Visión general de Aryaka SmartSecure Private Access

La solución SmartSecure Private Access de Aryaka aprovecha el rendimiento de la red central global de Aryaka con su enfoque arquitectónico cloud-first para proporcionar la solución óptima a las empresas que buscan un enfoque «lo mejor de ambos mundos» para la conectividad de los trabajadores remotos: una solución que combina la utilización flexible de recursos de red dedicados y deterministas tanto para las sucursales como para los trabajadores remotos a través de una red de alto rendimiento.
Esta arquitectura ofrece siempre el máximo rendimiento, independientemente de los cambios de tráfico entre el tráfico de las sucursales y el de los trabajadores remotos, con una visibilidad consolidada del rendimiento de la red y de las aplicaciones en toda la conectividad central de la empresa, así como en los dominios VPN. img La solución Private Access de Aryaka es una solución de red privada virtual altamente flexible y totalmente gestionada.
Aprovecha la arquitectura global HyperScale PoPs de Aryaka para una conectividad y gestión unificadas para los usuarios en cualquier lugar a recursos locales y en la nube.
Además, los usuarios de Aryaka Private Access pueden aprovechar todas las capacidades de Aryaka Unified SASE con la integración de nuestro Next Generation Firewall/Secure Web Gateway (NGFW-SWG) para una mayor inspección y seguridad del tráfico web y de las aplicaciones.

SmartSecure Private Access se basa en la solución Enterprise VPN de NCP Engineering, uno de los principales proveedores de VPN.

SmartSecure Private Access consta de los siguientes elementos arquitectónicos:

Clientes de acceso privado SmartSecure

La solución SmartSecure Private Access proporciona un conjunto de clientes gestionados de forma centralizada para los principales sistemas operativos de escritorio o móviles, incluidos:

Los clientes de acceso privado SmartSecure de Aryaka permiten a los dispositivos de usuario final seleccionar el PoP Aryaka más cercano para un acceso a la red óptimo y de alto rendimiento y llegar a él con el protocolo de tunelización más eficaz.
El Cliente de Acceso Privado SmartSecure garantiza un cumplimiento robusto y unificado de los puntos finales.
Protege la integridad de la red de la empresa mediante un estricto control de acceso VPN, que primero termina en el Nodo de Acceso Privado SmartSecure de Aryaka más cercano y luego se dirige al destino DC privado o público adecuado.
El tráfico viaja por el Aryaka FlexCore, ofreciendo las ventajas de rendimiento de la red central de Capa 2 y Capa 3 de Aryaka.
También se admiten capacidades de Confianza Cero.
El SmartSecure Private Access Client es un producto de software de comunicación para su implementación universal en cualquier entorno VPN de acceso remoto.
Permite a los trabajadores remotos acceder a aplicaciones y datos de forma transparente y segura, en las instalaciones o en la nube, desde cualquier lugar, como si estuvieran en la oficina corporativa.
La itinerancia sin fisuras proporciona una conexión opcional segura y siempre activa a la red corporativa, seleccionando automáticamente el medio más rápido para acceder a Internet.
Cuando cambia el punto de acceso o la dirección IP, la itinerancia Wi-Fi o IPsec mantiene la conexión VPN.
Incluso detrás de cortafuegos cuya configuración siempre bloquea las conexiones de datos IPsec, el Cliente de Acceso Privado garantiza la disponibilidad del acceso remoto encontrando una ruta desbloqueada.
El cliente admite el inicio de sesión en dominios utilizando un proveedor de servicios de credenciales tras establecer una conexión VPN con la red de la empresa.
Una función de derivación en el Cliente de Acceso Privado permite al administrador de TI configurar el cliente para que determinadas aplicaciones queden exentas de la VPN y los datos se envíen a través de Internet aunque el túnel dividido esté desactivado.
Esto evita que aplicaciones como la transmisión de vídeo graven innecesariamente la infraestructura de la empresa.
Todas las configuraciones del cliente pueden ser bloqueadas por el administrador, lo que significa que el usuario no puede cambiar las configuraciones bloqueadas.
El Private Access Client es fácil de instalar y sencillo de manejar.
Una interfaz de usuario gráfica e intuitiva proporciona información sobre todos los estados de conexión y seguridad.
Además, la información detallada de los registros permite una asistencia eficaz por parte del servicio de asistencia.

