Zpedia 

/ ¿Qué es un cortafuegos de próxima generación?

¿Qué es un cortafuegos de próxima generación?

Un cortafuegos de próxima generación (NGFW) es la convergencia de la tecnología de cortafuegos tradicional con otras funciones de filtrado de dispositivos de red, como el control de aplicaciones en línea, un sistema integrado de prevención de intrusiones (IPS), capacidades de prevención de amenazas y protección antivirus, para mejorar la seguridad de la red empresarial.
NGF
Simplifique la transformación de su red con Zscaler Cloud Firewall
Protección contra la amenaza cibernéticaSeguridad de red
  1. NGFW frente a cortafuegos tradicional
  2. Cómo funciona
  3. ¿Por qué es necesaria?
  4. Cortafuegos en la nube
  5. Ventajas de los cortafuegos en la nube
  6. Cómo puede ayudar Zscaler
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

El cortafuegos de próxima generación frente al cortafuegos tradicional

Los cortafuegos tradicionales funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI) para informar de sus acciones y gestionar el tráfico de red entre los hosts y los sistemas finales. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

A medida que comenzaron a surgir amenazas avanzadas como el ransomware, los cortafuegos de estado se eludían con facilidad, lo que generó una gran demanda de una solución de seguridad mejorada y más inteligente.

Así llegó el NGFW, presentado por Gartner hace más de una década como un "cortafuegos de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección de la capa de aplicaciones, prevención de intrusiones y obtención de inteligencia desde fuera del cortafuegos". Contaba con todas las características de un cortafuegos tradicional, pero con capacidades más granulares que permiten políticas basadas en identidad, ubicación, aplicación y contenido.

Cita

Las capacidades de los cortafuegos de nueva generación son, de hecho, un requisito básico. Eso ha sido una de las principales consideraciones a la hora de seleccionar a Zscaler. No pudimos encontrar ningún otro servicio en la nube que tuviera de verdad la capacidad de un protocolo completo de nueva generación.

Ken Athanasiou, CISO y vicepresidente de AutoNation

¿Cómo funcionan los NGFW?

En comparación con los cortafuegos tradicionales, los NGFW profundizan en el tráfico de la red para comprender de dónde proviene. Son capaces de recopilar una mayor cantidad de datos sobre el tráfico malicioso y las amenazas integradas que intentan infiltrarse en el perímetro de la red y acceder a datos corporativos.

Mientras que un cortafuegos tradicional sólo opera en las capas 3 y 4 de OSI, los NGFW pueden operar hasta en la capa 7, la de aplicación. Esto significa que las amenazas a nivel de aplicación, que son algunas de las más peligrosas y penetrantes, se detienen antes de que se produzca la infracción, lo que permite ahorrar tiempo y costes en la reparación.

¿Cuáles son las capacidades de un NGFW?

Los NGFW, al igual que sus predecesores de inspección de estado, proporcionan funciones básicas de cortafuegos como filtrado de URL, antivirus y soporte para VPN de acceso remoto, pero destacan por encima de los cortafuegos de inspección de estado gracias a una serie de características de seguridad avanzadas:

  • El conocimiento de las aplicaciones permite la aplicación granular de políticas y el control de aplicaciones basado en aplicaciones específicas, su contenido, origen y destino del tráfico, y más, en lugar de limitar la aplicación por puerto, protocolo y dirección IP.
  • La inspección profunda de paquetes (DPI) analiza el contenido de los paquetes de red para identificar detalles a nivel de aplicación e identificar amenazas que se esconden en tráfico que de otro modo sería legítimo.
  • La funcionalidad del sistema de prevención de intrusiones (IPS) detecta y bloquea amenazas conocidas y desconocidas mediante la inspección del tráfico en busca de patrones y comportamientos sospechosos.
  • La identificación de usuarios permite al NGFW asociar la actividad de la red con usuarios específicos, no sólo los lugares a los que se conectan, para su uso en políticas y supervisión basados en usuarios.
  • La inspección TLS/SSL descifra e inspecciona el tráfico encriptado en TLS/SSL (la inmensa mayoría del tráfico actual) para detectar amenazas ocultas. (No obstante, la inspección requiere un uso intensivo del procesador, lo que dificulta el rendimiento en cortafuegos con restricciones de hardware).
  • La integración de inteligencia de amenazas permite a un NGFW actualizar las protecciones en función de amenazas recientemente descubiertas en múltiples fuentes, incluidos los nodos de red propios de la organización, así como fuentes públicas y de terceros.

¿Por qué necesito un NGFW?

