Connect with us

Ciberseguridad

Perspectivas sobre los pasillos de VPN corporativos

mm
Published
Updated

¿Para qué sirven los pasillos de VPN? ¿Tiene futuro esta clase de soluciones? ¿Qué parámetros deben considerarse al proteger los canales de comunicación?

Muchas organizaciones están experimentando una necesidad urgente de proteger los datos transmitidos. La transición masiva al trabajo remoto solo ha fortalecido esta tendencia. ¿Qué determina la elección de un pasillo de VPN — su funcionalidad, precio o la disponibilidad de los certificados necesarios? Analicemos estos temas de manera detallada.

Cómo se puede configurar un pasillo de VPN

En cuanto a las opciones prácticas para utilizar pasillos de criptografía, la protección de canales de comunicación de video, telemedicina y acceso seguro a los portales estatales oficiales han estado en demanda recientemente. En general, podemos hablar de un escenario común cuando el usuario accede a recursos específicos. Esto puede ser un canal de comunicación seguro con un sistema IDM, una plataforma en la nube o un punto de entrada único a través del cual se realiza el enrutamiento a otros recursos.

Técnicamente, hay dos escenarios para utilizar pasillos de criptografía: sitio a sitio y cliente a sitio. El escenario sitio a sitio tiene dos conjuntos de requisitos. El primero es una red distribuida geográficamente: por ejemplo, una docena de sucursales unidas en una red VPN común. La segunda opción es un canal seguro entre dos centros de datos.

Las tareas de proteger los datos corporativos en tránsito se pueden dividir en VPN basada en políticas y VPN basada en rutas. La segunda opción se vuelve relevante cuando el número de nodos aumenta a varios miles de dispositivos. En el caso de proteger la red troncal, entonces se utilizan soluciones de bajo nivel y una topología punto a punto.

Al hablar de la protección de canales con alta carga, no se puede limitar solo a la arquitectura punto a punto. Las soluciones de arquitectura punto a multipunto están en gran demanda en el mercado mundial. Es muy efectiva la protección del canal a nivel L2, ya que solo este enfoque puede garantizar la ausencia de retrasos.

Debería tenerse en cuenta que la protección sitio a sitio puede implementarse a nivel de software y hardware. En el último caso, el cliente puede elegir la opción de implementación en términos de, por ejemplo, las características de velocidad del canal protegido.

Debido al aumento en el número de empleados que trabajan de forma remota, también ha crecido la necesidad de escenarios de cliente a cliente, es decir, para establecer una conexión VPN directamente entre usuarios. Estos canales se utilizan para una comunicación rápida, videoconferencias, telefonía y otras tareas.

Sin embargo, no hubo un cambio significativo en la demanda y las soluciones tecnológicas al implementar la comunicación punto a punto. Utilizan codificadores de flujo que proporcionan una buena velocidad de conexión. Por otro lado, hay una creciente demanda de canales de comunicación más eficientes entre centros de datos. En algunos casos, se trata de conexiones con una banda ancha de más de 100 GB, que requieren un clúster completo de pasillos de VPN.

A su vez, el escenario de organizar el acceso remoto durante la pandemia ha mostrado un crecimiento significativo, y es en este sector donde surgieron los principales problemas de escalabilidad. No solo han cambiado la escala y las soluciones tecnológicas, como el uso de balanceadores de carga especializados para distribuir la carga entre decenas de miles de conexiones VPN, sino que también se ha acortado considerablemente el plazo de implementación del proyecto.

En cuanto a la forma en que los escenarios de uso de los pasillos de criptografía se relacionan con el nivel de cumplimiento requerido, debería tenerse en cuenta que el modelo de amenazas es de primordial importancia en este asunto. El nivel de cumplimiento puede estar indicado explícitamente en la documentación regulatoria o determinado de forma independiente por la organización.

Matices técnicos al elegir un pasillo de VPN

En cuanto a las diferencias en la cifrado de los pasillos de VPN y los casos en que se utilizan, tenga en cuenta que el modelo de uso del pasillo en gran medida dicta el nivel de protección. Hay varios medios técnicos para implementar el nivel de protección L3; sin embargo, diseñar una red L2 funcionando en este caso es problemático, aunque fundamentalmente posible. En cuanto al nivel L4, en realidad se está convirtiendo en el estándar para acceder tanto a recursos de Internet pública como a sitios corporativos.

