[26/01/2022] Los firewalls de las empresas han sido el dispositivo de seguridad por excelencia durante décadas, montando guardia en el perímetro, inspeccionando todo el tráfico entrante y saliente en busca de malware. Entonces, ¿qué ocurre con los firewalls cuando el perímetro desaparece? Evolucionan.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los firewalls actuales son una pieza esencial del rompecabezas de la seguridad empresarial. Se han convertido en el dispositivo fundamental sobre el que los proveedores de seguridad han apilado todas sus funciones avanzadas. Los firewalls de nueva generación basados en la nube (firewalls como servicio) son un componente esencial de cualquier despliegue de servicios de acceso seguro (SASE). El acceso remoto VPN para los empleados que trabajan desde casa suele terminar en un firewall. Y los firewalls desempeñan un papel clave en el acceso a la red de confianza cero (ZTNA, por sus siglas en inglés), ya que son el dispositivo que aplica las políticas de control de acceso y las reglas de segmentación de la red.
Preguntas clave
Los ejecutivos de la red que deseen actualizar sus firewalls deberían plantearse estas preguntas.
- ¿Cuál es el nivel de funcionalidad básica del firewall en términos de rendimiento, características, automatización y gestión?
- ¿En qué medida las capacidades y factores de forma del firewall se ajustan a los casos de uso de la empresa? ¿Existen opciones de hardware, software, virtualizadas y de firewalls como servicio (FWaaS, por sus siglas en inglés) para acomodar el tráfico de IoT, los entornos multicloud y el tráfico interno (este-oeste) generado por aplicaciones virtualizadas o en contenedores?
- ¿En qué medida la plataforma del proveedor se integra en las operaciones más amplias de seguridad, TI y OT de la organización?
- ¿Cuál es la hoja de ruta del proveedor para SASE, la confianza cero y el movimiento inexorable de la funcionalidad de seguridad a la nube?
El panorama de los proveedores permanece relativamente estático
Según las últimas cifras del Grupo Dell'Oro, el mercado de firewalls creció un saludable 14% en el tercer trimestre del 2021, ya que las empresas se pusieron al día con sus ciclos de actualización tras el 2020, un año en el que las ventas de firewalls se retrasaron porque la atención se desvió a la pandemia.
El líder de la cuota de mercado es Palo Alto Networks, seguido por Cisco en segundo lugar y Fortinet en tercero, según Mauricio Sánchez, director de investigación de Dell'Oro Group. Sin divulgar las cifras exactas, Dell'Oro sitúa la cuota de mercado de Palo Alto por encima del 20%, con Cisco y Fortinet en dos dígitos, y todos los demás en un solo dígito.
Un reciente informe de Forrester sobre firewalls para empresas, que evaluaba a los proveedores según 20 criterios, situaba a Cisco y Palo Alto Networks en la categoría de líderes, mientras que Check Point, Fortinet, Juniper, Forcepoint, Sophos y Huawei figuraban como "buenos resultados".
El último Cuadrante Mágico de Gartner sobre firewalls identifica a los líderes como Palo Alto, Fortinet y Check Point, mientras que Versa y Barracuda se describen como visionarios.
Sánchez señala que el mercado de los firewalls para empresas está muy maduro, y que los actores tradicionales siguen dominando sin una competencia apreciable de los tipos de recién llegados disruptivos que se ven en otros mercados.
Al mismo tiempo, los proveedores no están de brazos cruzados. Los propios firewalls siguen evolucionando para hacer frente a los nuevos retos de seguridad, y desempeñarán un papel vital en la seguridad de las empresas durante muchos años.
Rendimiento
Los firewalls deben tener la capacidad de realizar una inspección profunda de paquetes en línea sin convertirse en un cuello de botella que degrade el rendimiento de las aplicaciones, por lo que el rendimiento es una medida importante.
Los proveedores afirman tener los firewalls más rápidos o la mejor relación precio/rendimiento, pero es muy importante realizar su propio proyecto de prueba o piloto que conecte el firewall a una red de producción para ver cómo gestiona su tráfico real. Una cosa que no quiere en su organización es que los profesionales de TI, bajo la presión de mantener el rendimiento de la red, desactiven las funciones de seguridad clave del firewall para reducir el retraso que puedan causar.
Por lo tanto, asegúrese de poner a prueba el firewall que está considerando. Póngalo en marcha con sus aplicaciones que consumen más ancho de banda, con el cifrado activado, con diferentes tamaños de paquetes, protocolos y tipos de tráfico. Active una a una las funciones adicionales y mida el impacto en el rendimiento. Las métricas clave incluyen: el rendimiento de la aplicación, el número de conexiones por segundo, el número máximo de sesiones para el tráfico IPv4 e IPv6 y el rendimiento de SSL/TLS.
Características básicas y factores de forma
Los firewalls actuales están repletos de funciones adicionales que pueden incluir inteligencia de amenazas, control de aplicaciones, IDS, IPS, antivirus, antimalware, sandboxing, filtrado de URL, inspección de tráfico SSL y muchas otras.
