aryaka aryaka

Visión general de Aryaka Secure Remote Access

La solución de Acceso Remoto Seguro de Aryaka aprovecha el rendimiento de la red central global de Aryaka con su enfoque arquitectónico cloud-first para proporcionar la solución óptima a las empresas que buscan un enfoque «lo mejor de ambos mundos» para la conectividad de los trabajadores remotos: una solución que combina la utilización flexible de recursos de red dedicados y deterministas tanto para la sucursal como para los trabajadores remotos a través de una red de alto rendimiento. Esta arquitectura ofrece siempre el máximo rendimiento, independientemente de los cambios de tráfico entre el tráfico de las sucursales y el de los trabajadores remotos, con una visibilidad consolidada del rendimiento de la red y de las aplicaciones en toda la conectividad central de la empresa, así como en los dominios VPN.

img

La solución de Acceso Remoto Seguro de Aryaka es una solución de red privada virtual altamente flexible y totalmente gestionada. Aprovecha la arquitectura global de PoPs de servicio de Aryaka para una conectividad y gestión unificadas para usuarios en cualquier lugar a recursos locales y en la nube.

Secure Remote Access se basa en la solución Enterprise VPN de NCP Engineering, uno de los principales proveedores de VPN.

El Acceso Remoto Seguro consta de los siguientes elementos arquitectónicos:

Clientes de acceso remoto seguro

La solución Secure Remote Access proporciona un conjunto de clientes gestionados de forma centralizada para los principales sistemas operativos de escritorio o móviles, incluidos:

Los clientes de acceso remoto seguro de Aryaka permiten a los dispositivos de los usuarios finales seleccionar el PoP de Aryaka más cercano para un acceso a la red óptimo y de alto rendimiento y llegar a él con el protocolo de túnel más eficaz.
El Cliente de Acceso Remoto Seguro garantiza un cumplimiento robusto y unificado del punto final. Protege la integridad de la red de la empresa mediante un estricto control de acceso VPN, que primero termina en el Nodo de Acceso Remoto Seguro Aryaka más cercano y luego se dirige al destino DC privado o público apropiado. El tráfico viaja por el Aryaka FlexCore, ofreciendo las ventajas de rendimiento de la red central de Capa 2 y Capa 3 de Aryaka. También se admiten capacidades de Confianza Cero.
El Cliente de Acceso Remoto Seguro es un producto de software de comunicación de implantación universal en cualquier entorno VPN de acceso remoto. Permite a los trabajadores remotos acceder a aplicaciones y datos de forma transparente y segura, en las instalaciones o en la nube, desde cualquier lugar, como si estuvieran en la oficina corporativa. La itinerancia sin fisuras proporciona una conexión opcional segura y siempre activa a la red corporativa, seleccionando automáticamente el medio más rápido para acceder a Internet. Cuando cambia el punto de acceso o la dirección IP, la itinerancia Wi-Fi o IPsec mantiene la conexión VPN. Incluso detrás de cortafuegos cuya configuración siempre bloquea las conexiones de datos IPsec, el cliente de acceso remoto seguro garantiza la disponibilidad del acceso remoto encontrando una ruta desbloqueada. El cliente admite el inicio de sesión en dominios utilizando un proveedor de servicios de credenciales tras establecer una conexión VPN con la red de la empresa.
Una función de derivación en el Cliente de Acceso Remoto Seguro permite al administrador de TI configurar el cliente para que determinadas aplicaciones queden exentas de la VPN y los datos se envíen a través de Internet incluso cuando el túnel dividido esté desactivado. Esto evita que aplicaciones como la transmisión de vídeo graven innecesariamente la infraestructura de la empresa.
Todas las configuraciones del cliente pueden ser bloqueadas por el administrador, lo que significa que el usuario no puede cambiar las configuraciones bloqueadas.
El Cliente de Acceso Remoto Seguro es fácil de instalar y sencillo de manejar. Una interfaz de usuario gráfica e intuitiva proporciona información sobre todos los estados de conexión y seguridad. Además, la información detallada de los registros permite una asistencia eficaz por parte del servicio de asistencia.

Nodo de acceso remoto seguro

Los Clientes de Acceso Remoto Seguro de Aryaka se conectan al Nodo de Acceso Remoto Seguro de Aryaka más cercano a ellos. El Nodo de Acceso Remoto Seguro de Aryaka es un servicio virtual alojado en los PoPs de Servicio globales de Aryaka, que proporcionan una rampa de acceso inferior a 30 ms a la Red Central de Aryaka al 95% de los trabajadores del conocimiento de todo el planeta. Los PoPs de Servicio de Aryaka alojan servicios que van más allá de la conectividad de red básica: aceleración de red y aplicaciones, separación estricta de los recursos dedicados al cliente y cifrado seguro del tráfico, entre otros.

Una vez establecidas las conexiones seguras, la función del Nodo de Acceso Remoto Seguro recibe el tráfico de todos los clientes que acceden a él y lo encamina a través de la red Global Aryaka FlexCore de alto rendimiento hasta la sede central de la empresa o hasta una ubicación de servicio SmartCloud que se adapte de forma óptima a la ubicación del usuario.

Los nodos de acceso remoto seguro se basan en una arquitectura multi-tenant y en un sistema operativo Linux reforzado y optimizado para ofrecer la máxima seguridad. Además, la arquitectura Aryaka Service PoP garantiza un rendimiento determinista y una alta disponibilidad.

El Nodo de Acceso Remoto Seguro puede gestionar un número altamente escalable de conexiones a la red de la empresa a través de una VPN IPsec. A los usuarios de los Clientes de Acceso Remoto Seguro se les puede asignar la misma dirección IP privada de un pool asignado por la empresa cada vez que se conecten a la red. Esto facilita enormemente la administración remota, ya que cada usuario puede ser identificado por su dirección IP. Si la dirección IP se asigna dinámicamente a partir de un pool, se reservará para el usuario durante un periodo definido (tiempo de arrendamiento). El DNS dinámico (DynDNS) garantiza que la pasarela VPN siga siendo accesible si al dispositivo se le asigna una dirección IP dinámica.

Gestor de acceso remoto seguro

El Gestor de Acceso Remoto Seguro proporciona la función de configuración y gestión de todos los componentes de la solución de Acceso Remoto Seguro de Aryaka. Junto con el Nodo de Acceso Remoto Seguro, también se encarga de la autenticación de usuarios a través de la comunicación con los sistemas IAM (Identity & Access Management) existentes en las empresas.

El Gestor de Acceso Remoto Seguro permite a Aryaka aprovisionar y gestionar los Clientes de Acceso Remoto Seguro y el Nodo de Acceso Remoto Seguro en los PdP. También establece la conectividad con los sistemas IAM globales de las empresas para la autenticación de los Clientes de Acceso Remoto Seguro. Con este mecanismo, el estado de seguridad de los dispositivos finales móviles y fijos se verifica antes de que el dispositivo acceda a la red corporativa. Todos los parámetros son definidos de forma centralizada por Aryaka en nombre de la empresa, y a los trabajadores remotos se les conceden derechos de acceso en función de su conformidad con los mismos.

Secure Remote Access Manager es un componente clave para proporcionar una solución VPN fácil de establecer y de utilizar.

El Gestor de Acceso Remoto Seguro se integra con la gestión de identidades existente en la empresa (por ejemplo, Microsoft Active Directory) y solicita actualizaciones periódicas. Tan pronto como un nuevo empleado aparece en esta base de datos, el Gestor de Acceso Remoto Seguro crea una configuración individual para este usuario, de acuerdo con las plantillas definidas. Si un antiguo empleado ha sido eliminado de la base de datos, el Gestor de Acceso Remoto Seguro bloquea inmediatamente este acceso VPN. Esto elimina la necesidad de configurar manualmente los ordenadores de todos los empleados móviles. El Gestor de Acceso Remoto Seguro también permite un despliegue rápido de muchos usuarios y certificados de software.

Secure Remote Access Manager proporciona las siguientes funciones:

Configuración del cliente

 Secure Remote Access Manager proporciona la configuración y gestión de todos los componentes de la solución Aryaka Secure Remote Access. Esto incluye los Clientes de Acceso Remoto Seguro para Windows, macOS, iOS y Android. Todos los parámetros relevantes están predefinidos y almacenados en plantillas.

Proceso de actualización automática

 El proceso de actualización totalmente automático permite al administrador proporcionar de forma centralizada a todos los clientes remotos de Secure Remote Access actualizaciones de configuración y certificados. En cuanto el cliente se conecta a la red corporativa, el sistema lo actualiza automáticamente. Si se producen fallos durante la transmisión, la configuración existente previamente no se verá afectada.

