Recursos > Glosario de términos de seguridad > ¿Qué es un cortafuegos de próxima generación?

¿Qué es un cortafuegos de próxima generación?

Definición de un cortafuegos de próxima generación

Un cortafuegos de próxima generación (NGFW) es la convergencia de la tecnología de cortafuegos tradicional con otras funciones de filtrado de dispositivos de red, como el control de aplicaciones en línea, un sistema integrado de prevención de intrusiones (IPS), las capacidades de prevención de amenazas y la protección antivirus, para mejorar la seguridad de la red empresarial.

El concepto de NGFW fue introducido hace una década por Gartner, que lo definió como un "cortafuegos que inspecciona los paquetes en profundidad, que va más allá de la inspección y el bloqueo de puertos/protocolos para añadir inspección de la capa de aplicaciones, prevención de intrusiones e inteligencia desde fuera del cortafuegos".

 

El cortafuegos de próxima generación frente al cortafuegos tradicional

Los cortafuegos tradicionales solo funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI) para informar de sus acciones y administran el tráfico de red entre los hosts y los sistemas finales con el fin de garantizar transferencias de datos completas. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

A medida que surgieron amenazas avanzadas como el ransomware, estos cortafuegos con estado se omitían con facilidad día tras día. No hace falta decir que era realmente necesaria una solución de seguridad mejorada e inteligente.

Llegó el NGFW, destinado en el momento de su introducción a ser la próxima evolución en la seguridad de la red. Presentaba todas las características que uno esperaría de un cortafuegos tradicional, pero con capacidades más granulares que permiten políticas aún más estrictas para la identidad, el usuario, la ubicación y la aplicación.

Las capacidades de los cortafuegos de nueva generación son en realidad un requisito básico. Ha sido una de las principales consideraciones a la hora de seleccionar a Zscaler. No pudimos encontrar ningún otro servicio en la nube que tuviera la capacidad de un protocolo completo de nueva generación.
Ken Athanasiou, CISO y vicepresidente de AutoNation

Características de un NGFW

Los cortafuegos de próxima generación (NGFW, por sus siglas en inglés) siguen utilizándose hoy en día, y ofrecen una serie de ventajas que los sitúan por encima de sus predecesores para la seguridad de las redes y aplicaciones locales.

  • Control de aplicaciones: los NGFW supervisan activamente qué aplicaciones (y usuarios) están trayendo tráfico a la red. Tienen una capacidad inherente para analizar el tráfico de red a fin de detectar el tráfico de aplicaciones, independientemente del puerto o protocolo, lo que aumenta la visibilidad general.
  • IPS: en esencia, un IPS está diseñado para supervisar continuamente una red, buscar actividades maliciosas y tomar medidas cuidadosas para evitarlas. El IPS puede enviar una alarma a un administrador, bloquear los paquetes y el tráfico o restablecer la conexión por completo.
  • Inteligencia de amenazas: esta se puede describir como los datos o la información recopilados por una variedad de nodos en una red o ecosistema de TI que ayuda a los equipos a comprender las amenazas que acechan (o que ya han atacado) a una organización. Se trata de un recurso esencial para la ciberseguridad.
  • Antivirus: como su nombre indica, el software antivirus detecta los virus, responde a ellos y actualiza las funciones de detección para oponerse al siempre cambiante panorama de las amenazas.
     

¿Qué hace un NGFW?

Cuando se trata de proteger las redes corporativas, los NGFW van más allá de su deber en comparación con los cortafuegos tradicionales.

Profundizan en el tráfico de red para entender de dónde viene. Como resultado, pueden recopilar un mayor conocimiento sobre el tráfico malicioso y sus amenazas integradas, que intentan infiltrarse constantemente en el perímetro de la red, acceder a los datos corporativos y arruinar la reputación de una organización.

Mientras que un cortafuegos tradicional solo opera en las capas 3 y 4, los NGFW pueden operar hasta en la capa 7, la de aplicación. Esto significa que las amenazas a nivel de aplicación, que son algunas de las más peligrosas y penetrantes, se detienen antes de infringir las normas, lo que permite ahorrar tiempo y costes en la reparación.

 

¿Por qué necesito un NGFW?

El panorama de amenazas cibernéticas de hoy en día exige una sólida protección contra amenazas y los cortafuegos tradicionales no están a la altura de la tarea.

Los NGFW pueden bloquear el malware y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vulnerabilidad Log4Shell.

Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no solo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.

Sin embargo, todas estas ventajas potenciales vienen acompañadas de una serie de inconvenientes.
 

 

Desafíos para los NGFW

Aunque los NGFW pueden proporcionar grandes ventajas, carecen de la funcionalidad necesaria para dar servicio al personal distribuido actual.

Por ejemplo, retornar el tráfico a un NGFW tenía sentido cuando las aplicaciones residían en el centro de datos y, por lo tanto, cuando los puntos finales más importantes estaban en oficinas corporativas o regionales.