Si ya se dispone de productos puntuales que realizan algunas de estas funciones, hay que decidir si se desconecta, por ejemplo, la herramienta IPS o antivirus de siempre, y se consolidan estas funciones en un solo dispositivo.
Las ventajas de la agrupación son la facilidad de uso, la reducción de la complejidad y la gestión consolidada que conlleva el enfoque de un único proveedor. Las desventajas son que es posible que no se obtenga el mejor rendimiento y que se dependa de que el proveedor del firewall tenga los recursos y la tecnología para seguir actualizando todas estas funciones con el tiempo.
Otra consideración clave es lo bien que se integra el firewall con la SD-WAN, que se está convirtiendo en una opción muy popular para enviar el tráfico de una sucursal directamente a la nube, en lugar de hacer un backhaul a un centro de datos centralizado. La tendencia es que las empresas sustituyan los routers y los firewalls de las sucursales por un único dispositivo SD-WAN que incorpore funciones de seguridad y enrutamiento.
La mayoría de los proveedores de firewalls han adquirido empresas de SD-WAN para ofrecer ese dispositivo único para las sucursales, pero los clientes deben presionarles sobre el nivel de integración entre la funcionalidad del firewall y la optimización de la WAN.
Los factores de forma -hardware, software, virtual- también son una consideración clave debido a la complejidad y variedad de casos de uso. Se necesitan firewalls resistentes que puedan manejar las cargas de trabajo de alta capacidad de un centro de datos; firewalls más ligeros que puedan desplegarse en el borde y en las sucursales; y firewalls resistentes para entornos difíciles, si es el caso. Los firewalls virtualizados (también llamados firewalls de nube) entran en juego en entornos de nube pública y privada, redes definidas por software (SDN) o SD-WAN.
Características avanzadas
También hay varias características avanzadas por las que los posibles compradores deberían preguntar:
IA/ML: Los proveedores están empezando a promocionar el uso de la IA y el aprendizaje automático en sus firewalls para detectar ataques de día cero, para inspeccionar de forma más eficiente las enormes cantidades de tráfico que pueden generar los dispositivos IoT, para automatizar mejor la funcionalidad del firewall, y para analizar el tráfico de la red con el fin de ofrecer recomendaciones procesables para cosas como mejoras en las políticas de control de acceso.
Seguridad de los puntos finales: Los firewalls inspeccionan el tráfico que se origina en los dispositivos de punto final cuando ese tráfico llega a la red, pero ¿qué pasa con la protección de los dispositivos de punto final contra los ataques en primer lugar? Los clientes deben preguntar si el proveedor de firewalls tiene una historia de seguridad de puntos finales, ya sea con su propio equipo o a través de asociaciones con las principales empresas de protección de puntos finales.
Contenedores: Si su organización tiene aplicaciones en contenedores que se ejecutan en la nube o tiene planes para desplegar contenedores, asegúrese de preguntar al proveedor si sus firewalls tienen una opción virtualizada o FWaaS que cubra las aplicaciones en contenedores.
Gestión
Los días en los que se establecían las reglas del firewall y se olvidaban, ya han pasado. Los profesionales de la seguridad y las redes de hoy en día necesitan firewalls que puedan desplegarse, configurarse, supervisarse y gestionarse mediante un único panel de control basado en la nube, independientemente de dónde se desplieguen: en las instalaciones, en la nube o en el borde.
La funcionalidad de gestión debe permitir al personal de TI mantener las reglas y las políticas actualizadas, cambiar las configuraciones sobre la marcha y tener una visibilidad que se extienda a todas partes, incluidas las aplicaciones basadas en SaaS, los dispositivos de IoT, e incluso los entornos de OT en los que cosas como el acceso a edificios a través de la autenticación de dos factores o la biometría se están convirtiendo en parte de la infraestructura de seguridad general.
La automatización desempeña un papel fundamental en la gestión de los firewalls. Los posibles compradores deben preguntar por el nivel de automatización de las distintas tareas y procesos. Entre ellos, la automatización de los flujos de trabajo rutinarios, los procesos de gestión de cambios y las actualizaciones, que a menudo dan lugar a errores de configuración cuando se realizan manualmente. Los entornos empresariales son extremadamente fluidos, por lo que un sistema de gestión eficaz debe adoptar la automatización para desplegar dinámicamente los cambios de política en toda la red.
Además, el sistema de gestión debe supervisar la red para asegurarse de que se aplican las políticas. Por ejemplo, en un escenario de fabricación, el personal de OT podría mover físicamente una máquina y sus sensores de IoT de una ubicación a otra. El sistema de gestión debe ser capaz de reconocer que el dispositivo IoT está ahora en un segmento de red diferente, y debe ser capaz de asegurarse automáticamente de que las reglas de la política del firewall siguen al dispositivo.
La tarea más importante de un firewall es prevenir los ataques. Y ahí es donde la automatización puede desempeñar un papel clave, identificando las amenazas mucho más rápido de lo que podría hacerlo un ser humano y respondiendo a la amenaza de forma proactiva, eliminando efectivamente la amenaza sin necesidad de intervención humana.
Los sistemas automatizados pueden detectar las anomalías más pequeñas y tomar las medidas adecuadas, como poner en cuarentena los dispositivos para que un ataque no pueda propagarse, mientras se lleva a cabo una investigación para determinar el tipo de ataque y las contramedidas adecuadas.
La plataforma de gestión también necesita la capacidad de aplicar no solo cientos de reglas de firewalls, sino políticas de seguridad más amplias, como la segmentación de la red o los controles de acceso vinculados a Active Directory, o algún otro esquema de gestión de identidades y accesos.
Mirando al futuro: plataformas, hojas de ruta y nube
Cada uno de los principales proveedores de firewalls cuenta con una amplia plataforma que incluye múltiples productos de seguridad gestionados a través de un panel, preferiblemente basado en la nube. Pero no todos los productos individuales están en el mismo nivel de madurez. Y en el caso de los proveedores que han realizado recientemente adquisiciones para completar sus carteras, o que todavía tienen agujeros en sus líneas de productos, la integración se convierte en una cuestión sobre la que los posibles compradores deberían preguntar.
SASE: Si su empresa está considerando pasar a un servicio de acceso seguro, es importante pedir al proveedor que describa su hoja de ruta, ya que pocos proveedores, si es que hay alguno, tienen actualmente un conjunto completo de capacidades SASE. Según la definición de Gartner, un despliegue SASE consiste en SD-WAN, gateway web seguro, agente de seguridad de acceso a la nube, firewalls como servicio y acceso a la red de confianza cero.
"En el 2024, más del 70% de los clientes de SD-WAN habrán implementado una arquitectura SASE, en comparación con el 40% en el 2021", según Gartner. Por lo tanto, se espera que la mayoría de las organizaciones se embarquen en su viaje SASE en los próximos dos años, y la selección de un proveedor de firewall con una clara visión SASE es una decisión fundamental.
ZTNA: La confianza cero se ha convertido en la "tendencia du jour en la comunidad de proveedores de seguridad", según la "Guía práctica para una implementación de confianza cero" de Forrester, que describe la confianza cero como "un marco conceptual y arquitectónico para pasar la seguridad de un modelo de seguridad orientado a la red y basado en el perímetro a uno basado en la verificación continua de la confianza".
Entonces, ¿dónde encaja el venerable firewall en este futuro de confianza cero? Según Forrester, "el fireall de nueva generación fue el ejemplo original de la confianza cero, y hoy es aún mejor".
Gracias a los conjuntos de chips avanzados, los dispositivos de firewalls pueden tener ahora la capacidad de procesamiento para descifrar e inspeccionar el tráfico sin ralentizar la red. Además, los casos de uso de los firewalls virtualizados son cada vez más comunes, como la inspección del tráfico de aplicaciones en la nube.
Otros componentes de una estrategia de confianza cero son la microsegmentación y la gestión de la identidad y el acceso. Los firewalls pueden aplicar estas políticas, por lo que las organizaciones que compran firewalls deben exigir a los proveedores que expliquen su hoja de ruta de confianza cero.
FWaaS: La tendencia de los últimos años ha sido que los firewalls empresariales engorden a medida que incorporan nuevas funcionalidades. Pero Sánchez, de Dell'Oro, dice que se está llegando a un punto de inflexión. Predice que la funcionalidad del firewall se trasladará lenta pero constantemente a la nube en forma de FWaaS.
El FWaaS ofrece varias ventajas sobre los firewalls basados en dispositivos, similares a las que ofrece el SaaS sobre las aplicaciones locales. El FWaaS ofrece un conjunto de recursos que pueden ofrecer el tipo de escalabilidad instantánea -tanto para aumentar como para disminuir la escala- que no puede ser replicada con el hardware on-prem.
FWaaS permite a las empresas deshacerse finalmente de sus redes MPLS y dirigir todo el tráfico a la nube, donde las políticas de seguridad pueden aplicarse de forma coherente en todos los tipos de tráfico. FWaaS también proporciona un despliegue rápido y flexible.
Desde un punto de vista más amplio, a medida que crecen las estrategias de defensa de la red, las empresas deben planificar cómo encajarán sus firewalls a lo largo del tiempo. Sánchez lo resume de esta manera: "Los firewalls no van a desaparecer, pero están cambiando y evolucionando para abordar nuevos casos de uso". Los clientes deben asegurarse de preguntar a los proveedores de firewalls: "¿Cómo encaja el firewall en el viaje a largo plazo de la empresa hacia un mundo más centrado en la nube?".
Basado en el artículo de Neal Weinberg (Network World) y editado por CIO Perú
Puede ver también: