Hoy destacamos cómo Cloudflare permite que los administradores creen políticas de seguridad mientras utilizan IP de origen dedicadas. Con los dispositivos en local, como las VPN heredadas, los firewalls y las puertas de enlace web seguras (SWG), ha sido conveniente para las organizaciones confiar en las políticas de listas de permitidos basadas en IP de origen estáticas. Pero estos dispositivos de hardware son difíciles de gestionar/escalar, contienen vulnerabilidades inherentes y tienen problemas para dar soporte al tráfico distribuido globalmente de los trabajadores en remoto.
A lo largo de esta semana, hemos escrito sobre cómo pasar de estas herramientas heredadas a la seguridad Zero Trust nativa de Internet, que ofrecen servicios como Cloudflare Gateway, nuestro SWG. Como servicio crítico integrado de forma nativa con el resto de nuestra plataforma más amplia Zero Trust, Cloudflare Gateway también permite el filtrado y el enrutamiento del tráfico para el DNS recursivo, el acceso a la red Zero Trust, el aislamiento remoto del navegador y el agente de seguridad de acceso a la nube (CASB) en línea, entre otras funciones.
No obstante, reconocemos que los administradores quieren mantener la comodidad de las IP de origen cuando las organizaciones hacen la transición a los servicios de proxy basados en la nube. En este blog describimos nuestro enfoque para ofrecer IP dedicadas para el tráfico de salida, y compartimos algunas de las próximas funcionalidades para proporcionar a los administradores aún más control.
IP de salida dedicadas de Cloudflare
Al acceder a aplicaciones y destinos de terceros en Internet, las IP de origen siguen siendo un método popular para verificar que el tráfico se origina en una organización/usuario conocido. Cuando las organizaciones usan Cloudflare como una puerta de enlace web segura, el tráfico de los usuarios se redirecciona mediante proxy a través de nuestra red global, donde aplicamos políticas de filtrado y enrutamiento en el centro de datos más cercano al usuario. Esto es especialmente útil en el caso de usuarios distribuidos globalmente o de usuarios itinerantes. Los administradores no necesitan actualizar las listas de IP estáticas cuando los usuarios se desplazan, y ninguna ubicación se convierte en un cuello de botella para el tráfico de los usuarios.
Hoy, la IP de origen para tráfico redireccionado mediante proxy es una de las dos opciones siguientes:
IP de proxy del cliente del dispositivo (WARP): Cloudflare redirecciona mediante proxy el tráfico del usuario con una IP del rango de IP por defecto compartido en todas las cuentas Zero Trust
IP de salida dedicada: Cloudflare proporciona a los clientes una IP dedicada (IPv4 e IPv6) o un rango de IP geolocalizadas en una o más ubicaciones de la red de Cloudflare
El rango de IP del proxy WARP es el método de salida por defecto para todos los clientes de Cloudflare Zero Trust. Es una buena manera de preservar la privacidad de tu organización, ya que el tráfico de los usuarios se envía a la ubicación de red de Cloudflare más cercana, lo que garantiza la experiencia de Internet más eficiente. Pero establecer políticas de seguridad de la IP de origen basadas en este rango de IP por defecto no proporciona la granularidad que los administradores suelen necesitar para filtrar el tráfico de sus usuarios.
Las IP de salida dedicadas son útiles en situaciones en las que los administradores quieren permitir el tráfico basado en un identificador persistente. Como su propio nombre indica, estas IP de salida dedicadas están disponibles exclusivamente para el cliente asignado, y no las utiliza ningún otro cliente que enrute el tráfico a través de la red de Cloudflare.
De forma adicional, puesto que estas IP de salida dedicadas las alquila Cloudflare, se evitan los problemas de privacidad que pudieran surgir al separarlas de los rangos de IP propios de una organización. Y, además, se reduce la necesidad de proteger tus rangos de IP asignados a tu dispositivo VPN local contra ataques DDoS o de otro tipo.
Las IP de salida dedicadas están disponibles como complementos para los clientes con contrato Enterprise de Cloudflare Zero Trust. Los clientes con contrato pueden seleccionar los centros de datos específicos de Cloudflare utilizados para su salida dedicada, y todos los clientes de suscripción reciben al menos dos IP para empezar, así que el tráfico de los usuarios se enruta siempre al centro de datos de salida dedicado más cercano para conseguir mayor rendimiento y resistencia. Por último, las organizaciones pueden gestionar la salida de su tráfico a través de las IP dedicadas de Cloudflare mediante sus accesos preferidos. Entre estos, el cliente de dispositivo de Cloudflare (WARP), los puntos de conexión de proxy, los accesos GRE e IPsec, o cualquiera de nuestras más de 1600 ubicaciones de redes entre pares, incluidos los principales ISP, proveedores de nube y empresas.
