¿Le preocupan las vulnerabilidades de la VPN? Descubra cómo puede beneficiarse de nuestra oferta de migración de VPN, que incluye 60 días de servicio gratuito.

Hable con un experto

¿Qué es un cortafuegos de próxima generación?

Un cortafuegos de próxima generación (NGFW) es la convergencia de la tecnología de cortafuegos tradicional con otras funciones de filtrado de dispositivos de red, como el control de aplicaciones en línea, un sistema integrado de prevención de intrusiones (IPS), capacidades de prevención de amenazas y protección antivirus, para mejorar la seguridad de la red empresarial.

Simplifique la transformación de su red con Zscaler Cloud Firewall
NGF
Ver

El cortafuegos de próxima generación frente al cortafuegos tradicional

Los cortafuegos tradicionales funcionan en las capas 3 y 4 del modelo de interconexión de sistemas abiertos (OSI) para informar de sus acciones y gestionar el tráfico de red entre los hosts y los sistemas finales. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

A medida que comenzaron a surgir amenazas avanzadas como el ransomware, los cortafuegos de estado se eludían con facilidad, lo que generó una gran demanda de una solución de seguridad mejorada y más inteligente.

Así llegó el NGFW, presentado por Gartner hace más de una década como un "cortafuegos de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección de la capa de aplicaciones, prevención de intrusiones y obtención de inteligencia desde fuera del cortafuegos". Contaba con todas las características de un cortafuegos tradicional, pero con capacidades más granulares que permiten políticas basadas en identidad, ubicación, aplicación y contenido.

Las capacidades de los cortafuegos de nueva generación son, de hecho, un requisito básico. Eso ha sido una de las principales consideraciones a la hora de seleccionar a Zscaler. No pudimos encontrar ningún otro servicio en la nube que tuviera de verdad la capacidad de un protocolo completo de nueva generación.

Ken Athanasiou, CISO y vicepresidente de AutoNation

¿Cómo funcionan los NGFW?

En comparación con los cortafuegos tradicionales, los NGFW profundizan en el tráfico de la red para comprender de dónde proviene. Son capaces de recopilar una mayor cantidad de datos sobre el tráfico malicioso y las amenazas integradas que intentan infiltrarse en el perímetro de la red y acceder a datos corporativos.

Mientras que un cortafuegos tradicional sólo opera en las capas 3 y 4 de OSI, los NGFW pueden operar hasta en la capa 7, la de aplicación. Esto significa que las amenazas a nivel de aplicación, que son algunas de las más peligrosas y penetrantes, se detienen antes de que se produzca la infracción, lo que permite ahorrar tiempo y costes en la reparación.

¿Cuáles son las capacidades de un NGFW?

Los NGFW, al igual que sus predecesores de inspección de estado, proporcionan funciones básicas de cortafuegos como filtrado de URL, antivirus y soporte para VPN de acceso remoto, pero destacan por encima de los cortafuegos de inspección de estado gracias a una serie de características de seguridad avanzadas:

  • El conocimiento de las aplicaciones permite la aplicación granular de políticas y el control de aplicaciones basado en aplicaciones específicas, su contenido, origen y destino del tráfico, y más, en lugar de limitar la aplicación por puerto, protocolo y dirección IP.
  • La inspección profunda de paquetes (DPI) analiza el contenido de los paquetes de red para identificar detalles a nivel de aplicación e identificar amenazas que se esconden en tráfico que de otro modo sería legítimo.
  • La funcionalidad del sistema de prevención de intrusiones (IPS) detecta y bloquea amenazas conocidas y desconocidas mediante la inspección del tráfico en busca de patrones y comportamientos sospechosos.
  • La identificación de usuarios permite al NGFW asociar la actividad de la red con usuarios específicos, no sólo los lugares a los que se conectan, para su uso en políticas y supervisión basados en usuarios.
  • La inspección TLS/SSL descifra e inspecciona el tráfico encriptado en TLS/SSL (la inmensa mayoría del tráfico actual) para detectar amenazas ocultas. (No obstante, la inspección requiere un uso intensivo del procesador, lo que dificulta el rendimiento en cortafuegos con restricciones de hardware).
  • La integración de inteligencia de amenazas permite a un NGFW actualizar las protecciones en función de amenazas recientemente descubiertas en múltiples fuentes, incluidos los nodos de red propios de la organización, así como fuentes públicas y de terceros.

¿Por qué necesito un NGFW?

El panorama de amenazas cibernéticas actual exige una sólida protección frente a amenazas y los cortafuegos tradicionales no están a la altura de la tarea. Los NGFW o cortafuegos de próxima generación pueden bloquear el malware y están mejor equipados para frustrar las amenazas persistentes avanzadas (APT), como Cozy Bear, responsable del ataque SUNBURST a la cadena de suministro de 2020, y Deep Panda, famoso por explotar la vulnerabilidad Log4Shell.

