(Microsegmentación SD-WAN) tu red entiende quién es cada usuario
Aplica políticas de red y seguridad por usuario, rol y contexto en toda tu infraestructura SD-WAN. Control granular del tráfico sin dependencia de equipamiento LAN específico ni modificación de la electrónica de red existente.
Seguridad granular sin barreras técnicas
La microsegmentación integrada en SD-WAN permite controlar el acceso a la red por identidad de usuario y rol, superando las limitaciones de la segmentación tradicional basada en VLANs, subredes o direcciones IP:
- Políticas de red y seguridad basadas en identidad de usuario y rol, no en direcciones IP.
- Compatible con cualquier infraestructura LAN/WLAN sin cambiar la electrónica existente.
- Integración con sistemas NAC de múltiples fabricantes para detección dinámica de roles.
- Políticas norte-sur diferenciadas por rol en el tráfico entre sedes y hacia el exterior.
- Inteligencia Artificial (IA) integrada para detección de anomalías y optimización de políticas.
Más allá de la segmentación tradicional
Las redes corporativas actuales enfrentan una paradoja: cuanto más distribuida y diversa es la infraestructura, más difícil resulta controlar quién accede a qué recursos. La segmentación tradicional basada en VLANs y subredes fue diseñada para un mundo estático donde los usuarios permanecían en ubicaciones fijas y los dispositivos conectados eran previsibles. Ese mundo ya no existe.
La proliferación de dispositivos IoT, el trabajo híbrido y la convivencia de equipamiento de múltiples fabricantes en la LAN han vuelto inviable el modelo clásico de segmentación. Las organizaciones descubren que mantener cientos de VLANs y listas de acceso basadas en IP es operativamente insostenible y, lo que es peor, ineficaz frente a las amenazas actuales. Incluso el tráfico norte-sur (entre sedes o hacia el exterior), que es el flujo principal en redes distribuidas, se gestiona con políticas genéricas que no distinguen entre tipos de usuario ni roles. Y el tráfico este-oeste (entre dispositivos dentro de la misma red) queda prácticamente sin control, expuesto al movimiento lateral de los atacantes.
La microsegmentación surge como respuesta a estas limitaciones, llevando el control de acceso al nivel más granular posible: el usuario y su rol dentro de la organización. Este enfoque se alinea directamente con las arquitecturas Zero Trust, donde el acceso se concede en base a la identidad verificada, no a la ubicación en la red.
Sin embargo, las soluciones de microsegmentación disponibles en el mercado suelen exigir requisitos difíciles de cumplir: equipamiento LAN de un fabricante específico, agentes software en cada endpoint o redespliegues completos de la infraestructura existente. Para organizaciones con redes heterogéneas y múltiples sedes, estas exigencias representan un obstáculo que frena la adopción de una tecnología que reconocen como necesaria.
Beneficios clave del SD-WAN Cognitivo
Seguridad basada en identidad, no en IP
Las políticas de red se aplican en función del usuario y su rol dentro de la organización, no de su dirección IP o ubicación física. Un usuario mantiene las mismas restricciones y permisos independientemente de la sede desde la que se conecte.
Integración abierta con sistemas NAC
El sistema se integra con los principales sistemas de control de acceso a la red del mercado, obteniendo dinámicamente la identidad del usuario, su rol y la IP asignada. Esta integración multi-vendor permite aprovechar la inversión NAC existente.
Independencia del fabricante de LAN
La microsegmentación opera a nivel de la capa SD-WAN, sin requerir equipamiento LAN de un fabricante específico. Funciona sobre cualquier infraestructura de switches y puntos de acceso existente, evitando la renovación forzosa de electrónica de red.
Contención de amenazas en toda la red
Todo tráfico entre sedes se somete a políticas diferenciadas según el rol del usuario o dispositivo que lo origina: ninguna comunicación se da por confiable «Zero Trust». Y si un escenario lo requiere, el tráfico local también puede controlarse dirigiéndolo a través del gateway SD-WAN.
Entendiendo la microsegmentación en redes SD-WAN
La microsegmentación es una evolución de la segmentación de red tradicional que traslada las decisiones de acceso desde parámetros estáticos (VLANs, subredes, direcciones IP) hacia la identidad del usuario o dispositivo que genera el tráfico. En lugar de preguntar «¿desde qué subred viene esta comunicación?», la microsegmentación pregunta «¿quién es y qué rol tiene quien la origina?». Este cambio de paradigma es un pilar fundamental de las arquitecturas Zero Trust.
