Always-On VPN
Что такое Always-On VPN?
Always-On VPNПолитика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android.
Always-On VPN — функция управляемого устройства, которую ОС применяет до того, как приложения смогут пользоваться сетью. В Windows она поставляется как VPN-профиль, доставляемый через Intune или PowerShell, поддерживает IKEv2 с автоматическими фазами device-tunnel и user-tunnel. Apple iOS, iPadOS и macOS предоставляют VPN On Demand и Per-App VPN с флагом AlwaysOn в mobileconfig-профилях, обычно через IKEv2 или вендорские IKEv2/WireGuard-туннели. Android содержит системную опцию Always-on VPN и параметр Block connections without VPN; корпоративные MDM (Workspace ONE, Intune) развёртывают её на весь парк. Это не даёт пользователям обойти корпоративный шлюз, защищает роуминговые устройства от вредоносного Wi-Fi и обычно сочетается с kill switch и сертификатной машинной аутентификацией.
● Примеры
- 01
Windows 11 Always On VPN с device-tunnel из XML-профиля Intune и машинных сертификатов IKEv2.
- 02
Android Enterprise включает Always-on VPN и 'Block connections without VPN', чтобы весь трафик приложений шёл через корпоративный шлюз.
● Частые вопросы
Что такое Always-On VPN?
Политика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Always-On VPN?
Политика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android.
Как работает Always-On VPN?
Always-On VPN — функция управляемого устройства, которую ОС применяет до того, как приложения смогут пользоваться сетью. В Windows она поставляется как VPN-профиль, доставляемый через Intune или PowerShell, поддерживает IKEv2 с автоматическими фазами device-tunnel и user-tunnel. Apple iOS, iPadOS и macOS предоставляют VPN On Demand и Per-App VPN с флагом AlwaysOn в mobileconfig-профилях, обычно через IKEv2 или вендорские IKEv2/WireGuard-туннели. Android содержит системную опцию Always-on VPN и параметр Block connections without VPN; корпоративные MDM (Workspace ONE, Intune) развёртывают её на весь парк. Это не даёт пользователям обойти корпоративный шлюз, защищает роуминговые устройства от вредоносного Wi-Fi и обычно сочетается с kill switch и сертификатной машинной аутентификацией.
Как защититься от Always-On VPN?
Защита от Always-On VPN обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Always-On VPN?
Распространённые альтернативные названия: AOVPN, Always On VPN, Device tunnel.
● Связанные термины
- network-security№ 1213
VPN Kill Switch
Защитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу.
- network-security№ 1215
Раздельное туннелирование VPN
Конфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет.
- network-security№ 1244
WireGuard
Современный минималистичный VPN-протокол с фиксированным набором актуальных криптопримитивов, работающий как часть ядра Linux.
- network-security№ 556
IPsec
Набор протоколов IETF, аутентифицирующий и шифрующий IP-пакеты и обеспечивающий безопасную связь на сетевом уровне.