Operaciones de Seguridad

VPNaaS , el acceso remoto que necesitas.

Ciberseguridad Avanzada para todos tus dispositivos

VPNaaS es una nueva arquitectura moderna de tecnología VPN que está diseñada precisamente para la cloud. VPN as a Service permite a las organizaciones proporcionar acceso seguro a los empleados a las aplicaciones y recursos de la compañía en cloud y viceversa.

Si bien las VPN de consumo tradicionales requieren un tipo de infraestructura VPN en el extremo del usuario, una VPN como servicio proporciona una conexión segura y de fácil acceso que se integra con la infraestructura en cloud de la organización. La VPN as a service es fácil de configurar y se puede implementar en cualquier lugar en solo unos minutos.

Además, VPN as a service mejora la seguridad de la arquitectura de cloud de la empresa con una opción más flexible y escalable en lugar de las VPN tradicionales obsoletas.

El ascenso de la fuerza laboral móvil

Con el aumento de la fuerza de trabajo móvil y la transformación de la cloud, la red tradicional que conocimos ya no es de confianza. Si bien los empleados ahora trabajan de forma remota desde sus casas, cafeterías o en todo el mundo, los dispositivos de seguridad estándar basados en hardware (Token Hardware) en los que hemos confiado durante más de 30 años ya no son adecuados para asegurar el acceso remoto y en las instalaciones.

Hasta hace poco, las empresas y organizaciones habían estado utilizando la seguridad de la red a través de dispositivos físicos centrados on premise. En una red centrada on premise, los empleados deben estar presentes en el sitio/oficinas o usar una VPN para conectarse con las oficinas centrales para acceder a los servicios de seguridad o al entorno cloud. Esta tecnología centrada en "el sitio" causa alta latencia, baja productividad, problemas técnicos y la necesidad de tratar con distribuidores de hardware. No hay segmentación ni conciencia del usuario dentro de la red. Los entornos cloud y los servicios SaaS no están protegidos adecuadamente y, en ocasiones, están expuestos a Internet públicamente.

Además de ser más vulnerables a los ciberataques, las soluciones tecnológicas tradicionales son prohibitivamente caras, no se integran bien con los servicios en cloud cada vez más populares en la actualidad y son extremadamente complicadas de usar. Los servicios de hardware tradicionales, así como las soluciones VPN de código abierto, pueden ser muy limitados para ofrecer visibilidad de red escalable y optimizada debido a la cantidad de configuración manual y sobrecarga que involucra.

Los empleados de hoy trabajan desde todas partes y las organizaciones dependen cada vez más de las tecnologías cloud. Con el aumento de la fuerza de trabajo móvil y la transformación cloud, la red tradicional que una vez conocimos ya no es de confianza.

Las organizaciones están adoptando cada vez más el uso de trabajadores remotos/teletrabajadores y muchas compañías se están moviendo hacia infraestructuras en cloud como AWS, Google Cloud, Azure y más. Con una red en constante expansión en el horizonte, los dispositivos de seguridad tradicionales basados ​​en hardware ya no son adecuados. Muchas empresas siguen utilizando los mismos dispositivos de seguridad de red centrados on premise y basados ​​en hardware en los que hemos confiado durante los últimos 30 años, y estos ya no son adecuados para asegurar el acceso remoto.

Acceso y seguridad para dispositivos BYOD

Cada vez más empleados utilizan "bring your own device" (BYOD), dispositivos personales con muchas aplicaciones para acceder a datos corporativos. Algunos ejemplos incluyen iPhones, iPads, dispositivos Android, BlackBerries y más. Estos dispositivos requieren niveles más fuertes de seguridad de end point, encriptación punto a punto y más. La seguridad puede ser para los datos en reposo en el propio dispositivo, el acceso seguro a los datos en la empresa y el cifrado de los datos en movimiento entre la empresa y el dispositivo.

BYOD se ha convertido en una gran tendencia entre las empresas, con casi 1/3 de los empleados utilizando dispositivos personales en lugares de los del trabajo en todo el mundo. Un solo BYOD puede proporcionar varios beneficios clave para las empresas, incluido el aumento de la productividad, la reducción de los costes operativos y de TI, una mejor movilidad para los empleados y un mayor atractivo a la hora de contratar y retener empleados. Sin embargo, con estos beneficios viene un mayor riesgo de seguridad móvil, ya que BYOD puede generar violaciones de datos y una mayor responsabilidad para la organización.