Desde la segmentación estática a la identidad dinámica
La segmentación tradicional agrupa dispositivos en segmentos de red definidos por criterios técnicos: puertos de switch, VLANs o rangos de IP. Este modelo funcionaba cuando los usuarios y dispositivos eran predecibles. Hoy, con el trabajo híbrido, la proliferación de dispositivos IoT y las redes multi-sede, mantener esta segmentación estática es costoso y frágil. Un usuario que cambia de sede o un dispositivo que se reubica puede quedar fuera de las políticas previstas.
La microsegmentación resuelve este problema vinculando las políticas al usuario o dispositivo, no a su ubicación en la red. Un empleado del departamento financiero recibe las mismas restricciones de acceso conectándose desde la sede central, desde una sucursal o desde una oficina remota. Un dispositivo IoT (una cámara, un sensor, un terminal de punto de venta, etc.) queda clasificado y aislado por su naturaleza, no por el puerto al que se conecta.
¿Qué puede hacer una solución de cicrosegmentación?
Una solución de microsegmentación aplicada a redes distribuidas permite:
- Diferenciar políticas por rol: el tráfico norte-sur entre sedes se trata de forma distinta según quién lo genera. Un usuario corporativo, un dispositivo IoT y un terminal de pagos acceden a recursos diferentes con reglas diferentes, aunque compartan la misma infraestructura de red.
- Contener el impacto de una intrusión: si un dispositivo se ve comprometido, las políticas de microsegmentación limitan su capacidad de comunicación, dificultando que un atacante se mueva lateralmente hacia otros recursos de la organización.
- Simplificar el cumplimiento normativo: regulaciones como PCI-DSS o HIPAA exigen aislar los sistemas que manejan datos sensibles. La microsegmentación permite demostrar este aislamiento de forma centralizada y auditable, sin depender de configuraciones manuales en cada switch de cada sede.
- Operar sobre infraestructura existente: las soluciones modernas de microsegmentación pueden integrarse con sistemas NAC ya desplegados y funcionar sobre equipamiento LAN de cualquier fabricante, evitando la renovación forzosa de la electrónica de red.
- Extender el control al tráfico local: además del tráfico entre sedes, es posible aplicar políticas al tráfico este-oeste dentro de una misma sede cuando el escenario lo requiera, ampliando la cobertura de la microsegmentación.
La clave es que estas capacidades se gestionan de forma centralizada, con políticas definidas una vez y aplicadas de forma coherente en todas las sedes, independientemente de su tamaño, ubicación o equipamiento.
SD-WAN Cognitivo: Productos & Soluciones de Teldat
Solución de Microsegmentación SD-WAN de Teldat
Teldat integra la microsegmentación como una capacidad nativa de su solución SD-WAN, gestionada desde la plataforma Cloud Net Manager (CNM). Las políticas basadas en identidad se aplican sobre la infraestructura LAN existente, sin desplegar soluciones de terceros ni renovar la electrónica de red.
Plataforma de gestión CNM
La microsegmentación se configura y opera desde los módulos de CNM:
-
- SD-WAN Controller: gestiona el modelo de datos de microsegmentación, la integración con sistemas NAC y la distribución de roles y políticas a cada sede.
- Analyzer: proporciona dashboards de monitorización con visibilidad en tiempo real de la asociación usuario-IP-rol en cada nodo de la red.
- Manager: administración del ciclo de vida de los dispositivos y aprovisionamiento automático (ZTP) de los routers que aplican las políticas.
Un SD-WAN real como base de la microsegmentación
La microsegmentación de Teldat se apoya en la arquitectura de un SD-WAN real: una controladora con visión topológica completa de la red y un modelo de datos centralizado. Esta arquitectura permite configurar cómo se distribuye la información de identidad según las necesidades de la organización: o bien cada gateway recibe únicamente los datos de sus usuarios y roles locales (máxima eficiencia en memoria), o bien la información se distribuye a todos los gateways con políticas que la referencian (habilitando políticas basadas en la identidad del destino). En ambos modos la distribución es selectiva, evitando la propagación masiva a todos los gateways que en otras soluciones genera actualizaciones de tablas, consumo intensivo de memoria y degradación operativa a medida que el despliegue crece.
