Recursos > Glosario de términos de seguridad > ¿Qué es el cortafuegos como servicio?

¿Qué es el cortafuegos como servicio?

Definición de cortafuegos como servicio

El cortafuegos como servicio (FWaaS) es una solución de seguridad basada en un cortafuegos en la nube que ofrece funciones avanzadas de cortafuegos de próxima generación (NGFW)/capa 7, incluidos controles de acceso como el filtrado de URL, la prevención de amenazas avanzadas, los sistemas de prevención de intrusiones (IPS) y la seguridad de DNS.

El concepto de FWaaS no consiste simplemente en virtualizar un dispositivo de cortafuegos de red. El FWaaS permite a las organizaciones eliminar los dispositivos de cortafuegos, simplificar su infraestructura de TI y mejorar la ciberseguridad en general. Con FWaaS, la administración se centraliza desde una única consola, lo que permite a las organizaciones superar los desafíos del control de cambios, la administración de parches, la coordinación de ventanas de interrupción y la administración de políticas asociadas con los dispositivos NGFW, a la vez que ofrece políticas coherentes en toda la organización, dondequiera que se conecten los usuarios.

 

¿En qué se diferencia el FWaaS de un cortafuegos normal ?

Los cortafuegos tradicionales en las instalaciones se diseñaron y programaron para inspeccionar el tráfico de red en las oficinas corporativas. Como su nombre indica, el cortafuegos como servicio (FWaaS) se suministra a través de la nube; la principal diferencia entre ambos es que los cortafuegos locales tienen dificultades para escalar y adaptarse a las cambiantes demandas de la red y a un panorama de amenazas en evolución. Como el FWaaS es nativo de la nube, puede hacer ambas cosas, lo que proporciona a las organizaciones una herramienta mucho más útil para proteger los datos, mantener seguros los puntos finales y llevar a cabo inspecciones de seguridad exhaustivas.

Cuando la actividad empresarial tenía lugar en la oficina, los cortafuegos tradicionales ofrecían una seguridad de red adecuada. Debido a que el alcance de las amenazas estaba limitado a las oficinas corporativas, donde los empleados estaban el 99 % del tiempo, no había necesidad de que los equipos de seguridad y TI extendieran los servicios de un cortafuegos más allá de su sitio de instalación.

Hoy en día, cada vez más organizaciones aprovechan los servicios en la nube, como SaaS, y con los puntos finales en todas partes y las nuevas amenazas que surgen, los cortafuegos ya no pueden quedarse en el centro de datos. Deben vivir en la nube y escalar para proteger los recursos y los empleados en cualquier lugar.

 

El auge del FWaaS

Retornar el tráfico a un NGFW en un centro de datos corporativo o regional tenía sentido cuando las aplicaciones residían en dichos centros de datos y la mayoría de los trabajadores estaban en la oficina. Pero a medida que las aplicaciones empezaron a salir del centro de datos y a trasladarse a la nube (y a medida que crecía el número de sucursales y el trabajo a distancia), estos NGFW perdieron eficacia.

Posteriormente, cuando la pandemia de la COVID-19 obligó a los trabajadores a salir de la red corporativa y a empezar a conectarse desde cualquier lugar, los enfoques tradicionales de la red y la seguridad, incluido el NGFW, se volvieron insuficientes. Esto se debe a que los NGFW, al igual que otros dispositivos, no se diseñaron pensando en la nube.

No es posible transferir simplemente las herramientas y funcionalidades de seguridad tradicionales y ejecutarlas en la nube. Es necesario asegurarse de que se dispone de la tecnología adecuada.
Frederik Janssen, vicepresidente de Cartera de Infraestructura de TI Global, Siemens

El FWaaS frente al NGFW

Las aplicaciones en la nube, como Salesforce y Microsoft 365, fueron diseñadas para acceder a ellas directamente a través de Internet. Por lo tanto, el tráfico de Internet debe enrutarse localmente para ofrecer una experiencia de usuario rápida. Enrutar el tráfico de regreso a los NGFW en los centros de datos corporativos para que salga a Internet ya no tiene sentido.

Sin embargo, la aplicación de los enfoques de seguridad tradicionales a los accesos locales de Internet significa que las organizaciones tendrían que replicar la pila de seguridad corporativa en cada ubicación. Esto requeriría implementar NGFW o pilas de dispositivos de seguridad en cada sucursal, lo que no es viable en términos del coste y la complejidad de implementarlos y administrarlos todos.

Vale la pena repetirlo: los NGFW no fueron diseñados para soportar aplicaciones en la nube. Los NGFW se ven fácilmente sobrepasados por las aplicaciones en la nube, porque no se pueden ajustar para soportar el alto volumen de conexiones de larga duración que crean las aplicaciones. Tampoco pueden manejar el tráfico cifrado con SSL de forma nativa, lo que es cada vez más importante dado el crecimiento exponencial del tráfico cifrado durante los últimos años.

Para ejecutar la inspección SSL, los NGFW deben vincular las capacidades de proxy que ejecutan la inspección SSL al software en lugar de al nivel del chip, lo que afecta significativamente al rendimiento y resulta en una experiencia negativa para el usuario.

Las soluciones FWaaS son muy capaces de desempeñar funciones, como la inspección profunda de paquetes, mucho más adecuadas para la prevención frente a la pérdida de datos porque son nativas de la nube. Al nacer en la nube, el FWaaS permite a las organizaciones escalar su seguridad de maneras que resultan imposibles para los NGFW, aunque los proveedores de estos cortafuegos digan lo contrario. En la mayoría de los casos, sus soluciones de seguridad son solo dispositivos de cortafuegos virtualizados, que pueden servir como buenos detectores, pero no están diseñados para la seguridad de la nube a largo plazo y del personal híbrido.

 

¿Por qué las empresas necesitan el FWaaS?

A medida que las organizaciones adoptan proveedores de infraestructura en la nube como AWS para aumentar la escalabilidad, siguen necesitando ofrecer capacidades de cortafuegos empresarial en toda la organización para todos los usuarios y todas las ubicaciones. Lamentablemente, los NGFW se diseñaron hace más de una década y no están pensados para admitir aplicaciones en la nube o los requisitos dinámicos de la computación en la nube en general. Sus homólogos, los cortafuegos virtuales, tienen muchas de las mismas limitaciones y desafíos que los dispositivos NGFW tradicionales, lo que reduce su eficacia contra los ciberataques modernos. Por lo tanto, tiene sentido que, a medida que sus aplicaciones se trasladen a la nube, sus cortafuegos se trasladen con ellas.

 

¿Cómo funciona el FWaaS ?

El FWaaS permite a las organizaciones establecer enlaces locales seguros para todas las aplicaciones sin necesidad de comprar, desplegar o gestionar dispositivos de seguridad. Las capacidades de seguridad, incluido el cortafuegos de capa 7 completo, se ofrecen como un servicio en la nube que escala de manera elástica para manejar la inspección SSL, el creciente ancho de banda y las demandas de los usuarios, así como el tráfico de aplicaciones en la nube con conexiones de larga duración.

La administración centralizada desde una única consola permite a las organizaciones brindar protección idéntica a cualquier usuario, en cualquier dispositivo, dondequiera que se conecte, ya sea en la oficina corporativa, cuando visita una sucursal local o cuando trabaja desde casa.

¿Ha muerto el IPS/cortafuegos de próxima generación?

Escuche el seminario web
Vea el webinario

Simplifique la transformación de su red con Zscaler Cloud Firewall

Lea el libro electrónico
Lea el libro electrónico

Cortafuegos de nube de nueva generación de Zscaler

Vea el vídeo
Vea el vídeo

Ventajas del FWaaS

El FWaaS proporciona múltiples ventajas en comparación con los NGFW, entre ellas:

  • Arquitectura basada en proxy: en este diseño se inspecciona dinámicamente el tráfico de todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar el malware oculto en el tráfico cifrado y permite aplicar políticas de cortafuegos granulares que abarcan varias capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio (FQDN) y la URL.
  • IPS en la nube: un sistema de prevención de intrusiones (IPS) basado en la nube ofrece protección y cobertura siempre activas frente a amenazas, independientemente del tipo de conexión o de la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
  • Seguridad y control de DNS: como primera línea de defensa, un cortafuegos basado en la nube protege a los usuarios de acceder a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, que es especialmente crítico para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y evitar el túnel DNS.
  • Visibilidad y gestión simplificada: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas en toda la plataforma. Registra cada sesión en detalle y utiliza analíticas avanzadas para identificar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones y ubicaciones desde una sola consola.
  • Disposición de la confianza cero: cuando se trata de la seguridad en la nube, no hay mejor opción que un marco de confianza cero. Al aprovechar el FWaaS como parte de la confianza cero, podrá llevar las políticas de seguridad a los usuarios en sus puntos finales en línea con el marco del perímetro de servicio de acceso seguro (SASE), algo imprescindible en la era de los trabajadores remotos. Además, la confianza cero reduce la latencia al eliminar la necesidad de acceder a la red.

Ahora que sabe cómo el FWaaS puede mejorar su postura de seguridad, su siguiente pregunta podría ser: "¿Cómo puedo comenzar mi viaje hacia el FWaaS?" Tenga cuidado. Al hablar del FWaaS, hay diversos proveedores de servicios que ofrecen protección mejorada para los datos, los puntos finales, la nube y el IoT, pero solo un proveedor ha construido su cortafuegos en la nube y para la nube: Zscaler.

 

Cómo puede ayudar Zscaler Cloud Firewall

Zscaler Cloud Firewall, parte de la plataforma Zscaler Zero Trust Exchange™ integrada, ofrece controles de cortafuegos de última generación y seguridad avanzada a todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, desplegar ni gestionar ningún hardware.

Los NGFW hacen que tenga que recurrir a innumerables capacidades de seguridad, lo que hace que la postura general sea rígida y débil. Zscaler Cloud Firewall le permite:

  • Definir y aplicar inmediatamente políticas granulares de cortafuegos
  • Convertir la visibilidad general en información procesable en tiempo real
  • Ofrezca un IPS siempre activo a todos sus usuarios

Vea usted mismo la diferencia

¿No debería trasladar sus cortafuegos y su seguridad a la nube? Solicite una demostración para saber cómo el cortafuegos en la nube como servicio puede brindar mayor seguridad y agilidad a su organización. 

 

Recursos adicionales