A principios de esta semana, anunciamos Cloudflare One™, nuestra solución integral de red como servicio basada en la nube. Cloudflare One mejora el rendimiento y la seguridad de la red a la vez que reduce los costes y la complejidad para empresas de todos los tamaños.
Cloudflare One está diseñado para manejar la escala y la complejidad de las redes de grandes empresas. Pero cuando se trata de la seguridad y el rendimiento de la red, el sector se ha centrado con demasiada frecuencia en los clientes más grandes, con grandes presupuestos y equipos tecnológicos. En Cloudflare, creemos que es nuestra oportunidad y nuestra responsabilidad dar servicio a todo el mundo, y ayudar a las empresas de todos los tamaños a beneficiarse de una red de Internet mejor.
Esta es la Semana Zero Trust en Cloudflare, y ya hemos hablado de nuestro mantra de Zero Trust para todos. Como rápido recordatorio, Zero Trust es un marco de seguridad que asume que todas las redes, dispositivos y destinos de Internet son intrínsecamente peligrosos y, por tanto, no se debe confiar en ellos. Cloudflare One facilita la seguridad Zero Trust al asegurar el modo en que tus usuarios se conectan a las aplicaciones corporativas y a Internet en general.
Como administrador de la red de una pequeña empresa, hay tres cosas fundamentales que debes proteger: los dispositivos, las aplicaciones y la propia red. A continuación, describiré cómo puedes proteger los dispositivos, tanto si están en tu oficina (filtrado de DNS) como si están en remoto (WARP+ y Gateway), así como las aplicaciones y tu red, pasando a un modelo de seguridad Zero Trust (Access).
Por diseño, Cloudflare One es accesible para equipos de cualquier tamaño. No deberías necesitar un departamento de TI enorme o el presupuesto de una empresa de la lista Fortune 500 para conectarte a tus herramientas de forma segura. El martes, anunciamos un nuevo plan gratuito que ofrece muchas de las funciones de Cloudflare One, como el filtrado de DNS, el acceso a Zero Trust y un panel de control de gestión, que pueden usar hasta 50 usuarios sin coste alguno.
A partir de ahora, tu equipo puede empezar a implementar Cloudflare One en tu organización con solo unos sencillos pasos.
Paso 1: Proteger las oficinas ante las amenazas en Internet con el filtrado de DNS (10 minutos).Paso 2: Proteger a los trabajadores remotos que se conectan a Internet con Cloudflare WARP+ (30 minutos).Paso 3: Conectar a los usuarios a las aplicaciones sin una VPN con Cloudflare Access (1 hora).Paso 4: Bloquear las amenazas y la pérdida de datos en los dispositivos con una puerta de enlace web segura (1 hora).Paso 5: Añadir Zero Trust a tus aplicaciones SaaS (2 horas).
1. Empieza a bloquear sitios maliciosos e intentos de phishing en 10 minutos
Internet puede ser un lugar peligroso, con malware y amenazas acechando por todos sitios. Proteger a los empleados de amenazas en Internet requiere una forma de inspeccionar y filtrar su tráfico. Se empieza con el filtrado a nivel de DNS, que puede eliminar rápida y fácilmente los sitios maliciosos conocidos, así como restringir el acceso a los lugares potencialmente peligrosos de Internet.
Cuando tus dispositivos se conectan a un sitio web, empiezan con el envío de una consulta de DNS a un solucionador de DNS para encontrar la dirección IP del nombre de servidor de ese sitio. El solucionador responde y el dispositivo inicia la conexión. Esa consulta inicial plantea dos desafíos para la seguridad de tu equipo:
La mayoría de las consultas de DNS no están encriptadas. Los proveedores de servicios de Internet (ISP) pueden espiar las consultas de DNS realizadas por tus empleados y dispositivos corporativos mientras trabajan desde casa. Y todavía peor, un actor malicioso podría modificar las respuestas para llevar a cabo un ataque.
Las consultas de DNS pueden resolver nombres de servidor maliciosos. Los miembros del equipo pueden hacer clic en enlaces que lleven a ataques de phishing o descargas de malware.
Cloudflare One puede ayudar a mantener privada esa primera consulta y evitar que los dispositivos soliciten sin querer un nombre de servidor malicioso conocido.
Empieza por registrarte en una cuenta de Cloudflare y ve al panel de control de Cloudflare for Teams.
A continuación, configura una ubicación. Se te pedirá que crees una ubicación, que puedes hacer si quieres proteger las consultas de DNS de una red de oficina. Solo tienes que implementar el filtrado de DNS de Gateway para tu oficina cambiando el enrutador de tu red para que apunte a la dirección IP asignada de Gateway.
Cloudflare opera 1.1.1.1, el solucionador de DNS más rápido del mundo. Hemos creado las herramientas de filtrado de DNS de Cloudflare Gateway sobre esa misma arquitectura para que tu equipo tenga un DNS más rápido y seguro.
Ahora puedes crear con facilidad una política de DNS de Gateway para filtrar amenazas de seguridad o categorías de contenido específicas.
Luego, usa el panel de control de Gateway para controlar las consultas permitidas o bloqueadas.
A continuación, ve al panel de control en la pestaña "Información general" y observa tu tráfico, incluyendo lo que estás bloqueando y permitiendo.
2. A continuación, protege a todos tus empleados remotos y envía todo el tráfico a través de Cloudflare mediante una conexión encriptada
Los empleados que antes se conectaban a Internet a través de la red de tu oficina, ahora se conectan desde cientos o miles de redes domésticas o desde puntos de acceso móviles diferentes para llevar a cabo su trabajo. Ese tráfico se basa en conexiones que puede que no sean privadas.
Puedes usar Cloudflare One para dirigir todo el tráfico de los miembros del equipo a través de una ruta encriptada y acelerada hacia Internet con Cloudflare WARP. Cloudflare WARP está disponible como una aplicación que los miembros de tu equipo pueden instalar en macOS, Windows, iOS y Android. El cliente dirigirá todo el tráfico de su dispositivo a un centro de datos de Cloudflare cercano sobre la implementación en Cloudflare de una tecnología llamada WireGuard.
Cuando se conectan, Cloudflare One usa WARP+, nuestra implementación de WARP que utiliza el servicio Argo Smart Routing para encontrar la ruta más corta a través de nuestra red global de centros de datos para llegar al destino del usuario.
Tu equipo puede empezar a utilizar Cloudflare WARP hoy mismo. Ve al panel de control de Cloudflare for Teams y compra el plan de Cloudflare Gateway o Cloudflare for Teams Standard. Una vez adquirido, puedes crear una regla para determinar quién puede utilizar Cloudflare WARP en tu organización.
Tus usuarios finales pueden iniciar el cliente, introducir el nombre de la organización de tu equipo y conectarse para empezar a utilizar WARP+. Como alternativa, puedes implementar la aplicación con los ajustes preconfigurados mediante el uso de una solución de gestión de dispositivos como JAMF o InTune.
Cloudflare WARP se integra perfectamente con el filtrado de DNS de Gateway para ofrecer una solución de DNS segura y encriptada a los dispositivos en itinerancia. Los usuarios pueden introducir el subdominio DoH de una ubicación en tu cuenta de Cloudflare for Teams para empezar a utilizar la configuración de filtrado de DNS de tu organización, independientemente de donde trabajen.
3. Sustituye tu VPN por Cloudflare Access
Cuando éramos un equipo más pequeño y nos basábamos en una VPN, nuestro servicio de asistencia informática recibía cientos de incidencias con quejas de nuestra VPN. Algunas de estas descripciones os pueden resultar familiares.
Creamos Cloudflare Access como una forma de reemplazar el uso de una VPN como el guardián de las aplicaciones. Cloudflare Access sigue un modelo conocido como seguridad Zero Trust en el que la red de Cloudflare, por defecto, no confía en ninguna conexión. Cada usuario que intente acceder a una aplicación tiene que demostrar que tiene permiso para acceder a esa aplicación en función de las reglas que configuren los administradores. Nuestro nuevo plan gratuito para Teams incluye hasta 50 usuarios de Access sin coste alguno.
Suena como añadir una carga, pero Cloudflare Access se integra con el proveedor de identidad de tu equipo y con las opciones de inicio de sesión único (SSO), para que cualquier aplicación parezca tan simple como una aplicación SaaS con SSO. Incluso si tu equipo no tiene un proveedor de identidad corporativa, puedes integrar Access con servicios gratuitos como GitHub y LinkedIn, para que tus empleados y socios puedan autenticarse sin añadir costes.
Para las aplicaciones alojadas, puedes conectar tu origen a la red de Cloudflare sin abrir agujeros en tu firewall usando Argo Tunnel. La red de Cloudflare acelerará el tráfico desde ese origen hasta tus usuarios por vías rápidas mediante el uso de nuestra red troncal privada global.
Cuando los miembros de tu equipo necesiten conectarse a una aplicación, pueden visitarla directamente o iniciarla desde un iniciador de aplicaciones personalizado para tu equipo. Cuando llegan, se les pedirá que inicien sesión con tu proveedor de identidad, y Access comprobará su identidad, y otras características como el país de inicio de sesión, con las reglas que crees en el panel de control de Cloudflare for Teams.
El plan gratuito de Cloudflare incluye hasta 50 usuarios de Cloudflare Access sin coste alguno para que tu equipo pueda empezar
4. Añade una puerta de enlace web segura para bloquear las amenazas y la pérdida de archivos
Con Cloudflare WARP, todo el tráfico que sale de tus dispositivos pasa por la red de Cloudflare. Sin embargo, las amenazas y la pérdida de datos se pueden esconder entre todo ese tráfico. Puedes añadir filtrado de HTTP de Cloudflare Gateway al uso de Cloudflare WARP de tu equipo para bloquear las amenazas y la pérdida de archivos. Por ejemplo, si tu equipo utiliza Box, puedes restringir todas las cargas de archivos a otros servicios de almacenamiento basados en la nube, para asegurarte de que todo quede en un único lugar aprobado.
Para empezar, ve a la sección de Políticas del panel de control de Cloudflare for Teams. Selecciona la pestaña de HTTP para empezar a crear reglas que inspeccionen el tráfico en busca de posibles problemas como URL maliciosas conocidas o archivos que se suben a destinos no aprobados.
Para inspeccionar el tráfico, tendrás que descargar e instalar un certificado en los dispositivos inscritos. Una vez instalado, puedes activar el filtrado de HTTP desde la pestaña de Políticas para empezar a aplicar las políticas que has creado y capturar los registros de eventos.
5. Integra las reglas Zero Trust en tus aplicaciones SaaS
Si no tienes aplicaciones autoalojadas, o también usas aplicaciones SaaS, puedes integrar las mismas reglas Zero Trust a las aplicaciones SaaS que utiliza tu equipo con Cloudflare Access for SaaS, independientemente de donde se alojen. Con Access for SaaS, las empresas pueden gestionar ahora de forma centralizada el acceso de los usuarios y la supervisión de la seguridad de todas las aplicaciones.
Puedes integrar Cloudflare Access como proveedor de identidad en cualquier aplicación SaaS que sea compatible con SAML SSO. Esa integración enviará todos los intentos de inicio de sesión a través de la red de Cloudflare a tus proveedores de identidad configurados y aplicará las reglas que tú controles.
Access for SaaS sigue incluyendo la capacidad de ejecutar varios proveedores de identidad a la vez. Cuando los usuarios se conectan a la aplicación SaaS, se les pedirá que elijan el proveedor de identidad que necesitan, o los enviaremos directamente al único proveedor que quieras utilizar para esa aplicación.
Una vez implementado, Access for SaaS ofrece alta visibilidad a tu equipo, con poco esfuerzo, de cada inicio de sesión tanto en las aplicaciones internas como en las de SaaS. Puedes usar la nueva función Access for SaaS como parte del plan gratuito de Cloudflare for Teams para hasta 50 usuarios.
6. Próximamente: Proteger las redes de oficinas de pequeñas empresas
El producto Magic Transit™ de Cloudflare reúne todo lo que aprendimos protegiendo nuestra propia red de los ataques a la capa IP y extiende esa seguridad a nuestros clientes que operan su propio espacio de direcciones IP. Al proteger esa red, los clientes también se benefician de una conectividad IP eficaz y de confianza a Internet.
En la actualidad, algunas de las mayores empresas del mundo confían en Magic Transit para mantener sus negocios protegidos ante ataques. Tenemos previsto ampliar esa misma protección y conectividad a los equipos que operan redes más pequeñas en las siguientes versiones.
¿Y después?
Cloudflare One representa nuestra visión para el futuro de la red corporativa, y apenas estamos empezando a añadir productos y funciones que ayudan a los equipos a pasarse a ese modelo. Dicho esto, tu equipo no debería tener que esperar para empezar a conectarse a través de Cloudflare, y proteger sus datos y aplicaciones con nuestra red.
Para empezar, regístrate en una cuenta de Cloudflare y sigue los pasos anteriores. Si, como pequeña empresa, o como gran empresa, tienes alguna pregunta sobre la configuración de Cloudflare One, háznoslo saber en esta publicación del foro de la comunidad.