Suscríbete para recibir notificaciones de nuevas publicaciones:

Magic WAN y Magic Firewall: conexión de red segura como servicio

2021-03-22

8 min de lectura
Esta publicación también está disponible en English, 繁體中文, 日本語, 한국어, Indonesia, ไทย y 简体中文.

En octubre de 2020, anunciamos Cloudflare One, nuestra visión para el futuro de la seguridad y las redes corporativas. Desde ese momento, nos hemos centrado en ofrecer más elementos de esta plataforma, y hoy estamos encantados de anunciar dos de sus aspectos más fundamentales: Magic WAN y Magic Firewall. Magic WAN ofrece servicios de conexión y enrutamiento seguros y eficaces para toda tu red corporativa, reduciendo al mismo tiempo los costes y la complejidad operativa. Magic Firewall se integra fácilmente con Magic WAN, permitiéndote aplicar políticas de firewall de red en el perímetro, en todo el tráfico de cualquier entidad dentro de tu red.

La arquitectura de red tradicional no resuelve los problemas de hoy en día

Tradicionalmente, las redes corporativas han adoptado uno de los pocos modelos que estaban diseñados para permitir un flujo de información seguro entre las oficinas y los centros de datos, y que protegía y gestionaba el acceso a Internet en los perímetros de las oficinas. Según las aplicaciones se han ido trasladando a la nube y los empleados han dejado de trabajar exclusivamente en las oficinas, estos diseños ha dejado de funcionar, y los parches, como los dispositivos VPN, no resuelven los problemas principales de la arquitectura de las redes corporativas.

En cuanto a la conectividad, la implementación de una red MPLS (conmutación de etiquetas multiprotocolo) de malla completa es cara y exige mucho tiempo. Además, su mantenimiento y escalabilidad no son fáciles y, a menudo, tienen grandes deficiencias en cuanto a visibilidad Otras arquitecturas requieren que se redireccione el tráfico a través de ubicaciones centrales antes de devolverlo al servidor de origen, una práctica que crea una latencia inaceptable y exige la compra de hardware central caro para conseguir la máxima capacidad en lugar de una utilización efectiva. Ademas, la mayoría de los clientes con los que hemos hablado tienen problemas con lo peor de ambos mundos: una combinación de arquitecturas imposibles de gestionar que han sido unidas de mala manera durante años o décadas. Los arquitectos de seguridad también tienen problemas con estos modelos. Tienen que compaginar una pila de dispositivos de hardware de seguridad de diferentes proveedores y equilibrar el coste, el rendimiento y la seguridad a medida que crece su red.

Migra tu perímetro de red al borde y protégelo como servicio

Con Magic WAN, puedes conectar de forma segura cualquier origen del tráfico (centros de datos, oficinas, dispositivos, propiedades en la nube) a la red de Cloudflare y configurar políticas de enrutamiento para que los bits lleguen a donde necesitan llegar, y todo ello en una solución SaaS. Magic WAN es compatible con una gran variedad de accesos, como túneles GRE Anycast, Cloudflare Network Interconnect, Argo Tunnel, WARP, y una variedad de socios de soluciones de acceso a la red. Se acabaron los gastos y los tiempos de espera de las redes MPLS, las desventajas en el rendimiento debido al enrutamiento del tráfico por medio del efecto trombón y la pesadilla de gestionar una maraña de soluciones heredadas. En su lugar, usa la red Anycast global de Cloudflare como una extensión de la tuya, y consigue mayor rendimiento y visibilidad incorporados.

Una vez que tu tráfico esté conectado a Cloudflare, ¿cómo controlas qué entidades de tu red pueden interactuar entre sí o con Internet? Aquí es donde aparece Magic Firewall. Magic Firewall te permite gestionar de forma centralizada las políticas de toda tu red, y todo ello en el perímetro como servicio. Magic Firewall te da un control detallado sobre los datos que pueden entrar y salir de tu red, o moverse dentro de la misma. Y lo mejor de todo, obtienes visibilidad de cómo fluye exactamente el tráfico por tu red desde un único panel de control.

