Conectar nuestro Cloud vía VPN

Montar una infraestructura de servidores en la nube tiene gran potencial, aunque una desventaja importante es que todas nuestras comunicaciones deberán realizarse vía Internet. Para resolverlo, podemos recurrir a conexiones VPN seguras que garanticen la privacidad.

Cuando tenemos todos los servidores en nuestras oficinas, la seguridad de la conexión entre los diferentes equipos de la empresa y los servidores no suele ser un problema. Suele preocupar más filtrar las conexiones que se realizan al exterior, y proteger todo lo que pueda venir desde Internet.

Sin embargo, cuando nos planteamos mover todos los servidores a un Cloud las cosas son muy distintas. Si lo que colocamos en un Cloud es un servidor Web o de correo electrónico, quizá no tengamos que tomar las precauciones habituales en cuanto a cortafuegos o control de las conexiones abiertas.

Sin embargo, cuando hablamos de herramientas corporativas donde la seguridad es un factor determinante las cosas son diferentes. En este caso es importante recurrir a conexiones dedicadas que nos permitan establecer conexiones seguras punto a punto que impidan cualquier tipo de hackeo o robo de información sensible.

La solución para esto es montar una VPN entre nuestras oficinas y nuestro entorno Cloud. En algunos proveedores, donde simplemente se ofrece montar los servidores en la nube, tendremos que establecer una conexión física entre uno o varios servidores y nuestra VPN vía software.

En cambio, el entorno Cloudbuilder de Arsys, que estamos tomando como referencia para esta serie de artículos sobre plataformas Cloud, nos permite activar y crear estas VPN a nivel de la propia plataforma o CPD virtual. Esto supone que, por ejemplo, podemos crear una VPN con al que comunicar todos nuestros servidores en la nube de manera segura y sin necesidad de configurarlos uno a uno. Veamos a diferentes opciones.

Tipos de VPN

Todo lo que se refiere a las conexiones VPN dentro del entorno Cloudbuilder de Arsys, lo encontramos en el bloque de Datacenter de la parte izquierda, bajo el apartado Red / VPN. Una vez dentro podemos pinchar sobre Alta para comenzar a crear una red VPN. Para ello nos ofrece cuatro posibilidades de costes e implicaciones muy diferentes, por lo que las explicaremos con detalle.

La primera posibilidad es la denominada VPN Access SSL. Esta clase de VPN se configura íntegramente vía software y, una vez creada, nos permite comunicar un equipo con toda nuestra infraestructura Cloud gracias a un certificado que podemos descargar desde el Panel de control y el software OpenVPN. El coste mensual ronda los 50 €, y en dicho precio nos incluyen la creación de hasta tres conexiones VPN de este tipo para diferentes equipos. De esta forma, si tenemos que comunicar 10 equipos de sobremesa de nuestra empresa con el Cloud, tendríamos que dar de alta 10 VPN Access SSL, y configurarlos uno a uno vía software.

La VPN puede ser usada solamente en un equipo de forma simultánea. Si necesita acceder a sus servidores de CloudBuilder mediante VPN Access SSL desde dos o más equipos, dé de alta tantas VPN Access SSL como desee. Las tres primeras VPN entran dentro de los 50,00 €/mes iniciales. El resto se facturarán a 0,0140 €/hora. Es decir, que no hay que pagar 10 VPN, sino 50 € al mes por las 3 primeras y unos 10 €/mes por cada VPN adicional. Eso hace unos 120 €/mes.

Obviamente, tenemos la ventaja de que los equipos podrían estar repartidos en diferentes ubicaciones geográficas y no depender de ningún tipo de instalación hardware. Por ello, es una gran solución siempre que sea preciso proteger la conexión con portátiles o en entornos donde no dispongamos de una infraestructura fija o con los medios adecuados (p.ej. para teletrabajadores). Además, tenemos la ventaja de que una vez activada, podremos comenzar a disfrutarla de inmediato con sólo configurar el software en cada equipo cliente.

Arsys IT 01
Gracias a un software como OpenVPN, si nuestra infraestructura Cloud lo ofrece, podemos crear un túnel seguro de comunicación entre los equipos de la oficina y nuestros servidores en la nube.

La segunda posibilidad es VPN Access IPSec. Es una variante de lo anterior, aunque en este caso necesitaremos un router capaz de crear túneles IPsec entre dos puntos en nuestra oficina, de manera que podamos acceder a los servidores alojados en el Cloud de manera segura. Hablando de costes, supone 20 € mensuales y 150 € de alta.

La tercera posibilidad es la VPN Network, una variante de la anterior que también necesita que contemos con un enrutador VPN físicamente instalado y configurado en la red de nuestras oficias, pero como ofrece como ventaja añadida la posibilidad de comunicar los equipos del Cloud con los de la propia oficina de manera transparente, como si la red fuera la misma. Para ello asigna IPs de nuestro rango interno, y permite acceder a funciones tan básicas como las carpetas compartidas o la impresión en red entre los diferentes equipos. Esta sería la manera ideal para que, aunque tengamos todos los servidores en la nube, podamos acceder a ellos exactamente igual que si los tuviéramos físicamente al lado. Los costes son ligeramente más elevados, pues supone 200 € por el alta, y 50 €/mes.

La última opción es VPN MPLS (Multiprotocol Label Switching), una opción que permite comunicar nuestra empresa o delegaciones con el Cloud de manera segura e independiente de Internet. Y es que en este caso el operador (Arsys), activa una línea dedicada de comunicación entre nuestras oficinas y su infraestructura Cloud para que las comunicaciones se realicen de manera directa. Esta tecnología, además de la seguridad y calidad de conexión, ofrece ventajas añadidas como la posibilidad de priorizar paquetes TCP según su tipo (p.ej. VoIP). Los costes de esta última opción son variables, y en todo caso depende de las ubicaciones a conectar, por lo que requieren un estudio específico por parte del operador.

02 IT Arsys
En el caso de Arsys, las opciones que ofrece para crear un canal de comunicación seguro entre nuestra red y el Cloud son muy amplias. Desde lo más básico, hasta líneas MPLS dedicadas a este cometido.

 

Elegir la VPN correcta

Ahora que hemos visto las opciones de conexión, quizá queda la duda del tipo de conexión VPN que elegir. Si tenemos claro que necesitamos una, la elección del tipo es hasta cierto punto sencilla.

Si se trata de comunicar muy pocos equipos con el Cloud, o estos equipos están en movimiento (portátiles) o son de teletrabajadores, la opción natural es VPN Access SSL. Esta clase de conexiones son más complejas de mantener, pues se basan en un software que habrá que configurar y mantener en cada equipo, pero no requieren infraestructura hardware, y funcionará desde cualquier conexión a Internet.

Si en cambio, necesitamos acceder desde una ubicación física a nuestros servidores del Cloud sin importar los equipos presentes en la misma, la conexión VPN Access IPsec es la más adecuada. Requerirá que configuremos un router que se encargue de establecer la conexión, pero una vez logrado, todos los equipos de la red podrán tener acceso a los servidores del Cloud a través de un canal securizado.

En el caso de que los servidores o máquinas virtuales del Cloud deban tener una integración total con nuestra red física, la opción más adecuada es VPN Network. Esta clase de conexión segura permitirá la integración transparente del Cloud en nuestra red empresarial. También necesitaremos de un router/terminador específico configurado de manera adecuada, pero a cambio podremos comunicarnos con los equipos del Cloud de manera transparente sin que tengamos que preocuparnos de nada.

El último nivel, el más avanzado, queda reservado para entornos donde la conexión a Internet no sea especialmente rápida, o donde la seguridad sea un factor determinante. Y es que con VPN MPLS dispondremos una línea de comunicación directa y dedicada con hardware específico que se encargará de establecer un puente entre nuestras oficinas y nuestro Cloud, siempre al margen de Internet. Así, es una opción que permiten incluso mantener nuestros servidores de VoIP en la nube, y dar prioridad a los terminales de las oficinas en las comunicaciones.

03 IT Arsys
Algunos de los métodos de conexión requieren que contemos con un router o terminado VPN instalado y configurado en la red de nuestra oficina. La ventaja es que el túnel se crea de manera transparente para los equipos de la red.