El NGFW (firewall de próxima generación) desempeña un papel fundamental en las arquitecturas de ciberseguridad en todo el mundo. A medida que la defensa de datos y aplicaciones se vuelve más complicada, los productos de seguridad creados para resistir las amenazas en evolución también se vuelven más poderosos. La proliferación de dispositivos de IoT y la moda de trabajar desde casa que comenzó en 2020 han hecho que proteger el perímetro sea más difícil que nunca. Los NGFW están aquí para afrontar el desafío.
Un cortafuegos de próxima generación es una de las partes importantes de la tercera generación de tecnología de cortafuegos que ha evolucionado hasta convertirse en una parte importante de la nueva era llena de numerosos avances digitales. El firewall de próxima generación combina un firewall tradicional y tiene como objetivo filtrar varias funciones a través de IPS (sistema de prevención de intrusiones) y DPI (inspección profunda de paquetes).
En este artículo veremos qué es un firewall de próxima generación, sus características, beneficios y cómo implementarlo. Además, te indicamos los principales proveedores de NGFW.
Indice
¿Qué es un firewall de próxima generación (NGFW)?
Los cortafuegos son herramientas de seguridad utilizadas por la mayoría de las empresas para proteger su negocio de daños y lesiones internos y externos. Principalmente, el NGFW tiene como objetivo filtrar el tráfico de red que finalmente termina protegiendo a una organización de varias amenazas. Sigue varios pasos para medir una amenaza. Estos métodos incluyen funciones de mapeo de IP, soporte VPN, filtrado de paquetes, monitorización de red y más. A través de estos pasos, NGFW reconoce en primer lugar las amenazas potenciales de la red y luego se da cuenta de los ataques de malware, los daños al software y varias otras amenazas externas. Luego, actúa para prevenirlos después.
El firewall de próxima generación es una herramienta que brinda a una organización beneficios como prevención de intrusiones, control de aplicaciones y visibilidad avanzada de su red. Por lo tanto, la función principal de un firewall de próxima generación proporcionado a estas organizaciones es la protección.
Los firewalls de próxima generación (NGFW) son el estándar actual y de tercera generación para la tecnología de firewall. Después de la adopción de la gestión unificada de amenazas (UTM) y los cortafuegos de aplicaciones web (WAF) en la década del 2000, la innovación de los NGFW supuso un gran paso adelante. Estos firewalls avanzados cubren la gama de servicios de firewall tradicionales, pero van más allá al ofrecer sistemas de prevención de intrusiones (IPS), inspección profunda de paquetes (DPI), protección avanzada contra amenazas y tecnologías de control de aplicaciones de capa 7.
Características
Las organizaciones esperan las herramientas y los recursos más actualizados para administrar su infraestructura de seguridad, incluidas las capacidades de NGFW. Al considerar los proveedores y productos de NGFW, busca las siguientes características estándar y avanzadas.
Conocimiento de la aplicación y la identidad
Una diferencia fundamental entre los firewalls tradicionales y los NGFW es la capacidad de estos últimos para ofrecer protección en los niveles de identidad de la aplicación y del usuario. Mientras que los firewalls tradicionales se basaban en puertos de aplicación estándar, los NGFW pueden identificar, permitir, bloquear y limitar aplicaciones independientemente del puerto o protocolo. La capacidad de los NGFW para reconocer la identidad se suma a su control al permitir que los administradores apliquen reglas de firewall de manera más granular a grupos y usuarios específicos.
Gestión, visibilidad y auditoría centralizadas
Para gestionar activamente las defensas de una red, los administradores necesitan un panel accesible y configurable para ver y gestionar sistemas de seguridad como los NGFW. La mayoría de los NGFW contienen análisis de registros, administración de políticas y un panel de administración que ofrecen una forma de rastrear el estado de la seguridad, analizar patrones de tráfico y exportar reglas de firewall para usar en otros lugares.
Inspección estatal
También conocido como filtrado dinámico de paquetes, los firewalls tradicionales usaban la inspección de estado para inspeccionar el tráfico hasta la Capa-4. Los NGFW están diseñados para rastrear las Capas 2-7. Este avance permite que los NGFW realicen las mismas tareas de inspección de estado de un firewall tradicional, distinguiendo entre paquetes seguros e inseguros. La extensión del filtrado dinámico de paquetes a la capa de aplicación es invaluable a medida que los recursos críticos se mueven hacia el borde de la red.