Gestión de licencias
(Utilizado sólo por los operadores de Aryaka)

 Las licencias de todos los componentes conectados se almacenan de forma centralizada en el PAM y son gestionadas por Aryaka para los clientes empresariales. El sistema las transfiere a un pool de licencias y las gestiona automáticamente según las directrices especificadas. Esta transferencia de licencias puede utilizarse para: transferir a una configuración por cliente remoto o puerta de enlace, devolver la licencia al pool de licencias cuando un empleado abandona la empresa o activar un aviso cuando no hay más licencias disponibles.

Monitor del sistema
(Utilizado por los operadores de Aryaka)

 Aryaka puede ofrecer a las empresas una visión inmediata de todos los eventos importantes dentro de la solución de acceso remoto seguro. El administrador puede utilizar el monitor del sistema según sea necesario para consultar la información de estado en tiempo real, o para acceder a respositorios de datos previamente guardados para el entorno de acceso remoto.

Ventajas del acceso remoto seguro de Aryaka

Mejore drásticamente el rendimiento global de la VPN aprovechando la WAN global Aryaka Zero Trust

Mejore la experiencia y la productividad del usuario final con un comportamiento determinista de la red

Visibilidad inmediata de la red, el rendimiento de las aplicaciones y la experiencia del usuario

Especificaciones técnicas

Cliente de acceso remoto seguro

Paquete de clientes VPN universal y administrable de forma centralizada para Windows, macOS, iOS, Android

Sistemas operativos Microsoft Windows, macOS, iOS, Android
Capacidades de confianza cero
  • Cortafuegos integrado L3/L4/Aplicaciones
  • Acceso menos privilegiado basado en la identificación del usuario, la postura del dispositivo y la ubicación de la red con capacidades de
    Zero Trust
  • Protección del usuario siempre activa con acceso a la red sólo tras la autenticación del usuario
  • Confianza cero basada en certificados y autenticación de dispositivos
  • Políticas estrictas de control de admisión que imponen el cumplimiento de las políticas de seguridad por parte de los dispositivos con opción de cuarentena
  • Integración con las soluciones MFA (autenticación multifactor) y OTP (contraseña de un solo uso) existentes
Características de seguridad El Enterprise Client es compatible con los principales estándares IPsec de acuerdo con las RFC
Anulación de VPN La función VPN Bypass permite al administrador definir las aplicaciones que pueden comunicarse a través de Internet directamente a pesar de desactivar el túnel dividido en la conexión VPN. También es posible definir qué dominios o direcciones de destino pueden eludir el túnel VPN
Redes privadas virtuales
  • IPsec (Túnel de Capa 3), las propuestas IPsec pueden determinarse a través de la pasarela IPsec (IKEv1/IKEv2, IPsec Fase 2)
  • Registro de eventos
  • Comunicación sólo en el túnel
  • Fragmentación y reensamblaje del tamaño de la MTU, DPD, NAT-Traversal (NAT-T); modo túnel IPsec
Cifrado
  • Procesos simétricos: AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits
  • Procesos dinámicos para el intercambio de claves: RSA hasta 2048 bits; reintroducción sin fisuras (PFS)
  • Algoritmos hash: SHA-1, SHA-256, SHA-384, SHA-512, MD5, DH grupo 1,2,5,14-21, 25-30
Procesos de autenticación
  • IKE (modo agresivo y modo principal, modo rápido); XAUTH para la autenticación ampliada de usuarios
  • Modo de configuración IKE para la asignación dinámica de una dirección virtual del conjunto de direcciones internas (IP privada)
  • PFS
  • PAP, CHAP, MS CHAP V.2
  • IEEE 802.1x: EAP-MD5 (Protocolo de autenticación extensible): Autenticación extendida relativa a conmutadores y puntos de acceso (Capa 2)
  • Secretos precompartidos, contraseñas de un solo uso y sistemas de respuesta a desafíos;
    preparado para RSA SecurID.
Funciones de red Emulación LAN: Adaptador Ethernet con interfaz NDIS, compatibilidad total con WLAN (red de área local inalámbrica) y WWAN (red de área amplia inalámbrica)
Itinerancia sin interrupciones Si se produce un error en el medio de comunicación, el cambio automático del túnel VPN a otro medio de comunicación de Internet (LAN/WWAN/3G/4G) sin alterar la dirección IP garantiza que las aplicaciones que se comunican a través del túnel VPN no se vean perturbadas y que la sesión con el Nodo de Acceso Remoto Seguro no se desconecte.
Buscador de rutas VPN IPsec/ HTTPS de reserva (puerto 443) si el puerto 500 (encapsulación UDP) no es posible
Asignación de direcciones IP DHCP (protocolo de control dinámico de host), DNS: Acceso telefónico a la pasarela central con direcciones IP públicas cambiantes mediante la consulta de direcciones IP a través de un servidor DNS
Medios de comunicación Internet, LAN, Wi-Fi, GSM (incl. HSCSD), GPRS, 3G, LTE, HSDPA, RTC
Gestión de línea
  • DPD con intervalo de tiempo configurable; Modo de retención breve
  • Itinerancia Wi-Fi (traspaso)
  • Tiempo de espera (controlado por tiempo y cargos); Gestor presupuestario
  • Modos de conexión: automático, manual, variable
APN desde la tarjeta SIM APN (Access Point Name) define el punto de acceso de una conexión de datos móviles en un proveedor. Si el usuario cambia de proveedor, el sistema utiliza automáticamente los datos APN de la tarjeta SIM para configurar Secure Client
Compresión de datos IPCOMP (lzs), deflate
Calidad de servicio Priorización del ancho de banda saliente configurado en el túnel VPN (puede variar según el SO del cliente)
Características adicionales Encapsulación UDP, soporte WISPr, IPsec-roaming , Wi-Fi roaming, Split Tunneling
Protocolos punto a punto PPP sobre RDSI, PPP sobre GSM, PPP sobre Ethernet;LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
RFC y borradores de Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociaciones NAT-T), RFC 3948 (encapsulación UDP)
  • Arquitectura de seguridad IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulación UDP, IPCOMP; RFC 7427: IKEv2-Autenticación (Padding-method)
Monitor de cliente Interfaz de usuario gráfica e intuitiva
  • Multilingüe (inglés, español, francés, alemán); manejo intuitivo
  • Configuración, gestión y supervisión de la conexión, estadísticas de conexión, archivos de registro, prueba de disponibilidad de Internet, herramienta de rastreo para el diagnóstico de errores
  • Visualización del estado de la conexión
  • Soporte integrado de tarjetas Mobile Connect, integradas
  • Client Monitor puede adaptarse para incluir el nombre de la empresa o información de apoyo
  • Gestión de la configuración y de los perfiles protegida por contraseña, bloqueo de los parámetros de configuración
Nodo de acceso remoto seguro

Acceso remoto a la red de la empresa aprovechando la red central global de Aryaka

General
Ubicaciones PoP de Aryaka HyperScale Aryaka tiene PoPs de servicio en más de 40 ubicaciones en todo el mundo, dentro de <30ms de 95% de todos los trabajadores del conocimiento en todo el mundo.
Gestión Aryaka Secure Remote Access Manager proporciona el portal de aprovisionamiento y operaciones – los administradores de la empresa pueden obtener información inmediata sobre su despliegue VPN
Alta Disponibilidad Los PoPs de Aryaka Service están construidos sobre una arquitectura y topología de alta redundancia para garantizar la Alta Disponibilidad
DNS dinámico (DynDNS) Establecimiento de la conexión a través de Internet con direcciones IP dinámicas. Registro de cada dirección IP actual en un proveedor externo de DNS dinámico. En este caso, el túnel VPN se establece mediante la asignación de nombres
DDNS Los clientes VPN conectados se registran en el servidor de nombres de dominio a través del DNS dinámico (DDNS), lo que significa que se puede acceder a los clientes VPN con IP dinámicas a través de un nombre (permanente)
Administración de usuarios Administración local de usuarios; servidor OTP; RADIUS; LDAP, Novell NDS, MS Active Directory Services
Estadísticas y registro Estadísticas detalladas, funcionalidad de registro, envío de mensajes SYSLOG
FIPS en el interior El cliente IPsec integra algoritmos criptográficos basados en la norma FIPS. El módulo criptográfico integrado, que contiene los algoritmos correspondientes, ha sido validado como conforme a la norma FIPS 140-2 (Certificado nº 1747).

La conformidad FIPS se mantendrá siempre que se utilicen los siguientes algoritmos para la configuración y el cifrado de una conexión VPN:

