Conforme más organizaciones avanzan de manera colectiva hacia la adopción de una arquitectura SASE, no hay duda de que la definición tradicional del mercado SASE (SSE + SD-WAN) no es suficiente. Este enfoque obliga a algunos equipos a trabajar con numerosos proveedores para abordar sus necesidades específicas, lo que plantea inconvenientes en términos de rendimiento y seguridad. Y lo que es más preocupante, ese modelo se basa más en una lista de servicios que en la arquitectura subyacente de un proveedor. Incluso los servicios de seguridad individuales más avanzados o los accesos de tráfico pierden importancia si, en última instancia, las organizaciones envían su tráfico a través de una red fragmentada y deficiente.
La arquitectura SASE de proveedor único es una tendencia crítica para combinar tecnologías de seguridad y de red dispares, pero la "conectividad universal" de las empresas necesita una verdadera modernización de la red para que el modelo SASE funcione para todos los equipos. En los últimos años, Cloudflare ha lanzado capacidades para ayudar a las organizaciones a modernizar sus redes mientras avanzan en sus hojas de ruta a corto y largo plazo de casos de uso de SASE. Hemos ayudado a simplificar la implementación de SASE, independientemente del equipo que lidere la iniciativa.
Anunciamos accesos flexibles (¡aún más!) para plataformas SASE de proveedor único
Hoy anunciamos una serie de actualizaciones de nuestra plataforma SASE, Cloudflare One, que amplían la promesa de una arquitectura SASE de proveedor único. A través de estas nuevas capacidades, Cloudflare aumenta la flexibilidad y la accesibilidad de las redes SASE para los equipos de seguridad, mejora la eficiencia para los equipos de redes tradicionales, y amplía de forma única su alcance a los equipos técnicos que apenas tienen acceso a las conversaciones sobre conectividad SASE: los equipos de DevOps.
Estas actualizaciones de la plataforma incluyen:
Accesos flexibles para la conexión de sitio a sitio que permiten implementaciones basadas tanto en agentes/proxy como en dispositivos/servicios de enrutamiento, y simplifican la conectividad SASE tanto para los equipos de seguridad como para los de redes.
Nuevas capacidades de WAN como servicio (WANaaS), tales como alta disponibilidad, conocimiento de las aplicaciones, opciones de implementación de máquinas virtuales, y visibilidad y análisis mejorados que aumentan la eficiencia operativa al tiempo que reducen los costes de red mediante un enfoque de "sucursal ligera, nube pesada".
Conectividad Zero Trust para DevOps: capacidades de redes seguras de malla y punto a punto que amplían ZTNA para admitir flujos de trabajo de servicio a servicio y tráfico bidireccional.
Cloudflare ofrece una amplia gama de accesos directos y de salida SASE, incluidos conectores para tu WAN, aplicaciones, servicios, sistemas, dispositivos o cualquier otro recurso de red interno, para enrutar más fácilmente el tráfico hacia y desde los servicios de Cloudflare. Esta ventaja ayuda a las organizaciones a alinearse con su paradigma de conectividad más adecuado, en función del entorno existente, la familiaridad técnica y la función laboral.
Recientemente hemos hablado sobre el conector Magic WAN en otra entrada del blog y hemos explicado cómo se interrelacionan todos nuestros accesos en nuestra arquitectura de referencia SASE, incluido nuestro nuevo WARP Connector. Este blog se centra en el impacto significativo que esas tecnologías tienen para los clientes que abordan las redes SASE desde puntos de vista diferentes.
Más flexible y accesible para los equipos de seguridad
El proceso de implementación de una arquitectura SASE puede desafiar el statu quo de una organización en cuanto a responsabilidades internas y colaboración entre los equipos informáticos, de seguridad y de redes. Diferentes equipos poseen diversas tecnologías de seguridad o redes cuyos ciclos de sustitución no están necesariamente alineados, lo que puede reducir la disposición de la organización para promover proyectos concretos.
