¿Puedo usar el mismo agente de GlobalProtect tanto para Prisma Access como para mis Gateways on-premise?

Sí, la aplicación GlobalProtect (v6.x y superior) es el mismo cliente para ambos. Simplemente cambias la dirección del portal o usas una configuración de 'múltiples portales' en la configuración de la aplicación para facilitar una migración.

¿Prisma Access ZTNA realmente mejora la latencia para los usuarios remotos?

Prisma Access utiliza las columnas vertebrales de alta velocidad de AWS y GCP. Al terminar la sesión del usuario en el PoP de 'borde' más cercano al usuario, eliminas la latencia de llevar el tráfico a un firewall de centro de datos central.

¿Necesitaré re-direccionar mis servidores internos si me muevo a ZTNA?

Normalmente no. Prisma Access típicamente usa 'Service Connections' o 'ZTNA Connectors' para alcanzar recursos internos a través de un túnel seguro. No es necesario rediseñar tu esquema de IP interno, siempre y cuando puedas enrutar a las subredes internas desde la VM del Connector.

¿Qué hace que Prisma Access 'ZTNA 2.0' sea diferente de la ZTNA estándar?

ZTNA 2.0 proporciona verificación continua de confianza. Si un dispositivo deja de cumplir (por ejemplo, el AV está apagado) o el comportamiento del usuario cambia a mitad de sesión, Prisma Access puede terminar el flujo de aplicación específico al instante, incluso si el túnel todavía está activo.

¿Existe algún escenario en el que deba mantener GlobalProtect en mi NGFW?

ZTNA es superior para el 90% de los casos de uso. Sin embargo, para aplicaciones heredadas que requieren direcciones IP de origen fijas o protocolos no estándar que no son fácilmente proxy (como ciertos protocolos industriales antiguos), un túnel GlobalProtect tradicional aún puede ser necesario.

GlobalProtect vs Prisma Access ZTNA: El Plan Maestro de Migración 2026

El debate entre el modelo tradicional de GlobalProtect "On-Prem Gateway" y Prisma Access ZTNA ya no se trata de la paridad de características; se trata de la muerte arquitectónica del perímetro estático y la transición a una postura de seguridad basada en proxy y consciente de la identidad que el PAN-OS, atado al hardware, simplemente no puede escalar en 2026.

El Impasse Arquitectónico: Por qué GlobalProtect en PA-Series tiene un Límite de Rendimiento

Durante una década, el "Estándar de Oro" fue simple: implementar un PA-440 o PA-1400 en una oficina regional, configurar un gateway SSL/IPsec y terminar los túneles de GlobalProtect directamente en el dataplane. Esto funcionó cuando los usuarios representaban el 10% de la fuerza laboral. En un mundo post-híbrido, este modelo está fundamentalmente roto. Cuando terminas 500 túneles de GlobalProtect en una serie PA-400, estás consumiendo una cantidad masiva de CPU del DP (Dataplane) para cifrado/descifrado, dejando poca capacidad para la inspección de contenido de Capa 7 o el análisis de WildFire.

La realidad de 2026 es que GlobalProtect es una VPN, mientras que Prisma Access es un Fabric. Cuando ejecutas GP on-premise, estás sujeto al ancho de banda del ISP de tu cabecera y a la latencia física del backhaul. Si un usuario en Londres se conecta a un gateway en Nueva York para acceder a una aplicación SaaS, has introducido 120ms de latencia innecesaria. Prisma Access mueve la "rampa de acceso" al borde de AWS/GCP más cercano (más de 100 puntos de presencia a nivel mundial), proporcionando una latencia consistente de primer salto de <10ms.

ZTNA 2.0: Pasando de "Conectar y luego Inspeccionar" a "Identidad Primero"

El GlobalProtect estándar sigue el modelo de "Conectar y luego Inspeccionar". Una vez que un usuario se autentica y se establece el túnel, tiene una IP en la red interna. Incluso con políticas de seguridad estrictas, el dispositivo del usuario está técnicamente "en" el cable. Prisma Access ZTNA (Versión 2.0) utiliza el ZTNA Connector, que invierte la lógica.

El ZTNA Connector reside en tu VPC o Data Center y establece un túnel saliente hacia la nube de Prisma Access. No hay puertos de entrada abiertos (sin listener 443/VPN) en tu firewall. Esto oculta eficazmente tu infraestructura de aplicaciones de la internet pública, eliminando la posibilidad de exploits de día cero contra el propio servicio VPN — una vulnerabilidad que ha afectado recientemente a los proveedores de SSL-VPN heredados.


# Traditional GP Gateway (vulnerable to discovery)
set network interface ethernet1/1 layer3 ip 203.0.113.10/24
set network profiles global-protect-gateway GP-GW-External
set deviceconfig setting global-protect-gateway enable yes

# ZTNA Connector Logic (Outbound only)
# No inbound NAT required. Connector dials out to Prisma Cloud.
cloud-connector {
  target-fragment "Prisma-Backbone";
  redundancy-group 'Prod-West';
  egress-interface ethernet1/1;
}

El Disparador de Migración de 2026: ¿Cuándo Muere GlobalProtect?