Nodo de acceso privado SmartSecure

Los Clientes de Acceso Privado de Aryaka se conectan al Nodo de Acceso Privado de Aryaka más cercano a ellos.
El Nodo de Acceso Privado de Aryaka es un servicio virtual alojado en los PoPs HyperScale globales de Aryaka, que proporcionan una rampa de acceso de menos de 30 ms a la Red Central de Aryaka al 95% de los trabajadores del conocimiento de todo el planeta.
Los PoPs HyperScale de Aryaka alojan servicios que van más allá de la conectividad de red básica: aceleración de redes y aplicaciones, separación estricta de los recursos dedicados por el cliente y cifrado seguro del tráfico, entre otros.
Las capacidades de seguridad web y de aplicaciones también se ven reforzadas con la combinación de Private Access y Aryaka NextGen Firewall and Secure Web Gateway.
Una vez establecidas las conexiones seguras, la función del Nodo de Acceso Privado Seguro recibe el tráfico de todos los clientes que acceden a él y lo encamina a través de la red Global Aryaka FlexCore de alto rendimiento a la sede central de la empresa o a una ubicación de servicio SmartCloud que se adapte de forma óptima a la ubicación del usuario.
Los SmartSecure Private Access Node se basan en una arquitectura multi-tenant y un sistema operativo Linux endurecido que está optimizado para la máxima seguridad.
Además, la arquitectura PoP HyperScale de Aryaka garantiza un rendimiento determinista y una alta disponibilidad.
El Nodo de Acceso Privado SmartSecure puede gestionar un número altamente escalable de conexiones a la red de la empresa a través de una VPN IPsec.
A los usuarios del Private Access Clients se les puede asignar la misma dirección IP privada de un pool asignado por la empresa cada vez que se conecten a la red.
Esto facilita enormemente la administración remota, ya que cada usuario puede ser identificado por su dirección IP.
Si la dirección IP se asigna dinámicamente a partir de un pool, se reservará para el usuario durante un periodo definido (tiempo de arrendamiento).
El DNS dinámico (DynDNS) garantiza que la pasarela VPN siga siendo accesible si al dispositivo se le asigna una dirección IP dinámica.

Gestor de acceso privado SmartSecure

El SmartSecure Private Access Manager proporciona la función de configuración y gestión de todos los componentes de la solución Aryaka Private Access.
Junto con el Nodo de Acceso Privado, también se encarga de la autenticación de usuarios a través de la comunicación con los sistemas IAM (Gestión de Identidad y Acceso) existentes en las empresas.
El Gestor de Acceso Privado de SmartSecure permite a Aryaka aprovisionar y gestionar los Clientes de Acceso Privado y el Nodo de Acceso Privado en los PdP.
También establece la conectividad con los sistemas IAM globales de las empresas para la autenticación de los Clientes de Acceso Privado.
Con este mecanismo, el estado de seguridad de los dispositivos finales móviles y fijos se verifica antes de que el dispositivo acceda a la red corporativa.
Todos los parámetros son definidos de forma centralizada por Aryaka en nombre de la empresa, y a los trabajadores remotos se les conceden derechos de acceso en función de su conformidad con los mismos.
El Gestor de Acceso Privado SmartSecure es un componente clave para proporcionar una solución VPN fácil de establecer y manejar.
El Gestor de Acceso Privado se integra con la gestión de identidades existente en la empresa (por ejemplo, Microsoft Active Directory) y solicita actualizaciones periódicas.
En cuanto un nuevo empleado aparece en esta base de datos, el Gestor de Acceso Privado crea una configuración individual para este usuario, de acuerdo con las plantillas definidas.
Si un antiguo empleado ha sido eliminado de la base de datos, el Gestor de Acceso Privado bloquea inmediatamente este acceso VPN.
Esto elimina la necesidad de configurar manualmente los ordenadores de todos los empleados móviles.
El Gestor de Acceso Privado también permite un despliegue rápido de muchos usuarios y certificados de software.

Private Access Manager proporciona las siguientes funciones:

Configuración del cliente

Private Access Manager proporciona la configuración y gestión de todos los componentes de la solución Aryaka Private Access.
Esto incluye los clientes de Private Access para Windows, macOS, iOS y Android.
Todos los parámetros relevantes están predefinidos y almacenados en plantillas.

Proceso de actualización automática

El proceso de actualización totalmente automático permite al administrador proporcionar de forma centralizada a todos los clientes remotos de Private Access actualizaciones de configuración y certificados.
En cuanto el cliente se conecta a la red corporativa, el sistema lo actualiza automáticamente.
Si se producen fallos durante la transmisión, la configuración existente previamente no se verá afectada.