Además, con la inteligencia de amenazas integrada y las opciones para automatizar las redes y la seguridad, los NGFW han brindado a las organizaciones la oportunidad no sólo de simplificar las operaciones de seguridad, sino también de dar el primer paso hacia un centro de operaciones de seguridad (SOC) plenamente efectivo.

Sin embargo, todas estas ventajas potenciales conllevan algunos desafíos.

Desafíos para los NGFW

Limitados por su hardware, hay muchos casos en los que los dispositivos NGFW físicos no pueden funcionar de manera efectiva para satisfacer las necesidades de los entornos modernos actuales, lo que presenta múltiples problemas.

Tráfico de retorno para mayor seguridad

La red de retorno a un NGFW tenía sentido cuando los centros de datos, los puntos finales y los recursos se encontraban mayormente en las instalaciones. Sin embargo, ahora, a medida que la movilidad de los usuarios y la adopción de la nube siguen con una tendencia al alza, el hardware NGFW ubicado en un centro de datos tradicional simplemente no puede seguir el ritmo.

Las aplicaciones en la nube como Microsoft 365 están diseñadas para ser accedidas directamente a través de Internet. Pero para que las VPN y los NGFW del centro de datos de una organización proporcionen acceso y seguridad, todo el tráfico debe pasar por ese centro de datos, lo que ralentiza todas las actividades. Para ofrecer una experiencia de usuario rápida, las organizaciones deben enrutar el tráfico de Internet localmente.

Proteger las conexiones locales a Internet

Puede proteger las conexiones de Internet locales con hardware NGFW, pero para hacerlo, necesita una pila de seguridad separada en cada ubicación: anto NGFW y como potencialmente más dispositivos en cada sucursal. Todos ellos se deben implementar, mantener y eventualmente reemplazar manualmente, algo que rápidamente puede volverse prohibitivamente complejo y caro.

Inspeccionar todo el tráfico cifrado TLS/SSL

Prácticamente todo el tráfico web actual está cifrado. Para realizar la inspección SSL, la mayoría de los NGFW utilizan capacidades de proxy integradas que ejecutan la inspección en el software, en lugar de a nivel de chip. Esto afecta enormemente al rendimiento, lo que perjudica la experiencia del usuario; pero sin inspección, se carece de la capacidad para detectar más del 85 % de los ataques.

Tipos de NGFW

Por definición, los NGFW son cortafuegos de inspección profunda de paquetes que operan a nivel de aplicación e incluyen prevención de intrusiones así como integración de inteligencia de amenazas. Dejando a un lado la funcionalidad principal, los NGFW vienen en tres factores de forma distintos:

  • Los NGFW de hardware son dispositivos físicos creados para la implementación local. Como hardware de seguridad dedicado, estos NGFW se utilizan principalmente en centros de datos o para otros casos de uso que requieren dispositivos físicos.
  • Los NGFW virtuales están basados en software y se ejecutan en máquinas virtuales (VM). Son lo suficientemente flexibles y escalables para adaptarse mejor a aplicaciones y servicios virtualizados y basados en la nube que los NGFW de sólo hardware, pero siguen dependiendo de la propia infraestructura de su organización y están limitados por la potencia de procesamiento del hardware desde el que trabajan.
  • Los NGFW basados en la nube ofrecen servicios de cortafuegos de terceros desde la nube, lo que les permite proteger el tráfico que no pasa por un centro de datos tradicional. Están diseñados para proteger entornos nativos de la nube, redes distribuidas y usuarios remotos, ofreciendo mayor escalabilidad y gestión de seguridad centralizada.

Por qué los cortafuegos en la nube son el futuro

Las empresas actuales priorizan la nube y necesitan capacidades más dinámicas y modernas a fin de establecer controles de seguridad y acceso para proteger sus datos, capacidades para las que los NGFW no fueron diseñados.

Las empresas aún necesitan capacidades de cortafuegos empresarial en sus accesos locales a Internet, especialmente dado que siguen utilizando proveedores de nube como AWS y Azure. Los NGFW no fueron diseñados para admitir aplicaciones e infraestructuras en la nube, y sus homólogos, los cortafuegos virtuales, son igualmente limitados y presentan los mismos desafíos que los dispositivos NGFW tradicionales.

Tiene sentido, entonces, que a medida que sus aplicaciones se trasladan a la nube, sus cortafuegos también lo hagan.

Cuatro ventajas principales de los cortafuegos en la nube

  • Arquitectura basada en proxy: este diseño inspecciona dinámicamente el tráfico de la red para todos los usuarios, las aplicaciones, los dispositivos y las ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar el malware oculto en el tráfico cifrado. Además, permite aplicar políticas granulares de cortafuegos de red que abarcan varias capas basadas en aplicaciones de red, aplicaciones en la nube, nombres de dominio totalmente calificados (FQDN) y URL.
  • IPS en la nube: un IPS basado en la nube ofrece una protección y cobertura frente a amenazas siempre activa, independientemente del tipo de conexión o de la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
  • Seguridad y control de DNS: como primera línea de defensa, un cortafuegos en la nube protege a los usuarios de acceder a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, algo esencial para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y evitar el túnel DNS.
  • Visibilidad y gestión simplificadas: un cortafuegos basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas de seguridad en toda la plataforma. Registra cada sesión en detalle y utiliza análisis avanzados para relacionar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones, API y ubicaciones desde una sola consola.

