Redes VPN de malla: otro paso hacia la red de confianza cero

Las VPN de malla utilizan una arquitectura de punto a punto en la que cada nodo o punto de la red puede conectarse directamente a cualquier otro punto sin pasar por un concentrador central o una puerta de enlace. Este enfoque puede ser menos costoso y más fácil de escalar que una VPN tradicional.

En consecuencia, se trata de un nuevo concepto, aunque ha sido necesario un tiempo de maduración para que se pudieran expandir más allá de su nicho. Hasta hace unos años, las necesidades de VPN de la mayoría de las organizaciones se satisfacían perfectamente a través de una arquitectura tradicional de concentrador y radio. Además, la mayoría de los cortafuegos corporativos y los productos de seguridad de las puertas de enlace incluyen la funcionalidad VPN, lo que era conveniente para la mayoría de las empresas que sólo tenían unos pocos empleados trabajando a distancia.

El paso a una infraestructura híbrida basada en la nube y el aumento de la fuerza de trabajo remota ha puesto finalmente las soluciones de redes de malla en el mapa. Algo que comenzó con la necesidad de conectar máquinas virtuales y nodos que se ejecutaban en diferentes nubes, una tecnología comúnmente conocida como "malla de servicio", y que ahora se está expandiendo para conectar puntos finales tradicionales tales como ordenadores portátiles y teléfonos móviles.

"Creo que, a largo plazo, la distinción entre las mallas de servicio y las VPN de malla se desdibujará, ya que ambos productos están trabajando para resolver el problema de mover paquetes de forma segura y privada entre dispositivos", opina David Crawshaw, CTO y cofundador de la empresa de malla VPN Tailscale y ex ingeniero de software de Google que trabajó en sistemas distribuidos y proyectos de infraestructura experimental. "La distinción tradicional es si el dispositivo es virtual (un VM o contenedor) o físico (un teléfono, un portátil o un servidor), y esa distinción se está volviendo cada vez más borrosa", completa su declaración.

El porqué de la popularidad de las VPN de malla

La pandemia de COVID-19 ha cambiado profundamente las operaciones de TI en la mayoría de las empresas, obligándolas a adaptarse a una nueva realidad de trabajo desde casa casi de la noche a la mañana. Para algunos equipos de TI de las empresas esto ha significado la aceleración de los planes de transformación digital existentes para apoyar el trabajo a distancia, mientras que para otros significó la lucha para identificar y desplegar nuevas soluciones.

Las grandes redes de entrega de contenidos y los proveedores de Cloud Computing, incluidos Cloudflare, Akamai y Google, ahora ofrecen soluciones de acceso remoto que permiten a las empresas poner las aplicaciones internas a disposición de los trabajadores remotos a través del navegador, a la vez que se aplican fuertes controles de acceso y comprobaciones de identidad y seguridad. Sin embargo, hay un problema: la mayoría de estos productos sólo funcionan para aplicaciones Web, lo que significa que las aplicaciones y servicios que requieren otros protocolos para comunicarse necesitan acceso a través de VPNs.

Tradicionalmente, las arquitecturas de VPN han seguido un modelo de concentrador y radio, donde una puerta de enlace VPN es el concentrador central al que se conectan todos los clientes, los radios. Las pasarelas VPN también pueden conectarse entre sí para lograr un diseño de múltiples centros con múltiples radios. Esto suele ocurrir en la práctica, ya que cada oficina o sucursal de la empresa tiene su propia pasarela VPN, pero siguen representando un punto de estrangulamiento en la arquitectura de la red.

Las conexiones VPN utilizan la encriptación, que es una operación de computación intensiva, por lo que las pasarelas VPN son dispositivos de hardware construidos con suficiente potencia de CPU y RAM para soportar un cierto número de usuarios y conexiones simultáneas. Si una empresa necesita de repente dar soporte a un gran número de usuarios remotos, como ha ocurrido durante la pandemia, esa empresa podría necesitar reemplazar completamente su Gateway VPN por uno más potente o añadir servidores VPN adicionales. Muchas soluciones VPN también vienen con una cuota de licencia por asiento, así que por lo menos la compañía necesitaría comprar más asientos.

El ancho de banda de Internet, disponible para la empresa e implícitamente para la pasarela, VPN también puede limitar el número de usuarios simultáneos que se pueden admitir. Por eso, muchas organizaciones a menudo no enrutan todo el tráfico de Internet de sus trabajadores a través de la VPN, dejándolos potencialmente expuestos cuando utilizan la Wifi pública en lugares inseguros.

Otro problema es que no todos los recursos y aplicaciones de TI a los que alguien necesita acceder se encuentran en las instalaciones de la oficina de la empresa. Pueden estar funcionando en un servidor virtual en la nube o incluso en el portátil de un compañero de trabajo si se trata de una versión de prueba de una aplicación en la que están trabajando y que quieren compartir. En esos escenarios, el usuario necesita primero pasar por la puerta de enlace VPN de la empresa, que puede estar ubicada en una ciudad o región diferente, y luego volver al servidor final a través del enlace VPN entre ese servidor y la puerta de enlace VPN. Esto añade mucha latencia a la conexión y afecta gravemente al rendimiento.

