[03/03/2022] Con el incremento en el número de empleados que acceden a los recursos de la red de forma remota, de las empresas que implementan arquitecturas de nube híbrida y el crecimiento general de las amenazas a la seguridad, la tecnología de firewall es fundamental para la integridad, la seguridad y vitalidad de cualquier empresa.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los firewalls tradicionales son dispositivos de seguridad que inspeccionan el tráfico en el punto de entrada/salida de la red, y también proporcionan capacidades de red privada virtual (VPN, por sus siglas en inglés) y cifrado. Los firewalls vigilan el tráfico por estado, puerto y protocolo, y controlan el flujo del tráfico que pasa. En un firewall tradicional, las características de seguridad avanzadas suelen ser proporcionadas por dispositivos y servicios externos que residen fuera de la plataforma del firewall.
¿Qué son los firewalls de siguiente generación?
Los firewalls de siguiente generación (NGFW, por sus siglas en inglés) ofrecen las mismas capacidades de un firewall tradicional, pero con funciones adicionales como la inspección profunda de paquetes (DPI, por sus siglas en inglés), protección integrada contra intrusos (IIP, por sus siglas en inglés), filtrado web, antivirus, antispam, antimalware, inspección de tráfico SSL y SSH, todo con miras a la detección y aislamiento de amenazas en tiempo real.
Estas características adicionales están integradas en la plataforma NGFW y, por lo general, se administran desde una sola consola. Dado que todas estas funciones son proporcionadas por el mismo proveedor, los firewalls de siguiente generación son más fáciles de mantener y son más convenientes cuando se necesita el soporte del proveedor.
Si bien la funcionalidad básica del firewall es fundamental para todos los productos en el mercado de NGFWs, el firewall ya no es solo un dispositivo que se encuentra en su centro de datos. La adopción de la nube ha requerido que un firewall proporcione funciones más allá del dispositivo físico, como los dispositivos virtualizados, los firewalls como servicio (FWaaS, por sus siglas en inglés) y versiones para contenedores.
Los proveedores de firewalls de siguiente generación tienen SASE en sus hojas de ruta
El Secure Access Service Edge (SASE) es un modelo de servicio emergente que incorpora optimización de WAN y otros servicios de seguridad como Secure Web Gateway (SWG) y Zero Trust Network Access (ZTNA) a través de una implementación basada en la nube, que proporciona acceso ininterrumpido para usuarios en cualquier lugar y en cualquier momento.
Los proveedores de NGFWs con visión de futuro han comenzado a incorporar estas características en sus líneas de productos. Si bien la implementación generalizada de SASE se considera lejana, los proveedores de NGFWs la tienen en la hoja de ruta de su producto.
Los cuatro proveedores principales en este mercado multimillonario son (sin ningún orden en particular): Palo Alto Networks, Fortinet, Cisco y Check Point Software Technologies. Representan aproximadamente el 64% de las implementaciones según IDC. Juniper Networks, SonicWall y Sophos completan una buena parte del mercado restante.
A continuación, un análisis de los principales proveedores de NGFWs, que incluye sus puntos fuertes y sus debilidades, basado en los informes de los analistas de la industria como Gartner e IDC.
1. Palo Alto Networks. Pros: amplia línea de productos, administración consolidada. Contras: precio alto
Palo Alto Networks ofrece una amplia selección de funciones de NGFW empaquetadas como opciones basadas en hardware (PA-Series), Virtual (VM-Series), FWaaS (Prisma Access) y para contenedores (CN-Series).
Todos sus productos se administran a través del mismo software Panorama y ofrecen funciones adicionales mediante suscripción para administrar la seguridad de la Internet de las cosas (IoT), prevención de pérdida de datos (DLP, por sus siglas en inglés) empresarial, seguridad de software como servicio (SaaS, por sus siglas en inglés), filtrado de URL avanzado, prevención de amenazas y seguridad DNS. El WildFire Malware Analysis Engine de la empresa puede aislar las amenazas detectadas.
Palo Alto Networks proporciona una solución consolidada en un solo proveedor para múltiples necesidades de seguridad a través de un "panel único”.
