TroutTrout
All docs

Descripción General de la Arquitectura

Las principales formas de implementar Access Gate en una red.

5 min read · Last updated 2026-04-22

Estos son los modelos de despliegue estándar para conectar Access Gate y estructurar su red.

ModoPropósito principalRuta de tráficoCuándo usarlo
LollipopControl de acceso en sitio sin recableadoAdyacente al router; proxy superpuestoDespliegue predeterminado en un solo sitio
BastionPunto de entrada controlado para usuarios remotosVPN → Access Gate → activosOperadores remotos, proveedores, respuesta a incidentes
Multi-Site MeshConectividad entre sitios basada en identidadMalla cifrada entre Access GatesOrganizaciones multiplanta, servicios compartidos, fusiones y adquisiciones

Modo Lollipop (Despliegue estándar)

Access Gate utiliza una topología lollipop en lugar del despliegue en línea tradicional. El appliance se conecta a su red, pero no se sitúa en la ruta física del tráfico.

¿Por qué Lollipop?

Los dispositivos de seguridad en línea tradicionales generan varios problemas:

  • Punto único de fallo: La red cae si el dispositivo falla.
  • Cuello de botella de rendimiento: Todo el tráfico queda limitado por el throughput del dispositivo.
  • Despliegue complejo: Realizar cambios de red en línea correctamente a la primera es... complicado.
  • Alto riesgo: Una mala configuración puede dejar toda la red fuera de servicio.

La arquitectura Lollipop resuelve estos problemas:

  • Ubicación adyacente: El appliance se sitúa junto a la red, no en la ruta del tráfico.
  • Interceptación definida por software: El tráfico se redirige mediante DNS y enrutamiento.
  • Degradación controlada: La red funciona con normalidad si el appliance está fuera de línea.
  • Despliegue sin intervención física: No se requieren cambios físicos en la red.
Flujo del tráfico

Sin Access Gate (red subyacente): Client → Asset

Con Access Gate (red superpuesta activa): Client → Overlay IP → Route to Access Gate (Double NAT) → Underlay IP → Proxy to Asset

En el escenario con Access Gate, el cliente nunca accede al activo directamente, sino siempre a través del proxy. Access Gate inicia una segunda comunicación con el activo (en rojo arriba).

Esto permite desplegar autenticación, control de acceso, monitorización... y todo lo demás.

Despliegue Lollipop de un Access Gate
Despliegue Lollipop de un Access Gate

Cómo funciona

  • Access Gate observa el tráfico mediante una conexión netflow al router.
  • Construye un espacio de IP superpuesto (habitualmente 100.64.0.0/16) que mapea los servicios protegidos a rutas gestionadas por proxy.
  • El DNS resuelve los nombres de host protegidos a direcciones IP superpuestas.
  • El enrutamiento dirige el tráfico superpuesto a través de Access Gate.
  • Los activos permanecen en su red subyacente original.

Ventajas

  • No hay punto único de fallo en la ruta del tráfico.
  • No se requieren cambios físicos en la red.
  • Fácil de desplegar y retirar.
  • La red continúa operando con normalidad si Access Gate está fuera de línea.

Modo Bastion para acceso remoto

Qué es: Access Gate se convierte en el único punto de entrada controlado para los usuarios que acceden desde fuera del sitio. Los usuarios remotos se conectan mediante VPN (Tailscale/WireGuard) a Access Gate, y Access Gate gestiona el acceso a los activos protegidos a través de su proxy.

Por qué existe este modo (el problema que resuelve): El acceso remoto a OT o IT sensible suele terminar en uno de estos patrones:

  • VPN plana hacia la LAN
  • Jump box / servidor RDP
  • Herramientas de acceso remoto de proveedores

Qué mejora el modo Bastion

  • Acceso remoto con mínimos privilegios
  • Perímetro más robusto
  • Auditabilidad
  • Seguridad operacional
  • Acceso de proveedores sin exposición permanente

Cuándo elegirlo

  • Necesita acceso remoto para operadores, IT, proveedores o respuesta a incidentes.
  • Quiere evitar que "VPN = estar dentro de la LAN".
  • Necesita registros y evidencias consistentes para controles de tipo NIS2/CMMC/NIST.

Access Gate actúa como gateway VPN, permitiendo a los usuarios remotos acceder de forma segura a los activos en sitio. El flujo de red es el siguiente:

Remote Users → VPN (Tailscale / WireGuard) → Access Gate → Protected Assets

Despliegue Bastion de un Access Gate
Despliegue Bastion de un Access Gate

Multi-Site Mesh

Qué es: Varios Access Gates forman una malla cifrada entre sitios. Cada sitio mantiene su red subyacente local sin cambios, pero determinados activos y servicios quedan accesibles entre sitios mediante políticas controladas basadas en identidad.

Por qué existe este modo (el problema que resuelve): Las organizaciones con múltiples sitios suelen terminar con:

  • VPNs site-to-site planas
  • Ingeniería de red compleja
  • Controles inconsistentes por sitio

Qué mejora la malla

  • Zero Trust entre sitios (Alice en el sitio A puede acceder a CNC en el sitio B)
  • Postura de seguridad estandarizada
  • Despliegue más rápido
  • Registro y documentación unificados para auditores

Casos de uso habituales

  • Un equipo de ingeniería central necesita acceso controlado a máquinas en distintas plantas.
  • Los servicios compartidos (historians, repositorios de parches, copias de seguridad, monitorización) deben ser accesibles de forma segura.
  • Entornos de fusiones y adquisiciones o multi-entidad donde las redes deben permanecer separadas pero se requiere colaboración.
  • Se prefiere "conectividad como política" en lugar de "conectividad como enrutamiento".

Varios Access Gates se interconectan mediante VPN para proporcionar conectividad segura entre sitios:

Site A Assets ← Access Gate A ←→ Access Gate B → Site B Assets

Implementación de Access Gate como Multi-site Mesh
Implementación de Access Gate como Multi-site Mesh

Requiere: Configuración de la funcionalidad Site Mesh

Previous
Inicio rápido
Next
Primeras 3 semanas