Networking y Acceso Remoto en Tiempos de Confinamiento

A look at how we decided to respond to the networking challenges presented by the COVID-19 crisis.

 min. read
June 26, 2022

En Interlink, tenemos un modelo híbrido de equipos remotos y de presencia física, por lo que la pandemia de COVID-19 nos exigió recopilar las lecciones aprendidas por el equipo remoto y expandirlas al resto de la empresa.

También tenemos una combinación de sistemas heredados y modernos, a los que necesitamos acceder para hacer nuestro trabajo de manera eficiente. Al comienzo de la pandemia del coronavirus, estábamos evaluando alternativas para reemplazar las redes privadas virtuales (VPN) heredadas que usábamos para acceder a los servidores locales de nuestros clientes.

El uso de VPN permite a nuestros desarrolladores y agentes de soporte iniciar sesión en los servidores de nuestros clientes, como si estuvieran en la misma red que ellos (a pesar de estar en diferentes países, en algunos casos), y realizar una serie de tareas que tienen que ver con el mantenimiento, solución de problemas, informes, actualizaciones o nuevas instalaciones en conjunto.

Con el advenimiento global de la virtualización, las VPN modernas no se ejecutan como una infraestructura monolítica, ni tampoco las redes corporativas en general. Queríamos reemplazar nuestro enfoque ahora obsoleto, que había estado atendiendo bien las necesidades de los clientes existentes, pero que no iba a sostener nuestro crecimiento en el futuro.

Nuestro código vive en varios lugares, nuestra gente disfruta de una amplia gama de opciones móviles, pero necesitamos asegurarlas y protegerlas.

Esto significaba que también podíamos beneficiarnos de nuevos protocolos y procesos de seguridad. Pero pronto, los países de todo el mundo comenzaron a anunciar medidas de contención de COVID-19, y las empresas comenzaron a cancelar eventos, horarios de oficina y cualquier cosa que requiriera presencia física. Actuamos rápido e hicimos lo mismo con nuestra gente, debían dejar de trabajar desde nuestras oficinas de inmediato.

Nuestras pruebas iniciales con Perimeter81, una solución de red virtual para necesidades corporativas, fueron alentadoras. Con un par de clics, habíamos creado nuestra propia red, con puertas de enlace regionalizadas en EE. UU. y Francia, y nuestro propio cliente de conexión para arrancar, cortesía de Perimeter81.

En un momento pudimos ver una caída notable en la velocidad de las conexiones, lo que nos preocupó, pero seguimos ajustando otros factores. El plan es usarlo para un acceso remoto seguro a ciertos servidores, y no para todas las instancias en las que nuestra gente deba acceder a la Web.

La gente de Perimeter81 fue muy útil para establecer videollamadas y repasar la complejidad de nuestra red, las necesidades de reglas comerciales y las posibles soluciones para los diferentes escenarios.

Rápidamente configuramos Túneles IPSec con nuestros servidores y pudimos acceder a ellos, lo que nos da independencia de lo que suceda con los factores externos de la oficina donde está nuestra infraestructura.

‍

Perimeter81 permite redes inteligentes en una gran cantidad de entornos distribuidos, con nuestras propias políticas y métodos de acceso.

Pero, de repente, nos vimos atrapados en medio de la validación de este nuevo enfoque y su implementación en todos nuestros entornos, con casi el doble de la cantidad esperada de usuarios. Inicialmente pensábamos solo en los usuarios técnicos, pero ahora con las nuevas medidas, teníamos que planificar para todos nuestros empleados que accederían a los recursos de la empresa desde sus hogares.

Tuvimos que movernos rápido. Estábamos considerando diferentes opciones, pero esto cambió nuestro pensamiento hacia la seguridad de casos de uso general y el acceso remoto, no solo el desarrollo y el soporte. Configuramos todo para proteger la seguridad de nuestros datos y nuestra gente, sin comprometer los derechos de privacidad.

Para tener éxito, necesitábamos tener en cuenta diferentes cosas, como la gestión de identidades (quiénes son los usuarios que tienen acceso a esto y bajo qué políticas), la gestión de autenticación (cómo podemos crear usuarios y contraseñas por usuario, por servidor/ aplicación y tener la capacidad de cambiar/revocar según sea necesario) y Detección de malware.

Dado que estaríamos agregando usuarios no técnicos a la combinación de acceso remoto, queríamos detectar y bloquear las solicitudes de DNS que serían de naturaleza maliciosa. Si bien no creemos en restricciones draconianas, tuvimos que considerar la seguridad de los dispositivos de la empresa, ahora conectados a redes Wi-Fi personales.

La sorpresa llegó al probar la solución Umbrella de Cisco, que utiliza OpenDNS y servicios propietarios para reforzar la seguridad de la red a nivel de DNS. Después de reemplazar el DNS del ISP predeterminado de Orange, noté una gran diferencia al medir la velocidad de mi conexión.

‍

Cisco Umbrella nos resuelve muchos problemas de red y, al mismo tiempo, aumenta nuestras velocidades de conexión.

Es una conexión de 500 Mbps, pero al medir con Speedtest, solo obtendría valores cercanos a esa cifra si probara directamente en el enrutador. En un solo dispositivo conectado de forma inalámbrica, normalmente obtendría 200-300Mbps.

Las pruebas han arrojado conclusiones positivas para nuestros usuarios principales y ahora se están ampliando al resto. Con Cisco Umbrella DNS compensamos cualquier reducción de velocidad introducida por el perímetro de nuestra red virtual.

Algo distinto está sucediendo al deshacerse del DNS de Orange y usar Cisco Umbrella en su lugar. Mis velocidades oscilan entre 400 y 500+, mi protección es integral y sigo las políticas de la empresa. Es realmente una realización salvaje, y la experiencia de navegación muestra un gran cambio desde entonces.

Lo que hicimos a continuación fue configurar un DNS personalizado en nuestra red Perimeter81, y ahora vemos velocidades más cercanas a las que habrían tenido nuestras conexiones en un mundo sin Cisco-Umbrella.

Este es el mejor de todos los mundos, ya que obtenemos diferentes métodos, para diferentes casos de uso, y nuestra gente y nuestros datos están protegidos dondequiera que trabajen.

Ahora estamos migrando el resto de nuestros entornos a la nueva estructura y reglas de red.

‍

-Mariano Malisani.

‍

‍

‍

‍

‍