Debes migrar a Prisma Access ZTNA cuando tu entorno alcance estos tres disparadores técnicos:

El Cuello de Botella de Ancho de Banda: Tu tráfico agregado de usuarios remotos excede el 50% de la capacidad de rendimiento descifrado de tu cabecera (verifica show running resource-monitor).
Proliferación de SaaS: Si el 70% de tu tráfico se dirige a O365, Salesforce o GitHub, llevar ese tráfico a un PA-3410 solo para enviarlo de vuelta a internet es un desperdicio de silicio costoso.
El Requisito "Específico de Aplicación": Cuando el negocio exige que los Contratistas Externos accedan solo a una instancia específica de Jira sin un túnel completo de IP-stack.

Para más información sobre el dimensionamiento de la infraestructura, consulta nuestro análisis profundo sobre Dimensionamiento de Hardware PAN-OS para 2025-2026.

Paridad de Políticas: Panorama vs. Prisma Access Console

Uno de los mayores obstáculos en la migración es el miedo a perder la granularidad de las políticas. En 2026, Palo Alto Networks ha logrado finalmente una paridad casi total. Ya sea que uses un GlobalProtect Gateway en un NGFW o la administración en la nube de Prisma Access, los constructos de políticas siguen siendo los mismos: User-ID, App-ID y Device-ID. Sin embargo, Prisma Access introduce los Dynamic User Groups (DUG) integrados con Prisma SaaS Security, lo que permite expulsar automáticamente a un usuario del túnel ZTNA si su comportamiento (monitoreado vía API) indica robo de credenciales.

El Prisma Access ZTNA Connector vs. Service Connections

En iteraciones anteriores, usábamos "Service Connections" (un túnel IPsec desde tu FW hasta Prisma) para acceder a aplicaciones internas. En 2026, el ZTNA Connector es el método preferido para el acceso a aplicaciones privadas. Es una VM ligera (ESXi, KVM o Cloud Native) que actúa como un proxy de aplicaciones. Esto permite un Control de Acceso a Nivel de Aplicación en lugar de un Control de Acceso a Nivel de Red. No estás dando acceso a un usuario a una Subred; le estás dando acceso a https://internal-app.corp.local.

Experiencia del Usuario: El Mito vs. la Realidad del "Always-On"

Los usuarios de GlobalProtect a menudo se quejan del "tunnel flip" — la caída de 3 a 5 segundos al cambiar de Wi-Fi a LTE. Prisma Access resuelve esto utilizando la Mobile Segment Termination. Debido a que el usuario se conecta a una columna vertebral masiva en la nube, el estado de la sesión se mantiene en la SDN (Software Defined Network) del proveedor de la nube en lugar de una única instancia física de hardware DP. El resultado es una transición fluida que es invisible para las llamadas de Zoom o Teams.

La Ecuación de Costos: Renovación de Hardware vs. OpEx en la Nube

Veamos los números. Un PA-3410 capaz de manejar 2,000 usuarios de GlobalProtect con inspección SSL completa cuesta aproximadamente $35,000 MSRP más $7,000/año en soporte y suscripciones. Durante 5 años, el TCO es de aproximadamente $70,000. Para los mismos 2,000 usuarios, Prisma Access ZTNA (ediciones Okyo o Business) podría ser más alto en base anual de OpEx, pero eliminas la necesidad de enlaces ISP redundantes con multi-homing, espacio en rack y el capital humano requerido para parchear vulnerabilidades de PAN-OS cada mes.

A menudo encontramos que para organizaciones con más de 5 centros regionales, la consolidación de la pila de seguridad en Prisma Access resulta en una reducción del 20% en el TCO al considerar los costos "ocultos" de MPLS de backhaul o circuitos DIA (Dedicated Internet Access) de alto ancho de banda en cada sucursal.

Implementando la Transición: Un Enfoque por Etapas

No se pulsa un interruptor y se mueven 10,000 usuarios a ZTNA. La ruta de migración de 2026 sigue este plan:

Fase 1: Nube Híbrida. Mantén tus GP Gateways de la serie PA para aplicaciones "Legacy" que requieren conectividad IP de cliente pesado (por ejemplo, bases de datos viejas de Oracle).
Fase 2: Usa Prisma Access para "Descarga de Internet". Deja que el cliente GlobalProtect se conecte a Prisma para todo el tráfico SaaS/Web, utilizando la columna vertebral de alta velocidad.
Fase 3: Despliegue de ZTNA Connector. Despliega ZTNA Connectors en tus DC primarios y migra las aplicaciones internas basadas en Web una por una.
Fase 4: Retiro de Hardware. Una vez que solo el 10% del tráfico llega al gateway local, reduce el hardware a un tamaño menor (como una serie PA-400) solo para conectividad local site-to-site.

Para escenarios de migración complejos que involucran enrutamiento heredado, consulta nuestra guía sobre BGP Peering Avanzado con Prisma Access.

Resumen: El Veredicto

Si todavía estás comprando firewalls grandes de alto rendimiento únicamente con el fin de terminar túneles VPN, estás construyendo una bomba de deuda técnica. Para 2026, la complejidad de gestionar la terminación global de VPN IPsec/SSL en hardware físico superará los costos de una ZTNA nativa de la nube. Prisma Access no se trata solo de seguridad; se trata del rendimiento de la red y de mover el límite de seguridad a donde el usuario realmente vive: el navegador y el proveedor de identidad.

¿Listo para modernizar tu perímetro y deshacerte del equipaje de la VPN? Nuestro equipo de CCIEs y PCNSEs puede diseñar tu transición de GlobalProtect heredado a un marco completo de ZTNA 2.0. Explora nuestros paquetes de consultoría y despliegue por niveles en techleague.io.