Recursos > Glosario de términos de seguridad > Qué es un cortafuegos de nueva generación

¿Qué es un cortafuegos de nueva generación?

¿Qué es un cortafuegos de nueva generación?

Un cortafuegos de nueva generación (NGFW) pertenece a la tercera generación de tecnología de cortafuegos y combina un cortafuegos tradicional con otras funciones de filtrado de dispositivos de red, como la inspección profunda de paquetes en línea (DPI) y un sistema de prevención de intrusiones (IPS).

Gartner creó el concepto de NGFW hace una década. Según Gartner, los NGFW son "cortafuegos de inspección profunda de paquetes que van más allá de la inspección y el bloqueo de puertos/protocolos para añadir la inspección a nivel de aplicaciones, la prevención de intrusiones y la aportación de inteligencia desde fuera del cortafuegos".

Los cortafuegos tradicionales operaban en el tercer y cuarto nivel, y permitían o bloqueaban el tráfico en función de puertos y protocolos, aprovechaban la inspección de estado y tomaban decisiones basadas en políticas definidas. A medida que los ataques evolucionaban y se volvían más sofisticados, los atacantes eran capaces de eludir los cortafuegos de inspección de estado, lo que hacía más crítica la seguridad mejorada.

Los NGFW surgieron para proporcionar todas las capacidades de un cortafuegos tradicional y las capacidades adicionales de control de aplicaciones y prevención de intrusiones integradas. También ofrecían capacidades más granulares para identificar al usuario, la ubicación y la aplicación.

Las capacidades de los cortafuegos de nueva generación son en realidad un requisito básico. Ha sido una de las principales consideraciones a la hora de seleccionar a Zscaler. No pudimos encontrar ningún otro servicio en la nube que tuviera la capacidad de un protocolo completo de nueva generación.
Ken Athanasiou, CISO y vicepresidente de AutoNation

Desafíos para los NGFW

El backhauling del tráfico a un NGFW en un centro de datos corporativo o regional tenía sentido cuando las aplicaciones se encontraban en el centro de datos corporativo, y la mayoría de los trabajadores se encontraban en las oficinas corporativas o regionales. Sin embargo, las aplicaciones empezaron a salir del centro de datos y a entrar en la nube, y las organizaciones tenían cada vez más sucursales y trabajadores remotos. Los trabajadores salieron de la red corporativa y empezaron a conectarse desde cualquier lugar, lo que hizo que los enfoques tradicionales de redes y seguridad, incluido el NGFW, fueran insuficientes.

Las aplicaciones en la nube, como Salesforce y Microsoft Office 365, fueron diseñadas acceder a ellas directamente a través de Internet. Por lo tanto, el tráfico de Internet debe enrutarse localmente para ofrecer una experiencia de usuario rápida. Enrutar el tráfico de vuelta a los NGFW en los centros de datos corporativos para que salga a Internet ya no tiene sentido.

Sin embargo, la seguridad tradicional para los breakouts locales de Internet significa que las organizaciones tendrían que replicar la pila de seguridad corporativa en cada ubicación. Esto requiere la implementación de NGFW o pilas de dispositivos de seguridad en cada sucursal, una opción que simplemente no es viable en términos de coste y complejidad de la implementación y gestión de todos ellos.

Además, los NGFW nunca fueron diseñados para soportar aplicaciones en la nube. Los NGFW se ven fácilmente sobrepasados por las aplicaciones en la nube, porque no pueden escalar para soportar el alto volumen de conexiones de larga duración que crean las aplicaciones. Tampoco pueden gestionar de forma nativa el tráfico cifrado con SSL. Esto se ha vuelto cada vez más importante con el crecimiento exponencial del tráfico cifrado durante los últimos años. La inspección de SSL requiere que los NGFW incluyan capacidades de proxy que ejecuten la inspección de SSL en el software, en lugar de a nivel de chip. Esto repercute significativamente en el rendimiento y provoca una experiencia negativa para el usuario.

Mejor en la nube

Los cortafuegos de nueva generación (NGFW) utilizados hoy en día se diseñaron hace más de una década. Pero proporcionar seguridad y controles de acceso para la empresa que prioriza la nube requiere capacidades dinámicas para las que los NGFW no fueron diseñados.

Conforme las organizaciones adoptan un enfoque que da prioridad a la nube, siguen necesitando ofrecer capacidades de cortafuegos empresariales a través de sus breakouts locales de Internet. Por desgracia, los NGFW no están diseñados para soportar aplicaciones en la nube, y sus homólogos de cortafuegos virtuales le dejan con muchas de las mismas limitaciones y desafíos que los dispositivos NGFW tradicionales. Resulta lógico que, a medida que las aplicaciones se trasladan a la nube, sus cortafuegos se trasladen también a la nube.

Un cortafuegos basado en la nube ofrece múltiples ventajas con respecto a los NGFW basados en dispositivos, entre ellas:

  • Arquitectura basada en proxy: en este diseño se inspecciona dinámicamente el tráfico de todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS (a escala) para detectar el malware oculto en el tráfico cifrado. Además, permite aplicar políticas de cortafuegos granulares en varias capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio (FQDN) y la URL. Se requiere una arquitectura basada en proxy para detener las amenazas avanzadas de hoy en día.
     
  • IPS en la nube: un sistema de prevención de intrusiones (IPS) basado en la nube ofrece protección y cobertura continua contra las amenazas, independientemente del tipo de conexión o la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
     
  • Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de llegar a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, que es especialmente crítico para las aplicaciones basadas en CDN. Además, proporciona controles granulares para detectar y evitar el túnel de DNS.
     
  • Visibilidad y gestión simplificada: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas en toda la plataforma. Registra cada sesión en detalle y utiliza analíticas avanzadas para correlacionar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones y ubicaciones desde una sola consola.

Testimonio del cliente AutoNation

Ver el vídeo
Ver el vídeo

Simplifique la transformación de su red con Zscaler Cloud Firewall

Leer el libro electrónico
Lea el libro electrónico

Cortafuegos de nube de nueva generación de Zscaler

Ver el vídeo
Ver el vídeo

Vea usted mismo la diferencia

¿Sigue confiando en los NGFW antiguos? ¿Está tan seguro como debería? Solicite una demostración para saber cómo un cortafuegos en la nube puede proporcionar más seguridad que un NGFW.

 

Recursos adicionales: