¿Qué es un cortafuegos de próxima generación?

El cortafuegos de próxima generación frente al cortafuegos tradicional

Los cortafuegos tradicionales funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI) para informar de sus acciones y gestionar el tráfico de red entre los hosts y los sistemas finales. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

A medida que comenzaron a surgir amenazas avanzadas como el ransomware, los cortafuegos de estado se eludían con facilidad, lo que generó una gran demanda de una solución de seguridad mejorada y más inteligente.

Así llegó el NGFW, presentado por Gartner hace más de una década como un "cortafuegos de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección de la capa de aplicaciones, prevención de intrusiones y obtención de inteligencia desde fuera del cortafuegos". Contaba con todas las características de un cortafuegos tradicional, pero con capacidades más granulares que permiten políticas basadas en identidad, ubicación, aplicación y contenido.

¿Cómo funcionan los NGFW?

En comparación con los cortafuegos tradicionales, los NGFW profundizan en el tráfico de la red para comprender de dónde proviene. Son capaces de recopilar una mayor cantidad de datos sobre el tráfico malicioso y las amenazas integradas que intentan infiltrarse en el perímetro de la red y acceder a datos corporativos.

Mientras que un cortafuegos tradicional sólo opera en las capas 3 y 4 de OSI, los NGFW pueden operar hasta en la capa 7, la de aplicación. Esto significa que las amenazas a nivel de aplicación, que son algunas de las más peligrosas y penetrantes, se detienen antes de que se produzca la infracción, lo que permite ahorrar tiempo y costes en la reparación.

¿Cuáles son las capacidades de un NGFW?

Los NGFW, al igual que sus predecesores de inspección con estado, proporcionan funciones de cortafuegos básicas como filtrado de URL, antivirus y soporte para VPN de acceso remoto, pero están por encima de los cortafuegos de inspección con estado con una serie de características de seguridad avanzadas:

• El conocimiento de las aplicaciones permite la aplicación de políticas granulares y control basado en aplicaciones específicas, su contenido, origen y destino del tráfico, y más, en lugar de estar restringido por puerto, protocolo y dirección IP.
• La inspección profunda de paquetes (DPI) analiza el contenido de los paquetes de red para identificar detalles a nivel de aplicación e identificar amenazas que se ocultan en tráfico que de otro modo sería legítimo.
• La funcionalidad del sistema de prevención de intrusiones (IPS) detecta y bloquea amenazas conocidas y desconocidas mediante la inspección del tráfico en busca de patrones y comportamientos sospechosos.
• La identificación de usuarios permite al NGFW asociar la actividad de la red con usuarios específicos, no sólo los lugares a los que se conectan, para su uso en políticas y supervisión basados en usuarios.
• La inspección TLS/SSL descifra e inspecciona en tráfico encriptado en TLS/SSL (la inmensa mayoría del tráfico actual) para encontrar amenazas ocultas. Sin embargo, la inspección requiere un uso intensivo del procesador, lo que dificulta el rendimiento en cortafuegos restringidos por hardware.
• La integración de inteligencia de amenazas permite a un NGFW actualizar las protecciones en función de las amenazas recién descubiertas en múltiples fuentes, incluidos los nodos de red propios de la organización, así como los nodos de red públicos y feeds de terceros.

¿Por qué necesito un NGFW?

El panorama de amenazas cibernéticas de hoy en día exige una sólida protección contra amenazas y los cortafuegos tradicionales no están a la altura de la tarea. Los NGFW pueden bloquear el malware y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vuelnerabilidad Log4Shell.

Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no sólo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.

Sin embargo, todas estas ventajas potenciales conllevan algunos desafíos.

Desafíos para los NGFW

Limitados por su hardware, hay muchos casos en los que los dispositivos NGFW físicos no pueden funcionar de manera efectiva para satisfacer las necesidades de los entornos modernos actuales, lo que presenta múltiples problemas.

Retornar el tráfico por seguridad

El retorno a un NGFW tenía sentido cuando los centros de datos, los ternminales y los recursos se encontraban principalmente en las instalaciones. Sin embargo, ahora, a medida que la movilidad de los usuarios y la adopción de la nube siguen con una tendencia al alza, el hardware NGFW ubicado en un centro de datos tradicional simplemente no puede seguir el ritmo.

Las aplicaciones en la nube como Microsoft 365 están diseñadas para acceder a ellas directamente a través de Internet. Pero para que las VPN y NGFW en el centro de datos de una organización proporcionen acceso y seguridad, todo el tráfico debe pasar por ese centro de datos, lo que ralentiza todo. Para ofrecer una experiencia de usuario rápida, las organizaciones deben enrutar el tráfico de Internet localmente.

Proteger los accesos locales a Internet

Puede proteger las conexiones de Internet locales con hardware NGFW, pero para hacerlo, necesita una pila de seguridad separada en cada ubicación, NGFW y potencialmente más dispositivos en cada sucursal. Todos ellos se deben implementar, mantener y eventualmente reemplazar manualmente, algo que rápidamente puede volverse muy complejo y costoso.

Inspeccionar el tráfico encriptado con TLS/SSL

Casi todo el tráfico web actual está cifrado. Para realizar la inspección SSL, la mayoría de los NGFW utilizan capacidades de proxy integradas que ejecutan la inspección en el software, en lugar de a nivel de chip. Esto afecta en gran medida el rendimiento, lo que perjudica la experiencia del usuario, pero sin una inspección, está ciego a más del 85 % de los ataques.

Tipos de NGFW

Por definición, los NGFW son cortafuegos de inspección profunda de paquetes que operan a nivel de aplicación e incluyen prevención de intrusiones así como integración de inteligencia de amenazas. Dejando a un lado la funcionalidad principal, los NGFW vienen en tres factores de forma distintos:

• Los NGFW de hardware son dispositivos físicos creados para la implementación local. Como hardware de seguridad dedicado, estos NGFW se utilizan principalmente en centros de datos o para otros casos de uso que requieren dispositivos físicos.
• Los NGFW virtuales están basados en software y se ejecutan en máquinas virtuales (VM). Son lo suficientemente flexibles y escalables como para adaptarse mejor a aplicaciones y servicios virtualizados y basados en la nube que los NGFW de sólo hardware, pero aún dependen de la propia infraestructura de su organización y están limitados por la potencia de procesamiento del hardware desde el que se basan.
• Los NGFW basados en la nube ofrecen servicios de cortafuegos de terceros desde la nube, lo que les permite proteger el tráfico que no pasa por un centro de datos tradicional. Están diseñados para proteger entornos nativos de la nube, redes distribuidas y usuarios remotos, ofreciendo mayor escalabilidad y gestión de seguridad centralizada.

Por qué los cortafuegos en la nube son el futuro

Las empresas actuales priorizan la nube y necesitan capacidades más dinámicas y modernas a fin de establecer controles de seguridad y acceso para proteger sus datos, capacidades para las que los NGFW no fueron diseñados.

Las empresas aún necesitan capacidades de cortafuegos empresarial en sus accesos locales a Internet, especialmente dado que siguen utilizando proveedores de nube como AWS y Azure. Los NGFW no fueron diseñados para admitir aplicaciones e infraestructuras en la nube, y sus homólogos, los cortafuegos virtuales, son igualmente limitados y presentan los mismos desafíos que los dispositivos NGFW tradicionales.

Tiene sentido, por tanto, que a medida que sus aplicaciones se trasladan a la nube, sus cortafuegos también lo hagan.

Cuatro ventajas principales de los cortafuegos en la nube

• Arquitectura basada en proxy: este diseño inspecciona dinámicamente el tráfico de red para todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar malware oculto en tráfico cifrado. Además, permite políticas granulares de cortafuegos de red que abarcan múltiples capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio completo (FQDN) y la URL.
• Cloud IPS: un IPS basado en la nube ofrece protección y cobertura contra amenazas siempre activas, independientemente del tipo de conexión o la ubicación. Inspecciona todo el tráfico de usuarios dentro y fuera de la red, incluso el tráfico SSL difícil de inspeccionar, para restaurar la visibilidad total de los usuarios, las aplicaciones y las conexiones a Internet.
• Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de llegar a dominios maliciosos. Optimiza la resolución de DNS para brindar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, lo cual es especialmente crítico para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y prevenir la tunelización DNS.
• Visibilidad y gestión simplificada: un cortafuegos basado en la nube ofrece visibilidad, control y aplicación inmediata de políticas de seguridad en tiempo real en toda la plataforma. Registra cada sesión en detalle y utiliza análisis avanzados para correlacionar eventos y proporcionar información sobre amenazas y vulnerabilidades para todos los usuarios, aplicaciones, API y ubicaciones desde una única consola.

Solo un puñado de proveedores puede implementar un conjunto completo de funciones de cortafuegos en la nube y únicamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.

Zscaler Cloud Firewall

Zscaler Firewall ofrece más potencia que los dispositivos NGFW sin el costo ni la complejidad. Como parte del Zscaler Zero Trust Exchange™integrado, ofrece controles de cortafuegos de próxima generación y seguridad avanzada para todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, como está 100 % en la nube, no es necesario comprar, implementar ni administrar hardware.

Los NGFW le permiten aprovechar innumerables capacidades de seguridad, lo que genera una postura general rígida y débil. Zscaler Firewall le permite:

• Definir y aplicar inmediatamente políticas granulares de cortafuegos
• Pasar de la visibilidad general a información procesable en tiempo real
• Ofrecer IPS siempre activo a todos sus usuarios