Casi las tres cuartas partes de los dispositivos móviles de los empleados utilizados para fines laborales no están conectados al soporte de TI de la empresa. Mientras más empleados trabajan de forma remota y usan sus propios dispositivos para conectarse a los recursos de la empresa, la VPN as a services puede mantener los datos de nuestra organización protegidos mediante el cifrado del tráfico de red.

Por qué necesitas cambiar de una VPN tradicional a una VPNaaS

Proporcionar a los empleados, socios y clientes acceso remoto a servidores, aplicaciones y recursos de red, en las instalaciones o en cloud solía ser raro, pero ahora es la normalidad. Al mismo tiempo, las tecnologías como las redes privadas virtuales (VPN) que proporcionan funcionalidad de acceso remoto no han seguido el ritmo de los requisitos de seguridad y el panorama de amenazas en constante evolución de la actualidad.

Las VPN, introducidas hace más de 30 años, pueden permitir el acceso remoto y seguro a Internet a través de una conexión segura punto a punto mediante la creación de un "túnel" encriptado a través del cual fluye el tráfico IP. Sin embargo, las VPN de consumo hacen que las organizaciones sean vulnerables porque los usuarios tienen acceso a toda la red interna al iniciar sesión y no están restringidos a recursos de red específicos, lo que hace que las VPN de consumo sean uno de los puntos más débiles de fallo con respecto al acceso de identidad y la gestión de credenciales.

Las limitaciones críticas de la VPN para el consumidor incluyen la falta de segmentación de la red, la visibilidad del tráfico, la seguridad del usuario en las instalaciones y la falta de seguridad Wi-Fi. Las VPN de consumo tradicionales no son adecuadas para redes dinámicas porque requieren hardware de computadora, administración constante y no pueden ajustarse fácilmente a los cambios de red o servidores. Esto hace que sea más complicado escalar y ajustar rápidamente para nuevos usuarios y ubicaciones de red, y cada vez mas difícil administrar eficazmente arquitecturas de computación híbridas y basadas en cloud.

Por el contrario, el modelo de VPN as a service aborda las limitaciones tradicionales de la VPN al tiempo que proporciona una plataforma flexible basada en cloud, configurabilidad de dispositivos y aplicaciones, así como accesibilidad, mayor seguridad, privacidad y granularidad y análisis de control de acceso de usuarios.

¿Cómo funciona una VPNaaS?

VPN as a Service (VPNaaS) proporciona acceso de red redundante de seguridad de protocolo de Internet (IPsec) que permite conexiones seguras entre redes privadas y proveedores de cloud pública, o conexiones Cloud to Cloud a través de puertas de enlace VPN que unen proyectos o regiones. IPsec es el conjunto de protocolos de red seguros que autentica y encripta los datos en la capa de paquetes IP.

El establecimiento de conexiones tunelizadas virtuales con IPsec entre los recursos de red y un dispositivo externo y el usuario requiere dos componentes principales: el software del cliente VPN  y la puerta de enlace de acceso a la red segura.

El tráfico IP que fluye entre los dos componentes pasa entre la puerta de enlace privada y el cliente, creando así una conexión IPsec para establecer un túnel de comunicaciones VPN seguro. El túnel o túneles privados y los datos que viajan a través de cualquier red, pública o privada, están encriptados, manteniendo todos los datos privados y seguros.

VPN vs VDI vs RDS: ¿Qué acceso remoto es mejor para ti?

A medida que crece la tendencia del trabajo desde casa, muchas empresas requieren acceso remoto seguro a aplicaciones y servicios corporativos para sus empleados distribuidos. Pero, ¿qué solución de acceso remoto es mejor para tu negocio?

Es relativamente fácil obtener acceso a servicios cloud como Microsoft Office 365, G-Suite, Salesforce y otras aplicaciones populares de software como servicio que la mayoría de las empresas usan hoy en día. Los empleados pueden simplemente escribir la URL desde casi cualquier lugar, y con las credenciales correctas pueden iniciar sesión fácilmente y acceder a sus aplicaciones y servicios favoritos.

Sin embargo, hay otras aplicaciones comerciales a las que no es tan fácil acceder de forma remota. Muchos empleados remotos aún necesitan conectarse de manera segura a aplicaciones de línea de negocios como finanzas, legal, atención médica, sistemas de contabilidad y otros contenidos y servicios que no están en una cloud pública.

A medida que aumenta el número de empleados que trabajan de forma remota desde su hogar , la necesidad de un acceso rentable desde una conexión a Internet desde el hogar es algo que casi todas las empresas necesitan. Y nada es más frustrante para un empleado remoto que no poder acceder a los datos y las aplicaciones que necesitan para realizar su trabajo, lo que a su vez tendrá una pérdida significativa en la productividad de la empresa.

Por supuesto, la experiencia real del usuario es clave cuando se trata de acceso remoto desde el hogar o en otro lugar; si es demasiado complicado o no es confiable, eso genera su propio conjunto de frustraciones.

Pero existen tantas opciones de acceso remoto seguro que puede ser confuso cuál es la adecuada para el negocio.Si realizamos una búsqueda rápida en Google, descubriremos que es bastante fácil perderse en un mar de marketing de todos los diferentes proveedores de software.

Pero de todas ellas, nos quedaremos con las tres tecnologías de acceso remoto más conocidas, seguida de las diferencias clave entre ellas, incluidas las ventajas y desventajas, para ayudarlo a ponernos al día con sus opciones.

¿Qué es una VPN?

Hemos empezado dando por echo que todo el mundo sabe que es una VPN, pero puede que esto no sea así del todo, por ello, empezemos por que es una VPN.

Una red privada virtual (VPN) es una tecnología que permite a los dispositivos de los usuarios conectarse de forma segura a una red corporativa desde ubicaciones remotas con una conexión a Internet. Esta tecnología generalmente está restringida a computadoras portátiles  y proporciona acceso a recursos de red como carpetas e impresoras compartidas de forma remota, a través de una conexión segura.

Los usuarios deberán instalar una aplicación o tener una configuración de conexión en su dispositivo, por lo que esto requerirá en algunos casos, de la asistencia del equipo de TI o al menos de un explicativo manual de configuración.

¿Qué es un VDI?

La Infraestructura de escritorio virtual (VDI) proporciona acceso remoto a un escritorio virtual a un servidor centralizado, lo que significa que todos los usuarios obtienen acceso a las mismas aplicaciones, tal como lo proporcione un administrador.

Con VDI, cada usuario tendrá su propio sistema dedicado basado en Windows que se puede configurar a su gusto, a diferencia de RDS.

En este escenario, hay máquinas virtuales separadas alojadas en un servidor único (o múltiple) con recursos dedicados para cada máquina, lo que puede mejorar tanto la seguridad como el rendimiento.

Por su facilidad de cara al usuario, existen "toneladas" de soluciones VDI en el mercado.

¿Que es un RDS?

Remote Desktop Services (RDS) es la última evolución de la solución de acceso remoto de Microsoft , que se denominó formalmente servicios de terminal o un servidor de terminal.

Funciona al permitir que los usuarios inicien sesión desde casi cualquier dispositivo a través de Internet en un servidor centralizado, presentando el mismo escritorio virtual a todos los usuarios.

Los recursos del servidor se dividen entre todos los usuarios que han iniciado sesión activamente en el servidor.

¿Cuáles son las diferencias clave entre VPN , VDI y RDS?

Red privada virtual (VPN)

Cuando se utiliza una VPN, la aplicación en el dispositivo cliente  establece una conexión segura y crea un túnel entre el dispositivo y la red corporativa.

El dispositivo del usuario final se comporta como si estuviera "en la oficina". Todas las aplicaciones y servicios ofrecidos pueden enviar datos de forma segura a través del túnel encriptado.

El procesamiento se realiza en la máquina del cliente a diferencia de RDS y VDI.

Infraestructura de escritorio virtual (VDI)

Al usar VDI , todos los usuarios tienen su propia estación dedicada que pueden personalizar, aunque el administrador puede definir políticas para decidir qué se puede modificar y qué es uniforme entre los diferentes sistemas virtuales.

Los usuarios obtendrán normalmente un entorno Microsoft más familiar para conectarse. Como los recursos están definidos y completamente dedicados a cada máquina, esto significa que cada máquina funciona independientemente de las demás, lo que puede ser importante para entornos altamente regulados o seguros.

2. Servicios de escritorio remoto (RDS)

Cuando se utiliza RDS , todos los usuarios inician sesión en la misma interfaz del servidor.

Aunque algunas configuraciones se pueden personalizar, en general todos tendrán la misma experiencia de usuario. Esto significa que los recursos se compartirán entre todos los usuarios que hayan iniciado sesión en el sistema.

Los usuarios no experimentarán la interfaz tradicional de Windows  a la que pueden estar acostumbrados, en cambio, se les presentará una versión del escritorio del servidor de Windows.

