Escenarios comunes de túnel dividido de VPN para Microsoft 365

Artículo
03/08/2022
Tiempo de lectura: 2 minutos

Nota

Este artículo forma parte de un conjunto de artículos que abordan la optimización Microsoft 365 usuarios remotos.

Para obtener información general sobre cómo usar el túnel dividido de VPN para optimizar la conectividad Microsoft 365 usuarios remotos, vea Overview: VPN split tunneling for Microsoft 365.

Para obtener instrucciones detalladas sobre cómo implementar el túnel dividido de VPN, consulte Implementing VPN split tunneling for Microsoft 365.

Para obtener instrucciones sobre cómo proteger el Teams de medios en entornos de túnel dividido de VPN, consulte Securing Teams media traffic for VPN split tunneling.

Para obtener información sobre cómo configurar stream y eventos en directo en entornos VPN, consulte Special considerations for Stream and live events in VPN environments.

Para obtener información sobre cómo optimizar Microsoft 365 el rendimiento de los inquilinos en todo el mundo para los usuarios de China, vea optimización Microsoft 365 rendimiento para los usuarios de China.

En la lista siguiente, verás los escenarios de VPN más comunes que se ven en entornos empresariales. La mayoría de los clientes utiliza el modelo 1 de forma tradicional (túnel forzado de VPN). Esta sección le ayudará a realizar una transición rápida y segura al modelo 2, que se puede lograr con relativamente poco esfuerzo y tiene enormes ventajas para el rendimiento de la red y la experiencia del usuario.

Model	Descripción
1. Túnel forzado de VPN	El 100 % del tráfico entra en el túnel VPN, incluidos los entornos locales, Internet y todo O365/M365
2. Túnel forzado de VPN con unas pocas excepciones	El túnel de VPN se usa de forma predeterminada (la ruta predeterminada apunta a la VPN), con pocos escenarios de exención especialmente importantes que se pueden dirigir directamente
3. Túnel forzado de VPN con muchas excepciones	El túnel VPN se usa de forma predeterminada (la ruta predeterminada apunta a VPN), con amplias excepciones que pueden ir directamente (como todas las Microsoft 365, All Salesforce, All Zoom)
4. Túnel de VPN selectivo	El túnel VPN solo se usa para los servicios basados en corpnet. La ruta predeterminada (Internet y todos los servicios basados en Internet) va directamente.
5. No VPN	Variación de #2. En lugar de vpn heredada, todos los servicios corpnet se publican a través de enfoques de seguridad modernos (como Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS, etc.)

1. Túnel forzado de VPN

El escenario de inicio más común para la mayoría de los clientes empresariales. Se usa una VPN forzada, lo que significa que el 100 % del tráfico se dirige a la red corporativa independientemente de si el extremo reside dentro de la red corporativa o no. Cualquier tráfico externo (Internet) enlazado, como Microsoft 365 o navegación por Internet, se vuelve a anclar de nuevo fuera del equipamiento de seguridad local, como servidores proxy. En el actual entorno en el que casi el 100 % de los usuarios trabajan de forma remota, este modelo pone una gran carga en la infraestructura VPN y es probable que dificulte significativamente el rendimiento de todo el tráfico corporativo y, por lo tanto, la empresa funcione de forma eficaz en un momento de crisis.

VPN forced Tunnel model 1.

2. Túnel forzado de VPN con unas pocas excepciones de confianza

Significativamente más eficaz para que una empresa funcione bajo. Este modelo permite que algunos puntos de conexión controlados y definidos que son sensibles a la alta carga y la latencia omitan el túnel VPN y vayan directamente al servicio Microsoft 365 cliente. Esto mejora significativamente el rendimiento de los servicios descargados y también disminuye la carga en la infraestructura VPN, lo que permite que los elementos que aún lo requieran funcionen con menor contención de recursos. Este modelo se centra en ayudar con la transición a, ya que permite realizar acciones sencillas y definidas rápidamente con numerosos resultados positivos.

Split Tunnel modelo 2 de VPN.

3. Túnel forzado de VPN con muchas excepciones

Amplía el ámbito del modelo 2. En lugar de enviar un pequeño grupo de puntos de conexión definidos directamente, en su lugar envía todo el tráfico directamente a servicios de confianza como Microsoft 365 y SalesForce. Esto reduce aún más la carga en la infraestructura VPN corporativa y mejora el rendimiento de los servicios definidos. Dado que es probable que este modelo tarde más tiempo en evaluar la viabilidad de e implementarlo, es probable que sea un paso que se pueda realizar iterativamente en una fecha posterior una vez que el modelo dos se haya implementado correctamente.

Split Tunnel modelo 3 de VPN.

4. Túnel de VPN selectivo

Invierte el tercer modelo en que solo el tráfico identificado como tener una dirección IP corporativa se envía por el túnel VPN y, por lo tanto, la ruta de acceso a Internet es la ruta predeterminada para todo lo demás. Este modelo requiere que la organización se encuentre en una fase avanzada de implementación de Confianza cero para poder implementar el modelo de forma segura. Debe tenerse en cuenta que este modelo o alguna variación del mismo probablemente se convertirá en el valor predeterminado necesario con el tiempo a medida que más servicios se alejan de la red corporativa y de la nube.

Microsoft usa este modelo internamente. Encontrará más información sobre la implementación de túnel dividido de VPN de Microsoft en Running on VPN: How Microsoft is keeping its remote workforce connected.

Split Tunnel modelo 4 de VPN.

5. No VPN

Una versión más avanzada del modelo número 2, en la que cualquier servicio interno se publica a través de un enfoque de seguridad moderno o una solución SDWAN como Azure AD Proxy, Defender para aplicaciones en la nube, Zscaler ZPA, etc.

Split Tunnel modelo 5 de VPN.