Estos productos tienen un costo, lo que los convierte en una de las ofertas de mayor precio en el mercado. Además, su producto SD-WAN requiere una licencia por separado, mientras que otros la incluyen en sus ofertas básicas. También cabe destacar que Palo Alto Networks no ofrece un administrador de firewall basado en la nube en Panorama y, en cambio, requiere que se instale un complemento en los clientes.
2. Fortinet. Pros: sólida línea de productos propios, gestión integrada. Contras: le faltan PoPs globales
La línea de productos de NGFWs de Fortinet, FortiGate, está disponible en hardware, como dispositivo virtual y como Opción FWaaS (FortiSASE). Ofrecen plataformas de administración centralizadas con sus productos FortiManager y FortiGate Cloud. Sus productos ofrecen capacidades como Secure Email Gateway (SEG), Web Application and API Protection (WAAP), Network Access Control (NAC), Identity and Access Management (IAM), Security Operations Center (SOC) como servicio, SASE, y productos Zero Trust Network Access (ZTNA).
Fortinet ofrece integración entre su centro de operaciones de red (NOC) y las operaciones SOC en su Fabric Management Center. Al igual que el sistema Palo Alto WildFire, Fortinet ofrece Endpoint Detection and Response (EDR), que detecta las amenazas que existen en su ambiente y las coloca en un ambiente aislado para su análisis, al tiempo que evita que se propaguen.
Fortinet también está impulsando la línea de productos FortiGate para que se utilice en lugar de los routers de las sucursales. Esto permitiría la gestión de switches y puntos de acceso inalámbricos de Fortinet en redes de oficinas remotas a través de la misma interfaz de gestión de FortiManager.
Fortinet carece de un firewall para contenedor dedicado y requiere funciones de administración básicas a través de un complemento distribuido. También tienden a quedarse rezagados con respecto a otros proveedores en el despliegue de puntos de presencia (PoP, por sus siglas en inglés) en la nube y la diversidad geográfica de sus PoP.
3. Cisco. Pros: amplia oferta de productos. Contras: quizás demasiado extenso
Cisco ofrece prevención contra intrusiones, protección avanzada contra malware, sandboxing basado en la nube, filtrado de URLs, protección de punto final, protección de puerta de enlace web, seguridad SEG y análisis de tráfico de red. Asimismo, brinda control de acceso a la red y un agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés) que -a través de Cisco Secure Firewall, Cisco Secure Workload y los productos de la serie Meraki MX- ayuda a proteger otros servicios alojados en la nube pertenecientes a otras empresas.
Ofrecen gestión centralizada a través de Umbrella Secure Internet Gateway para FWaaS, Cisco Firewall Management Center para dispositivos on premises, y Cisco Defense Orchestrator para soluciones basadas en la nube, además de un producto de gestión y control de múltiples nubes.
Su plataforma SecureX de detección y respuesta extendida (XDR) proporciona XDR sin costo adicional para detectar, buscar y remediar amenazas. Además, Cisco es compatible con Snort el sistema de código abierto para la detección de intrusos/prevención de intrusos (IDS/IPS), que proporciona un conjunto de firmas mejorado.
En lugar de adoptar un enfoque de plataforma única, Cisco proporciona múltiples líneas de productos de firewall para diferentes casos de uso. Además, su producto Umbrella no ofrece un SASE integrado y requiere múltiples suscripciones diferentes a productos adicionales como Cloudlock (CASB independiente de Cisco) y una SD-WAN a través de sus productos Meraki.
4. Check Point Software Technologies. Pros: soluciones de seguridad enfocadas. Contras: no tiene SD-WAN integrada
Check Point se enfoca en evitar y bloquear ataques. Ofrecen dispositivos de hardware (Quantum), así como dispositivos virtuales y productos de seguridad en la nube bajo la marca CloudGuard. También tienen un Producto FWaaS (Harmony) como parte de su solución Secure Access Service Edge (SASE).
Check Point ofrece portales centralizados on premises de administración y monitoreo (Quantum Security Management) y alojados en la nube (Infinity Portal), así como su producto Infinity SOC, que comprende su oferta de orquestación, automatización y respuesta de seguridad (SOAR) y CloudGuard, su contraparte de seguridad en la nube.
Check Point no ofrece una solución SD-WAN, sino que trabaja con socios para brindar soluciones a este mercado en rápido crecimiento y su producto para contenedores carece de control de aplicaciones.
5. Juniper. Pros: detección avanzada de amenazas. Contras: lentitud para adoptar FWaaS y SASE
Juniper ofrece sus puertas de enlace de servicios de la serie SRX en dispositivos de hardware, dispositivos virtuales (vSRX) y contenedores (cSRX). vSRX se puede alojar en el propio hipervisor del cliente, AWS, Azure, Google Cloud, IBM Cloud y Oracle Cloud. Juniper también ofrece información de seguridad y administración de eventos (SIEM, por sus siglas en inglés), mitigación de denegación de servicio distribuida (DDoS, por sus siglas en inglés) e inteligencia de amenazas, capacidades avanzadas de detección de amenazas y seguridad de IoT.
También tiene asociaciones para sistemas de control industrial (ICS, por sus siglas en inglés) y ambientes de adquisición de datos y control de supervisión (SCADA, por sus siglas en inglés) que extraen información del servicio de prevención de amenazas de la empresa y una fuente de terceros para adaptar sus firewalls a las nuevas amenazas según vayan surgiendo.
Juniper ha llegado tarde a la fiesta cuando se trata de FWaaS o SASE. Su enfoque comercial está más en las redes y sus productos de seguridad lo reflejan, lo que lleva a Gartner a considerarlos un jugador de nicho en el campo de los NGFW.
6. SonicWall. Pros: productos de calidad. Contras: carece de FWaaS, contenedores
SonicWall tiene tres líneas de dispositivos de hardware (series TZ, NSa y NSsp) junto con un firewall de dispositivo virtual (serie NSv). Los productos NSv se pueden alojar en el propio hipervisor del cliente o se pueden encontrar en los mercados de Amazon y Azure. SonicWall también proporciona capacidades integradas de EDR, SEG, ZTNA, CASB y flujo de trabajo SD-WAN para simplificar la incorporación de sucursales en su producto SonicWall Cloud Edge.
El producto SonicWall Cloud App Security maneja la funcionalidad CASB para aplicaciones SaaS, centrándose en Microsoft 365 y Google Workspace, Box y Dropbox. Brindan administración centralizada para su conmutador SonicWall, SonicWall Access Point y SonicWall Next-Gen Endpoints a través de Network Security Manager.
En su línea de productos, SonicWall carece de un firewall para contenedores, FWaaS y ofertas de productos basados en identidad.
7. Sophos. Pros: respuesta ante amenazas gestionadas. Contras: carece de FWaaS o contenedor
Sophos ofrece su hardware Sophos Firewall (XGS Series and SD-RED), un producto de administración de postura de seguridad en la nube (CSPM, por sus siglas en inglés) (Cloud Optix), protección de servidores y terminales (Intercept X) y productos para EDR y ZTNA. A través de su producto Managed Threat Response, Sophos brinda las capacidades de un SOC como servicio gestionado a través de un portal de gestión centralizado (Sophos Central).
Sophos no ofrece FWaaS o un firewall para contenedores. El producto CSPM no aprovecha al máximo las etiquetas de infraestructura como servicio (IaaS, por sus siglas en inglés), lo que dificulta la implementación de las reglas de la política de firewalls.
Las compras de firewalls de siguiente generación requieren evaluaciones exhaustivas del producto
La seguridad de la red es fundamental en el mundo actual de ataques de malos actores y ataques de ransomware, por lo que es vital que los ejecutivos de la red realicen una evaluación exhaustiva de cualquier producto NGFW antes de incorporarlo a su infraestructura. El trabajo que haga por adelantado se verá recompensado con tranquilidad en el futuro.
Basado en el artículo de Jeff Rochlin (Network World) y editado por CIO Perú