Pros y contras del software de acceso remoto

Existen ventajas y desventajas para cada una de estas configuraciones, pero estas son las principales cosas a considerar al hacer nuestra elección:

Coste

Una VPN es generalmente la solución de menor costo. Se requiere un hardware mínimo y los usuarios generalmente pueden conservar sus dispositivos existentes.

Un sistema VDI suele ser el más costoso, ya que se requiere una capa adicional de software para alojar un sistema VDI, más comúnmente Citrix o VMware.

Por ultimos , RDS puede caer en algún lugar en el medio, dependiendo de varios factores.

Mantenimiento

El uso de una configuración VDI requiere muchas máquinas virtuales diferentes para admitir la base de usuarios, por lo que puede ser más difícil ejecutar parches y actualizaciones.

Una configuración RDS generalmente tiene menos máquinas para parchar y mantener.

Las configuraciones de VPN pueden aprovechar el hardware existente, sin embargo, mantener los recursos fuera del sitio puede ser difícil ya que necesitan conectarse para estar visibles.

Rendimiento

La experiencia del usuario es generalmente más rápida en una solución VDI que RDS porque los recursos están compartimentados y son ajustables para cada usuario. Esto proporciona una experiencia más rápida al usar el sistema.

Normalmente se recomendaría una solución VDI si se requiere más potencia de procesamiento.

Las conexiones VPN dependen del hardware del cliente y la velocidad de conexión, por lo que el envío de grandes cantidades de datos puede ser lento debido al cifrado requerido.

Hardware del usuario

Debido a que todo el procesamiento se realiza en el lado del servidor, el hardware del usuario final no es tan importante en VDI o RDS.

Las soluciones VDI proporcionan clientes de acceso para Mac y Windows, y en algunos casos dispositivos iPhone y Android. Windows RDS tiene clientes para Windows y Mac, sin embargo, el uso de una PC basado en Windows generalmente brindará una experiencia de usuario más consistente.

Para las VPN, el hardware del usuario es más importante ya que el procesamiento se realiza en estos dispositivos.

Seguridad

VDI y RDS se pueden configurar para restringir la salida de datos de la red corporativa.

Las conexiones VPN protegen los datos en tránsito, sin embargo, los datos aún se pueden mover a cualquier dispositivo que el empleado desee, por lo que se deben tomar medidas adicionales para protegerlos contra la dispersión remota de datos.

Conclusión sobre las VPNaaS

Hemos empezado de más a menos, pero nos ha servido para hacer un repaso de los accesos remotos, con el fin de poder ver las mejores opciones para nuestra empresa.

Para las empresas con un alto volumen de empleados, y lo hemos visto a lo largo del confinamiento que nos ha traido el COVID-19, la mejor opción es el uso de VPN, y aqui es donde iria mucho mas allá he indicaria que la mejor opción el VPNaaS, un servicio bajo demanda que sea capaz de crecer en relación a las necesidades, ante los posibles imprevistos que puedan surgir como hemos visto, capaz de centralizar la administración de los requisitos , y crecer sin colapsar, siendo capaces de crear una infraestructura de VPN propia. Y lo mas importante, siendo capaz de albergar las necesidades de conexión a la cloud.

Tambien hemos visto los VDIs y los RDS, que en mi opinión, tienen una curva de adopción y aprendizaje mucho más rápida. Que siendo objetivos, halla sido la mejor opción en un caso de teletrabajo "obligado" , que en empresas con poca adopción al teletrabajo, sea la opción más viable, pero algo inasumible para empresas de gran tamaño.

No me gustaria estenderme más, pero creo que el futuro y ahora que tristemente nos hemos visto obligados a teletrabajar debido al COVID-19, y en el que muchas empresas, han visto que el "coco" del teletrabajo , no es tan "coco" , ampliaran sus VPNs y centraran sus estrategias teniendo en cuenta el BYOD y los accesos remotos, en el que si sumamos esto a los distintos entornos , desarrollo, producción, intranet y metemos una entropia como es la cloud.... tenemos una amplia configuración que debe ser administrada, y es hay donde entra en juego la VPNaaS , algo que, y ya lo adelanto, será una de los puntos tendencia del 2021, forzado por las situaciones que hemos vivido, en las que hemos salido al paso, pero que deberemos reforzar de cara a los proximos presupuestos.

Author image

About Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus
You've successfully subscribed to CIBERSEGURIDAD .blog
Great! Next, complete checkout for full access to CIBERSEGURIDAD .blog
Welcome back! You've successfully signed in.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.