MEM: Tunnel pro vzdálený přístup

Microsoft Tunnel je de facto VPN řešením pro Microsoft Intune, které běží v Docker kontejneru na Linuxu a umožňuje přístup k firemním „On-prem” prostředkům z mobilních zařízení a tabletů, tedy z platforem iOS a Android, pomocí moderní autentikace za použití conditional access. Co je skvělé, na rozdíl od jiných VPN, řešení je Microsoft Tunnel plně integrován s Microsoft 365, takže zde naleznete built-in podporu pro single sign-on, nebo pro výše zmíněné Azure Active Directory conditional policies a umožňuje tak vcelku jednoduché nasazení.

Microsoft Tunnel Gateway se instaluje do Docker kontejneru, který běží na Linuxovém serveru. Nezáleží na tom, zda se jedná o fyzický server, nebo virtuál v on-prem prostředí nebo v cloudu. Pokud jde o požadavky, budete potřebovat CentOS 7.4+, Red Hat (RHEL) 7.4, Ubuntu 18.04 nebo Ubuntu 20.04, Docker ve verzi 19.03 CE a vyšší a TLS certifikát pro zabezpečení komunikace mezi VPN a mobilními zařízeními.

Po instalaci pak na spravovaná zařízení s operačními systémy iOS a Android nasadíte aplikaci MS Tunnel a odpovídající profily. Tím umožníte mobilním zařízením použít připravený tunel a získat přístup k firemním prostředkům. Pokud jste se rozhodli provozovat tunel v cloudu, pak budete potřebovat i nástroj Azure ExpressRoute, kterým propojíte vaše „On-prem“ prostředí s cloudem.

Architektura

Obrázek 1: MS Tunnel Gateway Architecture, zdroj: docs.microsoft.com

Microsoft Tunnel Gateway je tzv. Enterprise ready, což znamená, že se při používání počítá s použitím load balanceru pro dosažení “high availability”. Konfigurace probíhá v MEM konzoli, je tedy relativně jednoduchá a díky tomu aktualizace tunelu probíhají automaticky.

Aplikace

Aplikace jsou dostupné ke stažení na Google play/App store.

Aplikaci lze nastavit tak, aby poskytovala “full tunneling”, tedy aby bylo zajištěno, že veškerý síťový provoz prochází přes VPN. “Split tunneling” lze nakonfigurovat také, pokud budete z nějakého důvodu potřebovat, aby část trafficu jela přes internet. Lze nastavit i použití Proxy, podmínkou je ale Android 10 a novější, případně iOS/iPadOS.

Dle mého názoru je Microsoft Tunnel povedené řešení pro mobilní zařízení, obzvlášť v současné v době, kdy většina lidí pracuje mimo své pracoviště. Kromě jednoduché konfigurace nabízí i slušnou úroveň zabezpečení díky integrace s Azure AD.