Cómo funcionan las VPNs de malla

Con el tiempo, Internet desarrolló una red troncal formada por empresas de telecomunicaciones de primer nivel, proveedores de nubes y redes de entrega de contenidos que se conectan entre sí en puntos de intercambio de Internet de alta velocidad. Además, el limitado conjunto de direcciones IPv4 públicas ha dado lugar a un mayor uso de la traducción de direcciones de red (NAT), incluso a escala de los proveedores de servicios de Internet, lo que hace que Internet se asemeje cada vez más a una arquitectura de centro y radios. Esto es algo que los defensores de IPv6 esperan revertir.

Algunas pasarelas VPN de hardware admiten configuraciones multipunto a multipunto y pueden funcionar de manera similar a las redes de malla, pero sus configuraciones deben ser administradas y actualizadas constantemente cuando se producen cambios en los clientes y nodos; y en el mundo de los servicios y aplicaciones que se ejecutan en máquinas virtuales en múltiples nubes, esto ocurre con bastante frecuencia.

"Las redes se reorganizan constantemente", admite Crawshaw. "Las máquinas virtuales se mueven entre los centros de datos, los teléfonos se mueven de la oficina a la cafetería. Una compañía puede tener una oficina por 30 años y construir un hardware de red dedicado en las instalaciones o alquilar una oficina por mes. Comúnmente, cuando se usa el término "malla" implica la configuración automática de los puntos finales. Es decir, si mueves un dispositivo en una red, debe restablecer la comunicación con otros dispositivos en la red de malla sin la intervención de los administradores de TI", prosigue.

Las redes VPN de malla se implementan mediante software, por lo que, en ese sentido, son redes definidas por software, aunque SD-WAN se ha convertido en un término que, a menudo, se refiere a soluciones diseñadas para simplificar y automatizar la gestión y el control centrales de los equipos de red tradicionales en grandes proyectos de centros de datos e infraestructuras de telecomunicaciones.

Redes de identidad y de confianza cero

La red de confianza cero se posiciona como el futuro de las redes empresariales. Es una arquitectura en la que la identidad de cada usuario y dispositivo es verificada antes de que se asigne la confianza y se conceda acceso a los recursos corporativos. En la mayoría de las redes corporativas tradicionales, los dispositivos ubicados en la red interna pueden conectarse a los servidores y servicios sólo porque están en la misma red implícitamente "de confianza", razón por la cual los hackers tienen tanto éxito en moverse lateralmente a través de las redes.

La mayoría de las soluciones VPN de malla se inspiran en el proyecto BeyondCorp de Google y en otros conceptos de redes de confianza cero y se centran en la verificación de la identidad del dispositivo o del nodo. En ZeroTier, Nebula y Tailscale, la identidad de los nodos se realiza en la capa IP a través de alguna forma de criptografía de clave pública.

"Las redes físicas tradicionales no proporcionan ninguna noción de identidad, y estamos tan acostumbrados a esa idea que el trabajo moderno para llevar la identidad al tráfico de la red siempre ha comenzado en niveles más altos de abstracción [por ejemplo HTTPS/TLS]", reconoce Crawshaw, "pero eso no es necesario". Es posible utilizar los túneles de red y la criptografía moderna para asegurar que la dirección de origen IP de un paquete pueda describir con precisión quién lo envió realmente. La ventaja de trasladar este concepto a la capa IP es que se vuelve compatible con el software existente. Se pueden tomar las herramientas internas existentes y trasladarlas lentamente a redes virtuales privadas donde se conoce la identidad de todos los emisores y receptores, desactivando lentamente el acceso a través de las redes tradicionales. No es necesario reescribir todo el software para conocer la identidad".

El protocolo WireGuard, por ejemplo, introduce el concepto de enrutamiento por criptografía, en el que la clave pública de un nodo está vinculada a una lista de direcciones IP que ese nodo puede tener dentro del túnel VPN. Esto significa que no hay posibilidad de suplantación de la identidad del nodo en la red si la clave privada del nodo permanece segura. Esto da a los administradores de la red y a los equipos de seguridad el poder de asegurar que ciertas aplicaciones o recursos sólo puedan ser visibles y accesibles en la red de malla a dispositivos y usuarios muy específicos.

Además de las comprobaciones de identidad de los dispositivos realizadas a nivel de protocolo, las VPN de malla también pueden realizar comprobaciones de identidad de los usuarios. Tailscale, por ejemplo, admite la integración con los proveedores de identidad más comunes ya utilizados por empresas como Google, Microsoft, Okta y SAP y admite la autenticación multifactorial a través de ellos.

Las empresas también pueden combinar opcionalmente una solución VPN de malla para acceder a aplicaciones y servicios no HTTP con una pasarela de acceso de confianza cero como las de Akamai, Cloudflare o Google para acceder a sus aplicaciones Web. Estas soluciones también realizan comprobaciones de seguridad de los dispositivos a través del navegador o mediante un cliente ligero independiente instalado en los puntos finales.