Integración abierta con NAC
be.SD-WAN Controller obtiene dinámicamente la identidad y el rol de cada usuario o dispositivo a partir del sistema NAC del cliente, integrándose con los principales NAC del mercado (Forescout, Cisco ISE, Teldat beActive y otros). Las políticas se aplican en el gateway SD-WAN según el rol, tanto en el tráfico norte-sur entre sedes como, opcionalmente, en el tráfico este-oeste local dirigido por el gateway. Todo sobre cualquier infraestructura LAN/WLAN, sin equipamiento específico.
Compatibilidad con dominios TrustSec
Los gateways SD-WAN de Teldat reconocen las etiquetas SGT y las propagan a través del overlay. Esto permite interconectar dominios TrustSec entre sedes y aplicar políticas este-oeste entre usuarios ubicados en diferentes sedes, sin requerir cambios en la infraestructura existente.
Inteligencia Artificial (IA) aplicada
La integración de la microsegmentación en el ecosistema Teldat permite aprovechar las capacidades de IA de la plataforma. El análisis del comportamiento de usuarios y dispositivos enriquece las decisiones de segmentación: detección de anomalías, identificación de dispositivos que se desvían de su comportamiento habitual y recomendaciones de optimización de políticas basadas en el uso real de la red:
-
- Arquitectura SD-WAN real: controladora con modelo de datos y visión topológica que distribuye la información de identidad de forma selectiva, habilitando políticas por identidad de origen o de destino sin saturar la memoria de los gateways.
- Compatibilidad universal: funciona sobre cualquier infraestructura LAN/WLAN independientemente del fabricante de switches y puntos de acceso.
- Control norte-sur y este-oeste: políticas diferenciadas por rol en el tráfico entre sedes, con opción de extender el control al tráfico local dirigiéndolo por el gateway.
- IA integrada: las capacidades de Inteligencia Artificial (IA) del ecosistema Teldat mejoran continuamente la eficacia de la segmentación.
- Gestión unificada: la microsegmentación se administra desde la misma plataforma de gestión que el resto de funciones SD-WAN, sin herramientas adicionales.
Microsegmentación de SD-WAN – Casos Prácticos
Segmentación IoT en sedes distribuidas
Control de acceso granular para dispositivos IoT, cámaras y sensores en redes de sucursales con infraestructura LAN heterogénea.
Acceso controlado para terceros
Políticas de acceso diferenciadas para proveedores, subcontratas y personal externo que se conecta desde cualquier sede de la organización.
Escalado masivo sin colapsar la red
Despliegue de microsegmentación en cientos de sedes sin sobrecargar la memoria de los equipos ni saturar la red con propagación masiva de políticas.
Segmentación IoT en sedes distribuidas
Control de acceso granular para dispositivos IoT, cámaras y sensores en redes de sucursales con infraestructura LAN heterogénea.
Desafío
Las organizaciones con redes de sucursales enfrentan una creciente diversidad de dispositivos conectados: cámaras de vigilancia, sensores IoT, impresoras, teléfonos IP y terminales de punto de venta conviven en la misma red con los equipos de los usuarios corporativos. La segmentación tradicional mediante VLANs resulta difícil de gestionar a escala, especialmente cuando cada sede tiene switches de diferentes fabricantes y modelos.
Sin microsegmentación, un dispositivo IoT comprometido puede convertirse en un punto de entrada para el movimiento lateral del atacante hacia recursos corporativos críticos. El reto se multiplica cuando la organización gestiona cientos de sedes donde la estandarización del equipamiento LAN es inviable por razones operativas o económicas, y donde los recursos de administración de red en cada localización son limitados o inexistentes.
Solución
La microsegmentación SD-WAN asigna automáticamente un rol a cada tipo de dispositivo en función de la información proporcionada por el NAC: cámaras, sensores, impresoras y equipos de usuario reciben políticas diferenciadas. El tráfico de cada rol queda aislado sin necesidad de crear VLANs adicionales ni configurar ACLs en los switches locales.
La controladora distribuye a cada router de sucursal únicamente las políticas aplicables a los tipos de dispositivos presentes en su sede. La monitorización centralizada permite verificar en tiempo real que cada dispositivo está correctamente clasificado y segmentado, con visibilidad completa desde la plataforma de gestión.
