¿Para qué sirven las puertas de enlace VPN? ¿Esta clase de soluciones tiene futuro? ¿Qué parámetros se deben considerar al proteger los canales de comunicación?
Muchas organizaciones experimentan una necesidad urgente de proteger los datos transmitidos. La transición masiva al trabajo remoto solo ha fortalecido esta tendencia. ¿Qué determina la elección de una puerta de enlace VPN: su funcionalidad, precio o la disponibilidad de los certificados necesarios? Echemos un vistazo en profundidad a estas cuestiones.
Cómo se puede configurar una puerta de enlace VPN
En cuanto a las opciones prácticas para el uso de las puertas de enlace criptográficas, recientemente se ha demandado la protección de los canales de comunicación por video, la telemedicina y el acceso seguro a los portales oficiales del estado. En general, podemos hablar del escenario común cuando el usuario accede a recursos específicos. Este puede ser un canal de comunicación seguro con un sistema IDMuna plataforma en la nube o un único punto de entrada a través del cual se realiza el enrutamiento a otros recursos.
Técnicamente, hay dos escenarios para usar puertas de enlace criptográficas: sitio a sitio y cliente a sitio. El escenario de sitio a sitio tiene dos conjuntos de requisitos. La primera es una red distribuida geográficamente: por ejemplo, una docena de sucursales unidas en una red VPN común. La segunda opción es un canal seguro entre dos centros de datos.
Las tareas de protección de datos corporativos en tránsito se pueden dividir en VPN basadas en políticas y VPN basadas en rutas. La última opción se vuelve relevante cuando el número de nodos aumenta a varios miles de dispositivos. En el caso de proteger la red troncal, se suelen utilizar soluciones de bajo nivel y una topología punto a punto.
Hablando de la protección de canales altamente cargados, uno no puede limitarse solo a la arquitectura punto a punto. Las soluciones de arquitectura punto a multipunto tienen una gran demanda en el mercado mundial. Altamente efectiva es la protección del canal en el nivel L2 ya que solo este enfoque puede garantizar la ausencia de retrasos.
Debe tenerse en cuenta que sitio a sitio Se puede implementar la protección tanto a nivel de software como de hardware. En este último caso, el cliente puede elegir la opción de implementación en función, por ejemplo, de las características de velocidad del canal protegido.
Debido al aumento en la cantidad de empleados que trabajan de forma remota, también ha crecido la necesidad de escenarios de cliente a cliente, es decir, para construir una conexión VPN directamente entre usuarios. Dichos canales se utilizan para comunicaciones rápidas, videoconferencias, telefonía y otras tareas.
Sin embargo, no hubo un cambio significativo en la demanda y soluciones tecnológicas al implementar la comunicación punto a punto. Utilizan codificadores de flujo que proporcionan una buena velocidad de conexión. Por otro lado, existe una creciente demanda de canales de comunicación más eficientes entre los centros de datos. En algunos casos, se trata de conexiones con un ancho de banda de más de 100 GB, lo que requiere un clúster completo de puertas de enlace VPN.
A su vez, el escenario de organizar el acceso remoto durante una pandemia ha mostrado un crecimiento significativo, y es en este sector donde se presentaron los principales problemas de escalabilidad. No solo han cambiado la escala y las soluciones tecnológicas, como el uso de balanceadores de carga especializados para distribuir la carga entre decenas de miles de conexiones VPN, sino que también el cronograma de implementación del proyecto se ha vuelto mucho más corto.
Con respecto a la forma en que los escenarios de uso de la puerta de enlace criptográfica se relacionan con el nivel de cumplimiento requerido, se debe tener en cuenta que el modelo de amenaza es de primordial importancia en este asunto. El nivel de cumplimiento puede indicarse explícitamente en la documentación reglamentaria o ser determinado de forma independiente por la organización.
