Decisiones de diseño de Citrix SD-WAN para oficinas domésticas

Información general

Citrix SD-WAN para oficinas domésticas se puede implementar en varias topologías flexibles. También puede proporcionar una entrega mejorada de sesiones de Citrix Virtual Apps and Desktops para los trabajadores domésticos. Este documento de diseño proporciona orientación sobre las decisiones de diseño para implementar Citrix SD-WAN for Home Oficinas a fin de permitir un uso óptimo por parte de los trabajadores domésticos.

Administración de la red

Los administradores de red para la implementación de SD-WAN desempeñan un papel clave en la implementación correcta de la solución. Al diseñar y mantener implementaciones de SD-WAN, los administradores se preocupan por lo siguiente:

  • Permitir el acceso a la red corporativa solo para aquellos usuarios que lo necesiten, al tiempo que se cumplen los requisitos de seguridad corporativos
  • Implementación rápida y optimizada de cientos o miles de dispositivos de punto final distribuidos geográficamente en diferentes regiones
  • Permitir la mejor experiencia de usuario con directivas empresariales de toda la empresa a través de Calidad de Servicio
  • Estabilización del rendimiento y la experiencia del usuario, al tiempo que se tienen en cuenta tantas disparidades como manejables

El éxito de cualquier implementación depende de la ejecución perfecta tanto a nivel técnico como empresarial. En este documento se proporcionan más detalles y recomendaciones para ayudar a guiar al Administrador de Red a realizar una implementación satisfactoria de SD-WAN.

Consideraciones de seguridad de red

Habilitar el acceso a la red corporativa a las oficinas domésticas abre posibles vectores de ataque, por lo que se recomienda tomar precauciones adicionales para reducir el mayor riesgo posible. Algunos de estos pasos pueden incluir:

  1. Separar la red agregando barreras, limitando el alcance de los segmentos recientemente introducidos, como los trabajadores a domicilio
  2. Elimine la complejidad, limitando el caso de uso de la oficina doméstica a un alcance manejable
  3. Controle los puntos finales mediante la supervisión de las conexiones de red y la eliminación de cualquier acceso a dispositivos locales
  4. Para supervisar la actividad de los dispositivos de punto final, vigílelos constantemente y configure alertas cuando los comportamientos de los dispositivos de punto final se desvíen de la norma
  5. Aumente la solución SD-WAN con protección de seguridad con servicios en la nube (por ejemplo, Citrix Secure Internet Access, Zscaler o Palo Alto Prisma)
  6. Utilice dispositivos SD-WAN Advanced Edition de gama alta para desbloquear una pila de seguridad integrada o aprovechar firewalls de terceros (por ejemplo, Palo Alto, Checkpoint) como Funciones de Red Virtual (VNF) con una integración sencilla con proveedores de seguridad líderes del sector

Antes de profundizar en las consideraciones de seguridad para la red, primero describimos una decisión de diseño que debe tomarse si el perfil de tráfico de Office en el hogar incluye Citrix Virtual Apps and Desktops.

DECISIÓN: Entrega de Citrix Virtual Apps and Desktops

Para una seguridad óptima al extender la red corporativa a recursos remotos, siempre se recomienda utilizar tecnologías Citrix, como Citrix Virtual Apps and Desktops. Esta tecnología ha liderado en Virtual Client Computing durante muchos años y puede ayudar en el diseño de una red segura. Aquí puede encontrar más información al respecto Seguridad de Citrix Virtual Apps and Desktops. Citrix SD-WAN se puede acoplar con esta solución para ofrecer una mejor entrega a ubicaciones remotas donde la WAN no siempre sea confiable.

Los usuarios se conectan de forma remota a Citrix Virtual Apps and Desktops en cualquier dispositivo y desde cualquier ubicación. En la red del centro de datos, por razones de seguridad, el tráfico front-end entrante se aísla del tráfico back-end entre los servidores y servicios de infraestructura de Citrix Virtual Apps and Desktops. Este enfoque permite el uso de zonas desmilitarizadas separadas (DMZ) para aislar los flujos de tráfico front-end y back-end junto con el control y supervisión granulares del firewall.

Proxy ICA de Citrix Gateway

Un enfoque consistiría en colocar una solución SD-WAN terminada con un libro directamente en la ruta del tráfico de Citrix Virtual Apps and Desktops. En esta implementación, los dispositivos SD-WAN pueden proporcionar funciones como agregación de enlaces, resistencia de subsegundos y QoS para priorizar el tráfico HDX cifrado sobre otros tipos de tráfico.

