theNet by CLOUDFLARE

Ofrecemos un servicio de "red de cafetería"

Acceso remoto seguro y simplificación de la red

Durante casi una década, los responsables de informática de las empresas han tenido que gestionar dos realidades distintas. Creamos "fortalezas" para nuestras oficinas, que protegimos con firewalls, redes LAN virtuales (VLAN) poco flexibles y circuitos MPLS muy caros. Al mismo tiempo, creamos "túneles" para nuestros usuarios remotos, que protegimos con VPN y, más recientemente, con soluciones de acceso a la red Zero Trust (ZTNA).

Si bien estas iniciativas paralelas aportaron valor, han dado como resultado una realidad fragmentada. La experiencia de red de un usuario remoto es radicalmente diferente de la experiencia de alguien que trabaja en la oficina. Esto genera una carga operativa para nuestros equipos y una postura de seguridad inconsistente para la organización.

Ha llegado el momento de fusionar estas corrientes. Es hora de dejar de gestionar nuestras filiales como centros de datos y empezar a gestionarlas como cafeterías.

Gartner acuñó el término "redes de cafeterías" para describir este cambio. La premisa es engañosa por su simplicidad: proporcionar a todos los usuarios una conexión a Internet sencilla y rápida, con acceso seguro a todas las aplicaciones que necesitan, ya sea desde casa, desde una filial o desde la cafetería de tu barrio.

Este enfoque renuncia al concepto obsoleto de la LAN de confianza. En su lugar, podemos utilizar la red pública de Internet como nuestra WAN corporativa principal, lo que reduce significativamente los costes de infraestructura y, al mismo tiempo, mejora la seguridad.

A pesar de su aparente simplicidad, la implementación de redes en cafeterías requiere cierta planificación. Seguir una hoja de ruta estratégica ayuda a los ejecutivos a simplificar su arquitectura de red y a ofrecer una experiencia coherente a los empleados que priorice el uso de Internet.

La paradoja de la oficina "de confianza"

Tradicionalmente, la seguridad de las filiales se basaba en una pila de dispositivos locales: soluciones de control de acceso a la red (NAC) para la autenticación, VLAN para la segmentación y firewalls de red para aplicar la autorización. Este modelo de gestión "hardware por hardware" es insostenible a escala. Requiere experiencia local y visitas frecuentes de técnicos para realizar actualizaciones. También crea un entorno frágil en el que la ubicación del usuario determina su política de seguridad.

El modelo de cafetería plantea una pregunta fundamental: ¿Cómo se puede garantizar la conectividad para todos los usuarios, sin depender de la seguridad de la propia red?

Llega el perímetro de servicio de acceso seguro (SASE), una arquitectura basada en la nube que unifica los servicios de red y seguridad definidos por software. Uno de los elementos centrales de una plataforma SASE es ZTNA, que considera por defecto que todos los usuarios, dispositivos y ubicaciones son poco fiables. ¿Si ZTNA proporciona un control superior, granular y basado en la identidad para los usuarios remotos, por qué lo desactivamos en el momento en que llegan a la oficina? Si ZTNA está "siempre activo", la red de la oficina se convierte en un canal sin valor, una capa de transporte que no se diferencia de la de un Starbucks o la sala VIP de un aeropuerto.

La modernización del acceso a la red mediante SASE con ZTNA, junto con otras capacidades de red como servicio (NaaS) y redes de malla, puede ofrecer algunos beneficios importantes e inmediatos, entre otros:

  • Simplicidad: los empleados ya no tienen que alternar las VPN. La experiencia es idéntica en todas partes.

  • Agilidad: se pueden crear nuevas filiales con banda ancha básica en lugar de esperar meses a que se instalen circuitos privados.

  • Ahorro de costes: las organizaciones pueden prescindir de los gastos de capital que suponen los complejos equipos de las filiales y los gastos operativos de MPLS.

Experiencia de seguridad "invisible"

Históricamente, una "mayor seguridad" ha supuesto más complicaciones para el usuario final. El modelo de cafetería invierte esta dinámica. Si tratamos la red de la oficina como una capa de transporte no fiable, paradójicamente creamos un flujo de trabajo más sencillo y coherente para los empleados.

En una configuración tradicional, la experiencia del usuario fluctúa enormemente. En la oficina, están en una LAN de confianza con acceso directo y, en casa, tienen dificultades con las conexiones VPN y la latencia del tráfico de retorno. En el modelo de cafetería, un agente zero trust crea una capa uniforme de conectividad. El agente está siempre activo, gestionando de manera transparente la autenticación y el enrutamiento en segundo plano.

Esto genera dos beneficios inmediatos en cuanto a experiencia:

  • Equidad de rendimiento: tanto si un usuario se encuentra en la sede como en un hotel, su tráfico sigue la ruta más directa hacia la aplicación a través de la red troncal global, en lugar de desviarse a través de un centro de datos central.

  • Soporte proactivo: dado que la pila de seguridad y la red están unificadas en el dispositivo, los equipos de informática obtienen visibilidad de la experiencia digital real del usuario. Estos equipos pueden diferenciar entre un dispositivo lento, una conexión wifi local deficiente o una interrupción de la aplicación, solucionando a menudo los problemas antes de que el usuario pueda abrir una incidencia.