Los profesionales de seguridad o de informática necesitan poder proteger los recursos independientemente de dónde se alojen. A veces, un pequeño cambio en la conectividad les ayudaría a proteger más eficazmente un determinado recurso, pero la tarea está fuera de su ámbito de control. Los equipos de seguridad no quieren tener que depender de sus equipos de redes para hacer su trabajo, y sin embargo tampoco necesitan causar problemas descendentes con la infraestructura de red existente. Necesitan una forma más fácil de conectar subredes, por ejemplo, sin que la burocracia se lo impida.
Conectividad de sitio a sitio basada en agente/proxy
Para ayudar a que estos proyectos basados en la seguridad superen los retos asociados a los silos tradicionales, Cloudflare ofrece implementaciones basadas tanto en agentes/proxy como en dispositivos/servicios de enrutamiento para la conectividad de sitio a sitio o de subred a subred. De este modo, los equipos de redes pueden seguir los conceptos de redes tradicionales con los que están familiarizados a través de nuestra WANaaS basada en dispositivos/servicios de enrutamiento — una arquitectura moderna frente a las superposiciones SD-WAN heredadas. Al mismo tiempo, los equipos de seguridad/informática pueden conseguir conectividad a través de conectores de software basados en agentes/proxy (como WARP Connector) cuya implementación puede ser más fácil. Este enfoque basado en agentes diluye la separación entre las normas del sector para los conectores de las filiales y los conectores de aplicación, acercando la tecnología WAN y ZTNA para ayudar a conseguir el acceso con menos privilegios en todas partes.
La conectividad basada en agente/proxy puede ser un ajuste complementario para un subconjunto de la conectividad de red total de una organización. Estos casos de uso de sitio a sitios, basados en software, podrían incluir micrositios sin enrutadores ni firewalls, o quizá casos en los que los equipos no pueden configurar túneles IPsec o GRE, como en redes gestionadas muy reguladas o entornos en la nube como Kubernetes. Las organizaciones pueden combinar accesos de entrada de tráfico que se ajusten a sus necesidades. Todas las opciones se pueden utilizar de forma componible y simultánea.
Nuestro enfoque basado en agente/proxy para la conectividad de sitio a sitio utiliza la misma tecnología subyacente que ayuda a los equipos de seguridad a sustituir totalmente las VPN, y a admitir ZTNA para aplicaciones con tráfico iniciado por el servidor o bidireccional. Se incluyen servicios como el tráfico VoIP (Voice over Internet Protocol) y SIP (Session Initiation Protocol), System Center Configuration Manager (SCCM) de Microsoft, replicación de dominios de Active Directory (AD) y, como se detalla más adelante en este blog, flujos de trabajo DevOps.
Diagrama que muestra los conectores de software de Cloudflare (accesos) que conectan simultáneamente la sede central, las filiales, los centros de datos, las nubes públicas y los usuarios remotos.
Este nuevo acceso de Cloudflare permite la conectividad de red de sitio a sitio, bidireccional y de malla sin necesidad de cambios en la infraestructura de enrutamiento de red subyacente. Actúa como un enrutador para la subred dentro de la red privada para el tráfico de entrada y salida a través de Cloudflare.
Más eficiente para los equipos de redes
Mientras tanto, para los equipos de redes que prefieren una implementación basada en dispositivos/servicios de enrutamiento de la capa de red para la conectividad de sitio a sitio, las normas del sector siguen obligando a elegir entre seguridad, rendimiento, coste y fiabilidad. Muchas (si no la mayoría) de las grandes empresas siguen confiando en formas heredadas de conectividad privada, como la tecnología MPLS. Este método suele ser caro y poco flexible, pero es muy fiable y tiene funciones como la calidad de servicio que se utilizan para la gestión del ancho de banda.