Solo un puñado de proveedores puede implementar un conjunto completo de funciones de cortafuegos en la nube y únicamente uno puede ofrecerlo como parte de una plataforma de seguridad en la nube completa y probada.

Zscaler Cloud Firewall

Zscaler Firewall ofrece más potencia que los dispositivos NGFW sin su coste ni su complejidad. Como parte del Zscaler Zero Trust Exchange™integrado, ofrece controles de cortafuegos de próxima generación y seguridad avanzada para todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite conexiones locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, desplegar ni gestionar ningún hardware.

Los NGFW le obligan a recurrir a innumerables capacidades de seguridad, lo que hace que su postura general sea rígida y débil. Zscaler Firewall le permite:

  • Definir y aplicar inmediatamente políticas granulares de cortafuegos
  • Convertir la visibilidad general en información procesable en tiempo real
  • Ofrezca un IPS siempre activo a todos sus usuarios

¿Sigue confiando en los NGFWheredados? ¿Está su organización tan segura como debería? Solicite una demostración para saber cómo un cortafuegos basado en la nube puede proporcionar mayor seguridad que un NGFW.

Recursos sugeridos

  • La transición de AutoNation hacia la nube

    Vea el vídeo
  • Simplifique la transformación de su red con Zscaler Cloud Firewall

    Lea el libro electrónico
  • Cortafuegos de nube de nueva generación de Zscaler

    Vea el vídeo
  • Zscaler Cloud Firewall: una guía para la migración segura a la nube

    Leer la documentación técnica
  • ¿SD-WAN sin un cortafuegos en la nube? Ni se lo plantee.

    Leer el blog
  • Gartner | El futuro de la seguridad de la red está en la nube

    Lea el informe

FAQs

¿Por qué necesito un cortafuegos de próxima generación (NGFW)?

Los NGFW brindan una defensa más avanzada frente a amenazas sofisticadas que los cortafuegos tradicionales, incluida la inspección profunda de paquetes, la prevención de intrusiones, inspección TLS/SSL y registros e informes más sólidos. Los NGFW pueden comprender el destino del tráfico de aplicaciones, lo que les permite detectar y mitigar malware, ataques de día cero y más. Con mucho más contexto, los NGFW pueden aplicar controles de políticas granulares sobre el tráfico de red, la actividad del usuario y el uso de aplicaciones, en lugar de sólo puertos, protocolos y direcciones IP.

¿Cuál es la diferencia entre un cortafuegos y un NGFW?

La diferencia clave entre un cortafuegos tradicional de “inspección de estado” y un cortafuegos de próxima generación es la forma en que procesan el tráfico de la red. Los cortafuegos de inspección de estado se basan principalmente en reglas de permiso/denegación estáticas basadas en puertos de conexión, protocolos y direcciones IP. Los NGFW, por otro lado, pueden comprender aplicaciones específicas y su tráfico, inspeccionar el contenido de los paquetes de red y el tráfico cifrado, aplicar políticas basadas en identidad y más, lo que permite la aplicación de controles de tráfico más granulares basados en el contexto.

¿Qué capa es NGFW?

Los cortafuegos de próxima generación (NGFW) operan principalmente en la capa 7 (la capa de Aplicación) del modelo OSI. Utilizando una inspección profunda de paquetes y un conocimiento avanzado de las aplicaciones, un NGFW puede identificar aplicaciones y servicios específicos, inspeccionar su contenido y evaluar el contexto para informar la aplicación de políticas. Al ir más allá de la inspección básica de puertos y protocolos de los cortafuegos tradicionales de inspección con estado, los NGFW pueden defenderse de manera más efectiva frente a amenazas sofisticadas que se ocultan en el tráfico legítimo.

¿Dónde se utiliza un NGFW?

Los cortafuegos de próxima generación (NGFW) suelen ubicarse en el perímetro de la red, entre la red interna y los entornos externos como Internet. También se pueden implementar entre segmentos de la red interna para aplicar políticas de seguridad y segmentar recursos confidenciales. Siguen desempeñando un papel en la seguridad del acceso remoto a través de VPN, protegiendo los perímetros de los centros de datos tradicionales y permanecen en las pilas de hardware de las ubicaciones remotas y sucursales de muchas organizaciones, aunque la eficacia de este enfoque es cada vez menor a medida más y más recursos y datos se trasladan a la nube, desdibujando la definición de “perímetro seguro”.