¿Sigue confiando en los NGFW heredados? ¿Está su organización tan segura como debería? Solicite una demostración para saber cómo un cortafuegos en la nube puede proporcionar más seguridad que un NGFW.
Los cortafuegos tradicionales solo funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI) para informar de sus acciones y administran el tráfico de red entre los hosts y los sistemas finales con el fin de garantizar transferencias de datos completas. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.
A medida que surgieron amenazas avanzadas como el ransomware, estos cortafuegos con estado se omitían con facilidad día tras día. No hace falta decir que era realmente necesaria una solución de seguridad mejorada e inteligente.
Le presentamos a NGFW, un sistema al que Gartner identificó hace más de una década como un "cortafuegos de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección de la capa de aplicaciones, prevención de intrusiones y obtención de inteligencia desde fuera del cortafuegos". Presentaba todas las características que uno esperaría de un cortafuegos tradicional, pero con capacidades más granulares y políticas aún más estrictas para las identidades, los usuarios, las ubicaciones y las aplicaciones.
Ken Athanasiou, CISO y vicepresidente de AutoNation
Los cortafuegos de próxima generación (NGFW, por sus siglas en inglés) siguen utilizándose hoy en día, y ofrecen una serie de ventajas que los sitúan por encima de sus predecesores para la seguridad de las redes y aplicaciones locales.
Cuando se trata de proteger las redes corporativas, los NGFW van más allá de su deber en comparación con los cortafuegos tradicionales. Profundizan en el tráfico de red para entender de dónde viene. Como resultado, pueden recopilar un mayor conocimiento sobre el tráfico malicioso y sus amenazas integradas, que intentan infiltrarse constantemente en el perímetro de la red, acceder a los datos corporativos y arruinar la reputación de una organización.
Mientras que un cortafuegos tradicional solo opera en las capas 3 y 4, los NGFW pueden operar hasta en la capa 7, la de aplicación. Esto significa que las amenazas a nivel de aplicación, que son algunas de las más peligrosas y penetrantes, se detienen antes de infringir las normas, lo que permite ahorrar tiempo y costes en la reparación.
El panorama de amenazas cibernéticas de hoy en día exige una sólida protección contra amenazas y los cortafuegos tradicionales no están a la altura de la tarea. Los NGFW pueden bloquear el malware y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vulnerabilidad Log4Shell.
Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no solo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.
Sin embargo, todas estas ventajas potenciales vienen acompañadas de una serie de inconvenientes.
Aunque los NGFW pueden proporcionar grandes ventajas, carecen de la funcionalidad necesaria para dar servicio al personal distribuido actual.
Por ejemplo, retornar el tráfico a un NGFW tenía sentido cuando las aplicaciones residían en el centro de datos y, por lo tanto, cuando los puntos finales más importantes estaban en oficinas corporativas o regionales. Pero las aplicaciones actuales se han trasladado a la nube para facilitar el trabajo desde cualquier lugar, una tendencia que ha hecho que las redes y las herramientas de seguridad tradicionales, incluidos los NGFW y las VPN, no sean suficientes debido a su falta de escalabilidad.
Las aplicaciones en la nube más utilizadas, como Microsoft 365, se diseñaron para acceder a ellas directamente a través de Internet. Para establecer estas conexiones, las empresas deben enrutar el tráfico de Internet localmente para ofrecer una experiencia de usuario rápida, lo que significa que enrutar el tráfico de retorno a los NGFW en los centros de datos corporativos para salir a Internet ya no tiene sentido.
Si quisiera proteger los accesos locales a Internet con un NGFW, habría que replicar la pila de seguridad corporativa en cada ubicación. En concreto, habría que desplegar NGFW o pilas de dispositivos de seguridad en cada sucursal, lo cual es inviable debido al coste y la complejidad de desplegar y gestionar tantos cortafuegos.
Además, los NGFW realmente no fueron diseñados para admitir aplicaciones en la nube. Se ven fácilmente sobrecargados por las aplicaciones en la nube porque no pueden adaptarse para admitir el alto volumen de conexiones de larga duración que crean las aplicaciones, lo que les niega la capacidad de trabajar con aplicaciones en la nube de forma predeterminada.
Además, no pueden gestionar de forma nativa el tráfico cifrado con SSL, que se ha vuelto cada vez más importante, ya que casi todo el tráfico web actual está cifrado. La inspección de SSL requiere que los NGFW incluyan capacidades de proxy que ejecuten la inspección de SSL en el software, en lugar de a nivel de chip. Esto no solo afecta al rendimiento y obstaculiza la experiencia del usuario, sino que también abre paso a nuevas amenazas para la seguridad, como el malware avanzado.
Los cortafuegos de próxima generación (NGFW) utilizados hoy en día se diseñaron hace más de una década. Las empresas actuales priorizan la nube y necesitan capacidades más dinámicas y modernas a fin de establecer controles de seguridad y acceso para proteger sus datos, capacidades para las que los NGFW no fueron diseñados.
Las empresas aún necesitan capacidades de cortafuegos empresarial en sus accesos locales a Internet, especialmente dado que siguen utilizando proveedores de nube como AWS y Azure. Los NGFW no fueron diseñados para admitir aplicaciones e infraestructuras en la nube, y sus homólogos, los cortafuegos virtuales, son igualmente limitados y presentan los mismos desafíos que los dispositivos NGFW tradicionales.
Tiene sentido, entonces, que a medida que sus aplicaciones se trasladan a la nube, sus cortafuegos también lo hagan.
Solo un puñado de proveedores puede implementar un conjunto completo de funciones de cortafuegos en la nube y únicamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.
Zscaler Cloud Firewall ofrece más potencia que los dispositivos NGFW sin su coste ni complejidad. Al formar parte de la plataforma integrada Zscaler Zero Trust Exchange™, aporta controles de cortafuegos de próxima generación y seguridad avanzada a todos los usuarios, en todos los lugares, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, desplegar ni gestionar ningún hardware.
Los NGFW hacen que tenga que recurrir a innumerables capacidades de seguridad, lo que hace que la postura general sea rígida y débil. Zscaler Cloud Firewall le permite:
¿Sigue confiando en los NGFW heredados? ¿Está su organización tan segura como debería? Solicite una demostración para saber cómo un cortafuegos en la nube puede proporcionar más seguridad que un NGFW.
La transición de AutoNation hacia la nube
Simplifique la transformación de su red con Zscaler Cloud Firewall
Lea el libro electrónicoCortafuegos de nube de nueva generación de Zscaler
Zscaler Cloud Firewall: una guía para la migración segura a la nube
Leer la documentación técnica¿SD-WAN sin un cortafuegos en la nube? Ni se lo plantee.
Leer el blogGartner | El futuro de la seguridad de la red está en la nube
Lea el informe