Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
Global Secure Access admite dos opciones de conectividad: instalar un cliente en un dispositivo de usuario final y configurar una red remota, como una ubicación de rama con un enrutador físico. La conectividad de red remota simplifica la forma en que los usuarios finales e invitados se conectan desde una red remota sin necesidad de instalar el cliente de Global Secure Access.
En este artículo se describen los conceptos clave de la conectividad de red remota junto con escenarios comunes en los que puede resultar útil.
¿Qué es una red remota?
Las redes remotas son ubicaciones remotas o redes que requieren conectividad a Internet. Por ejemplo, muchas organizaciones tienen una sede central y ubicaciones de sucursales en diferentes áreas geográficas. Estas sucursales necesitan acceso a los datos y servicios corporativos. Necesitan una manera segura de comunicarse con el centro de datos, la sede central y los trabajadores remotos. La seguridad de las redes remotas es fundamental para muchos tipos de organizaciones.
Normalmente, se conectan redes remotas, como una ubicación de rama, a la red corporativa a través de una red de área extensa (WAN) dedicada o una conexión de red privada virtual (VPN). Los empleados de la ubicación de la sucursal se conectan a la red mediante el equipo local del cliente (CPE).
Desafíos actuales de la seguridad de red remota
Los requisitos de ancho de banda han crecido : el número de dispositivos que requieren acceso a Internet aumenta exponencialmente. Las redes tradicionales son difíciles de escalar. Con la llegada de aplicaciones de software como servicio (SaaS), como Microsoft 365, hay demandas cada vez más crecientes de baja latencia y comunicación sin vibración con las que las tecnologías tradicionales como Wide Area Network (WAN) y Multi-Protocol Label Switching (MPLS) tienen dificultades.
Los equipos de TI son costosos : normalmente, se colocan firewalls en dispositivos físicos locales, lo que requiere un equipo de TI para la configuración y el mantenimiento. El mantenimiento de un equipo de TI en cada ubicación de sucursal es costoso.
Amenazas en evolución : los actores malintencionados siguen buscando nuevas vías para atacar los dispositivos en el perímetro de las redes. Los dispositivos periféricos de las sucursales o incluso de las oficinas domésticas suelen ser el punto de ataque más vulnerable.
Sugerencia
Para obtener instrucciones sobre cómo mejorar la resistencia de las redes remotas, consulte Procedimientos recomendados para la resistencia de red remota de acceso seguro global.
¿Cómo funciona la conectividad de red remota de Global Secure Access?
Para conectar una red remota al acceso seguro global, configure un túnel de seguridad de protocolo de Internet (IPsec) entre el equipo local y el punto de conexión de acceso seguro global. Enrute el tráfico que especifique a través del túnel IPsec al punto de conexión de acceso seguro global más cercano. Puede aplicar directivas de seguridad en el Microsoft Entra admin center.
La conectividad de red remota de Global Secure Access proporciona una solución segura entre una red remota y el servicio de Global Secure Access. No proporciona una conexión segura entre una red remota y otra. Para más información sobre la conectividad de red de punto a punto segura, consulte la documentación de Azure Virtual WAN.
Perfiles de reenvío de tráfico admitidos
Las redes remotas admiten diferentes perfiles de reenvío de tráfico para adquirir tráfico. Los perfiles de reenvío de tráfico controlan qué tráfico se enruta a través del acceso seguro global. Los perfiles de seguridad, como el perfil de línea de base, controlan qué directivas se aplican al tráfico adquirido.
| Perfil de reenvío de tráfico | Cliente de Acceso Global Seguro | Red remota |
|---|---|---|
| Tráfico de Microsoft | ✅ Soportado | ✅ Soportado |
| Acceso a Internet | ✅ Soportado | ✅ Soportado |
| Acceso privado | ✅ Soportado | ❌ No se admite |
Importante
Puede asignar los perfiles de reenvío de tráfico de Microsoft y Internet Access a redes remotas. El perfil de reenvío de tráfico de acceso privado requiere el cliente de acceso seguro global instalado en dispositivos de usuario final. Para obtener más información, consulte Asignación de un perfil de tráfico a una red remota y Descripción de los perfiles de reenvío de tráfico.