La conectividad básica a Internet está ampliamente disponible en la mayor parte del mundo habitado, pero plantea una serie de desafíos que la convierten en un sustituto imperfecto de las redes MPLS. En muchos países, la red Internet de alta velocidad es rápida y barata, pero no siempre es así. La velocidad y los costes dependen de la infraestructura local y del mercado de proveedores de servicios regionales. En general, la conexión a Internet de banda ancha tampoco es tan fiable como las redes MPLS. Las cortes y la lentitud no son inusuales, y los clientes tienen distintos grados de tolerancia a la frecuencia y duración de las interrupciones del servicio. Para las empresas, las interrupciones y la ralentización de la velocidad no son tolerables. Las interrupciones del servicio de red se traducen en pérdidas, clientes insatisfechos, menor productividad y empleados descontentos. Por eso, a pesar de que una parte importante de los flujos de tráfico corporativo se ha desplazado de todos modos a Internet, muchas organizaciones tienen dificultades para migrar de las redes MPLS.
SD-WAN planteó una alternativa a las redes MPLS que es neutral en cuanto al transporte y mejora la estabilidad de la red respecto a la banda ancha convencional en sí. Sin embargo, conlleva nuevos desafíos en cuanto a la topología y la seguridad. Por ejemplo, muchas implementaciones de SD-WAN pueden aumentar el riesgo si eluden la inspección entre filiales. También presenta desafíos específicos de implementación, como la forma de abordar el escalado y el uso/control (o más exactamente, la falta de) una milla intermedia. Así pues, la promesa de hacer un cambio completo a la conectividad a Internet y eliminar la red MPLS sigue sin cumplirse para muchas organizaciones. Estas cuestiones tampoco son muy evidentes para algunos clientes en el momento de la compra y requieren formación continua del mercado.
Evolución de la WAN empresarial
Cloudflare Magic WAN sigue un paradigma diferente diseñado desde cero en la conectividad cloud de Cloudflare. Adopta un enfoque de "filial ligera, nube pesada" para complementar y, con el tiempo, sustituir las arquitecturas de red existentes, incluidos los circuitos MPLS y las superposiciones SD-WAN. Si bien Magic WAN tiene controles de enrutamiento y configuración nativos de nube, similares a los que los clientes esperarían de una SD-WAN tradicional, su implementación, gestión y uso es más fácil. Se adapta a las necesidades en evolución de las empresas, con seguridad integrada. Clientes como Solocal coinciden en que las ventajas de esta arquitectura mejoran en última instancia su coste total de propiedad:
"El conector Magic WAN de Cloudflare ofrece una gestión centralizada y automatizada de la infraestructura de red y seguridad, con un enfoque intuitivo. Como parte de la plataforma SASE de Cloudflare, proporciona una arquitectura de proveedor único coherente y homogénea, basada en los estándares del mercado y las prácticas recomendadas. Se garantiza el control de todos los flujos de datos y se reducen los riesgos de fugas o fallos de seguridad. No tenemos dudas de que debería proporcionarnos ahorros significativos, ya que reduce hasta un 40 % todos los costes relacionados con la adquisición, la instalación, el mantenimiento y la actualización de los dispositivos de nuestra red de filiales. Una solución de conectividad de gran eficacia para que nuestros informáticos modernicen nuestra red". - Maxime Lacour, director de operaciones de red Solocal
Este enfoque es muy diferente a otras soluciones SASE de proveedor único, que han intentado conciliar adquisiciones que se diseñaron en torno a filosofías de diseño básicamente diferentes. Estas soluciones "agrupadas" promueven experiencias incompatibles debido a sus arquitecturas fragmentadas, y no distan mucho de lo que las organizaciones podrían experimentar si trabajaran con numerosos proveedores independientes de todos modos. La consolidación de los componentes de SASE con un proveedor que ha desarrollado una solución unificada e integrada, frente a la combinación de diferentes soluciones para redes y seguridad, simplifica significativamente la implementación y la gestión, porque reduce la complejidad, los riesgos de pasar por alto la seguridad y los posibles problemas de integración o conectividad.
Magic WAN puede establecer automáticamente túneles IPsec con Cloudflare a través de nuestro conector, bien manualmente a través de túneles IPsec Anycast o GRE iniciados en el enrutador o firewall de perímetro de un cliente, o a través de Cloudflare Network Interconnect (CNI) en ubicaciones de emparejamiento privadas o instancias de nube pública. Trasciende las afirmaciones de "integración" con SSE para converger realmente la seguridad y la funcionalidad de red y ayudar a las organizaciones a modernizar sus redes de forma más eficaz.
Diagrama que muestra Magic WAN de Cloudflare conectando sucursales, centros de datos y nubes privadas virtuales a servicios de seguridad en la red global de Cloudflare.
Nuevas funciones del conector Magic WAN
En octubre de 2023, anunciamos la disponibilidad general del conector Magic WAN, un dispositivo ligero que los clientes pueden colocar en los entornos de red existentes para obtener conectividad sin intervención a Cloudflare One y, en última instancia, utilizar para sustituir otro hardware de red, como dispositivos SD-WAN, enrutadores y firewalls heredados. Hoy nos complace anunciar las nuevas funciones del conector Magic WAN, que incluyen:
Configuraciones de alta disponibilidad (HA) para entornos críticos: en las implementaciones empresariales, las organizaciones suelen desear soporte de alta disponibilidad para mitigar el riesgo de fallos de hardware. La alta disponibilidad utiliza un par de conectores Magic WAN (que se ejecutan como una máquina virtual o en un dispositivo de hardware compatible) que funcionan conjuntamente para reanudar el funcionamiento sin problemas si falla un dispositivo. Los clientes pueden gestionar la configuración de alta disponibilidad, como todos los demás aspectos del conector Magic WAN, desde el panel de control unificado Cloudflare One.
Conocimiento de las aplicaciones: una de las principales funciones diferenciadoras de SD-WAN frente a dispositivos de red más tradicionales ha sido la capacidad de crear políticas de tráfico basadas en aplicaciones conocidas, además de atributos de la capa de red como IP y rangos de puertos. Las políticas basadas en aplicaciones facilitan la gestión y proporcionan más granularidad sobre los flujos de tráfico. La implementación de Cloudflare del conocimiento de las aplicaciones aprovecha la información de nuestra red global, utilizando la misma categorización/clasificación que ya comparten herramientas de seguridad como nuestra puerta de enlace web segura, por lo que los equipos de informática y de seguridad pueden esperar un comportamiento coherente en las decisiones de enrutamiento e inspección, una capacidad que no está disponible en las soluciones SASE agrupadas o de proveedor dual.
Opción de implementación en máquina virtual: el conector Magic WAN está ahora disponible como imagen de software de dispositivo virtual, que se puede descargar para su implementación inmediata en cualquier plataforma de virtualización/hipervisor compatible. El conector Magic WAN virtual tiene el mismo modelo de implementación ultra sencillo y la misma experiencia de gestión centralizada de flotas que el dispositivo de hardware, y se ofrece a todos los clientes de Magic WAN sin coste adicional.
Visibilidad y análisis mejorados: el conector Magic WAN ofrece una visibilidad mejorada de métricas clave como el estado de la conectividad, la utilización de la CPU, el consumo de memoria y la temperatura del dispositivo. Estos análisis están disponibles a través del panel de control y la API para que los equipos de operaciones puedan integrar los datos en sus centros de control de red.
Ampliación del alcance de SASE a los equipos de DevOps
La interacción compleja con el canal de integración y distribución continuas (CI/CD) es célebre por su agilidad. Por lo tanto, la conectividad y la seguridad que respaldan estos flujos de trabajo deben estar en consonancia. Los equipos de DevOps a menudo dependen de las VPN tradicionales para acceder de forma remota a distintas herramientas operativas y de desarrollo. La gestión de las VPN es complicada, además son objeto de explotación con vulnerabilidades de día cero, y utilizan un modelo heredado de conectividad de red en estrella tipo hub-and-spoke que es demasiado lento para los flujos de trabajo modernos.
De cualquier grupo de empleados, los desarrolladores son especialmente capaces de encontrar soluciones creativas que disminuyan la fricción en sus flujos de trabajo diarios, por lo que todas las medidas de seguridad corporativas deben "funcionar sin más", sin interponerse en su camino. Lo ideal sería que todos los usuarios y servidores de los entornos de compilación, preparación y producción se orquestaran mediante controles de acceso centralizados de Zero Trust, independientemente de los componentes y herramientas que se utilicen y de su ubicación. Se debe poder responder a los cambios de política ad hoc, así como al acceso temporal Zero Trust para contratistas o incluso personal de emergencia durante un incidente en un servidor de producción.