Matices técnicos de elegir una puerta de enlace VPN
En cuanto a las diferencias en el cifrado de las puertas de enlace VPN y los casos en que se utilizan, tenga en cuenta que el modelo de uso de la puerta de enlace dicta en gran medida el nivel de protección. Existen varios medios técnicos para implementar el nivel de protección L3; sin embargo, diseñar una red L2 que funcione, en este caso, es problemático, aunque fundamentalmente posible. En cuanto al nivel L4, en realidad se está convirtiendo en el estándar para acceder tanto a recursos públicos de Internet como a sitios corporativos.
La redundancia de datos y la tolerancia a fallas son criterios importantes para elegir una puerta de enlace VPN. Recuerde, es necesario tener en cuenta la tolerancia a fallos de los equipos y sistemas de control. Los parámetros importantes también son la velocidad de cambio a un clúster de trabajo de respaldo en caso de emergencia y la velocidad de restauración del sistema a un estado normal.
Muy a menudo, el hardware no tiene la tiempo medio entre fallos nivel declarado por el proveedor. Por lo tanto, para el equipo utilizado en la red troncal, es importante no olvidar los medios básicos de tolerancia a fallas, como la fuente de alimentación dual o los sistemas de enfriamiento redundantes.
Soluciones alternativas para proteger los canales de comunicación
Otros temas importantes que deben tocarse aquí son las posibles alternativas a las puertas de enlace VPN, así como las formas de integrar soluciones para la protección criptográfica de los canales de comunicación con otras herramientas de seguridad como firewalls para garantizar una mejor protección contra diferentes amenazas.
Además de las puertas de enlace criptográficas, se pueden usar dispositivos de cifrado de hardware de alto rendimiento para proteger los canales, así como sus contrapartes virtuales, que son lo suficientemente flexibles para trabajar en casi todos los niveles del modelo OSI. Además, existen soluciones pequeñas de placa única en el factor de forma del transceptor y módulos que se pueden integrar en dispositivos IoT.
Los expertos predicen que las puertas de enlace criptográficas individuales como dispositivos abandonarán gradualmente el mercado, dando paso a los sistemas integrados. Hay otro punto de vista: por regla general, los sistemas universales son más baratos, pero su eficacia es menor que las soluciones especializadas. La integración exitosa también se puede llevar a cabo en la nube a nivel de proveedor de servicios. En este caso, el proveedor de servicios decide los problemas de compatibilidad y el cliente recibe una solución universal con la funcionalidad necesaria.
Pronósticos y perspectivas del mercado
Veo una gran necesidad de aumentar la velocidad de las puertas de enlace criptográficas, y se desarrollarán soluciones de esta clase para satisfacer esta solicitud. Los procesos de integración operarán en el mercado, pero el resultado de tal movimiento aún no está claro. La industria de la puerta de enlace VPN estará impulsada por los dispositivos IoT, las tecnologías 5G y el crecimiento continuo de la popularidad del trabajo remoto. Algunos nichos nuevos para las herramientas de protección criptográfica pueden ser los sistemas de control industrial.
Dado que el soporte de canales VPN seguros a nivel empresarial requiere un alto grado de experiencia, los clientes cambiarán cada vez más el modelo de uso de tales soluciones de seguridad de la información, externalizando la gestión de las puertas de enlace criptográficas a los proveedores de servicios. Una tendencia importante será un aumento en la atención al componente UX de las puertas de enlace criptográficas, un aumento en la conveniencia de trabajar con ellos.
Otro punto de vista es que el mercado de las puertas de enlace criptográficas está condenado y, en los próximos cinco o diez años, estas soluciones se convertirán en un producto de nicho. Las soluciones universales y los equipos localizados los reemplazarán. Sin embargo, la clase de puertas de enlace TLS evolucionará.
Conclusión
Al elegir los medios de protección criptográfica de los canales de comunicación, es necesario tener en cuenta no solo la funcionalidad de una solución en particular, sino también su cumplimiento con los requisitos de los reguladores. Teniendo en cuenta varias opciones para las puertas de enlace VPN, vale la pena pensar en los escenarios para su uso, así como en resolver los problemas de integración con otros sistemas de seguridad de la información. En algunos casos, un sistema especializado puede garantizar mejor la seguridad; sin embargo, las soluciones multifuncionales universales a menudo tienen la mejor rentabilidad.