Proxy ICA de Citrix Gateway

Sin embargo, es importante entender que en este caso los dispositivos SD-WAN solo ven la carga útil cifrada. El tráfico que se entrega a través de la superposición de SD-WAN se cifra entre el extremo del usuario y Citrix Gateway. El tráfico cifrado significa que la función HDX Auto-QoS de SD-WAN no funciona, junto con los informes de calidad de experiencia (QoE) de SD-WAN para el tráfico HDX. HDX Auto-QoS está diseñado para investigar dinámicamente la sesión HDX cuando se entrega entre los pares SD-WAN. Permite diferenciar entre los diferentes canales que componen una sola sesión HDX. Esta función también se conoce como ICA Multi-Stream, que permite priorizar los canales interactivos por encima de los canales de datos masivos, lo que resulta en una experiencia mejorada del usuario final. Una ventaja clave de la integración de Citrix SD-WAN es que los servidores Citrix Virtual Apps and Desktops pueden mantener la sesión en ICA de una sola secuencia, mientras que SD-WAN ofrece de forma dinámica ICA Multi-Stream en la ruta virtual /superposición.

El enfoque recomendado consistiría en proporcionar a los usuarios procedentes de oficinas internas SD-WAN un método de acceso diferente al de los usuarios externos típicos que entran en Internet.

StoreFront

Los extremos de cliente de trabajo doméstico que se conectan a través de la superposición de SD-WAN deben considerarse seguros y permitir el acceso a los recursos de Citrix Virtual Apps and Desktops directamente, por ejemplo, una URL de StoreFront “interna”, sin intervenir en Citrix Gateway. En este método, el tráfico HDX no se transmite como cifrado SSL, lo que permite a los dispositivos SD-WAN ver el protocolo HDX mediante el puerto 2598 e iniciar las capacidades Auto-QoS. La función Auto-QoS en SD-WAN requiere el uso de Citrix Virtual Apps and Desktops LTSR 7-1912 o una versión posterior. En este caso, el tráfico HDX aún está protegido mientras atraviesa la WAN, ya que los pares SD-WAN establecen túneles cifrados AES en todas las rutas WAN disponibles entre los dispositivos SD-WAN de la red. Además, hay un proceso de autenticación integrado con rotación de claves de cifrado que ayuda a garantizar la regeneración de claves para cada ruta virtual, a intervalos de 10-15 minutos. Por lo tanto, solo se permiten pares de confianza en la superposición WAN. Aquí puede encontrar más información sobre Prácticas recomendadas de seguridad de Citrix SD-WAN

Otro enfoque para eludir el cifrado por Gateway, después de la autenticación, de modo que la SD-WAN vea HDX sin cifrar es usar balizas. Los indicadores son direcciones URL con las que la aplicación Citrix Workspace (CWA) intenta ponerse en contacto para determinar si el equipo host cliente se encuentra en una red interna o una red externa. Por ejemplo, una sucursal, oficinas domésticas con una SD-WAN 110 o una cafetería o un aeropuerto respectivamente. Si CWA no puede ponerse en contacto con el punto de referencia interno y recibe respuesta para puntos de baliza externos, esto significa que el dispositivo de usuario está fuera de la red interna y debe conectarse a escritorios y aplicaciones a través de Citrix Gateway, y el tráfico HDX debe estar cifrado. Las redes de oficina doméstica SD-WAN deben considerarse redes internas y evitar Citrix Gateway para proporcionar tráfico HDX no cifrado. Aquí puede encontrar más información al respecto Configuración de balizas.

En una implementación que involucra Citrix Virtual Apps and Desktops, los datos y las cargas de trabajo se mantienen seguros en el centro de datos. Incluso el acceso al tráfico de Internet se maneja a través de enlaces locales a Internet en el centro de datos. El tráfico de Internet no atraviesa la nueva superposición WAN al usuario remoto. Si la redirección de HDX está habilitada para los hosts de cliente compatibles, solo en ciertos escenarios el tráfico de Internet como Microsoft Teams se interrumpe de la sesión HDX para que el host cliente remoto lo recupere mediante fuentes locales de Internet. Aquí, la SD-WAN de la oficina doméstica se puede habilitar para que el Servicio Internet redirija ese tráfico de forma adecuada. Se puede redirigir directamente a la nube de Office 365 a través del acceso a Internet.

