Cloudflare One permite a los clientes desarrollar sus redes corporativas en Internet de manera más rápida y segura conectando cualquier origen o destino y configurando políticas de enrutamiento, seguridad y rendimiento desde un único panel de control. Hoy, nos complace anunciar la capacidad de enrutar el tráfico desde los dispositivos de los usuarios con nuestro agente de itinerancia ligero (WARP) instalado en cualquier red conectada con nuestros túneles Magic a la capa IP (GRE de Anycast, IPsec o CNI), otra parte esencial para permitir a las organizaciones progresar en su recorrido desde una arquitectura de red tradicional a un modelo Zero Trust. Una vez aquí, los usuarios pueden avanzar hacia un modelo de seguridad Zero Trust con el tiempo a través de un recorrido más sencillo desde el modelo perimetral tradicional hasta una arquitectura de nueva generación.

El futuro de las redes corporativas

Nuestros clientes describen tres fases distintas en la arquitectura de sus redes corporativas que reflejan los cambios que hemos visto con el almacenamiento y los procesos, solo que con un retraso de 10 a 20 años. Las redes tradicionales ("Generación 1") se ubicaban dentro de los centros de datos o las sedes. Las aplicaciones corporativas se alojaban en servidores de la empresa y el acceso se concedía a través de redes LAN o WAN privadas mediante dispositivos de seguridad perimetral. Conforme las aplicaciones migraban a la nube y los usuarios abandonaban las oficinas, las empresas implementaban tecnologías de "Generación 2" como SD-WAN y dispositivos virtualizados para gestionar un tráfico cada vez más fragmentado y dependiente de Internet. Lo que les ha quedado ahora es una amalgama deficiente de tecnologías obsoletas y nuevas, falta de visibilidad, lagunas en materia de seguridad y problemas para los equipos informáticos y de redes que están hasta arriba de trabajo.

Creemos que hay un futuro mejor, la arquitectura que Gartner describe como SASE. En ella, las funciones de seguridad y red pasan de los dispositivos físicos o virtuales a verdaderos servicios nativos de la nube que están a milisegundos de los usuarios y las aplicaciones, independientemente del lugar del mundo en el que se encuentren. Este nuevo paradigma promoverá el desarrollo de redes mucho más seguras, eficaces y fiables, creará mejores experiencias para los usuarios y reducirá el coste total de propiedad. La informática pasará de ser vista como un centro de costes y un obstáculo para los cambios empresariales a ser un motor de innovación y eficiencia.

Generation 1: Castle and Moat; Generation 2: Virtualized Functions; Generation 3: Zero Trust Network

Generación 1: seguridad perimetral; Generación 2: funciones virtualizadas; Generación 3: red Zero Trust

Sin embargo, este cambio transformador no se puede producir de la noche a la mañana. Muchas organizaciones, especialmente las que están migrando de una arquitectura heredada, tardarán meses o años en adoptar plenamente la tercera generación. La buena noticia es que Cloudflare está aquí para ayudar y serviremos de puente entre tu arquitectura de red actual y Zero Trust, sin importar en qué punto estés de tu recorrido.

¿Cómo lo haremos?

Cloudflare One, nuestra plataforma combinada de red como servicio Zero Trust, permite a los clientes conectarse a nuestra red global desde cualquier origen de tráfico o destino con una variedad de "accesos directos" dependiendo de tus necesidades. Para conectar dispositivos individuales, los usuarios pueden instalar el cliente WARP, que actúa como proxy de reenvío para enviar el tráfico a través de un túnel a la ubicación de Cloudflare más cercana, independientemente del lugar del mundo en el que se encuentren los usuarios. Cloudflare Tunnel te permite establecer una conexión segura, solo de salida, entre tus servidores de origen y Cloudflare instalando un daemon ligero.