Gestión de licencias (utilizada sólo por los operadores de Aryaka)

Las licencias de todos los componentes conectados se almacenan de forma centralizada en el PAM y son gestionadas por Aryaka para los clientes empresariales.
El sistema las transfiere a un pool de licencias y las gestiona automáticamente según las directrices especificadas.
Esta transferencia de licencias puede utilizarse para: transferir a una configuración por cliente remoto o puerta de enlace, devolver la licencia al pool de licencias cuando un empleado abandona la empresa o activar un aviso cuando no hay más licencias disponibles.

Monitor del sistema (utilizado por los operadores de Aryaka)

Aryaka puede ofrecer a las empresas una visión inmediata de todos los eventos importantes dentro de la solución SmartSecure Private Access.
El administrador puede utilizar el monitor del sistema cuando lo necesite para consultar información sobre el estado en tiempo real, o para acceder a respositorios de datos guardados previamente para el entorno de acceso remoto.

Ventajas de SmartSecure Private Access

Mejore drásticamente el rendimiento global de la VPN aprovechando el Aryaka FlexCore global

Mejore la experiencia y la productividad del usuario final con un comportamiento determinista de la red

Visibilidad inmediata de la red, el rendimiento de las aplicaciones y la experiencia del usuario

Especificaciones técnicas

Cliente de acceso privado SmartSecure

Paquete de clientes VPN universal y administrable de forma centralizada para Windows, macOS, iOS y Android

Sistemas operativos Microsoft Windows, macOS, iOS, Android
Capacidades de confianza cero
  • Cortafuegos integrado L3/L4/Aplicaciones
  • Acceso menos privilegiado basado en la identificación del usuario, la postura del dispositivo y la ubicación de la red con capacidades de Confianza Cero
  • Protección del usuario siempre activa con acceso a la red sólo tras la autenticación del usuario
  • Confianza cero basada en certificados y autenticación de dispositivos
  • Políticas estrictas de control de admisión que imponen el cumplimiento de las políticas de seguridad por parte de los dispositivos con opción de cuarentena
  • Integración con las soluciones MFA (autenticación multifactor) y OTP (contraseña de un solo uso) existentes
  • Capacidades de prevención de amenazas de próxima generación con Aryaka Unified SASE
Características de seguridad El Enterprise Client es compatible con los principales estándares IPsec de acuerdo con las RFC
Anulación de VPN La función VPN Bypass permite al administrador definir las aplicaciones que pueden comunicarse a través de Internet directamente a pesar de desactivar el túnel dividido en la conexión VPN.
También es posible definir qué dominios o direcciones de destino pueden eludir el túnel VPN
Redes privadas virtuales
  • IPsec (Túnel de Capa 3), las propuestas IPsec pueden determinarse a través de la pasarela IPsec (IKEv1/IKEv2, IPsec Fase 2)
  • Registro de eventos
  • Comunicación sólo en el túnel
  • Fragmentación y reensamblaje del tamaño de la MTU, DPD, NAT-Traversal (NAT-T); modo túnel IPsec
Cifrado
  • Procesos simétricos: AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits
  • Procesos dinámicos para el intercambio de claves: RSA hasta 2048 bits; reintroducción sin fisuras (PFS)
  • Algoritmos hash: SHA-1, SHA-256, SHA-384, SHA-512, MD5, DH grupo 1,2,5,14-21, 25-30
Procesos de autenticación
  • IKE (modo agresivo y modo principal, modo rápido); XAUTH para la autenticación ampliada de usuarios
  • Modo de configuración IKE para la asignación dinámica de una dirección virtual del conjunto de direcciones internas (IP privada)
  • PFS
  • PAP, CHAP, MS CHAP V.2
  • IEEE 802.1x: EAP-MD5 (Protocolo de autenticación extensible): Autenticación extendida relativa a conmutadores y puntos de acceso (Capa 2)
  • Secretos precompartidos, contraseñas de un solo uso y sistemas de respuesta a desafíos; preparado para RSA SecurID.
Funciones de red Emulación LAN: Adaptador Ethernet con interfaz NDIS, compatibilidad total con WLAN (red de área local inalámbrica) y WWAN (red de área amplia inalámbrica)
Itinerancia sin interrupciones Si se produce un error en el medio de comunicación, el cambio automático del túnel VPN a otro medio de comunicación de Internet (LAN/WWAN/3G/4G) sin alterar la dirección IP garantiza que las aplicaciones que se comunican a través del túnel VPN no se vean perturbadas y que la sesión con el Nodo de Acceso Privado no se desconecte.
Buscador de rutas VPN IPsec/ HTTPS de reserva (puerto 443) si el puerto 500 (encapsulación UDP) no es posible
Asignación de direcciones IP DHCP (protocolo de control dinámico de host), DNS: Acceso telefónico a la pasarela central con direcciones IP públicas cambiantes mediante la consulta de direcciones IP a través de un servidor DNS
Medios de comunicación Internet, LAN, Wi-Fi, GSM (incl. HSCSD), GPRS, 3G, LTE, HSDPA, RTC
Gestión de línea
  • DPD con intervalo de tiempo configurable; Modo de retención breve
  • Itinerancia Wi-Fi (traspaso)
  • Tiempo de espera (controlado por tiempo y cargos); Gestor presupuestario
  • Modos de conexión: automático, manual, variable
APN desde la tarjeta SIM APN (Access Point Name) define el punto de acceso de una conexión de datos móviles en un proveedor.
Si el usuario cambia de proveedor, el sistema utiliza automáticamente los datos APN de la tarjeta SIM para configurar Secure Client
Compresión de datos IPCOMP (lzs), deflate
Calidad de servicio Priorización del ancho de banda saliente configurado en el túnel VPN (puede variar según el SO del cliente)
Características adicionales Encapsulación UDP, soporte WISPr, IPsec-roaming , Wi-Fi roaming, Split Tunneling
Protocolos punto a punto PPP sobre RDSI, PPP sobre GSM, PPP sobre Ethernet;LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
RFC y borradores de Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociaciones NAT-T), RFC 3948 (encapsulación UDP)
  • Arquitectura de seguridad IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulación UDP, IPCOMP; RFC 7427: IKEv2-Autenticación (Padding-method)
Monitor de cliente Interfaz de usuario gráfica e intuitiva
  • Multilingüe (inglés, español, francés, alemán); manejo intuitivo
  • Configuración, gestión y supervisión de la conexión, estadísticas de conexión, archivos de registro, prueba de disponibilidad de Internet, herramienta de rastreo para el diagnóstico de errores
  • Visualización del estado de la conexión
  • Soporte integrado de tarjetas Mobile Connect, integradas
  • Client Monitor puede adaptarse para incluir el nombre de la empresa o información de apoyo
  • Gestión de la configuración y de los perfiles protegida por contraseña, bloqueo de los parámetros de configuración
Nodo de acceso privado SmartSecure