La redundancia de datos y la tolerancia a fallos son criterios importantes para elegir un pasillo de VPN. Recuerde que es necesario tener en cuenta la tolerancia a fallos del equipo y los sistemas de control. Los parámetros importantes también son la velocidad de conmutación a un clúster de trabajo de respaldo en caso de emergencia y la velocidad de restauración del sistema a un estado normal.

Con bastante frecuencia, el hardware no tiene el tiempo medio entre fallos declarado por el proveedor. Por lo tanto, para el equipo utilizado en la red troncal, es importante no olvidar los medios básicos de tolerancia a fallos, como el suministro de energía dual o los sistemas de enfriamiento redundantes.

Alternativas para proteger los canales de comunicación

Otros temas importantes que deben abordarse aquí son las posibles alternativas a los pasillos de VPN, así como las formas de integrar soluciones para la protección criptográfica de los canales de comunicación con otras herramientas de seguridad como firewalls para garantizar una mejor protección contra diferentes amenazas.

Además de los pasillos de criptografía, se pueden utilizar dispositivos de cifrado de hardware de alto rendimiento para proteger los canales, así como sus contrapartes virtuales, que son lo suficientemente flexibles como para funcionar en casi todos los niveles del modelo OSI. Además, existen soluciones pequeñas, de placa única, en el formato de transceptor y módulos que se pueden integrar en dispositivos IoT.

Los expertos predicen que los pasillos de criptografía individuales como dispositivos dejarán gradualmente el mercado, dando paso a sistemas integrados. Hay otro punto de vista: como regla general, los sistemas universales son más baratos, pero su eficacia es menor que la de las soluciones especializadas. La integración exitosa también se puede realizar en la nube a nivel de proveedor de servicios. En este caso, el proveedor de servicios decide los problemas de compatibilidad, y el cliente recibe una solución universal con la funcionalidad necesaria.

Previsiones y perspectivas del mercado

Veo una gran necesidad de aumentar la velocidad de los pasillos de criptografía, y las soluciones de esta clase se desarrollarán para satisfacer esta solicitud. Los procesos de integración operarán en el mercado, pero el resultado de este movimiento aún es incierto. La industria de los pasillos de VPN estará impulsada por los dispositivos IoT, las tecnologías 5G y el crecimiento continuo de la popularidad del trabajo remoto. Algunos nuevos nichos para herramientas de protección criptográfica pueden ser los sistemas de control industrial.

En cuanto a la forma en que los clientes utilizan el modelo de información de seguridad, cambiarán cada vez más el modelo de uso de soluciones de seguridad de la información, externalizando la gestión de los pasillos de criptografía a los proveedores de servicios. Una tendencia importante será el aumento de la atención al componente de experiencia del usuario de los pasillos de criptografía, el aumento de la conveniencia de trabajar con ellos.

Otro punto de vista es que el mercado de los pasillos de criptografía está condenado, y en los próximos cinco o diez años, estas soluciones se convertirán en un producto de nicho. Los sistemas universales y el equipo localizado los reemplazarán. Sin embargo, la clase de pasillos de TLS evolucionará.

Conclusión

Al elegir medios de protección criptográfica de los canales de comunicación, es necesario tener en cuenta no solo la funcionalidad de una solución en particular, sino también su cumplimiento con los requisitos de los reguladores. Al considerar las diferentes opciones de pasillos de VPN, vale la pena pensar en los escenarios de uso, así como en la resolución de los problemas de integración con otros sistemas de seguridad de la información. En algunos casos, un sistema especializado puede garantizar mejor la seguridad; sin embargo, las soluciones universales y multifuncionales a menudo tienen la mejor eficiencia en cuanto a costos.

Related Topics:
mm

David Balaban es un investigador de seguridad informática con más de 17 años de experiencia en análisis de malware y evaluación de software antivirus. David gestiona MacSecurity.net y Privacy-PC.com proyectos que presentan opiniones expertas sobre asuntos de seguridad de la información contemporáneos, incluyendo ingeniería social, malware, pruebas de penetración, inteligencia de amenazas, privacidad en línea y hacking de sombrero blanco. David tiene una sólida experiencia en solución de problemas de malware, con un enfoque reciente en contramedidas contra el ransomware.