Después de obtener tráfico a través de un perfil de reenvío, aplícalo políticas de seguridad utilizando perfiles de seguridad. El perfil de seguridad de línea de base aplica directivas en el nivel de inquilino para todo el tráfico enrutado a través del acceso seguro global, incluido el tráfico de red remoto. Los perfiles de seguridad compatibles con el usuario vinculados a las directivas de acceso condicional requieren el cliente de acceso seguro global.
Aplicación del perfil de tráfico en enlaces de dispositivos de red remotos
El acceso seguro global aplica perfiles de reenvío de tráfico para todos los vínculos de dispositivo, como túneles IPsec, asociados a una red remota. Solo reenvía tipos de tráfico que coinciden con un perfil de reenvío de tráfico habilitado y asociado. La puerta de enlace global de acceso seguro elimina todo el otro tráfico.
Este cumplimiento significa:
- Si asocia solo el perfil de tráfico Microsoft con una red remota, la puerta de enlace de Global Secure Access descarta cualquier tráfico que no sea de Microsoft (como el tráfico general de Internet) enviado a través del enlace del dispositivo.
- Si asocia solo el perfil de tráfico de Internet Access con una red remota, la puerta de enlace de Global Secure Access descarta cualquier tráfico de Microsoft enviado a través del vínculo del dispositivo.
Importante
Para evitar la pérdida de tráfico no deseada, asocie both el perfil de tráfico Microsoft y el perfil de tráfico de Internet Access con la red remota si la licencia lo permite. Esta configuración garantiza que el perfil adecuado maneje todo el tráfico reenviado a través del túnel IPsec, en lugar de descartarlo silenciosamente en la puerta de enlace.
Para más información sobre los perfiles de reenvío de tráfico disponibles y su configuración, consulte "Perfiles de reenvío de tráfico de Global Secure Access".
¿Por qué es importante la conectividad de red remota?
Mantener la seguridad de una red corporativa es cada vez más difícil en un mundo de trabajo remoto y equipos distribuidos. Security Service Edge (SSE) promete un mundo de seguridad en el que los clientes pueden acceder a sus recursos corporativos desde cualquier lugar del mundo sin necesidad de revertir su tráfico a la sede central.
Escenarios comunes de conectividad de red remota
No quiero instalar clientes en miles de dispositivos locales.
Por lo general, se aplica SSE mediante la instalación del cliente en un dispositivo. El cliente establece un túnel hacia el punto de conexión SSE más cercano y enruta todo el tráfico de Internet a través de él. Las soluciones SSE inspeccionan el tráfico y aplican directivas de seguridad. Si los usuarios no son móviles y se basan en una ubicación de rama física, la conectividad de red remota para esa ubicación de rama elimina el problema de instalar el cliente en cada dispositivo. Puede conectar toda la ubicación de la rama mediante la creación de un túnel IPSec entre el enrutador principal de la sucursal y el punto de conexión de Global Secure Access.
No puedo instalar clientes en todos los dispositivos que posee mi organización.
A veces, no se puede instalar el cliente en todos los dispositivos. Acceso seguro global proporciona actualmente clientes para Windows, macOS, Android e iOS. ¿Pero qué ocurre con Linux, sistemas centrales, cámaras, impresoras y otros tipos de dispositivos que son locales y envían tráfico a Internet? Aún usted necesita supervisar y proteger este tráfico. Al conectarse a una red remota, puede establecer directivas para todo el tráfico desde esa ubicación, independientemente del dispositivo donde se originó.
Tengo invitados en mi red que no tienen instalado el cliente.
Es posible que los dispositivos invitados de la red no tengan instalado el cliente. Para asegurarse de que esos dispositivos se adhieren a las directivas de seguridad de red, necesita su tráfico enrutado a través del punto de conexión de Global Secure Access. La conectividad de red remota resuelve este problema. No es necesario instalar el cliente en dispositivos invitados. Todo el tráfico saliente de la red remota pasa por la evaluación de seguridad de forma predeterminada.
¿Cuál es la asignación de ancho de banda para cada inquilino?