Casos prácticos de los clientes en la actualidad
Clientes de Cloudflare de todo el mundo aprovechan las IP de salida dedicadas de Gateway para optimizar el acceso a las aplicaciones. A continuación, los tres casos prácticos más comunes que han implementado clientes de diversos tamaños y sectores:
Permitir el acceso a aplicaciones de terceros: los usuarios suelen necesitar acceso a herramientas controladas por proveedores, socios y otras organizaciones de terceros. Muchas de esas organizaciones externas siguen dependiendo de la IP de origen para autentificar el tráfico. Las IP de salida dedicadas facilitan que esos terceros se ajusten a estas limitaciones.
Permitir el acceso a las aplicaciones SaaS: las IP de origen todavía se suelen utilizar como una capa de defensa en profundidad para la manera como los usuarios acceden a las aplicaciones SaaS, junto con otras medidas más avanzadas como la autenticación multifactor y las comprobaciones del proveedor de identidad.
Abandonar el uso de VPN: con frecuencia, las VPN alojadas tendrán IP asignadas del rango de IP anunciado por el cliente. Los fallos de seguridad, las limitaciones de rendimiento y las complejidades administrativas de las VPN están ampliamente documentados en nuestro reciente blog de Cloudflare. Para facilitar la migración de los clientes, los usuarios suelen optar por mantener los procesos de listas de IP permitidas que tienen ahora.
Con esto, los administradores pueden mantener la facilidad de crear políticas con IP fijas y conocidas, a la vez que se acelera el rendimiento para los usuarios finales mediante el enrutamiento a través de la red global de Cloudflare.
Políticas de salida de Cloudflare Zero Trust
Hoy, nos complace anunciar una nueva forma de crear políticas más granulares utilizando las IP de salida dedicadas de Cloudflare. Con el próximo creador de políticas de IP de salida en el panel de control de Cloudflare Zero Trust, los administradores pueden especificar qué IP se utiliza para el tráfico de salida basándose en los atributos de identidad, aplicación, red y geolocalización.
Con frecuencia, los administradores quieren enrutar solamente cierto tráfico a través de IP de salida dedicadas, ya sea para ciertas aplicaciones, ciertos destinos de Internet y ciertos grupos de usuarios. En breve, los administradores podrán configurar su método preferido de salida basándose en una amplia variedad de selectores, como aplicación, categoría de contenidos, dominio, grupo de usuarios, IP de destino y otros. Esta flexibilidad ayuda a las organizaciones a adoptar un enfoque por capas para la seguridad, lo que mantiene al mismo tiempo un alto rendimiento (a menudo a través de IP dedicadas) a los destinos más importantes.
Además, los administradores podrán utilizar el creador de políticas de IP de salida para geolocalizar el tráfico en cualquier país o región donde Cloudflare tenga presencia. Esta capacidad de geolocalización es especialmente útil para los equipos distribuidos por todo el mundo que requieran experiencias geoespecíficas.
Por ejemplo, un importante grupo de medios de comunicación tiene equipos de marketing que verifican los diseños de los anuncios digitales que se publican en las diferentes regiones. Antes de asociarse con Cloudflare, estos equipos contaban con procesos manuales y engorrosos para verificar que sus anuncios se mostraban de la manera esperada en los mercados locales: o bien tenían que pedir a compañeros de esas regiones que lo comprobaran, o bien tenían que poner en marcha un servicio de VPN para direccionar el tráfico mediante proxy a la región. Con una política de salida, estos equipos simplemente podrían crear un dominio de prueba personalizado para cada región y realizar la salida utilizando su IP dedicada allí implementada.
¿Y ahora qué?
Puedes aprovechar las IP de salida dedicadas de Cloudflare añadiéndolas a un plan Enterprise de Cloudflare Zero Trust, o contactando con tu equipo de cuenta. Si quieres que contactemos contigo cuando lancemos el creador de políticas de salida de Gateway, únete a la lista de espera aquí.