A diferencia de los entornos en la nube, las redes on-premise están limitadas por la infraestructura física, los sistemas heredados y los requisitos de disponibilidad. Por ello, las decisiones sobre topología tienden a mantenerse durante años y deben tomarse con cuidado.
Por qué importa la topología de red on-premise
Las redes on-premise suelen soportar:
- Aplicaciones críticas para el negocio
- Sistemas de producción
- Servidores y dispositivos heredados
- Activos mixtos IT, OT e IoT
Los cambios de topología en estos entornos son:
- Arriesgados de implementar
- Difíciles de revertir
- Frecuentemente evitados una vez que los sistemas están en producción
Las soluciones de seguridad y control de acceso deben, por tanto, adaptarse a la topología existente, no forzar un rediseño.
Topologías de red on-premise más comunes
| Topología | Modelo de confianza | ¿Tráfico inline? | Riesgo de despliegue | Uso típico |
|---|---|---|---|---|
| Red plana | Confianza implícita generalizada | Sí | Bajo (ya en producción) | PYMEs, centros de datos heredados |
| Segmentada (VLAN) | Por zonas, basada en IP | Sí | Medio | Redes IT maduras |
| Aplicación inline | Centralizada mediante appliance | Sí | Alto | Centros de datos |
| Lollipop | Basada en políticas, fail-open | No (adyacente) | Bajo | OT, sistemas heredados, Zero Trust |
| Basada en overlay | Por identidad, con proxy | No (solo overlay) | Bajo | Zero Trust on-premise |
Red plana
Todos los sistemas comparten la misma red lógica y pueden comunicarse directamente.
Características
- Simple y económica
- Enrutamiento y segmentación mínimos
Limitaciones
- Confianza implícita entre todos los sistemas
- Movimiento lateral sencillo
- Visibilidad y auditabilidad deficientes
- Habitual en despliegues antiguos
Todavía muy presente en PYMEs, centros de datos heredados y entornos industriales.
Red segmentada (basada en VLAN / subred)
Las redes se dividen en zonas mediante VLANs, subredes y reglas de firewall.
Características
- Reduce el radio de impacto
- Separación clara entre grupos de sistemas
Limitaciones
- Estática y basada en IP
- Compleja de diseñar y mantener
- Los cambios conllevan riesgo operativo
- No refleja el contexto de usuario o identidad
La segmentación mejora la higiene, pero no mejora la visibilidad, el control de acceso, el cifrado ni el registro.
Topología de aplicación inline
El tráfico se fuerza a través de firewalls inline o appliances de seguridad.
Características
- Control centralizado
- Punto de inspección claro
Limitaciones
- Punto único de fallo
- Restricciones de rendimiento
- Alto riesgo operativo
- Difícil de desplegar de forma segura en producción
Habitual en centros de datos; frecuentemente evitada en entornos con requisitos estrictos de disponibilidad.
Topología Lollipop
En una topología Lollipop, el appliance de seguridad se conecta junto a la red en lugar de estar inline con el tráfico. La topología de red existente permanece sin cambios y el acceso se redirige de forma lógica en lugar de física.
Características
- El appliance no está en la ruta física del tráfico
- Las rutas, VLANs y direccionamiento IP existentes permanecen intactos
- El tráfico se dirige mediante DNS y enrutamiento cuando se requiere protección
- Diseñado como fail-open: la red sigue operando si el appliance está fuera de línea
Ventajas
- Sin punto único de fallo para el tráfico de producción
- Riesgo de despliegue mínimo en entornos en producción
- Fácil de desplegar, probar y retirar
- Compatible con sistemas heredados y redes estáticas
Limitaciones
- Requiere conocimiento de enrutamiento y DNS
- La aplicación de políticas se limita a las rutas de acceso protegidas
- No está diseñada para la inspección inline completa de todo el tráfico
La topología Lollipop permite el control de acceso basado en políticas y la visibilidad sin rediseñar la red, lo que la hace adecuada para implementaciones modernas de Zero Trust en entornos on-premise.
Topología de red basada en overlay
En lugar de modificar la red subyacente, Access Gate introduce un overlay lógico:
- Los sistemas conservan sus direcciones IP originales
- Los servicios protegidos se exponen mediante IPs de overlay
- DNS y enrutamiento dirigen el tráfico a través de Access Gate
- Todo el acceso protegido se gestiona mediante proxy y control de políticas
Esto separa la topología de seguridad de la topología física.
Comparación del flujo de tráfico
Acceso directo (topología tradicional): Cliente → Sistema
Acceso basado en overlay: Cliente → IP de overlay → Router → Access Gate (política + proxy) → IP subyacente → Sistema
El cliente nunca se conecta directamente al sistema protegido.
Conclusión
En entornos on-premise, la topología de red más fiable suele ser la que no cambia.
Access Gate permite:
- Acceso seguro
- Segmentación lógica
- Visibilidad y auditabilidad
…sin rediseñar la red física de la que dependen sus operaciones.