El panorama de amenazas cibernéticas actual exige una sólida protección frente a amenazas y los cortafuegos tradicionales no están a la altura de la tarea. Los NGFW o cortafuegos de próxima generación pueden bloquear el malware y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vulnerabilidad Log4Shell.

Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no sólo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.

Sin embargo, todas estas ventajas potenciales conllevan algunos desafíos.

Desafíos para los NGFW

Limitados por su hardware, hay muchos casos en los que los dispositivos NGFW físicos no pueden funcionar de manera efectiva para satisfacer las necesidades de los entornos modernos actuales, lo que presenta múltiples problemas.

Tráfico de retorno para mayor seguridad

La red de retorno a un NGFW tenía sentido cuando los centros de datos, los puntos finales y los recursos se encontraban mayormente en las instalaciones. Sin embargo, ahora, a medida que la movilidad de los usuarios y la adopción de la nube siguen con una tendencia al alza, el hardware NGFW ubicado en un centro de datos tradicional simplemente no puede seguir el ritmo.

Las aplicaciones en la nube como Microsoft 365 están diseñadas para ser accedidas directamente a través de Internet. Pero para que las VPN y los NGFW del centro de datos de una organización proporcionen acceso y seguridad, todo el tráfico debe pasar por ese centro de datos, lo que ralentiza todas las actividades. Para ofrecer una experiencia de usuario rápida, las organizaciones deben enrutar el tráfico de Internet localmente.

Proteger las conexiones locales a Internet

Puede proteger las conexiones de Internet locales con hardware NGFW, pero para hacerlo, necesita una pila de seguridad separada en cada ubicación: anto NGFW y como potencialmente más dispositivos en cada sucursal. Todos ellos se deben implementar, mantener y eventualmente reemplazar manualmente, algo que rápidamente puede volverse prohibitivamente complejo y caro.

Inspeccionar todo el tráfico cifrado TLS/SSL

Prácticamente todo el tráfico web actual está cifrado. Para realizar la inspección SSL, la mayoría de los NGFW utilizan capacidades de proxy integradas que ejecutan la inspección en el software, en lugar de a nivel de chip. Esto afecta enormemente al rendimiento, lo que perjudica la experiencia del usuario; pero sin inspección, se carece de la capacidad para detectar más del 85 % de los ataques.

Tipos de NGFW

Por definición, los NGFW son cortafuegos de inspección profunda de paquetes que operan a nivel de aplicación e incluyen prevención de intrusiones así como integración de inteligencia de amenazas. Dejando a un lado la funcionalidad principal, los NGFW vienen en tres factores de forma distintos:

  • Los NGFW de hardware son dispositivos físicos creados para la implementación local. Como hardware de seguridad dedicado, estos NGFW se utilizan principalmente en centros de datos o para otros casos de uso que requieren dispositivos físicos.
  • Los NGFW virtuales están basados en software y se ejecutan en máquinas virtuales (VM). Son lo suficientemente flexibles y escalables para adaptarse mejor a aplicaciones y servicios virtualizados y basados en la nube que los NGFW de sólo hardware, pero siguen dependiendo de la propia infraestructura de su organización y están limitados por la potencia de procesamiento del hardware desde el que trabajan.
  • Los NGFW basados en la nube ofrecen servicios de cortafuegos de terceros desde la nube, lo que les permite proteger el tráfico que no pasa por un centro de datos tradicional. Están diseñados para proteger entornos nativos de la nube, redes distribuidas y usuarios remotos, ofreciendo mayor escalabilidad y gestión de seguridad centralizada.

Por qué los cortafuegos en la nube son el futuro

Las empresas actuales priorizan la nube y necesitan capacidades más dinámicas y modernas a fin de establecer controles de seguridad y acceso para proteger sus datos, capacidades para las que los NGFW no fueron diseñados.

Las empresas aún necesitan capacidades de cortafuegos empresarial en sus accesos locales a Internet, especialmente dado que siguen utilizando proveedores de nube como AWS y Azure. Los NGFW no fueron diseñados para admitir aplicaciones e infraestructuras en la nube, y sus homólogos, los cortafuegos virtuales, son igualmente limitados y presentan los mismos desafíos que los dispositivos NGFW tradicionales.

Tiene sentido, entonces, que a medida que sus aplicaciones se trasladan a la nube, sus cortafuegos también lo hagan.