¿Por qué Teldat?
Teldat aplica microsegmentación desde el router SD-WAN, sin exigir switches de un fabricante concreto. La integración con múltiples NACs del mercado permite clasificar dispositivos IoT de forma dinámica, manteniendo la infraestructura LAN existente y reduciendo el coste de la segmentación.
Acceso controlado para terceros
Políticas de acceso diferenciadas para proveedores, subcontratas y personal externo que se conecta desde cualquier sede de la organización.
Desafío
Las organizaciones necesitan dar acceso a su red a personal externo de forma habitual: técnicos de mantenimiento, auditores, proveedores de servicios o empleados de subcontratas. Estos usuarios se conectan desde diferentes sedes y necesitan acceder a recursos específicos. Un sistema de gestión de edificios, una aplicación de auditoría o un servidor de ficheros concreto, pero no al resto de la red corporativa.
En la práctica, la mayoría de las organizaciones acaban dando a estos usuarios el mismo acceso que a un empleado interno, porque implementar restricciones específicas sede a sede es operativamente inviable con segmentación tradicional. El resultado es una superficie de ataque ampliada: credenciales de terceros con acceso excesivo son un vector de intrusión frecuente, y la organización carece de visibilidad sobre qué recursos están accediendo realmente.
Solución
La microsegmentación permite definir roles específicos para cada tipo de tercero (mantenimiento, auditoría, proveedor TI, etc.) con políticas que limitan su acceso exclusivamente a los recursos necesarios para su función. Estas políticas se aplican de forma automática en cualquier sede desde la que se conecte el usuario externo, sin configuración local.
La plataforma de gestión centralizada proporciona visibilidad completa sobre las conexiones de terceros: desde qué sede acceden, a qué recursos y en qué horarios. Esta trazabilidad facilita las auditorías de seguridad y permite revocar o modificar accesos de forma inmediata ante cualquier incidencia.
¿Por qué Teldat?
La integración de Teldat con múltiples sistemas NAC permite identificar automáticamente a los usuarios externos y asignarles el rol correspondiente. La política se aplica desde el router SD-WAN en cualquier sede, sin intervención del equipo local ni equipamiento adicional.
Escalado masivo sin colapsar la red
Despliegue de microsegmentación en cientos de sedes sin sobrecargar la memoria de los equipos ni saturar la red con propagación masiva de políticas.
Desafío
Las grandes organizaciones que despliegan microsegmentación a gran escala se enfrentan a un problema arquitectónico crítico: a medida que crecen los usuarios, roles y políticas, las soluciones sin un modelo de datos centralizado obligan a propagar cada cambio a todos los gateways de la red. Cada usuario nuevo, cada cambio de rol y cada actualización de política se replican íntegramente a cientos de dispositivos remotos. El consumo de memoria en los routers de sucursal, que deben almacenar tablas con información de toda la organización aunque solo gestionen unos pocos usuarios locales, se dispara y limita la escalabilidad real del despliegue. La microsegmentación funciona en piloto pero se degrada en producción a escala.
Solución
La solución se apoya en una controladora SD-WAN con modelo de datos centralizado y visión topológica completa de la red. La controladora conoce qué usuarios, roles y políticas son relevantes para cada sede y entrega a cada gateway únicamente la información que aplica a su contexto local. Los cambios se propagan de forma selectiva, exclusivamente a los nodos afectados, sin actualizaciones masivas innecesarias. Esto permite escalar la microsegmentación a cientos de sedes manteniendo bajo el consumo de memoria de los gateways y el tráfico de control de la red, garantizando una operación estable a largo plazo.
¿Por qué Teldat?
Solo un SD-WAN con controladora y modelo de datos como el de Teldat permite distribuir la microsegmentación de forma selectiva, sin replicar tablas completas a cada gateway. La arquitectura está diseñada desde su origen para escalar a grandes despliegues sin degradación operativa.
Lee nuestros últimos Blog Posts
Estructuras de control en microprocesadores modernos
Desde el advenimiento de los ordenadores se ha desarrollado gran variedad de procesadores con distinto juego de instrucciones (Instruction Set Architecture). Su diseño arrancaba con la definición del juego y culminaba en la implementación de la microarquitectura que...