El número de licencias que compra determina la asignación total de ancho de banda. Cada licencia de Microsoft Entra ID P1, licencia de Microsoft Entra Internet Access y licencia de Microsoft Entra Suite se suma al ancho de banda total. Puede asignar ancho de banda para redes remotas a túneles IPsec en incrementos de 250 Mbps, 500 Mbps, 750 Mbps o 1000 Mbps. Esta flexibilidad significa que puede asignar ancho de banda a diferentes ubicaciones de red remotas en función de sus necesidades específicas. Para obtener el mejor rendimiento, Microsoft recomienda configurar al menos dos túneles IPsec por ubicación para lograr una alta disponibilidad. En la tabla siguiente se muestra el ancho de banda total en función del número de licencias que compre.
Asignación de ancho de banda inicial
| Número de licencias | Ancho de banda total (Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1000 Mbps |
| 500 – 999 | 2000 Mbps |
| 1,000 – 1,499 | 3500 Mbps |
| 1,500 – 1,999 | 4000 Mbps |
| 2,000 – 2,499 | 4500 Mbps |
| 2,500 – 2,999 | 5000 Mbps |
| 3,000 – 3,499 | 5.500 Mbps |
| 3,500 – 3,999 | 6000 Mbps |
| 4,000 – 4,499 | 6.500 Mbps |
| 4,500 – 4,999 | 7000 Mbps |
| 5,000 – 5,499 | 10 000 Mbps |
| 5,500 – 5,999 | 10 500 Mbps |
| 6,000 – 6,499 | 11 000 Mbps |
| 6,500 – 6,999 | 11 500 Mbps |
| 7,000 – 7,499 | 12 000 Mbps |
| 7,500 – 7,999 | 12 500 Mbps |
| 8,000 – 8,499 | 13 000 Mbps |
| 8,500 – 8,999 | 13 500 Mbps |
| 9,000 – 9,499 | 14 000 Mbps |
| 9,500 – 9,999 | 14 500 Mbps |
| 10.000 + | 35 000 Mbps + |
Notas de la tabla
- Necesita al menos 50 licencias para usar la característica de conectividad de red remota.
- El número de licencias es el número total de licencias que compra (Microsoft Entra ID P1 + Microsoft Entra Internet Access / Microsoft Entra Suite). Después de 10 000 licencias, obtendrá un adicional de 500 Mbps por cada 500 licencias que compre (por ejemplo, 11 000 licencias = 36 000 Mbps).
- Las organizaciones que van más allá de 10 000 licencias suelen funcionar a escala empresarial y necesitan una infraestructura más sólida. El salto a 35 000 Mbps garantiza una amplia capacidad para satisfacer las demandas de estas implementaciones, admite volúmenes de tráfico más altos y proporciona la flexibilidad de expandir las asignaciones de ancho de banda según sea necesario.
- Si necesita más ancho de banda, puede comprar ancho de banda adicional en incrementos de 500 Mbps mediante el código SKU de ancho de banda de red remoto.
Ejemplos de ancho de banda asignado por inquilino
Inquilino uno:
- 1000 licencias Microsoft Entra ID P1
- Asignado: 1000 licencias, 3500 Mbps
Inquilino dos:
- 3000 licencias Microsoft Entra ID P1
- 3000 licencias de acceso a Internet
- Asignado: 6000 licencias, 11 000 Mbps
Inquilino tres:
- 8000 licencias Microsoft Entra ID P1
- 6000 licencias de Microsoft Entra Suite
- Asignado: 14 000 licencias, 39 000 Mbps
Ejemplos de distribución de ancho de banda para redes remotas
Inquilino uno:
Ancho de banda total: 3500 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio C: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio D: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
Ancho de banda restante: Ninguno
Inquilino dos:
Ancho de banda total: 11 000 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio C: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio D: 2 túneles IPsec: 2 x 1000 Mbps = 2000 Mbps
- Sitio E: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
Ancho de banda restante: 4000 Mbps
Inquilino tres:
Ancho de banda total: 39 000 Mbps
Asignación:
- Sitio A: 2 túneles IPsec: 2 x 250 Mbps = 500 Mbps
- Sitio B: 2 túneles IPsec: 2 x 500 Mbps = 1000 Mbps
- Sitio C: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio D: 2 túneles IPsec: 2 x 750 Mbps = 1500 Mbps
- Sitio E: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
- Sitio F: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
- Sitio G: 2 túneles IPsec: 2 x 1000 Mbps = 2 000 Mbps
Ancho de banda restante: 28 500 Mbps