Descripción de la conectividad de red remota
Acceso global seguro admite dos opciones de conectividad: instalar un cliente en un dispositivo de usuario final y configurar una red remota, por ejemplo, una ubicación de rama con un enrutador físico. La conectividad de red remota simplifica la forma en que los usuarios finales e invitados se conectan desde una red remota sin necesidad de instalar el cliente de Global Secure Access.
En este artículo se describen los conceptos clave de la conectividad de red remota junto con escenarios comunes en los que puede resultar útil.
¿Qué es una red remota?
Las redes remotas son ubicaciones remotas o redes que requieren conectividad a Internet. Por ejemplo, muchas organizaciones tienen una sede central y ubicaciones de sucursales en diferentes áreas geográficas. Estas sucursales necesitan acceso a los datos y servicios corporativos. Necesitan una manera segura de comunicarse con el centro de datos, la sede central y los trabajadores remotos. La seguridad de las redes remotas es fundamental para muchos tipos de organizaciones.
Las redes remotas, como una ubicación de rama, normalmente se conectan a la red corporativa a través de una red de área extensa dedicada (WAN) o de una conexión de red privada virtual (VPN). Los empleados de la ubicación de rama se conectan a la red mediante el equipo local del cliente (CPE).
Desafíos actuales de la seguridad de red remota
Los requisitos de ancho de banda han crecido: el número de dispositivos que requieren acceso a Internet ha aumentado exponencialmente. Las redes tradicionales son difíciles de escalar. Con la llegada de aplicaciones de software como servicio (SaaS) como Microsoft 365, cada vez son mayores las demandas de comunicaciones de baja latencia y sin vibraciones a las que se enfrentan tecnologías tradicionales como la red de área extensa (WAN) y la conmutación de etiquetas multiprotocolo (MPLS).
Los equipos de TI son costosos: normalmente, los firewalls se colocan en dispositivos físicos en el entorno local, lo que requiere un equipo de TI para la instalación y el mantenimiento. El mantenimiento de un equipo de TI en cada ubicación de sucursal es costoso.
Amenazas en constante evolución: los actores malintencionados buscan nuevas vías para atacar los dispositivos en el perímetro de las redes. Los dispositivos periféricos de las sucursales o incluso de las oficinas domésticas suelen ser el punto de ataque más vulnerable.
¿Cómo funciona la conectividad de red remota de Global Secure Access?
Para conectar una red remota a Global Secure Access, configure un túnel IPSec (Internet Protocol Security) entre el equipo local y el punto de conexión de Global Secure Access. El tráfico que especifique se enruta a través del túnel IPSec al punto de conexión de Global Secure Access más cercano. Puede aplicar directivas de seguridad en el centro de administración de Microsoft Entra.
La conectividad de red remota de Global Secure Access proporciona una solución segura entre una red remota y el servicio de Global Secure Access. No proporciona una conexión segura entre una red remota y otra. Para obtener más información sobre la conectividad entre dos redes remotas seguras, consulte la documentación de Azure Virtual WAN.
¿Por qué es importante para usted la conectividad de red remota?
Mantener la seguridad de una red corporativa es cada vez más difícil en un mundo de trabajo remoto y equipos distribuidos. Security Service Edge (SSE) promete un mundo de seguridad en el que los clientes pueden acceder a sus recursos corporativos desde cualquier lugar del mundo sin necesidad de enviar su tráfico a la sede central.
Escenarios comunes de conectividad de red remota
No quiero instalar clientes en miles de dispositivos locales.
Por lo general, SSE se aplica mediante la instalación de un cliente en un dispositivo. El cliente crea un túnel al punto de conexión SSE más cercano y enruta todo el tráfico de Internet. Las soluciones SSE inspeccionan el tráfico y aplican directivas de seguridad. Si los usuarios no son móviles y se basan en una ubicación de rama física, la conectividad de red remota para esa ubicación de rama elimina el problema de instalar un cliente en cada dispositivo. Puede conectar toda la ubicación de la rama mediante la creación de un túnel IPSec entre el enrutador principal de la sucursal y el punto de conexión de Global Secure Access.
No puedo instalar clientes en todos los dispositivos que posee mi organización.
A veces, los clientes no se pueden instalar en todos los dispositivos. Global Secure Access proporciona actualmente clientes para Windows. Pero, ¿qué ocurre con Linux, sistemas centrales, cámaras, impresoras y otros tipos de dispositivos que están en el entorno local y envían tráfico a Internet? Este tráfico todavía debe supervisarse y protegerse. Al conectarse a una red remota, puede establecer directivas para todo el tráfico desde esa ubicación, independientemente del dispositivo donde se originó.
Tengo invitados en mi red que no tienen instalado el cliente.
Es posible que los dispositivos invitados de la red no tengan instalado el cliente. Para asegurarse de que esos dispositivos se adhieren a las directivas de seguridad de red, necesita su tráfico enrutado a través del punto de conexión de Global Secure Access. La conectividad de red remota resuelve este problema. No es necesario instalar clientes en dispositivos invitados. Todo el tráfico saliente de la red remota pasa por la evaluación de seguridad de forma predeterminada.
Cantidad de ancho de banda que se asignará por inquilino
El ancho de banda total que se asigna viene determinado por el número de licencias adquiridas. Cada licencia de Microsoft Entra ID P1, la licencia de Microsoft Entra Internet Access o la licencia de Microsoft Entra Suite contribuye al ancho de banda total. El ancho de banda de las redes remotas se puede asignar a túneles IPsec en incrementos de 250 Mbps, 500 Mbps, 750 Mbps o 1000 Mbps. Esta flexibilidad le permite asignar ancho de banda a diferentes ubicaciones de red remotas según sus necesidades específicas. Para obtener un rendimiento óptimo, Microsoft recomienda configurar al menos dos túneles IPsec por ubicación para alta disponibilidad. En la tabla siguiente se detalla el ancho de banda total en función del número de licencias adquiridas.
Asignación de ancho de banda de red remota
| Número de licencias | Ancho de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1000 Mbps |
| 500 – 999 | 2000 Mbps |
| 1,000 – 1,499 | 3500 Mbps |
| 1,500 – 1,999 | 4000 Mbps |
| 2,000 – 2,499 | 4500 Mbps |
| 2,500 – 2,999 | 5000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7000 Mbps |
| 5,000 – 5,499 | 10 000 Mbps |
| 5,500 – 5,999 | 10 500 Mbps |
| 6,000 – 6,499 | 11 000 Mbps |
| 6,500 – 6,999 | 11 500 Mbps |
| 7,000 – 7,499 | 12 000 Mbps |
| 7,500 – 7,999 | 12 500 Mbps |
| 8,000 – 8,499 | 13 000 Mbps |
| 8,500 – 8,999 | 13 500 Mbps |
| 9,000 – 9,499 | 14 000 Mbps |
| 9,500 – 9,999 | 14 500 Mbps |
| 10.000 + | 35 000 Mbps + |
Notas de la tabla
- El número mínimo de licencias para usar la característica de conectividad de red remota es 50.
- El número de licencias es igual al número total de licencias adquiridas (Entra ID P1 + Entra Internet Access /Entra Suite). Después de 10 000 licencias, obtendrá más de 500 Mbps por cada 500 licencias adquiridas (por ejemplo, 11 000 licencias = 36 000 Mbps).
- Las organizaciones que cruzan la marca de licencia de 10 000 suelen funcionar a escala empresarial que requieren una infraestructura más sólida. El salto a 35 000 Mbps garantiza una amplia capacidad para satisfacer las demandas de estas implementaciones, admitir volúmenes de tráfico más altos y proporcionar la flexibilidad para expandir las asignaciones de ancho de banda según sea necesario.
- Si se requiere más ancho de banda, habrá ancho de banda adicional disponible para su compra.
Ejemplos de ancho de banda asignado por inquilino:
Inquilino 1:
- 1000 licencias de Entra ID P1
- Asignado: 1000 licencias, 3500 Mbps
Inquilino 2:
- 3000 licencias de Entra ID P1
- 3000 licencias de acceso a Internet
- Asignado: 6000 licencias, 11 000 Mbps
Inquilino 3:
- 8000 licencias de Entra ID P1
- 6000 licencias de Entra Suite
- Asignado: 14 000 licencias, 39 000 Mbps
Ejemplos de distribución de ancho de banda para redes remotas
Inquilino 1:
Ancho de banda total: 3500 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio C: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio D: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
Ancho de banda restante: Ninguno
Inquilino 2:
Ancho de banda total: 11 000 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio C: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio D: 2 túneles IPsec: 2 x 1000 Mbps = 2000 Mbps
- Sitio E: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
Ancho de banda restante: 4000 Mbps
Inquilino 3:
Ancho de banda total: 39 000 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio C: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio D: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio E: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
- Sitio F: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
- Sitio G: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
Ancho de banda restante: 28 500 Mbps