¿Qué son los firewalls de próxima generación?

0
1353

Cómo les afecta la nube y la complejidad

Los firewalls tradicionales rastrean los dominios de los que proviene el tráfico y los puertos a los que va. Los firewalls de próxima generación van más allá: también supervisan el contenido de los mensajes en busca de malware y la filtración de datos, y pueden reaccionar en tiempo real para detener las amenazas. Las iteraciones más recientes hacen aún más, agregando análisis de comportamiento, seguridad de aplicaciones, detección de malware de día cero, soporte para entornos híbridos y de nube, e incluso protección de punto final.

Eso es mucha funcionalidad en un solo lugar. La idea era que al poner todo en un solo lugar, la tarea de gestión se simplificaría. Algunos proveedores de firewall (y proveedores externos) están empezando a abordar el problema de gestión al ofrecer seguridad basada en la intención, lo que permite a los usuarios establecer políticas consistentes para la gestión y la configuración, así como las políticas relacionadas con el cumplimiento.

De acuerdo con Gartner, para el año 2020, los firewalls de próxima generación alcanzarán casi el 100% de los puntos de presencia en Internet. La mayoría de las organizaciones, sin embargo, usarán solo una o dos de las características nextgen.

Cómo está cambiando el mercado de fireawall de próxima generación
Los firewalls de nueva generación han existido por diez años, pero el mercado aún está creciendo. Según NSS Labs, más del 80% de las empresas actualmente cuentan con firewalls nextgen. «Sigue siendo el control de seguridad número uno para las empresas de hoy en día», señala Mike Spanbauer, vicepresidente de estrategia e investigación de NSS Labs.

Sin embargo, ninguno de los firewalls nextgen evaluados por NSS Labs en la ronda de pruebas de seguridad demostraron una resistencia total contra las variables de los ataques, aunque seis de diez obtuvieron más del 90%. Eso deja un margen considerable de mejora.

Recomendaciones de NSS Labs para firewalls de próxima generación
De acuerdo con la última prueba comparativa de seguridad de firewall realizada por NSS Labs, los siguientes proveedores recibieron las mejores calificaciones por la eficacia de seguridad de sus firewalls de próxima generación:

  • Barracuda Networks CloudGen Firewall F800.CCE v7.2.0
  • Dispositivo Forcepoint NGFW 2105 v6.3.3 compilación 19153 (Paquete de actualización: 1056)
  • Fortinet FortiGate 500E V5.6.3GA compilación 7858
  • Palo Alto Networks PA-5220 PAN-OS 8.1.1
  • SonicWall NSa 2650 SonicOS Enhanced 6.5.0.10-73n
  • Versa Networks FlexVNF 16.1R1-S6

De acuerdo con Markets & Markets, se estima que el mercado de firewall nextgen crecerá de 2,39 mil millones de dólares en el 2017 a 4,27 mil millones de dólares en el 2022 a una compleja tasa de crecimiento anual del 12,3%. La razón es que tanto el panorama de amenazas como el perímetro corporativo han cambiado drásticamente en los últimos años.

Según Gartner, el ciclo de vida típico del firewall es de tres a cinco años. En el 2011 y 2012, hubo un repunte en las compras de firewalls de nueva generación, según el analista de Gartner Adam Hils: una «cantidad significativa» de esos firewalls debería ser reemplazada en los próximos 12 meses, ya que ya no cumplirán con los requisitos de hoy sobre rendimiento y descifrado de las comunicaciones salientes de Transport Layer Security (TLS). Las empresas actuales también tienen más probabilidades de usar infraestructura en la nube o híbrida, y tienen usuarios que se conectan a través de aplicaciones web y dispositivos móviles.

Los firewalls de próxima generación intentan adaptarse a la nube
Hasta ahora, los proveedores de firewall de próxima generación no han podido traducir completamente sus características a las necesidades de los entornos en la nube, señala Spanbauer de NSS Labs. «Esta es una hazaña de ingeniería significativa, y todavía no estamos allí con una réplica perfecta, virtualizada o física».

Sin embargo, están aprovechando otras capacidades que ofrece la nube, incluido el intercambio en tiempo real de datos de inteligencia de amenazas. «Si es el paciente cero, entonces es un escenario increíblemente difícil para bloquear», anota. «Sin embargo, si le da uno o dos minutos, el paciente 10 o 15 a 20, con actualizaciones en tiempo real, pueden ser protegidos en virtud de las capacidades de nube del firewall».

¿Los firewalls de próxima generación ofrecen seguridad de punto final?
También existe la posibilidad de que los firewalls nextgen se expandan en el espacio de seguridad del endpoint. «Si se fusionaran, sería mucho más fácil de administrar para las empresas», anota Spanbauer. «Pero eso no va a suceder».

La protección perimetral y la protección del punto final seguirán siendo distintas en el futuro previsible, pero los dos conjuntos de tecnologías podrían beneficiarse mutuamente, añade. «Entonces, la información que ve el punto final ayuda a que el firewall funcione mejor».

Según el proveedor de firewall, Check Point Software Technologies, la próxima evolución de la seguridad empresarial -combinando toda la funcionalidad de los firewalls nextgen actuales con protección en la nube, móvil y punto final- ya no será un firewall, sino una nueva categoría.

La opinión de Check Point sobre esto es la arquitectura Infinity de Check Point, señala Darrell Burkey, director de productos de IPS de la compañía. «Es un nuevo tipo de producto», agrega. «No veo esto como un firewall de próxima generación. Es más saludable ver toda la infraestructura y abordarla desde la perspectiva de todas las diferentes topologías como un sistema unificado y elástico».

Un firewall no es suficiente para garantizar la seguridad empresarial completa, afirma. «No puede proporcionar una protección completa, por lo que se está convirtiendo en una capa, o un componente, de una solución de amenaza avanzada».

Las soluciones de amenazas avanzadas, también conocidas como protección avanzada contra amenazas, pueden incluir pasarelas de inteligencia de amenazas que las apuntan automáticamente y las bloquean en el perímetro, servicios DNS seguros, microsegmentación y controles inteligentes de aplicaciones, según el analista de Enterprise Strategy Group, Jon Oltsik.

Complejidad creciente para la gestión y cumplimiento del firewall de próxima generación
De acuerdo con el informe sobre el estado de firewall de FireMon, los profesionales de seguridad encuestados dicen que la complejidad de las reglas y políticas de firewall fueron su mayor desafío, con el cumplimiento de políticas y la preparación para auditorías en segundo lugar, y la optimización de las reglas de firewall en un tercer lugar. Además, la mayoría de las empresas encuestadas tenían más de 10 firewalls en su entorno, y el 26% informó que tenían más de 100 firewalls.

Cómo limpiar la base de reglas de firewall y minimizar el riesgo
Elimine los errores técnicos: Los errores técnicos en las políticas de firewall son reglas mejor descritas como ineficaces o incorrectas, o aquellas identificadas que no cumplen un propósito comercial (por ejemplo, reglas ocultas, escondidas, redundantes y superpuestas).

Elimine el acceso no utilizado: Puede haber algunas reglas dentro de su base que sean compatibles y proporcionen (o bloqueen) el acceso correcto, pero simplemente no se están utilizando. La mejor forma de determinar el uso de reglas es relacionar el comportamiento activo de las políticas con el patrón de tráfico de la red durante un período prolongado.

Refina reglas excesivamente permisivas: A menudo son el resultado de requisitos empresariales mal definidos junto con plazos ajustados, estas son reglas que proporcionan un mayor acceso que el necesario para satisfacer las necesidades del negocio; por ejemplo, cualquier regla que incluya el uso de la palabra «alguna».

Monitoree continuamente las políticas: Se trata de mantenimiento. Vigile continuamente sus políticas para evitar volver a crear el desastre del firewall que acaba de organizar y para mantener una mejor postura de seguridad y cumplimiento.

Cualquier norma y política que las empresas establezcan para sus firewalls normalmente se reflejarán en otros productos de seguridad que tengan en su entorno. «La red promedio tiene soluciones de 80 a 90 puntos que los ayudan a proteger a nivel de escritorio, nivel de servidor y nivel de red», señala Tim Woods, VP de alianzas tecnológicas en FireMon.

Las iteraciones más recientes de firewalls pueden consolidar algunas de esas soluciones puntuales, lo que ayuda a detener la marea, hasta cierto punto, pero siguen apareciendo nuevas amenazas y los entornos empresariales continúan evolucionando, por lo que nunca se detiene. Mientras tanto, algunas de las nuevas áreas en riesgo, como algunos entornos de nube o aplicaciones SaaS, ni siquiera están bajo el control de los equipos de seguridad, pero son administradas por otros departamentos.

De hecho, el problema de la complejidad es cada vez más severo, añade Woods. «A medida que la complejidad continúa creciendo en el entorno, la probabilidad de error también continúa creciendo: errores humanos, errores de configuración, problemas comienzan a evolucionar y maduran dentro de la infraestructura a medida que la complejidad tiende a crecer».

Se supone que la gestión de la seguridad por intención, donde se generan las reglas específicas del firewall y las configuraciones de seguridad basadas en principios generales, aborda el problema, pero la tecnología aún no está allí. «Aún no he encontrado una empresa que confíe en decir que su política de seguridad es un reflejo real de sus implementaciones de seguridad», comenta Woods.

En el futuro, dice, las empresas podrán definir su intención de seguridad, y un motor de cálculo de políticas creará automáticamente las reglas de firewall requeridas. «Podría estar en el centro de datos, en un firewall tradicional, en un firewall virtual en la nube, en un control nativo o en un contenedor», añade. «Pero vamos a ver lo que dice nuestra intención de seguridad, y cómo aplicamos técnicamente nuestra política de seguridad de forma automática, utilizando inteligencia contextual, sin intervención humana. Queremos eliminar estos procesos tradicionales que han creado una brecha entre la velocidad de negocios y la velocidad de la aplicación de la seguridad».

Afortunadamente, los proveedores de seguridad se están moviendo para abrir APIs que permitan intercambiar información y actuar desde una ubicación central. «Todos los principales proveedores de firewall de próxima generación están proporcionando ese tejido de APIs», señala Woods. «Para un producto de administración centralizado como FireMon, eso es una gran noticia».

Los proveedores de firewall individual también están entrando en el espacio de administración de políticas y cumplimiento, anota Woods, pero los proveedores generalmente se enfocan solo en administrar sus propios productos, no los de los otros proveedores en el espacio.

El producto Check Point Compliance Blade, por ejemplo, solo funciona con productos Check Point, dice la compañía. «Los proveedores se centran en sus propios productos, no en la totalidad de los productos implementados en la infraestructura de la empresa», anota Woods. «No creo que esto vaya a cambiar. No es un golpe en contra de ellos, están tratando de hacer el mejor trabajo posible».

Maria Korolov, CSOonline.com