Acceso remoto a la red de la empresa aprovechando la red central global de Aryaka

General
Ubicaciones de PoP HyperScale de Aryaka Aryaka tiene PoPs de servicio en más de 40 ubicaciones en todo el mundo, dentro de <30ms de 95% de todos los trabajadores del conocimiento en todo el mundo.
Gestión Aryaka Private Access Manager proporciona el portal de aprovisionamiento y operaciones – los administradores de la empresa pueden obtener una visión inmediata de su despliegue VPN
Alta Disponibilidad Los PoPs Aryaka HyperScale están construidos sobre una arquitectura y topología de alta redundancia para garantizar la Alta Disponibilidad
DNS dinámico (DynDNS) Establecimiento de la conexión a través de Internet con direcciones IP dinámicas.
Registro de cada dirección IP actual en un proveedor externo de DNS dinámico.
En este caso, el túnel VPN se establece mediante la asignación de nombres
DDNS Los clientes VPN conectados se registran en el servidor de nombres de dominio a través del DNS dinámico (DDNS), lo que significa que se puede acceder a los clientes VPN con IP dinámicas a través de un nombre (permanente)
Administración de usuarios Administración local de usuarios; servidor OTP; RADIUS; LDAP, Novell NDS, MS Active Directory Services
Estadísticas y registro Estadísticas detalladas, funcionalidad de registro, envío de mensajes SYSLOG
FIPS en el interior El cliente IPsec integra algoritmos criptográficos basados en la norma FIPS.
El módulo criptográfico integrado, que contiene los algoritmos correspondientes, ha sido validado como conforme a la norma FIPS 140-2 (Certificado nº 1747) La conformidad con la norma FIPS se mantendrá siempre que se utilicen los siguientes algoritmos para la configuración y el cifrado de una conexión VPN:

  • Grupo Diffie Hellman: Grupo 2 o superior (DH a partir de una longitud de 1024 bits)
  • Algoritmos hash: SHA1, SHA 256, SHA 384 o SHA 512 bits
  • Algoritmos de cifrado: AES 128, 192 y 256 bits o Triple DES
Procesos de autenticación de clientes/usuarios Token OTP, nombre de usuario y contraseña (XAUTH)
Gestión de conexiones
Gestión de líneas Detección de pares muertos (DPD) con intervalo de tiempo configurable; Tiempo de espera (controlado por duración y cargos)
Protocolos punto a punto LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
Gestión de direcciones pool Reserva de una dirección IP de un pool por un periodo de tiempo definido (tiempo de arrendamiento)
VPN IPsec
Redes privadas virtuales
  • IPsec (túnel de capa 3), compatible con RFC
  • Ajuste automático del tamaño de la MTU, fragmentación y reensamblaje; DPD
  • NAT transversal (NAT-T)
  • Modos IPsec: Modo túnel, Modo transporte Repetición sin fisuras; PFS
RFC y borradores de Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (negociaciones NAT-T), RFC 3948 (encapsulación UDP),
  • Arquitectura de seguridad IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (incl. MOBIKE), autenticación por firma IKEv2, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulación UDP, IPCOMP, autenticación IKEv2 conforme a RFC 7427 (proceso de relleno)
Cifrado
  • Procesos simétricos: AES (CBC/CTR/GCM) 128, 192, 256 bits
  • Blowfish 128, 448 bits; Triple-DES 112, 168 bits; Procesos dinámicos para el intercambio de claves: RSA hasta 4096 bits; Grupos Diffie-Hellman 1, 2, 5, 14-21, 25-30
  • Algoritmos hash: SHA-1, SHA 256, SHA 384 o SHA 512
Buscador de rutas VPN Retroceso a HTTPS desde IPsec (puerto 443) si no están disponibles ni el puerto 500 ni la encapsulación UDP
Itinerancia sin interrupciones El sistema puede transferir automáticamente el túnel VPN a un medio de comunicación diferente (LAN / Wi-Fi / 3G / 4G) sin cambiar la dirección IP para evitar interrumpir la comunicación a través del túnel VPN o desconectar las sesiones de las aplicaciones.
Procesos de autenticación
  • IKEv1 (modo agresivo y principal), modo rápido; XAUTH para la autenticación ampliada de usuarios
  • IKEv2, EAP-PAP / MD5 / MS-CHAP v2 / TLS
  • Contraseñas de un solo uso y sistemas de respuesta a desafíos
Asignación de direcciones IP
  • DHCP (Protocolo de control dinámico de host) sobre IPsec
  • DNS: Selección de la pasarela central con direcciones IP públicas dinámicas mediante la consulta de la dirección IP a través de un servidor DNS.
  • Modo de configuración IKE para la asignación dinámica de una dirección virtual a los clientes desde el rango de direcciones interno (IP privada)
  • Se pueden asignar diferentes pools en función del medio de conexión (IP VPN del cliente)
Compresión de datos IPCOMP (lzs), Deflate
Gestor de acceso privado SmartSecure

VPN como servicio gestionado centralmente con funcionamiento totalmente automático de una VPN de acceso remoto

Funciones soportadas Actualización automática, configuración del cortafuegos del cliente, monitor del sistema
Administración de usuarios LDAP, Novell NDS, MS Active Directory Services
Estadísticas y registro Estadísticas detalladas, funcionalidad de registro, envío de mensajes SYSLOG
Procesos de autenticación de clientes/usuarios Token OTP, nombre de usuario y contraseña (XAUTH)
RFC y borradores compatibles
  • RFC 2138 Servicio de autenticación remota por marcación de usuario (RADIUS); RFC 2139 RADIUS
  • Contabilidad; RFC 2433 Microso CHAP
  • RFC 2759 Microso CHAP V2
  • RFC 2548 Atributos RADIUS específicos del vendedor de Microso
  • RFC 3579 Soporte RADIUS para el protocolo de autenticación extensible (EAP); RFC 2716
  • Protocolo de autenticación PPP EAP TLS
  • Protocolo TLS RFC 2246
  • RFC 2284 Protocolo de autenticación extensible PPP (EAP); RFC 2716 Certificado
  • Protocolo de gestión
  • RFC 2511 Formato de mensaje de solicitud de certificado

Acerca de Aryaka

Aryaka es el líder y el primero en ofrecer SASE unificado como servicio, la única solución SASE diseñada y construida para ofrecer rendimiento, agilidad, simplicidad y seguridad sin concesiones.
Aryaka se encuentra con los clientes donde están en sus viajes únicos SASE, lo que les permite modernizar sin problemas, optimizar y transformar sus entornos de redes y seguridad.
Las opciones de entrega flexibles de Aryaka permiten a las empresas elegir su enfoque preferido para la implementación y la gestión.
Cientos de empresas globales, incluidas varias de las que figuran en la lista Fortune 100, dependen de Aryaka para los servicios de redes y seguridad definidos por software basados en la nube. Para más información sobre Aryaka, visite www.aryaka.com.