Con Cloudflare One, es fácil crear tu red privada en Cloudflare, lo que no es tan fácil es mantener su seguridad con el tiempo. Se crean y se retiran recursos constantemente, de la misma forma que se crean y se eliminan usuarios a diario, lo que complica esta gestión a lo largo del tiempo.
Por eso, abrimos hoy una versión beta cerrada para nuestra nueva herramienta de descubrimiento de redes Zero Trust. Con Private Network Discovery, nuestra plataforma Zero Trust empezará ahora a catalogar de forma pasiva tanto los recursos a los que se accede como los usuarios que acceden a ellos, sin necesidad de nuevas configuraciones. No se necesitan comandos, clics o herramientas de terceros.
Para empezar, regístrate para conseguir acceso anticipado a la versión beta cerrada y obtener visibilidad instantánea de tu red hoy mismo. Si te interesa saber más sobre cómo funciona y qué otras cosas presentaremos en el futuro para el público general, sigue leyendo.
Uno de los aspectos más difíciles de migrar a Zero Trust es replicar las políticas de seguridad que están ahora activas en tu red. Aunque tengas un conocimiento en un momento determinado de tu entorno, las redes se encuentran en constante evolución, con nuevos recursos que se ponen en marcha de forma dinámica para diversas operaciones. La consecuencia es un circulo vicioso que obliga a descubrir y proteger las aplicaciones, creando así una interminable lista de revisiones pendientes para los equipos de seguridad.
Por esta razón, hemos creado Private Network Discovery, para permitir fácilmente a las organizaciones conseguir visibilidad completa de los usuarios y las aplicaciones que se encuentran en su red, sin ningún esfuerzo adicional por su parte. Simplemente conecta tu red privada a Cloudflare, y visualizaremos cualquier tráfico único que descubramos en tu red para que puedas trasladarlo de forma eficiente a las aplicaciones de Cloudflare Access.
Crea tu red privada en Cloudflare
Crear una red privada tiene dos componentes principales: el lado de la infraestructura y el lado del cliente.
El lado de la infraestructura de la ecuación lo proporciona Cloudflare Tunnel, que simplemente conecta tu infraestructura (ya sea una sola aplicación, muchas aplicaciones o un segmento de red completo) a Cloudflare. Esto se consigue con la ejecución de un simple daemon de línea de comandos en tu entorno para establecer varios enlaces seguros, solo de salida, con Cloudflare. En resumen, Tunnel es lo que conecta tu red con Cloudflare.
En el otro lado de esta ecuación, necesitas que tus usuarios finales se puedan conectar con facilidad a Cloudflare y, sobre todo, a tu red. Esta conexión la gestiona nuestro sólido agente de dispositivos, Cloudflare WARP. Este agente se puede implementar en toda tu organización en apenas unos minutos con el uso de tus herramientas internas de gestión de dispositivos móviles (MDM), y establece una conexión segura desde los dispositivos de tus usuarios a la red de Cloudflare.
Ahora que tu infraestructura y tus usuarios están conectados a Cloudflare, resulta fácil etiquetar tus aplicaciones y aplicar controles de seguridad Zero Trust, para verificar tanto la identidad como las reglas centradas en los dispositivos para todas y cada una de las solicitudes de tu red.
Cómo funciona
Como ya mencionamos antes, hemos creado esta función para ayudar a tu equipo a tener visibilidad de tu red, catalogando de forma pasiva el tráfico único destinado a un espacio de direcciones RFC 1918 o RFC 4193. Por diseño, esta herramienta funciona en un modo de observabilidad en el que todas las solicitudes se visualizan, pero se etiquetan con un estado base de "Sin revisar".
La herramienta Network Discovery visualiza todos los orígenes de tu red, definidos como cualquier dirección IP, puerto o protocolo únicos. Puedes revisar los detalles de cualquier origen, y luego crear una aplicación de Cloudflare Access para controlar el acceso a ese origen. También se debería tener en cuenta que las aplicaciones de Access pueden estar compuestas por más de un origen.
Usemos como ejemplo Jitsi, un servicio de videoconferencia alojado de forma privada. Uso este ejemplo porque nuestro equipo utiliza este servicio internamente para probar nuestras nuevas funciones antes de ponerlas en producción. En este escenario, sabemos que nuestra instancia autoalojada de Jitsi está situada en 10.0.0.1:443. Sin embargo, como se trata de una aplicación de videoconferencia, se comunica tanto en tcp:10.0.0.1:443 como en udp:10.0.0.1:10000. Aquí, seleccionaríamos un origen y le asignaríamos un nombre de aplicación.
Ten en cuenta que durante la versión beta cerrada, no podrás ver esta aplicación en la tabla de aplicaciones de Cloudflare Access. Por ahora, estos nombres de aplicaciones solo se mostrarán en la tabla de orígenes descubiertos del informe de Private Network Discovery. Los podrás ver exclusivamente en la columna Nombre de la aplicación. No obstante, cuando esta función pase a estar disponible para el público general, encontrarás todas las aplicaciones que hayas creado en Zero Trust > Access > Aplicaciones.
Una vez que hayas asignado un nombre de aplicación y hayas añadido tu primer origen, tcp:10.0.0.1:443, puedes seguir el mismo patrón para añadir también el otro origen, udp:10.0.0.1:10000. Esto te permite crear agrupaciones lógicas de orígenes para generar una representación más precisa de los recursos de tu red.
Al crear una aplicación, nuestra herramienta Network Discovery actualizará automáticamente el estado de estos orígenes individuales de "Sin revisar" a "En revisión". Esto permitirá a tu equipo poder seguir con facilidad el estado del origen. A partir de ahí, puedes profundizar para revisar el número de usuarios únicos que acceden a un origen concreto, así como el número total de solicitudes que ha realizado cada usuario. Esto ayudará a tu equipo a contar con la información necesaria para crear políticas Zero Trust basadas en la identidad y los dispositivos. Una vez que tu equipo se sienta cómodo con el uso de una aplicación determinada, podrás actualizar manualmente el estado para que sea "Aprobada" o "No aprobada".
¿Y ahora qué?
El lanzamiento de nuestra versión beta cerrada es solo el principio. Aunque puedes crear nombres descriptivos para tus aplicaciones de red privada, esos nombres no aparecen en este momento en el generador de políticas de Cloudflare Zero Trust.
A medida que avancemos hacia la disponibilidad para el público general, nuestra principal prioridad será facilitar la protección de tu red privada en función de lo que visualice la herramienta Private Network Discovery. Con el lanzamiento de la disponibilidad para el público general, podrás crear aplicaciones de Access directamente desde tu informe de Private Network Discovery, referenciar tus aplicaciones de red privada en Cloudflare Access y crear políticas de seguridad Zero Trust para esas aplicaciones, y todo ello en un único flujo de trabajo.
Como puedes ver, tenemos planes increíbles para esta herramienta, y seguiremos invirtiendo en Private Network Discovery en el futuro. Si estás interesado en obtener acceso a la versión beta cerrada, regístrate aquí y ¡sé uno de los primeros usuarios en probarla!