El acceso remoto Zero Trust permite que un ingeniero, proveedor u operador de guardia alcance un enclave protegido desde fuera de su sitio. En lugar de una VPN de túnel completo que incorpora al usuario a la red corporativa, Access Gate vincula el dispositivo remoto a una superposición Tailscale y solo expone los enclaves que la identidad del usuario tiene permitido alcanzar.
Por qué esto es diferente de una VPN
Una VPN tradicional termina en una puerta de enlace corporativa y coloca la máquina remota en una subred amplia. El riesgo de movimiento lateral es alto y la revisión de accesos es un ejercicio periódico.
El acceso remoto ZT funciona de manera diferente:
| Aspecto | VPN tradicional | Acceso remoto ZT |
|---|---|---|
| Superficie alcanzable | Toda la red una vez conectado | Solo los enclaves que permite el rol del usuario |
| Autenticación | Credencial de puerta de enlace (a menudo compartida) | Identidad por usuario a través de su IdP |
| Presencia en la red | IP del usuario en la LAN corporativa | IP de superposición aislada de la LAN |
| Modelo de políticas | Reglas de firewall por IP | ACLs por usuario / grupo |
| Revocación | Deshabilitar cuenta VPN (global) | Eliminar usuario del enclave / grupo (por recurso) |
La superposición la proporciona el cliente Tailscale integrado — consulte Red Privada Virtual para los detalles de integración.
Cómo es la experiencia del usuario
- El usuario remoto instala Tailscale en su dispositivo (o el departamento de TI lo preinstala).
- Inicia sesión en Tailscale usando su proveedor de identidad existente (OIDC / SAML).
- Accede a los enclaves asignados a su rol, en las IPs de superposición que publica Access Gate. Los sistemas no asignados a su rol son invisibles.
- Cuando el usuario abandona el grupo (o su rol expira), la ruta de superposición desaparece.
Sin configuración VPN estática. Sin inicio de sesión en puerta de enlace por sitio. Sin ruta permanente hacia la red de producción.
Cómo encaja con los enclaves
Cada enclave que habilita para acceso remoto obtiene un punto de conexión de superposición. Access Gate anuncia el punto de conexión a los dispositivos Tailscale cuya identidad de usuario figura en la ACL del enclave. El protocolo que el usuario utiliza para comunicarse con el activo (HTTPS, Modbus, un protocolo de base de datos) no cambia — Access Gate simplemente controla el acceso al camino.
Para sesiones administrativas — RDP, SSH, VNC, con grabación de sesión — consulte Gestión de Acceso Privilegiado. Ese flujo pasa por un proxy basado en navegador en lugar de la superposición y añade controles de auditoría por sesión.
Configuración
1. Conectar Tailscale a su IdP
- En el panel de administración de Tailscale, vincule su proveedor SSO (Entra ID, Okta, Google Workspace).
- Cree grupos de Tailscale que reflejen los grupos de IdP que ya utiliza para las decisiones de acceso (
ot-engineers,remote-vendors).
Access Gate lee estas identidades directamente — no es necesario reconfigurar su directorio de usuarios aquí.
2. Habilitar el acceso remoto en el enclave
- Navegue a Enclaves → [Su Enclave] → Acceso Remoto.
- Active Acceso Remoto Zero Trust.
- Seleccione los grupos de Tailscale autorizados a alcanzar este enclave.
- Guarde.
Solo los grupos que indique aquí pueden ver el enclave desde fuera del sitio. Todo lo demás permanece invisible para los dispositivos Tailscale.
3. Delimitar los protocolos
El acceso remoto ZT reenvía los protocolos que la ACL del enclave permite para el usuario. Si un operador solo debe comunicarse mediante HTTPS con un historiador, la ACL debe indicarlo — Access Gate no abre puertos adicionales de forma silenciosa.
Consulte Listas de control de acceso para ajustar el conjunto de protocolos por usuario.
Revocación
Dos formas de cortar el acceso remoto:
- Eliminar al usuario del grupo en su IdP. Tailscale recoge el cambio en la siguiente actualización del token y la ruta de superposición desaparece.
- Desactivar el interruptor de acceso remoto del enclave. Todos los usuarios remotos pierden el acceso al enclave de inmediato — útil durante un incidente.
Ambos eventos quedan registrados en el historial de cambios del enclave.
Relacionado
- Red Privada Virtual — el cliente Tailscale integrado sobre el que opera este flujo
- Gestión de Acceso Privilegiado — RDP/SSH/VNC con proxy de navegador para sesiones administrativas
- Listas de control de acceso
- Autenticar usuarios con pantallas de acceso