  • Grupo Diffie Hellman: Grupo 2 o superior (DH a partir de una longitud de 1024 bits)
  • Algoritmos hash: SHA1, SHA 256, SHA 384 o SHA 512 bits
  • Algoritmos de cifrado: AES 128, 192 y 256 bits o Triple DES
Procesos de autenticación de clientes/usuarios Token OTP, nombre de usuario y contraseña (XAUTH)
Gestión de conexiones
Gestión de líneas Detección de pares muertos (DPD) con intervalo de tiempo configurable; Tiempo de espera (controlado por duración y cargos)
Protocolos punto a punto LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
Gestión de direcciones pool Reserva de una dirección IP de un pool por un periodo de tiempo definido (tiempo de arrendamiento)
VPN IPsec
Redes privadas virtuales
  • IPsec (túnel de capa 3), compatible con RFC
  • Ajuste automático del tamaño de la MTU, fragmentación y reensamblaje; DPD
  • NAT transversal (NAT-T)
  • Modos IPsec: Modo túnel, Modo transporte Repetición sin fisuras; PFS
RFC y borradores de Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociaciones NAT-T), RFC 3948 (encapsulación UDP),
  • Arquitectura de seguridad IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (incl. MOBIKE), autenticación por firma IKEv2, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulación UDP, IPCOMP, autenticación IKEv2 conforme a RFC 7427 (proceso de relleno)
Cifrado
  • Procesos simétricos: AES (CBC/CTR/GCM) 128, 192, 256 bits
  • Blowfish 128, 448 bits; Triple-DES 112, 168 bits; Procesos dinámicos para el intercambio de claves: RSA hasta 4096 bits; Grupos Diffie-Hellman 1, 2, 5, 14-21, 25-30
  • Algoritmos hash: SHA-1, SHA 256, SHA 384 o SHA 512
Buscador de rutas VPN Retroceso a HTTPS desde IPsec (puerto 443) si no están disponibles ni el puerto 500 ni la encapsulación UDP
Itinerancia sin interrupciones El sistema puede transferir automáticamente el túnel VPN a un medio de comunicación diferente (LAN / Wi-Fi / 3G / 4G) sin cambiar la dirección IP para evitar interrumpir la comunicación a través del túnel VPN o desconectar las sesiones de las aplicaciones.
Procesos de autenticación
  • IKEv1 (modo agresivo y principal), modo rápido; XAUTH para la autenticación ampliada de usuarios
  • IKEv2, EAP-PAP / MD5 / MS-CHAP v2 / TLS
  • Contraseñas de un solo uso y sistemas de respuesta a desafíos
Asignación de direcciones IP
  • DHCP (Protocolo de control dinámico de host) sobre IPsec
  • DNS: Selección de la pasarela central con direcciones IP públicas dinámicas mediante la consulta de la dirección IP a través de un servidor DNS.
  • Modo de configuración IKE para la asignación dinámica de una dirección virtual a los clientes desde el rango de direcciones interno (IP privada)
  • Se pueden asignar diferentes pools en función del medio de conexión (IP VPN del cliente)
Compresión de datos IPCOMP (lzs), Deflate
Gestor de acceso remoto seguro

VPN como servicio gestionado centralmente con funcionamiento totalmente automático de una VPN de acceso remoto

Funciones soportadas Actualización automática, configuración del cortafuegos del cliente, monitor del sistema
Administración de usuarios LDAP, Novell NDS, MS Active Directory Services
Estadísticas y registro Estadísticas detalladas, funcionalidad de registro, envío de mensajes SYSLOG
Procesos de autenticación de clientes/usuarios Token OTP, nombre de usuario y contraseña (XAUTH)
RFC y borradores compatibles
  • RFC 2138 Servicio de autenticación remota por marcación de usuario (RADIUS); RFC 2139 RADIUS
  • Contabilidad; RFC 2433 Microso CHAP
  • RFC 2759 Microso CHAP V2
  • RFC 2548 Atributos RADIUS específicos del vendedor de Microso
  • RFC 3579 Soporte RADIUS para el protocolo de autenticación extensible (EAP); RFC 2716
  • Protocolo de autenticación PPP EAP TLS
  • Protocolo TLS RFC 2246
  • RFC 2284 Protocolo de autenticación extensible PPP (EAP); RFC 2716 Certificado
  • Protocolo de gestión
  • RFC 2511 Formato de mensaje de solicitud de certificado

Acerca de Aryaka

Aryaka es el líder en la entrega de SASE unificada como servicio, una solución totalmente integrada que combina redes, seguridad y observabilidad. Construida para las demandas de la IA Generativa, así como para el mundo híbrido multi-nube de hoy en día, Aryaka permite a las empresas transformar sus redes seguras para ofrecer un rendimiento, agilidad, simplicidad y seguridad sin compromisos. Las opciones de entrega flexibles de Aryaka permiten a las empresas elegir su enfoque preferido para la implementación y la gestión. Cientos de empresas globales, incluidas varias de las que figuran en la lista Fortune 100, dependen de Aryaka para sus soluciones de redes seguras. Para más información sobre Aryaka, visite www.aryaka.com.