Inspección profunda de paquetes
La inspección profunda de paquetes (DPI) va un paso más allá en la inspección del tráfico desde la inspección de estado. Más específico que la inspección de estado, que monitoriza todo el tráfico y solo los encabezados de los paquetes, DPI inspecciona la parte de datos y el encabezado de los paquetes transmitidos. Ejecutado en la capa de aplicación, DPI puede localizar, categorizar, bloquear o redireccionar paquetes con código problemático o cargas útiles de datos no detectadas en la inspección de estado.
Prevención de intrusiones integrada (IPS)
Los sistemas de prevención de intrusiones (IPS) una vez se ubicaron junto al firewall, jugando como defensores contra nuevas amenazas desde fuera de la red protegida. Mientras que los firewalls tradicionales administraban los flujos de tráfico en función de la información de la red, los dispositivos IPS se encargaban de inspeccionar, alertar e incluso eliminar activamente el malware y los intrusos de la red.
A medida que los productos de ciberseguridad han evolucionado, la tecnología IPS ha sido una valiosa integración en las ofertas de productos de NGFW. Si bien la distinción es cada vez más estrecha, el desafío para los compradores es si la tecnología IPS incluida con su NGFW es lo suficientemente buena como para renunciar a un producto IPS independiente.
Sandboxing de red
Dependiendo de tu selección de NGFW, puedes tener acceso a una caja de arena de red o tener la opción de agregarla por suscripción. El sandboxing de red es un método de protección avanzada contra malware porque permite a los profesionales de TI la oportunidad de enviar un programa potencialmente malicioso a un entorno seguro, aislado y basado en la nube donde se puede probar el malware antes de usarlo en la red.
HTTPS, SSL / TLS y tráfico cifrado
HTTPS es el estándar actual para la comunicación de red a través de Internet, utilizando el protocolo SSL / TLS para cifrar dichas comunicaciones. Como inspector líder del tráfico de red, los NGFW se utilizan ahora para descifrar las comunicaciones SSL y TLS. Para proteger el tráfico cifrado, los NGFW admiten todas las capacidades de descifrado SSL entrantes y salientes. Esta monitorización asegura que la infraestructura pueda identificar y prevenir amenazas arraigadas en flujos de red encriptados.
Inteligencia de amenazas y listas dinámicas
La mayoría de los proveedores de NGFW ofrecen algún tipo de inteligencia sobre amenazas. Cada día surgen nuevas amenazas y esperar que los administradores de firewall estén al tanto y en línea las 24 horas del día puede ser una receta para el desastre. A través de fuentes de inteligencia de amenazas de terceros, los NGFW pueden usar las actualizaciones de una red global sobre las últimas amenazas y fuentes de ataque para bloquear amenazas e implementar cambios de políticas en tiempo real.
Los indicadores de compromiso (IoC) se comparten globalmente, informando al NGFW sobre el tráfico malicioso para eliminarlo o bloquearlo automáticamente, o para revelar eventos que requieren atención. Las amenazas identificadas internamente también se pueden contrarrestar con el uso de listas dinámicas. Con fuentes de inteligencia de amenazas y listas dinámicas en su caja de herramientas, los NGFW hacen que la búsqueda de amenazas más automatizado y menos propenso a errores humanos.
Capacidad de integración
Las organizaciones, pequeñas y grandes, continúan aumentando los servicios de terceros que mejoran los procesos comerciales, incluidas numerosas aplicaciones SaaS y API populares y de misión crítica. A medida que los gerentes de TI buscan nuevos productos para incorporarlos a la infraestructura de su organización, la capacidad del producto para integrar aplicaciones de terceros es imprescindible. La fácil integración significa menos estrés para el personal que navega entre software.
Los ejemplos de integraciones estándar incluyen software SIEM, 2FA, Active Directory y herramientas de generación de informes. Las interfaces de programación de aplicaciones (API) desempeñan un papel crucial en la orquestación y el aprovisionamiento de políticas cuando se utilizan varias aplicaciones de software.
¿Cuáles son los beneficios de un firewall de próxima generación?
En comparación con los firewalls tradicionales, existen innumerables beneficios que debes conocer. En un nivel alto, los NGFW brindan una visibilidad y un control completos de las aplicaciones, pueden distinguir entre aplicaciones peligrosas y seguras y pueden ayudar a evitar que el malware penetre en una red.
Estos son cinco de los aspectos más importantes de cómo un NGFW ayuda a las organizaciones:
Protege la red contra virus y troyanos
El conocimiento de la aplicación de NGFW inspecciona la información del encabezado y la carga útil contra firmas de aplicaciones predefinidas para proporcionar que la aplicación es exactamente lo que dice ser y que ha sido aprobada para su uso. Esta podría ser una característica crítica para cualquier organización que permita a los usuarios de la red descargar aplicaciones de Internet.
Bloquea los desperdicios de productividad conocidos
Con el control de aplicaciones, la empresa obtiene un control granular sobre qué aplicaciones se pueden ejecutar, qué características de una aplicación se pueden usar y qué aplicaciones deben tener prioridad para el ancho de banda (como VOIP).
Las aplicaciones como Facebook, Twitter o YouTube, por ejemplo, pueden bloquearse para usuarios que no las requieren como parte de su función laboral, pero permitirse para departamentos que sí necesitan acceso (como marketing). Otra opción es habilitar las publicaciones en las redes sociales pero deshabilitar la capacidad de chatear.
Identifica los consumidores de ancho de banda y mitiga el riesgo
El conocimiento de la identidad de NGFW utiliza los sistemas de autenticación empresarial existentes, como Active Directory o LDAP. Esta función permite la monitorización del tráfico por usuario o dispositivo, así como la capacidad de controlar el tipo de tráfico que un usuario puede enviar o recibir. Como resultado, las organizaciones pueden identificar a los usuarios que consumen ancho de banda y ayudar a mitigar el riesgo al permitir que solo el tráfico comercial legítimo ingrese o salga de la red.
Simplifica la administración, lo que ayuda a ahorrar dinero
Los sistemas integrados de prevención de intrusiones (IPS) pueden detectar ataques a la red comparando el tráfico con una tabla de amenazas conocidas o mediante métodos de detección basados en anomalías o comportamientos. Antes de los NGFW, los sistemas de prevención de intrusiones debían comprarse por separado junto con un firewall tradicional, por lo que esta integración en un dispositivo es una solución ideal.
Ahorro de tiempo y recursos
Los NGFW permiten a las organizaciones acceder a fuentes de seguridad externas, incluidas políticas basadas en directorios, listas de permisos y listas de bloqueo. No es necesario reinventar la rueda cuando hay todo un mundo de información disponible.
¿Por qué invertir en un firewall de próxima generación?
Las organizaciones reciben varios beneficios al usar firewalls de próxima generación. La mayor importancia de utilizar un cortafuegos de nueva generación es la protección incomparable que proporciona. Las amenazas se están volviendo bastante frecuentes con cada día que pasa, y ninguna de las redes personales y profesionales está a salvo de ataques externos. Por lo tanto, es de suma importancia para cada organización tener firewalls de próxima generación en su sistema para protegerlos de todo tipo de ataques.
No solo protege los dispositivos de un espectro más amplio de intrusiones, sino que también está disponible a tarifas razonables. Ayuda a las redes con prevención de brechas, protección avanzada. También les proporciona un enorme nivel de visibilidad de red integral junto con varias opciones de implementación y administración flexibles.
Las funciones de firewall de próxima generación tienden a detectar amenazas potenciales en unos pocos segundos, a diferencia de los otros medios, que tardan alrededor de doscientos días en detectar amenazas de red externas. La protección que proporciona el NGFW es, por lo tanto, más avanzada, y ninguna organización puede funcionar correctamente sin ellos, en estos días.
Los cortafuegos tradicionales solo pueden filtrar el tráfico que entra y sale de la red en función del número de puerto, la dirección IP o el dominio utilizando una metodología de «todos o ninguno». En una época en la que la mayoría de los ataques tenían como objetivo los componentes y servicios de red, la seguridad proporcionada por un firewall tradicional alguna vez fue lo suficientemente buena. Sin embargo, la mayoría de los exploits ahora se dirigen hacia una debilidad específica de la aplicación.
Con el tiempo, surgió una complicación porque muchas aplicaciones usan el mismo número de puerto: más comúnmente el puerto HTTP 80. Dado que la mayoría de las organizaciones necesitan la capacidad de distinguir qué aplicaciones permitir en su red o bloquear en función del número de puerto no es suficiente. Un cortafuegos de próxima generación aborda las muchas debilidades de los cortafuegos tradicionales y proporciona un control más granular sobre la seguridad de la red.
¿Cómo implementarlo?
Si bien los NGFW son instrumentos críticos de ciberseguridad, por sí solos no son una solución para todo. Las organizaciones suelen considerar implementar un NGFW cuando reemplazan un firewall, IDPS, ambos, o incluso para agregar más control y visibilidad. Dado que los proveedores de firewall están felices de mantener su negocio, la mayoría de los proveedores ofrecen orientación técnica para reemplazar dispositivos heredados y optimizar el proceso de implementación.
De manera similar a la implementación de una ZTNA, los NGFW deben posicionarse estratégicamente en función de la postura de seguridad de la organización y los activos más valiosos. Con visibilidad de cómo el tráfico de la red interactúa con los recursos críticos, los NGFW ya no son solo para el perímetro de la red. La colocación de NGFW en los límites de los segmentos internos está ganando impulso y es un método popular para implementar la microsegmentación.
Dependiendo del proveedor de NGFW, el entorno de la organización y las necesidades de seguridad, la instalación de un NGFW se puede completar con unos pocos clics. Una vez activado para un grupo de la red de la organización, comienza la diversión de administrar la seguridad específica para el tráfico de ese segmento. Ser capaz de administrar uno o varios NGFW con diferentes configuraciones desde un solo tablero ha facilitado enormemente la tarea de hacer cumplir las políticas de tráfico entre redes.
¿Cómo implementan los firewalls de próxima generación el control de usuarios?
Como mínimo, una regla de política de seguridad de un firewall de red dice que una conexión desde esta fuente a este destino está permitida o denegada. El origen y el destino se definen tradicionalmente como una dirección IP asignada a una computadora portátil o es una dirección de red más grande que incluye múltiples usuarios y servidores. Esta definición de política de dirección estática es difícil de leer para los humanos, pero tampoco funciona bien para establecer una política de seguridad para usuarios que tienen diferentes direcciones IP mientras se desplazan por la empresa y cuando trabajan fuera del sitio.
Los proveedores de firewall de red de próxima generación resuelven este problema mediante la integración con directorios de usuarios de terceros, como Microsoft Active Directory. La política dinámica basada en identidad proporciona visibilidad y control granulares de usuarios, grupos y máquinas y es más fácil de administrar que la política estática basada en IP. En una única consola unificada, los administradores definen los objetos una vez. Cuando los firewalls de red ven una conexión por primera vez, la IP se asigna al usuario y al grupo consultando el directorio de usuarios de terceros. Este mapeo dinámico de usuario a IP libera a los administradores de actualizar constantemente la política de seguridad.
¿Cómo aplican los NGFW la prevención de amenazas?
Las capacidades de prevención de amenazas son una extensión natural de las capacidades de inspección profunda de paquetes de los firewalls de próxima generación. A medida que el tráfico pasa a través del dispositivo de firewall de la red, también inspeccionan el tráfico en busca de exploits conocidos de vulnerabilidades existentes (IPS). Los archivos se pueden enviar fuera del dispositivo para emularlos en una caja de arena virtual para detectar comportamientos maliciosos (seguridad de la caja de arena).
Tendencias NGFW
En 2020, el mercado de firewalls de próxima generación se valoró en $ 2.8 mil millones. Para 2026, se espera que la industria duplique su tamaño con un valor esperado de $ 5,52 mil millones. La explosión de dispositivos conectados a Internet, tanto para el consumidor como para la empresa, significa que los proveedores, las organizaciones y las personas requieren una seguridad más sólida.
Las funciones de NGFW, desde la supervisión avanzada del tráfico hasta el control granular de políticas, proporcionan la visibilidad necesaria del tráfico de la red.
Para las pymes y las organizaciones empresariales que desarrollan una infraestructura construida principalmente en la nube, los NGFW continúan adaptándose a esta demanda ofreciendo firewalls como servicio (FWaaS) y soporte en la nube. FWaaS ofrece muchas de las mismas funciones de NGFW en un entorno escalable e intuitivo.
Las funciones estándar de NGFW, como el control de aplicaciones y usuarios, la prevención de intrusiones, la inspección profunda de paquetes, el espacio aislado y la inteligencia de amenazas se están ampliando o integrando cada vez más con tecnologías más nuevas centradas en el borde, como la confianza cero, la seguridad SD-WAN, la microsegmentación, SASE, XDR y 5G. Así como los NGFW han acumulado características que alguna vez fueron productos independientes, el poder de los NGFW podría integrarse en los marcos de ciberseguridad de próxima generación.
Principales proveedores
Aquí tienes nuestra selección de los principales proveedores de firewall de próxima generación.
CrowdStrike
Junto con un conjunto de productos de seguridad líder en la industria, la sencilla solución de administración de firewall de Crowdstrike ha sido muy apreciada por los usuarios desde su lanzamiento a finales de 2019. No se requiere una implementación de firewall personalizada, y la solución tiene un precio de suscripción por punto final.
Palo Alto Networks
Palo Alto Networks se ubicó en la cima tanto del Cuadrante Mágico de Gartner como de Forrester Wave y también obtuvo una buena puntuación en nuestra evaluación. Si estás buscando la máxima seguridad y rendimiento, los NGFW de Palo Alto deberían estar en tu lista de evaluación. Nos ha impresionado el nivel de seguridad proporcionado por Palo Alto y los NGFW no son una excepción.
Fortinet
Fortinet es otro de los favoritos de firewall perenne. Sus NGFW obtuvieron un puntaje superior al promedio en las pruebas de NSS Labs, mientras que su TCO por Mbps protegido estuvo cerca de la cima. En resumen, buena seguridad y rendimiento a un buen precio. Fortinet también ha publicado sólidos resultados de pruebas en puertas de enlace de centros de datos, prevención de intrusiones, prevención de violaciones y SD-WAN, por lo que sería difícil encontrar un proveedor de ciberseguridad más dispuesto a dejar que sus productos se sometan a pruebas rigurosas.
Forcepoint
Forcepoint ofrece la mejor seguridad, con una puntuación alta tanto en eficacia de seguridad como en TCO en las pruebas de NSS Labs. El análisis de comportamiento, SD-WAN, SASE, soporte en la nube, administración y FWaaS son fortalezas. La nube y las oficinas distribuidas son dos casos de uso particularmente buenos. Los usuarios informan sobre desafíos de integración y les gustaría ver informes más sólidos, pero la combinación de seguridad y valor de Forcepoint debería darle una mayor consideración.
Cisco
La mayor fortaleza de Cisco puede ser la amplitud de sus ofertas. Sus capacidades de confianza cero, microsegmentación y SD-WAN lo han convertido en el líder temprano en el mercado emergente de confianza cero. Además de sus firewalls Firepower y Meraki, Cisco también ofrece una integración impresionante con sus productos de seguridad para terminales, nube, redes y aplicaciones.
WatchGuard
WatchGuard comparte una distinción con Palo Alto Networks: fueron los únicos dos proveedores que no observaron evasiones de los 11 firewalls probados en las pruebas NGFW 2019 de NSS Labs. Este proveedor ocupó el cuarto lugar en TCO por Mbps protegido, lo que los coloca justo detrás de Forcepoint para la mejor combinación de seguridad y valor.
Juniper Networks
Comparte con Huawei el premio Most Popular: sus usuarios se entusiasman con ellos. Juniper se ha fortalecido en el mercado de la seguridad con funciones avanzadas como la detección basada en aprendizaje automático. Las funciones de nube y de confianza cero podrían necesitar más desarrollo, pero los clientes de redes de Juniper en particular deberían darle a los firewalls SRX de la compañía una mirada seria, y la compañía tiene capacidades sólidas para casi todos los casos de uso empresarial.
Huawei
Huawei obtuvo el puntaje más alto en TCO en las pruebas NSS de 2019, lo que hace que los firewalls de la compañía sean un valor atractivo para los clientes de Huawei en particular y los centros de datos en general. Las características similares a CASB lo hacen bueno para los casos de uso de SaaS, y la detección basada en aprendizaje automático, SD-WAN y la adopción temprana de 5G son otras fortalezas. A los usuarios les encanta todo sobre las puertas de enlace de seguridad unificadas (USG) de la empresa: valor, implementación, capacidades e incluso soporte.