Limitar las redes de oficina doméstica a través de Firewall DMZ

Una consideración del diseño de la seguridad de la red sería la de realizar un backhaul del tráfico de la oficina en el hogar y limitar los recursos y la conectividad a la red corporativa a través del firewall de la zona desmilitarizada. Además, las directivas de firewall en los dispositivos SD-WAN se pueden aplicar de forma centralizada a todos los dispositivos SD-WAN en redes remotas de la oficina doméstica. Estas directivas limitan el tráfico permitido en la “Nueva superposición de WAN” a determinadas aplicaciones, protocolos o IPs de servidor, etc.

Firewall DMZ

La selección de la topología de red es fundamental para planificar la arquitectura de acceso remoto a fin de garantizar que pueda admitir los requisitos de funcionalidad, rendimiento y seguridad necesarios. El diseño de la arquitectura de acceso remoto debe completarse en colaboración con el equipo de seguridad para garantizar el cumplimiento de los requisitos y estándares de seguridad corporativos. En cualquier caso, para abordar los puntos problemáticos típicos de la última milla de la WAN, la nueva superposición de SD-WAN aborda directamente los problemas que normalmente se encuentran en los enlaces de acceso compartido a Internet disponibles para la mayoría de los trabajadores domésticos. Este beneficio lo convierte en una solución imprescindible para proporcionar una experiencia de usuario óptima para los trabajadores domésticos felices y productivos.

Segmentar la red con dominios de redirección (VRF-lite)

Citrix SD-WAN permite segmentar la implementación de SD-WAN para obtener mayor seguridad y capacidad de administración mediante el uso de redirección y reenvío virtuales. Esta prestación en Citrix SD-WAN se denomina Dominios de redirección. Una implementación existente de Citrix SD-WAN, que conecta oficinas remotas a centros de datos, puede introducir un nuevo dominio de redirección de la oficina doméstica para separar el tráfico de red de la oficina doméstica del tráfico de red corporativa. Cada dominio de redirección mantiene su propia tabla de redirección única en los dispositivos SD-WAN. Una ruta virtual puede comunicar todos los dominios de redirección. Al introducir un paquete en el túnel, el paquete se etiqueta según el dominio de redirección asociado a la interfaz utilizada para introducir al sistema. Dentro del túnel, cada paquete se etiqueta con su dominio de redirección asociado, y al salir del túnel se utiliza la tabla de redirección asociada para la entrega adecuada. La implementación del sitio SD-WAN existente puede utilizar el dominio de redirección predeterminado. El nuevo dominio de redirección se puede agregar al dispositivo SD-WAN de cabecera mediante una interfaz dedicada. Este dominio puede proporcionar acceso a recursos limitados de la oficina doméstica en la red corporativa, como se ilustra a continuación.

Dominios de redirección

Aquí puede encontrar más información sobre Dominios de redirección Citrix SD-WAN

Consideraciones de diseño de red de la oficina

La rápida implementación de miles de dispositivos de punto final se logra fácilmente a través de herramientas de administración central diseñadas para implementaciones de SD-WAN a gran escala. Sin embargo, cuando sea posible, los administradores deben eliminar la complejidad limitando el caso de uso del usuario principal a un ámbito administrable. Por ejemplo, manteniendo el diseño inicial de la red de la oficina doméstica para admitir solo un modo de implementación en una plataforma específica. Sin embargo, las opciones son numerosas y de nuevo dependen en gran medida de la disponibilidad de la red local de las oficinas en el hogar. A continuación, describimos algunas opciones potenciales con diferentes varianzas de red local en mente. También analizamos los posibles beneficios y aspectos a tener en cuenta para cada uno al introducir un dispositivo SD-WAN para servir a la red de oficinas domésticas.

DECISIÓN: Enlaces WAN

ISP único (sustitución VPN)

  • Proveedores:
    • ISP #1 (solo uno) Decisión de un proveedor de Internet único
  • Ventajas:
    • Sitio a sitio (habilite muchos dispositivos conectados simultáneamente a la red de trabajo remoto SD-WAN), eliminando la necesidad de múltiples conexiones VPN punto a sitio
    • Acceso más rápido a los recursos corporativos (POP regionales locales de SD-WAN MCN/RCN)
    • Mejor seguridad con firewall de nivel empresarial integrado para el uso del acceso a Internet local
    • Ventajas de Ruta Virtual/Superposición:
      • Mejor rendimiento con QoS (bidireccional y entre protocolos)
      • Redirección basado en aplicaciones
      • Mitigación de pérdidas (duplicación/retransmisión de paquetes)
      • Múltiples enlaces WAN de DC aún pueden proporcionar redundancia para fallas de CC
      • Detección de ancho de banda adaptable de vínculo local
      • Administración central con SD-WAN Orchestrator (Configuración, Informes, Alertas, etc.)
      • Monitorización/métricas de enlace (útil para el cumplimiento de SLA)
      • (opcional) Servidor DHCP para la red de trabajo remoto
      • (opcional) Citrix Secure Internet Access para tráfico vinculado a Internet
  • Consideraciones:
    • Sin equilibrio de carga de superposición SD-WAN debido al único enlace WAN de ISP
    • Sin resistencia de superposición SD-WAN debido al vínculo WAN de ISP único
    • No hay equilibrio de carga local de Internet debido a un único enlace WAN de ISP
    • No hay resistencia local a Internet debido a un único enlace WAN de ISP

ISP doble

  • Proveedores:
    • ISP #1
    • ISP #2 Decisión de doble ISP
  • Beneficios (Además, a los beneficios de un solo ISP):
    • Sitio a sitio con mayor ancho de banda agregado simultáneamente mediante múltiples enlaces WAN de ISP
    • Equilibrio de carga de superposición SD-WAN simultáneamente mediante ambos enlaces WAN ISP
    • Resiliencia de superposición SD-WAN mediante ambos enlaces WAN ISP
    • Equilibrio de carga local de Internet simultáneamente mediante ambos enlaces WAN ISP
    • Resistencia local a Internet mediante ambos enlaces WAN de ISP
    • (opcional) resiliencia a Citrix Secure Internet Access para el tráfico enlazado a Internet
  • Consideraciones:
    • Coste adicional del segundo enlace WAN ISP
    • Tiempo y esfuerzo para configurar el ISP #2
    • Requiere hardware adicional (módem para ISP #2)

ISP + LTE

  • Proveedores:
    • ISP #1
    • LTE #1 (transporte inalámbrico utilizado como segundo enlace WAN) Decisión ISP+ LTE
  • Beneficios (Además, a los beneficios de Dual ISP):
    • Configuración más simple del segundo enlace WAN
    • No se requieren componentes ni cables adicionales (módem integrado)
  • Consideraciones:
    • El coste es potencialmente mayor por MB/mes que la opción de ISP cableado
    • Limitado a la asignación mensual de ancho de banda contratada (repasar es un coste adicional)
    • La conexión inalámbrica es más lenta que los transportes por cable

ISP + LTE (en espera)

  • Proveedores:
    • ISP #1
    • LTE #1 (utilizado como segundo enlace WAN en modo de espera) Decisión ISP + LTE (en espera)
  • Beneficios (además, a los beneficios de un solo ISP):
    • El coste se puede administrar con funciones de espera de último recurso y de recurso a demanda
    • Resiliencia de superposición SD-WAN mediante ambos enlaces WAN de ISP
    • Resistencia local a Internet mediante ambos enlaces WAN de ISP
  • Consideraciones:
    • Sin equilibrio de carga de superposición SD-WAN debido a un único enlace WAN activo
    • No hay equilibrio de carga de Internet local debido a un solo enlace WAN activo

LTE doble

  • Proveedores:
    • LTE #1
    • LTE #2 Decisión LTE1 + LTE2
  • Beneficios (Además, a los beneficios de Dual ISP):
    • Configuración más simple del segundo enlace WAN
    • No se requieren componentes ni cables adicionales (módem integrado), además del dongle USB LTE
  • Consideraciones:
    • El coste es potencialmente mayor por MB/mes que la opción de ISP cableado
    • Limitado a la asignación mensual de ancho de banda contratada (el cambio es un coste adicional)
    • La conexión inalámbrica es más lenta que los transportes por cable

Cada caso de uso descrito anteriormente se puede aumentar con enlaces WAN adicionales (ISP o LTE), aumentando aún más el ancho de banda disponible y mejorando la disponibilidad de la red para el trabajador doméstico remoto.

Referencias

Para obtener más información, consulte:

Guía de POC de Office en el hogar de Citrix SD-WAN: Aprenda a implementar una prueba de concepto de Citrix SD-WAN para una oficina en el hogar

Resumen técnico de Citrix SD-WAN para oficina en el hogar: Proporciona información general sobre el uso de Citrix SD-WAN para una oficina doméstica