Entonces, ¿por dónde empiezo? Un enfoque en tres fases puede agilizar la implementación.

Fase 1: Convierte la identidad en el nuevo perímetro

El primer paso en esta transformación es separar las comunicaciones seguras de las redes públicas potencialmente no fiables. Debemos utilizar una infraestructura de nube (ZTNA) para facilitar el acceso seguro de los usuarios a aplicaciones privadas y a objetivos de infraestructura en cualquier ubicación. En lugar de colocar puntos finales (como una VPN o un firewall) "en" la red, ZTNA proporciona a tu equipo el nivel preciso de acceso necesario para realizar su trabajo, y nada más.

Para dispositivos no administrados, como contratistas externos o escenarios de BYOD (usa tu propio dispositivo), donde los agentes no son prácticos, podemos aprovechar ZTNA sin agente. Mediante el uso de un proxy inverso y el aislamiento de navegador, aplicamos controles basados en el contexto (como la ubicación o la hora del día) sin tocar el dispositivo.

Fase 2: Utiliza Internet como la red troncal corporativa

Una vez que el agente protege al usuario, la propia red de filiales puede simplificarse radicalmente. El objetivo es pasar de una WAN compleja y centrada en el hardware a un modelo de "filial ligera, nube centralizada" que representa la evolución de la conectividad SD-WAN.

En esta arquitectura, que prioriza el uso de Internet, el dispositivo de la filial realiza solo tareas mínimas:

  1. Selección de ruta básica: enrutamiento del tráfico a través de enlaces duales de Internet (fibra, 5G o banda ancha) para resiliencia.

  2. Tunelización: encapsulación de tráfico no perteneciente a usuarios (desde impresoras, dispositivos IoT o servidores) a través de IPsec hasta el nodo de nube de seguridad más cercano.

Esto nos permite tratar la red pública de Internet como la base de toda la conectividad. Al realizar el enrutamiento de todo el tráfico de sitio a sitio a través de una plataforma SASE en lugar de dispositivos SD-WAN o circuitos MPLS, extendemos la WAN utilizando conexiones locales a Internet. La nube gestiona la optimización del rendimiento, el enrutamiento y la seguridad, mientras que el hardware local se convierte en un producto básico.

Fase 3: Gestión de dispositivos sin periféricos

La principal objeción al modelo de cafetería es la realidad de los dispositivos "sin interfaz gráfica de usuario" (que no son de usuario), como impresoras, puntos de acceso wifi y otros dispositivos IoT / OT que no pueden ejecutar un agente ZTNA. Aquí es donde el dispositivo perimetral ligero demuestra su valor. En lugar de implementar VLAN locales complejas, podemos usar el perímetro WAN para aislar estos dispositivos en un segmento no ZTNA y dirigir su tráfico a la nube para filtrarlo.

Esto nos permite simplificar nuestros diseños de LAN. Deberíamos aspirar, como máximo, a dos segmentos: dispositivos ZTNA (usuarios de confianza) y dispositivos que no son ZTNA (para dispositivos IoT e invitados). Dejamos de gestionar las listas de control de acceso locales y trasladamos todo el filtrado de norte a sur al motor de políticas en la nube.

Optimiza el modelo de "red de cafetería"

Si bien el concepto de red de cafetería es independiente de proveedores, su implementación requiere una plataforma SASE que integre la conectividad de red y la seguridad Zero Trust en un único panel de control. Aquí es donde Cloudflare se diferencia.

Cloudflare One proporciona todos los ingredientes para el modelo de red de cafetería. Ofrece ZTNA, NaaS, una puerta de enlace web segura (SWG), capacidades de firewall como servicio (FWaaS) y supervisión de la experiencia digital (DEM), todo ello desde una única plataforma unificada. Se basa en una arquitectura nativa de nube y distribuida globalmente que ejecuta todos los servicios en todos los servidores. Esto garantiza una alta resiliencia y una aplicación coherente de las políticas. El modelo inconexo de oficinas seguras y trabajo remoto poco seguro es una reliquia de un pasado basado en el perímetro. La adopción de una arquitectura de red de cafetería te permite alinear tu infraestructura con las realidades del trabajo híbrido. Puedes ofrecer una experiencia coherente y segura a los usuarios, independientemente de dónde trabajen, y evitar al mismo tiempo los costes del hardware obsoleto.

El futuro de la red corporativa no es una muralla. Es una malla global de conexiones seguras, nativas de Internet.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Autor

Daniel Creed
CISO, Cloudflare

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Por qué las organizaciones deberían evitar redes distintas para usuarios remotos y usuarios presenciales

  • Cómo el "modelo de red de cafeterías" unifica las experiencias y simplifica las operaciones

  • Las 3 fases para optimizar la implementación de un modelo de "red de cafetería"

Recursos relacionados

Más información sobre este tema

Más información sobre los pasos clave para implementar una arquitectura de red moderna de "red de cafetería" en el documento técnico "El plan para un modelo de "red de cafetería".

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

CÓMO EMPEZAR

SOLUCIONES

SOPORTE

CONFORMIDAD

INTERÉS PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca