¿Qué es un cortafuegos de próxima generación?

Cortafuegos de próxima generación vs. Cortafuegos tradicional

Los firewalls tradicionales operan en las capas 3 y 4 del modelo de Interconexión de Sistemas Abiertos (OSI) para informar sus acciones, administrando el tráfico de red entre hosts y sistemas finales. Permiten o bloquean el tráfico según el puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

A medida que comenzaron a surgir amenazas avanzadas como el ransomware, los firewalls con estado se eludieron fácilmente, lo que generó una gran demanda de una solución de seguridad mejorada y más inteligente.

Entonces, apareció el NGFW, presentado por Gartner® (hacia 2007) como un "firewall de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección de la capa de aplicaciones, prevención de intrusiones y obtención de inteligencia desde fuera del firewall". Presentaba todas las características de un firewall tradicional, pero con capacidades más granulares que permiten políticas estrictas basadas en la identidad, la ubicación, la aplicación y el contenido.

¿Cómo funcionan los NGFW?

En comparación con los firewalls tradicionales, los NGFW analizan con más profundidad el tráfico de la red para comprender de dónde proviene. Son capaces de recopilar una mayor cantidad de conocimientos sobre el tráfico malicioso y las amenazas integradas que intentan infiltrarse en el perímetro de la red y acceder a datos corporativos.

Mientras que un firewall tradicional solo opera en las capas 3 y 4 de OSI, los NGFW pueden operar en la capa 7, la capa de aplicación. Esto significa que las amenazas a nivel de aplicaciones, que son algunas de las más peligrosas y penetrantes, se detienen antes de que se infiltren, lo que ahorra tiempo y costos en  remediación.

¿Cuáles son las capacidades de un NGFW?

Los NGFW, al igual que sus predecesores de inspección de estado, proporcionan funciones básicas de firewall como el filtrado de URL, el antivirus y la compatibilidad con VPN de acceso remoto, pero se sitúan por encima de los firewalls de inspección de estado con una serie de funciones de seguridad avanzadas:

• conocimiento de las aplicaciones permite aplicar políticas granulares y controlar las aplicaciones en función de aplicaciones específicas, su contenido, el origen y el destino
• del tráfico, etc., en lugar de restringir la aplicación por puerto, protocolo y dirección IP.
La inspección profunda de paquetes (DPI) analiza el contenido de los paquetes de red para identificar los detalles a nivel de aplicación y localizar las amenazas que se ocultan en un tráfico que,
• por lo demás, es legítimo.
La funcionalidad del sistema de prevención de intrusiones (IPS) detecta y bloquea tanto las amenazas conocidas como las desconocidas mediante la inspección
• del tráfico en busca de patrones y comportamientos sospechosos.
La identificación de usuarios permite al NGFW asociar la actividad de la red a usuarios concretos, no solo a los lugares a los que se conectan, para su uso en políticas y supervisión basadas en el usuario. La
• inspección TLS/SSL descifra e inspecciona el tráfico cifrado TLS/SSL (la inmensa mayoría del tráfico actual) para encontrar amenazas ocultas. Sin embargo, la inspección consume mucho procesador, lo que dificulta el rendimiento en firewalls con hardware limitado.
La
• integración de la inteligencia sobre amenazas permite a un NGFW actualizar las protecciones en función de las amenazas recién descubiertas a través de múltiples fuentes, incluidos los propios nodos de red de la organización, así como fuentes públicas y de terceros.

¿Por qué necesito un NGFW?

El panorama de amenazas cibernéticas de hoy en día exige una sólida protección contra amenazas y los firewalls tradicionales no están a la altura de la tarea. Los NGFW pueden bloquear el malware avanzado y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vulnerabilidad Log4Shell

Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no solo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.

Sin embargo, todas estas ventajas potenciales vienen acompañadas de algunos desafíos.

Desafíos para los NGFW

Limitados por su hardware, hay muchos casos en los que los dispositivos NGFW físicos no pueden funcionar de manera efectiva para satisfacer las necesidades de los entornos modernos actuales, lo que presenta múltiples problemas.

Retorno del tráfico para la seguridad

a un NGFW tenía sentido cuando los centros de datos, los puntos finales y los recursos eran en su mayoría locales. Pero ahora, cuando la movilidad de los usuarios y la adopción de la nube siguen una tendencia al alza, el hardware NGFW de un centro de datos tradicional simplemente no puede seguir el ritmo.

Las aplicaciones en la nube como Microsoft 365 están diseñadas para acceder directamente a través de Internet. Pero para que las VPN y los NGFW del centro de datos de una organización proporcionen acceso y seguridad, todo el tráfico tiene que pasar por ese centro de datos, lo que ralentiza todo. Para ofrecer una experiencia de usuario rápida, las organizaciones necesitan enrutar el tráfico de Internet localmente.

Proteger las conexiones de Internet locales

Puede proteger las conexiones de Internet locales con hardware NGFW, pero para hacerlo, necesita una pila de seguridad separada en cada ubicación: NGFW y potencialmente más dispositivos en cada sucursal, todos los cuales deben implementarse, mantenerse y eventualmente reemplazarse manualmente, lo que puede volverse extremadamente complejo y costoso.

Inspeccionar el tráfico cifrado TLS/SSL

Casi todo el tráfico web actual está cifrado. Para realizar la inspección SSL, la mayoría de los NGFW utilizan capacidades de proxy añadidas que ejecutan la inspección en software, en lugar de a nivel de chip. Esto tiene un fuerte impacto en el rendimiento, lo que perjudica la experiencia del usuario, pero sin inspección, no podrá detectar el 85 % de los ataques.

Tipos de NGFW

Por definición, los NGFW son firewalls de inspección profunda de paquetes que operan a nivel de aplicación e incluyen la prevención de intrusiones, así como la integración de inteligencia sobre amenazas. Aparte de la funcionalidad básica, los NGFW se presentan en tres factores de forma distintos:

Por qué los cortafuegos en la nube son el futuro

Las empresas de hoy en día dan prioridad a la nube y necesitan capacidades más dinámicas y modernas para establecer controles de seguridad y acceso que protejan sus datos, que son capacidades para las que los NGFW no fueron  creados.

Las empresas aún necesitan capacidades de firewall empresarial en sus accesos locales a Internet, especialmente a medida que siguen utilizando proveedores de nube como AWS y Azure. Los NGFW no fueron diseñados para admitir aplicaciones e infraestructura en la nube y sus homólogos, los firewalls virtuales, son igualmente limitados y presentan los mismos desafíos que los dispositivos NGFW tradicionales.

Tiene sentido, entonces, que a medida que sus aplicaciones se trasladen a la nube, sus firewalls también lo hagan.

4 ventajas principales de los cortafuegos en la nube

• Arquitectura basada en proxy: Este diseño inspecciona dinámicamente el tráfico de red de todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de manera nativa el tráfico SSL/TLS a escala para detectar malware oculto en el tráfico cifrado. Además, permite políticas granulares de firewall de red que abarcan varias capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio completo (FQDN) y la URL.
• IPS en la nube: Un IPS basado en la nube ofrece protección y cobertura contra amenazas siempre activa, independientemente del tipo de conexión o ubicación. Inspecciona todo el tráfico de usuarios dentro y fuera de la red, incluso el tráfico SSL difícil de inspeccionar, para restaurar la visibilidad completa de las conexiones de usuarios, aplicaciones e Internet.
• Seguridad y control DNS: Como primera línea de defensa, un firewall en la nube protege a los usuarios para que no accedan a dominios maliciosos. Optimiza la resolución DNS para ofrecer una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, lo que resulta crítico especialmente para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar e impedir la tunelización DNS
.
• Visibilidad y gestión simplificada: Un firewall basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas de seguridad en toda la plataforma. Registra cada sesión en detalle y utiliza análisis avanzados para correlacionar eventos, así como para proporcionar información sobre amenazas y vulnerabilidades para todos los usuarios, aplicaciones, API y ubicaciones desde una única consola.

Muy pocos proveedores pueden implementar un conjunto completo de funciones de firewall en la nube y solamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.

Zscaler Cloud Firewall

ZscalerFirewall ofrece más potencia que los dispositivos NGFW sin el coste y la complejidad. Como parte del Zscaler Zero Trust Exchange™ integrado, aporta controles de firewall de última generación y seguridad avanzada a todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite una conexión local a Internet rápida y segura y, como está 100 % en la nube, no hay hardware que comprar, implementar o gestionar.

Los NGFW le obligan a añadir innumerables capacidades de seguridad, lo que hace que su postura general sea rígida y débil. Zscaler Firewall le permite:

• Definir y aplicar inmediatamente políticas granulares
de firewall.
• Pasar de la visibilidad general a la información procesable en tiempo real.
• Proporcionar IPS siempre activo a todos sus usuarios