El año pasado, anunciamos la capacidad de enrutar el tráfico privado de los dispositivos inscritos en WARP a las aplicaciones conectadas con Cloudflare Tunnel, permitiendo el acceso a la red privada a cualquier aplicación TCP o UDP. Esta es la arquitectura que recomendamos para el acceso a la red Zero Trust, pero los clientes con una arquitectura heredada también nos han trasladado que quieren opciones para permitir una transición más gradual.

Para la conectividad a nivel de red (capa 3 de OSI), ofrecemos opciones GRE o IPsec basadas en estándares y nuestra aportación. Estos túneles son Anycast, lo que significa que un túnel de tu red se conecta automáticamente a toda la red de Cloudflare que abarca más de 250 ciudades, proporcionando redundancia y simplificando la gestión de la red. Los clientes también tienen la opción de usar Cloudflare Network Interconnect, que permite la conectividad directa a la red de Cloudflare a través de una conexión física o virtual en más de 1600 lugares de todo el mundo. Estos acceso directos de capa 1 a 3 te permiten conectar tus redes públicas y privadas a Cloudflare con tecnologías conocidas que agilizan y refuerzan todo tu tráfico IP de manera automática.

Ahora, el tráfico de los dispositivos que usan WARP se puede enrutar automáticamente a cualquier red conectada con un acceso directo a la capa IP. Esta "tunelización" adicional incluida en Cloudflare One aumenta la flexibilidad que tienen los usuarios para conectar su infraestructura de red existente, lo que permite a las organizaciones migrar de manera progresiva desde la arquitectura tradicional de VPN a Zero Trust con conectividad a nivel de aplicación.

¿Cómo funciona?

Los usuarios pueden instalar el cliente WARP en cualquier dispositivo para redireccionar el tráfico mediante proxy a la ubicación de Cloudflare más cercana. A partir de ahí, si el dispositivo está registrado en una cuenta de Cloudflare con Zero Trust y está activado el enrutamiento privado, tu tráfico se entregará al "espacio de nombres" de red aislado y dedicado de la cuenta, una copia lógica de la pila de red Linux específica para un solo cliente. Este espacio de nombres, que existe en todos los servidores de todos los centros de datos de Cloudflare, contiene toda la configuración de enrutamiento y túneles de la red conectada de un cliente.

Una vez que el tráfico llega al espacio de nombres de un cliente, se enruta a la red de destino a través de los túneles GRE, IPsec o CNI configurados. Los clientes pueden configurar la priorización de rutas para equilibrar la carga del tráfico a través de varios túneles y realizar la conmutación por error de manera automática a la ruta de tráfico más óptima posible desde cada ubicación de Cloudflare.

En la ruta de retorno, el tráfico procedente de las redes de los clientes hacia Cloudflare también se enruta a través de Anycast a la ubicación de Cloudflare más cercana, pero esta ubicación es diferente a la de la sesión WARP, por lo que este tráfico de retorno se reenvía al servidor en el que la sesión WARP está activa. Para ello, usamos un nuevo servicio interno llamado Hermes que permite compartir datos entre todos los servidores de nuestra red. Al igual que nuestro servicio Quicksilver propaga los datos del par clave-valor de nuestra infraestructura central a través de nuestra red, Hermes permite a los servidores escribir datos que otros servidores pueden leer. Cuando se establece una sesión WARP, su ubicación se escribe en Hermes. Cuando se recibe el tráfico de retorno, la ubicación de la sesión WARP se lee en Hermes, y el tráfico se envía a través del túnel de forma apropiada.

¿Y ahora qué?

Este método de acceso directo está disponible hoy para todos los clientes de Cloudflare One. Ponte en contacto con tu equipo de cuenta para configurarlo. Estamos encantados de añadir más funciones para facilitar aún más la transición de los clientes a Zero Trust, incluida la superposición de políticas de seguridad adicionales sobre el tráfico de red conectado y la detección de servicios para ayudar a las organizaciones a priorizar las aplicaciones para migrar a la conectividad Zero Trust.