Cuatro ventajas principales de los cortafuegos en la nube

  • Arquitectura basada en proxy: este diseño inspecciona dinámicamente el tráfico de la red para todos los usuarios, las aplicaciones, los dispositivos y las ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar el malware oculto en el tráfico cifrado. Además, permite aplicar políticas granulares de cortafuegos de red que abarcan varias capas basadas en aplicaciones de red, aplicaciones en la nube, nombres de dominio totalmente calificados (FQDN) y URL.
  • IPS en la nube: un IPS basado en la nube ofrece una protección y cobertura frente a amenazas siempre activa, independientemente del tipo de conexión o de la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
  • Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de acceder a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, algo esencial para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y evitar el túnel DNS.
  • Visibilidad y gestión simplificadas: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas de seguridad en toda la plataforma. Registra cada sesión en detalle y utiliza análisis avanzados para relacionar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones, API y ubicaciones desde una sola consola.

Solo un puñado de proveedores puede implementar un conjunto completo de funciones de cortafuegos en la nube y únicamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.

Zscaler Cloud Firewall

Zscaler Firewall ofrece más potencia que los dispositivos NGFW sin su coste ni su complejidad. Como parte del Zscaler Zero Trust Exchange™integrado, ofrece controles de cortafuegos de próxima generación y seguridad avanzada para todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, desplegar ni gestionar ningún hardware.

Los NGFW le obligan a recurrir a innumerables capacidades de seguridad, lo que hace que su postura general sea rígida y débil. Zscaler Firewall le permite:

  • Definir y aplicar inmediatamente políticas granulares de cortafuegos
  • Convertir la visibilidad general en información procesable en tiempo real
  • Ofrezca un IPS siempre activo a todos sus usuarios

Recursos sugeridos

La transición de AutoNation hacia la nube
Simplifique la transformación de su red con Zscaler Cloud Firewall
Lea el libro electrónico
Cortafuegos de nube de nueva generación de Zscaler
Zscaler Cloud Firewall: una guía para la migración segura a la nube
Leer la documentación técnica
¿SD-WAN sin un cortafuegos en la nube? Ni se lo plantee.
Leer el blog
Gartner | El futuro de la seguridad de la red está en la nube
Lea el informe

01 / 04

Preguntas frecuentes

Los NGFW brindan una defensa más avanzada frente a amenazas sofisticadas que los cortafuegos tradicionales, incluida la inspección profunda de paquetes, la prevención de intrusiones, inspección TLS/SSL y registros e informes más sólidos. Los NGFW pueden comprender el destino del tráfico de aplicaciones, lo que les permite detectar y mitigar malware, ataques de día cero y más. Con mucho más contexto, los NGFW pueden aplicar controles de políticas granulares sobre el tráfico de red, la actividad del usuario y el uso de aplicaciones, en lugar de sólo puertos, protocolos y direcciones IP.

La diferencia clave entre un cortafuegos tradicional de “inspección de estado” y un cortafuegos de próxima generación es la forma en que procesan el tráfico de la red. Los cortafuegos de inspección de estado se basan principalmente en reglas de permiso/denegación estáticas basadas en puertos de conexión, protocolos y direcciones IP. Los NGFW, por otro lado, pueden comprender aplicaciones específicas y su tráfico, inspeccionar el contenido de los paquetes de red y el tráfico cifrado, aplicar políticas basadas en identidad y más, lo que permite la aplicación de controles de tráfico más granulares basados en el contexto.

Los cortafuegos de próxima generación (NGFW) operan principalmente en la capa 7 (la capa de Aplicación) del modelo OSI. Utilizando una inspección profunda de paquetes y un conocimiento avanzado de las aplicaciones, un NGFW puede identificar aplicaciones y servicios específicos, inspeccionar su contenido y evaluar el contexto para informar la aplicación de políticas. Al ir más allá de la inspección básica de puertos y protocolos de los cortafuegos tradicionales de inspección con estado, los NGFW pueden defenderse de manera más efectiva frente a amenazas sofisticadas que se ocultan en el tráfico legítimo.

Los cortafuegos de próxima generación (NGFW) suelen ubicarse en el perímetro de la red, entre la red interna y los entornos externos como Internet. También se pueden implementar entre segmentos de la red interna para aplicar políticas de seguridad y segmentar recursos confidenciales. Siguen desempeñando un papel en la seguridad del acceso remoto a través de VPN, protegiendo los perímetros de los centros de datos tradicionales y permanecen en las pilas de hardware de las ubicaciones remotas y sucursales de muchas organizaciones, aunque la eficacia de este enfoque es cada vez menor a medida más y más recursos y datos se trasladan a la nube, desdibujando la definición de “perímetro seguro”.