Conectividad Zero Trust para DevOps
ZTNA funciona bien como paradigma del sector para el acceso seguro con menos privilegios de usuario a aplicación, pero debería extenderse más a los casos de uso de redes seguras que implican tráfico bidireccional o iniciado por el servidor. Este enfoque tiene su origen en una tendencia emergente que imagina un modelo de conectividad de malla superpuesta a través de nubes, nubes privadas virtuales o segmentos de red sin depender de enrutadores. Para una verdadera conectividad universal, los clientes necesitan flexibilidad para cubrir todos sus casos de uso de conectividad de red y acceso a aplicaciones. No todos los accesos a la red de los proveedores de SASE pueden extenderse más allá del tráfico iniciado por el cliente sin requerir cambios en el enrutamiento de la red o afectar a la seguridad, por lo que las afirmaciones genéricas de "conectividad universal" pueden no ser lo que parecen en un principio.
Diagrama que muestra los conectores de software de Cloudflare (accesos) que garantizan los flujos de trabajo de DevOps que implican tráfico bidireccional entre desarrolladores y servidores.
Cloudflare amplía el alcance de ZTNA para garantizar que se cubren todos los casos de uso de usuario a aplicación, además de redes seguras de malla y punto a punto para que las opciones de conectividad sean lo más amplias y flexibles posible. Los flujos de trabajo de servicio a servicio de DevOps se pueden ejecutar eficazmente en la misma plataforma que ejecuta ZTNA, que sustituye la VPN o que gestiona SASE de clase empresarial. Cloudflare actúa como "enlace" de conexión entre todos los usuarios y recursos de DevOps, independientemente del flujo de tráfico en cada paso. Esta misma tecnología, es decir, WARP Connector, permite a los administradores gestionar diferentes redes privadas con rangos IP superpuestos, VPC y RFC 1918, admitir tráfico iniciado por el servidor y conectividad de aplicaciones punto a punto (por ejemplo, SCCM, AD, tráfico VoIP y SIP) sobre redes privadas existentes, crear redes privadas punto a punto (por ejemplo, flujos de recursos CI/CD) y enrutar el tráfico de forma determinista. Las organizaciones también pueden automatizar la gestión de su plataforma SASE con el proveedor Terraform de Cloudflare.
La diferencia de Cloudflare
La plataforma SASE de proveedor único de Cloudflare, Cloudflare One se ha desarrollado en nuestra conectividad cloud, la futura evolución de la nube pública, que proporciona una plataforma unificada e inteligente de servicios programables y componibles que permiten la conectividad entre todas las redes (empresariales y de Internet), nubes, aplicaciones y usuarios. Nuestra conectividad cloud es lo suficientemente flexible como para hacer que la "conectividad universal" sea una realidad más asequible para las organizaciones que implementan una arquitectura SASE, dando cabida a las preferencias de implementación junto con la orientación prescriptiva. Cloudflare se ha creado para ofrecer la amplitud y calado necesarios para ayudar a las organizaciones a recuperar el control informático a través de SASE de proveedor único y más allá, a la vez que se simplifican los flujos de trabajo para cada equipo que contribuya en el camino.
Otros proveedores de SASE diseñaron sus centros de datos para el tráfico de salida a Internet. Su diseño no contempla la gestión ni la protección del tráfico este-oeste, y no proporcionan servicios de milla intermedia o de seguridad para el tráfico que pasa de una filial a la sede central o entre filiales. La red troncal global de milla intermedia de Cloudflare es compatible con la seguridad y las redes para cualquier conectividad, tanto si los usuarios trabajan presencialmente como en remoto, y tanto si las aplicaciones están en el centro de datos como en la nube.
Para saber más, lee nuestra arquitectura de referencia, "Cómo desarrollar una arquitectura SASE con Cloudflare", o habla con un experto de Cloudflare One.