестве устройств данного производителя. Это:
- межсетевые экраны ASA серий 5500, 550-Х;
- системы Firepower;
- широкий набор маршрутизаторов ISR, ASR с операционными системами CISCO IOS, IOS XE$
- виртуальные решения CSR 1000v, ASAv.
В огромном количестве случаев, есть вероятность, что в корпоративной сети или инфраструктуре предприятия уже используются перечисленные выше аппаратные и программные средства. И здесь для администраторов сети открываются очень привлекательные возможности. Сейчас у производителя есть особое предложение по получению бесплатных лицензий CISCO AnyConnect.
Варианты установки
Вариантов установки VPN клиента может быть несколько. Это как поставка готовых к использованию устройств в рамках корпоративной политики. Есть вариант автоматизированной установки в рамках доменных политик. Но есть самый простой способ, который просто идеален для сотрудников, находящихся на удаленке. Или клиентов, которым нужно предоставить тот или иной уровень защищенного доступа к внутренним ресурсам.
При обращении к настроенному на шлюзе CISCO AnyConnect - VPN клиент без дополнительных запросов скачивается на компьютер клиента и устанавливается. Сегодня поддерживаются все распространенные операционные системы, от Виндовс и МакОС до Линукс самых разных версий. В результате такого подхода можно максимально быстро развернуть сеть удаленных хостов.
Повышение защиты
При организации инфраструктуры для работы персонала удаленно всегда есть вероятность, что пользователь ненамеренно подвергнет корпоративную сеть опасности, заражая свою станцию вирусами или эксплойтами из интернета. CISCO AnyConnect предусматривает защиту от подобной ситуации. Функция AlwaysOn VPN блокирует доступ в интернет, если пользователь не подключен к защищенной корпоративной сети.
При этом опция может быть настроена весьма гибко. VPN будет отключаться, если пользователь работает с ресурсами внутренней корпоративной сети. Если же он покидает доверенное адресное пространство, совершенно незаметно включается VPN. От пользователя при этом не требуется никаких действий. Таким образом, он всегда будет находиться в рамках защитных мер, принятых в корпоративной среде.
Функция разделения трафика
Несмотря на явное удобство и обеспечение защиты с функцией AlwaysOn VPN, пользователь не всегда подчиняется корпоративным правилам. Кроме этого, при интенсивном использовании некоторых внешних сервисов возможна перегрузка сетевой инфраструктуры и, как следствие, ненадлежащее предоставление услуг.
CISCO AnyConnect предлагает разделение трафика с функцией SplitTunneling. Она позволяет обращаться к безопасным сервисам напрямую. Например, пользоваться скайпом, работать с онлайн ресурсами Офис365, смотреть видео с онлайн кинотеатром. При этом перечень разрешенных доменных имен задает администратор корпоративной сети. При обращении к разрешенному ресурсу в таблицу маршрутизации клиентского компьютера автоматически пропишется перечень адресов для использования конкретного домена напрямую. Таким образом, пользователю будут доступны только доверенные ресурсы, что соответствуют политике безопасности организации.