Llegamos a ustedes gracias a:



Reportajes y análisis

Qué debe considerarse al implementar un firewall de siguiente generación

[22/12/2017] Los firewalls se han generalizado en todas las empresas durante la última década, pero la combinación de nuevos y variados métodos de acceso, combinados con ataques cada vez más sofisticados, han forzado a los operadores de redes y a los profesionales de seguridad a evaluar constantemente sus defensas.

Normalmente, los firewalls tienen un ciclo de actualización de cinco años, según el investigador de Gartner, Adam Hils, y eso da a las organizaciones la oportunidad de evaluar regularmente qué tipo de firewalls y qué características se adaptan mejor a sus necesidades.

Entonces, cuando se implementa un firewall de siguiente generación, ¿cuáles son los principales factores a considerar? Las opciones como la capacidad de rendimiento, los criterios de despliegue y las implementaciones de configuración son todas importantes.

Firewalls de siguiente generación versus firewalls tradicionales

Quizás la primera pregunta es, ¿por qué necesita un firewall de siguiente generación (NGFW, por sus siglas en inglés) en lugar de una versión de generación anterior probablemente menos costosa? Los firewalls con estado tradicionales y basados en puertos se consideran "hipermétropes, según un documento técnico de Palo Alto Networks. "Pueden ver la forma general de las cosas, pero no los detalles más finos de lo que realmente está sucediendo. Los NGFW están repletos de características y funcionalidades nuevas que les permiten inspeccionar el tráfico a un nivel mucho más detallado. Algunas características incluyen:

* Sistemas de prevención de intrusión (IPS): Estos sistemas inspeccionan las firmas de los paquetes de red y utilizan funciones avanzadas de detección de anomalías para no solo identificar, sino también bloquear las amenazas.

* Inspección profunda de paquetes (DPI): Esta tecnología va más allá de la inspección de los encabezados de los paquetes, busca y bloquea las amenazas conocidas dentro de los paquetes de tráfico a medida que pasan por un "punto de inspección dentro del NGFW.

* Inspección SSL: Esta tecnología inspecciona el tráfico cifrado para detener amenazas conocidas, incluso si están cifradas.

Muchas de las características de un NGFW se pueden comprar como unidades independientes, como IPS, DPI e inspecciones SSL. Un NGFW integra estas capacidades en un solo sistema.

Desarrolle una estrategia de seguridad

Al consultar con los proveedores sobre una implementación de NGFW, una de las primeras conversaciones girará en torno a la posición de seguridad de la organización. No existe una cantidad de tecnología que pueda reemplazar el trabajo crítico de evaluar un entorno y priorizar la protección de los activos más importantes para el negocio. Esta es una conversación que puede involucrar a múltiples áreas, desde TI hasta redes y servicios de seguridad, así como a RR.HH. y el liderazgo ejecutivo.

"Básicamente, las organizaciones necesitan descifrar, si todavía no lo han hecho, dónde están las joyas de sus datos y elaborar un plan para protegerlas, afirma Hils, investigador de Gartner. Las organizaciones suelen reunir estos requisitos y acercarse a varios proveedores para obtener una cotización.

La mayoría de los firewalls todavía se implementan en el perímetro del centro de datos, pero dependiendo de si los clientes han adoptado la microsegmentación y la virtualización de la red, también podrían implementarse firewalls dentro del centro de datos.

En los últimos años, los proveedores de firewall han permitido a los clientes optar por compartir qué amenazas están siendo bloqueadas; en esencia, protecciones de seguridad de fuentes múltiples. El software de firewall se puede actualizar desde el proveedor en intervalos regulares para garantizar que cuenta con protecciones actualizadas contra las últimas amenazas y vulnerabilidades.

Selección del proveedor

Una vez que haya convencido a las personas sobre la idea de un NGFW y tenga una noción de los requisitos de seguridad, el próximo paso es evaluar el saturado mercado de proveedores que ofrecen NGFW. El último Cuadrante Mágico de Gartner ha colocado en su lista a Palo Alto Networks, Fortinet y Check Point como los tres proveedores líderes en el mercado de firewalls de siguiente generación. Gartner señala a Cisco, con su línea de productos Firepower NGFW, y Huawei como las retadoras en el mercado.

Completando el mercado se encuentran empresas como Forcepoint, que es una proveedora mediana especializada en seguridad, que ofrece no solo un NGFW, sino también plataformas de seguridad web y de correo electrónico. Sophos, Juniper Networks, Barracuda Networks, WatchGuard, Sangfor, Hillstone, SonicWall, AhnLab, Stormshield y el nuevo H3C Group compiten también en el mercado de NGFW.

Análisis de costos de firewalls

Al comprar un firewall, el gasto de capital inicial de su hardware no es el único gasto a considerar. Los firewalls ejecutan sistemas de software complejos que se incluyen con el hardware. La mayoría de las instalaciones de firewalls empresariales requieren de múltiples piezas de hardware y un sistema de administración central para controlarlas. Estos sistemas pueden constituirse únicamente de software o de una combinación de hardware y software. Otros gastos incluyen instalación, mantenimiento continuo, soporte y actualizaciones.

NSS Labs, que ejecuta pruebas en equipos de infraestructura, afirma que puede ser difícil comparar equitativamente los productos de firewall, porque los proveedores ofrecen diferentes niveles de rendimiento de red. El precio de compra inicial de un sistema que incluye cinco firewalls y un sistema de administración central varió de 30 mil a 715 mil dólares, con un promedio de 200 mil dólares.

Medición del rendimiento

NSS también advierte que puede haber una diferencia entre el rendimiento máximo anunciado por los proveedores y el rendimiento evaluado en la vida real. NSS descubrió que, en el caso de algunos proveedores, el rendimiento probado de los firewalls podría ser hasta un 80% inferior al publicitado, por lo que recomienda probar los sistemas en sus ambientes antes de realizar la compra.

Una de las principales decisiones que se deben tomar al implementar un firewall es qué tan grande debería ser la caja de hardware que se necesita. El rendimiento de la conexión de red es el principal factor que influye en esta decisión. La configuración de la red influye en la capacidad de procesamiento que debe tener el firewall. Ryan Choate, de la Oficina de Educación del Condado de Alameda, recientemente actualizó una versión 5050 del firewall de Palo Alto, que tiene velocidades de procesamiento de hasta 20 Gbps, hacia una versión 7080, que admite hasta 200 Gbps de rendimiento.

¿A qué se debe dicho aumento? Antes del nuevo sistema, cada uno de los distritos escolares en el condado, que suman más de una docena, administraba sus propias conexiones de red y firewalls. Después de un rediseño, la oficina de educación se convirtió en un recurso central agrupado para todo el condado. Ahora, todo el tráfico entrante y saliente viaja a través del firewall de la oficina central de educación. El controlador de firewall, una pieza de software que administra de forma centralizada la implementación del hardware de firewall, permite la aplicación de políticas detalladas dependiendo de los usuarios o sitios específicos dentro de la red. El firewall no solo aprende qué amenazas se han bloqueado, sino también cuáles son las últimas vulnerabilidades por medio de las actualizaciones constantes que este recibe.

"Hay una gran cantidad de amenazas y riesgos, y uno de los valores, no solo de un sistema de filtración de contenido, sino de un firewall completo, es que vemos todas esas amenazas por día, por hora e incluso por minuto, afirma Choate. "No nos estamos escondiendo, somos una entidad pública y somos un blanco bastante grande. Mi conciencia no estaría tranquila si dejara de ejecutar un firewall en el ambiente.