Magic WAN ofrece la base para el amplio conjunto de funciones incluidas en Cloudflare One, todas ellas incorporadas en el software desde el principio para que puedan escalar e integrarse sin problemas. Magic Firewall está listo para usar con Magic WAN, y los clientes pueden activar fácilmente otras funciones de seguridad y rendimiento Zero Trust, como nuestra puerta de enlace web segura (SWG) con aislamiento remoto del navegador, sistema de detección de intrusos, Smart Routing, y mucho más.

"Nuestro equipo de red está encantado con Magic WAN. Cloudflare ha diseñado una plataforma de red global como servicio que ayudará a los equipos de red a gestionar entornos complejos en el perímetro y entornos multinube de forma mucho más eficiente. La capacidad de operar una única WAN global con seguridad integrada y funcionalidad de enrutamiento rápido, independientemente de donde se encuentre la sede, el centro de datos, la filial o el usuario, es un factor revolucionario en la tecnología WAN".— Sander Petersson, responsable de infraestructura, FlightRadar24

¿A qué se parece? Exploremos algunas formas en las que puedes utilizar Magic WAN y Magic Firewall para resolver problemas de redes y seguridad corporativos con nuestro cliente Acme Corp como ejemplo.

Sustituye una red MPLS entre filiales y centros de datos

Acme Corp cuenta hoy con oficinas en todo el mundo, que están conectadas a centros de datos regionales y entre sí con una red MPLS. Cada centro de datos, que aloja aplicaciones corporativas y una pila de dispositivos de hardware para protegerlas, tiene también una conectividad de línea alquilada con al menos otro centro de datos. Acme también está migrando algunas aplicaciones a la nube, y está planeando establecer conexiones directas desde sus centros de datos a los proveedores de nube, con el fin de aumentar la seguridad y la fiabilidad.

Según Acme ha ido creciendo, uno de los puntos más conflictivos de su equipo de red ha sido la gestión y el mantenimiento de su conectividad MPLS. Es cara y su implementación exige largos tiempos de espera, lo cual limita la velocidad a la que Acme se puede expandir a nuevas ubicaciones (especialmente a nivel internacional), u oficinas de apoyo que ha conseguido por medio de adquisiciones. Los empleados de las oficinas de Acme que se conectan a los proveedores en la nube y a las aplicaciones SaaS experimentan una latencia frustrante debido que el tráfico tiene que pasar por un centro de datos de Acme para cumplir con las políticas de seguridad aplicadas a través de una pila de dispositivos de hardware antes de ser enviado a su destino. El tráfico entre oficinas, como la telefonía IP y las videoconferencias, no cuenta con ninguna política de seguridad aplicada, lo cual supone un déficit en la postura de seguridad de Acme.

Acme, que también está migrando los procesos y el almacenamiento a la nube, quiere dejar de usar estas conexiones privadas y, en su lugar, aprovechar Internet, de forma segura, para la conectividad. Pensaron en establecer túneles VPN IPSec de malla completa de sitio a sitio a través de Internet, pero la complejidad ponía a prueba a su equipo de redes, así como sus implementaciones de enrutadores heterogéneos. Magic WAN está preparada para cumplir con las necesidades que tienen hoy, simplificando la gestión de la red y dando beneficios de rendimiento inmediatos, además de permitir la transición gradual de Acme desde MPLS.

En este ejemplo de implementación con Magic WAN, Acme conecta cada oficina y nubes privadas virtuales (VPC) a Cloudflare con túneles GRE Anycast. Con esta arquitectura, Acme solo tiene que configurar un único túnel para cada sede/conexión a Internet para recibir automáticamente conectividad a toda la red global de Cloudflare (más de 200 ciudades en más de 100 países de todo el mundo), como una arquitectura de red en estrella tipo hub-and-spoke, excepto que el hub está en todas partes. Acme también decide establecer una conectividad privada específica desde sus centros de datos con Cloudflare Network Interconnect, lo cual permite una entrega de tráfico todavía más segura y fiable, y una asombrosa conectividad a otras redes/proveedores en la nube a través de la red sumamente interconectada de Cloudflare.

Una vez configurados estos túneles, Acme puede configurar las rutas permitidas para el tráfico dentro de su red privada (espacio RFC 1918), y llevar el tráfico a su destino, ofreciendo así resistencia y optimización del tráfico. Con un proceso de configuración sencillo, que se completa en pocas horas, Acme Corp puede iniciar su migración fuera de MPLS. Conforme se implementan nuevas funciones de Cloudflare One, como QoS y Argo for Networks, el rendimiento y la fiabilidad de la red de Acme seguirán mejorando.

Acceso seguro a redes privadas para usuarios remotos

Cuando los empleados de Acme Corp empezaron a trabajar en remoto de forma abrupta por la pandemia de la COVID-19 el año pasado, el departamento informático de Acme se apresuró por encontrar soluciones a corto plazo para mantener el acceso de los empleados a los recursos internos. Sus redes VPN heredadas no pudieron con ello. Los usuarios de Acme que trabajaban desde casa tenían problemas de conectividad, fiabilidad y rendimiento, ya que los dispositivos estaban funcionando a límites para los que no fueron diseñados.

Por suerte, ¡hay una solución mejor! Acme Corp puede utilizar Cloudflare for Teams y Magic WAN para que los usuarios puedan acceder de forma segura a los recursos de las redes privadas desde sus dispositivos, dondequiera que estén trabajando. Los usuarios de Acme instalan el cliente WARP en sus dispositivos para enviar el tráfico a la red de Cloudflare, donde se puede autenticar y enrutar a recursos privados en centros de datos o VPC que están conectados a Cloudflare mediante un túnel GRE (como se muestra en el ejemplo anterior), Argo Tunnel, Cloudflare Network Interconnect o IPSec (próximamente). Esta arquitectura soluciona los problemas de rendimiento y capacidad que tenía Acme con sus redes VPN heredadas. En lugar de enviar todo el tráfico a través de dispositivos que generan un cuello de botella, se envía a la ubicación de Cloudflare más cercana, donde se aplica la política en el perímetro antes de enviarlo hasta su destino por una ruta optimizada.

Magic Firewall también podría controlar el tráfico de los dispositivos de los usuarios, de los centros de datos y de las oficinas de Acme Corp para establecer un control de políticas potente y granular que se aplique en todos los "accesos". Tanto si los usuarios se conectan desde sus teléfonos y portátiles, como si trabajan desde las oficinas de Acme, se pueden aplicar las mismas políticas en el mismo lugar. Esto simplifica la configuración y mejora la visibilidad para los equipos de TI y de seguridad de Acme, que podrán iniciar sesión en el panel de control de Cloudflare para ver y controlar las políticas desde un solo lugar. Esto supone un cambio radical, si se compara con la gestión de acceso de los usuarios a través de diferentes VPN, firewalls y servicios en la nube.

Esta solución permite a Acme prescindir de sus dispositivos de VPN, firewall y puerta de enlace web segura, lo cual mejora el rendimiento y permite una fácil gestión de las políticas sobre el tráfico, independientemente de donde trabajen sus usuarios.

Migrar las funciones de red y seguridad al perímetro

Tradicionalmente, Acme dependía de pilas de dispositivos de hardware en oficinas físicas y centros de datos para reforzar la seguridad de red y obtener visibilidad de lo que ocurre en ella, tales como firewalls especializados para inspeccionar el tráfico entrante o saliente, sistemas de detección de intrusos y SIEM. A medida que su organización ha ido migrando a la nube y se está replanteando el futuro del trabajo remoto, el equipo de seguridad de Acme está buscando soluciones sostenibles que mejoren la seguridad, incluso más allá de lo que solía ser posible en su arquitectura perimetral tradicional.

Anteriormente, explicamos cómo Acme podía configurar Magic WAN para enviar el tráfico de oficinas, centros de datos, propiedades en la nube y dispositivos a la red de Cloudflare. Una vez que este tráfico pasa a través de la red de Cloudflare, es fácil añadir controles de acceso y funciones de filtrado para aumentar o sustituir el hardware de seguridad local, todo ello entregado y administrado a través de un solo panel.

Con Magic Firewall, los clientes obtienen un único firewall como servicio que se ejecuta en el perímetro, que reemplaza el hardware engorroso que está instalado las oficinas o los centros de datos. Magic Firewall les permite gestionar con facilidad la configuración, y también simplifica el control del cumplimiento.

Para controlar el acceso, los clientes pueden configurar políticas que determinen exactamente qué tráfico puede ir a un lugar. Por ejemplo, Acme quiere que el tráfico vaya desde Internet a sus servidores web dentro de los centros de datos en los puertos 80 y 443, pero quiere bloquear el acceso SSH solo para ciertas redes privadas dentro de las oficinas.

Si Acme quiere proteger más su red, puede adoptar un modelo de acceso Zero Trust con Access y Gateway para controlar quién puede llegar a qué, y cómo, en todo su tráfico que pasa por la red de Cloudflare. A medida que Cloudflare lanza nuevas funciones de filtrado y control, como nuestras futuras soluciones IDS/IPS y DLP, Acme puede permitir que aumenten todavía más la seguridad con solo unos pocos clics.

El objetivo a largo plazo de Acme es migrar todas las funciones de seguridad y rendimiento a la nube, y usarlas como servicio. Magic WAN facilita esta migración, permitiéndoles profundizar gradualmente en su postura de seguridad a medida que van retirando el hardware heredado.

El aumento de la adopción de la nube, junto con la creciente importancia del trabajo remoto, ha incrementado el volumen de tráfico de Internet, SaaS e IaaS, poniendo a prueba las arquitecturas de red tradicionales, como MPLS. Las arquitecturas WAN que ofrecen una escala global, funciones de seguridad de red empresarial integradas y una conectividad directa y segura a los usuarios remotos son clave para las organizaciones que tratan de aumentar su agilidad operativa y reducir los costes totales de propiedad.— Ghassan Abdo, vicepresidente de investigación en telecomunicaciones mundiales, virtualización y CDN, IDC Research

La red de Cloudflare funciona como una extensión de tu propia red

Como con muchos de nuestros productos, Cloudflare One empezó como un conjunto de soluciones a problemas que sufrimos para ampliar y proteger nuestra red. Magic WAN y Magic Firewall nos permiten extender a los clientes los beneficios de nuestras meditadas decisiones sobre arquitectura de los últimos diez años:

  • Escala global y cercana al cliente: independientemente de donde estén tus oficinas, centros de datos y usuarios, nosotros estamos cerca. Hemos trabajado duro para establecer una gran conectividad con las redes gracias a nuestro negocio de CDN, lo cual beneficia a los usuarios remotos, que necesitan una buena conectividad desde sus casas hasta tu red. También significa que podemos detener las amenazas en el perímetro, cerca de su origen, y no corremos así el riesgo de que el tráfico malicioso sobrepase los dispositivos de capacidad limitada de la red.

  • Compatible con tus dispositivos de hardware y operadores: utiliza cualquier hardware que tengas hoy para conectarte con nosotros, y consigue las ventajas de la resistencia que ofrece nuestra conectividad con diversos operadores.

  • Creada desde cero para trabajar juntos: hemos desarrollado nuestros productos en un software, desde cero, para que se integren con facilidad. Pensamos constantemente en cómo se pueden integrar nuestros productos para mejorar mutuamente durante su desarrollo y evolución.

Empieza hoy mismo

Magic WAN está disponible en versión beta limitada, y Magic Firewall está disponible de forma general para todos los clientes de Magic Transit, y se incluye con Magic WAN. Si te interesa probar Magic WAN o quieres saber más sobre cómo puede ayudar Cloudflare a tu organización a sustituir la arquitectura de red MPLS heredada, a proteger el acceso de los usuarios remotos y a reforzar en tu postura de seguridad a la vez que reduces el coste total de propiedad, ponte en contacto con nosotros.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Cloudflare OneNoticias de productosSecurity Week (ES)Firewall (ES)Network

Síguenos en X

Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

Publicaciones relacionadas

24 de octubre de 2024, 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23 de octubre de 2024, 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

08 de octubre de 2024, 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...