Pero las aplicaciones actuales se han trasladado a la nube para facilitar el trabajo desde cualquier lugar, una tendencia que ha hecho que las redes y las herramientas de seguridad tradicionales, incluidos los NGFW y las VPN, no sean suficientes debido a su falta de escalabilidad.

Las aplicaciones en la nube más utilizadas, como Microsoft 365, se diseñaron para acceder a ellas directamente a través de Internet. Para establecer estas conexiones, las empresas deben enrutar el tráfico de Internet localmente para ofrecer una experiencia de usuario rápida, lo que significa que enrutar el tráfico de retorno a los NGFW en los centros de datos corporativos para salir a Internet ya no tiene sentido.

Si quisiera proteger los accesos locales a Internet con un NGFW, habría que replicar la pila de seguridad corporativa en cada ubicación. En concreto, habría que desplegar NGFW o pilas de dispositivos de seguridad en cada sucursal, lo cual es inviable debido al coste y la complejidad de desplegar y gestionar tantos cortafuegos.

Además, los NGFW realmente no fueron diseñados para admitir aplicaciones en la nube. Se ven fácilmente sobrecargados por las aplicaciones en la nube porque no pueden adaptarse para admitir el alto volumen de conexiones de larga duración que crean las aplicaciones, lo que les niega la capacidad de trabajar con aplicaciones en la nube de forma predeterminada.

Además, no pueden gestionar de forma nativa el tráfico cifrado con SSL, que se ha vuelto cada vez más importante, ya que casi todo el tráfico web actual está cifrado. La inspección de SSL requiere que los NGFW incluyan capacidades de proxy que ejecuten la inspección de SSL en el software, en lugar de a nivel de chip. Esto no solo afecta al rendimiento y obstaculiza la experiencia del usuario, sino que también abre paso a nuevas amenazas para la seguridad, como el malware avanzado.
 

 

Los cortafuegos en la nube son el futuro

Los cortafuegos de próxima generación (NGFW) utilizados hoy en día se diseñaron hace más de una década. Las empresas de la actualidad priorizan la nube y necesitan capacidades más dinámicas y modernas para establecer controles de seguridad y acceso para proteger sus datos, capacidades que los NGFW no estaban diseñados para ofrecer.

Las empresas aún necesitan capacidades de cortafuegos empresarial en sus accesos locales a Internet, especialmente a medida que siguen utilizando proveedores de nube como AWS y Azure. Desafortunadamente, los NGFW no fueron diseñados para admitir aplicaciones e infraestructura en la nube y sus contrapartes de cortafuegos virtual son igualmente limitadas y presentan los mismos desafíos que los dispositivos NGFW tradicionales.

Tiene sentido, entonces, que a medida que sus aplicaciones se trasladan a la nube, sus cortafuegos también lo hagan.

Cuatro ventajas principales de los cortafuegos en la nube

  • Arquitectura basada en proxy: este diseño inspecciona dinámicamente el tráfico de la red para todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar el malware oculto en el tráfico cifrado. Además, permite aplicar políticas granulares de cortafuegos de red que abarcan varias capas basadas en aplicaciones de red, aplicaciones en la nube, nombres de dominio totalmente calificados (FQDN) y URL.
  • IPS en la nube: un IPS basado en la nube ofrece una protección y cobertura frente a amenazas siempre activa, independientemente del tipo de conexión o de la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
  • Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de acceder a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, que es esencial para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y evitar el túnel DNS.
  • Visibilidad y gestión simplificadas: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas de seguridad en toda la plataforma. Registra cada sesión en detalle y utiliza análisis avanzadas para relacionar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones, API y ubicaciones desde una sola consola.

Solo un puñado de proveedores puede implementar un conjunto completo de funciones de cortafuegos en la nube y únicamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.

Testimonio del cliente AutoNation

Vea el vídeo
Ver el vídeo

Simplifique la transformación de su red con Zscaler Cloud Firewall

Lea el libro electrónico
Lea el libro electrónico

Cortafuegos de nube de nueva generación de Zscaler

Vea el vídeo
Vea el vídeo

Zscaler Cloud Firewall

Zscaler Cloud Firewall ofrece más potencia que los dispositivos NGFW sin su coste ni complejidad. Al formar parte de la plataforma integrada Zscaler Zero Trust Exchange™, aporta controles de cortafuegos de próxima generación y seguridad avanzada a todos los usuarios, en todos los lugares, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, desplegar ni gestionar ningún hardware.

Los NGFW hacen que tenga que recurrir a innumerables capacidades de seguridad, lo que hace que la postura general sea rígida y débil. Zscaler Cloud Firewall le permite:

  • Definir y aplicar inmediatamente políticas granulares de cortafuegos
  • Convertir la visibilidad general en información procesable en tiempo real
  • Ofrecer un IPS siempre activo a todos sus usuarios
     

Vea usted mismo la diferencia

¿Sigue confiando en los NGFW heredados? ¿Está su organización tan segura como debería? Solicite una demostración para saber cómo un cortafuegos en la nube puede proporcionar más seguridad que un NGFW.
 

Recursos adicionales: