¿Qué es el firewall como servicio?

¿Por qué es importante el FWaaS?

El concepto de FWaaS no consiste simplemente en virtualizar un dispositivo de firewall de red. El FWaaS permite a las organizaciones eliminar los dispositivos de firewall, simplificar su infraestructura de TI y mejorar la ciberseguridad en general. Con FWaaS, la administración se centraliza desde una única consola, lo que elimina los desafíos del control de cambios, la administración de parches, la coordinación de ventanas de interrupción y la administración de políticas asociadas con los dispositivos NGFW, a la vez que ayuda a las organizaciones a distribuir políticas uniformes, dondequiera que se conecten los usuarios.

¿En qué se diferencia el FWaaS de un firewall normal?

Los firewall tradicionales en las instalaciones se diseñaron y programaron para inspeccionar el tráfico de red en las oficinas corporativas. Como su nombre indica, el firewall como servicio (FWaaS) se suministra a través de la nube; la principal diferencia entre ambos es que los firewall locales tienen dificultades para escalar y adaptarse a las cambiantes demandas de la red y a un panorama de amenazas en evolución. Como el FWaaS es nativo de la nube, puede hacer ambas cosas, lo que proporciona a las organizaciones una herramienta mucho más útil para proteger los datos, mantener seguros los puntos finales y llevar a cabo inspecciones de seguridad exhaustivas.

Cuando la actividad empresarial tenía lugar en la oficina, los firewalls tradicionales ofrecían una seguridad de red adecuada. Debido a que el alcance de las amenazas estaba limitado a las oficinas corporativas, donde los empleados pasaban el 99% del tiempo, no había necesidad de que los equipos de seguridad y TI extendieran los servicios de un firewall más allá de su sitio de instalación.

Actualmente, cada vez más organizaciones aprovechan los servicios en la nube, como SaaS, y con los puntos finales en todas partes y las nuevas amenazas que surgen, los firewall ya no pueden quedarse en el centro de datos. Deben estar en la nube y escalar para proteger los recursos y los empleados en cualquier lugar.

El auge del FWaaS

Retornar el tráfico a un NGFW en un centro de datos corporativo o regional tenía sentido cuando las aplicaciones se alojaban en dichos centros de datos y la mayoría de los trabajadores estaban en la oficina. Pero a medida que las aplicaciones empezaron a salir del centro de datos y a trasladarse a la nube (y a medida que crecía el número de sucursales y el trabajo a distancia), estos NGFW perdieron eficacia.

Posteriormente, cuando la pandemia de la COVID-19 obligó a los trabajadores a salir de la red corporativa y a empezar a conectarse desde cualquier lugar, los enfoques tradicionales de la red y la seguridad, incluido el NGFW, se volvieron insuficientes. Esto se debe a que los NGFW, al igual que otros dispositivos, no se diseñaron pensando en la nube.

El FWaaS frente al NGFW

Las aplicaciones en la nube, como Salesforce y Microsoft 365, fueron diseñadas para acceder a ellas directamente a través de Internet. Por lo tanto, el tráfico de Internet debe enrutarse localmente para ofrecer una experiencia de usuario rápida. Enrutar el tráfico de regreso a los NGFW en los centros de datos corporativos para que salga a Internet ya no tiene sentido.

Sin embargo, la aplicación de los enfoques de seguridad tradicionales a los accesos locales de Internet significa que las organizaciones tendrían que replicar la pila de seguridad corporativa en cada ubicación. Esto requeriría implementar NGFW o pilas de dispositivos de seguridad en cada sucursal, lo que no es viable en términos de costos y la complejidad de implementarlos y gestionarlos todos.

Vale la pena recalcar que los NGFW no fueron diseñados para soportar aplicaciones en la nube. Los NGFW se ven fácilmente sobrepasados por las aplicaciones en la nube, porque no se pueden ajustar para soportar el alto volumen de conexiones de larga duración que crean las aplicaciones. Tampoco pueden manejar el tráfico cifrado con SSL de forma nativa, lo que es cada vez más importante dado el crecimiento exponencial del tráfico cifrado durante los últimos años.

Para ejecutar la inspección SSL, los NGFW deben vincular las capacidades de proxy que ejecutan la inspección SSL al software en lugar de al nivel del chip, lo que afecta significativamente al rendimiento y resulta en una experiencia negativa para el usuario.

Las soluciones FWaaS son muy capaces de desempeñar funciones, como la inspección profunda de paquetes, mucho más adecuadas para la prevención frente a la pérdida de datos porque son nativas de la nube. Al nacer en la nube, el FWaaS permite a las organizaciones escalar su seguridad de maneras que resultan imposibles para los NGFW, aunque los proveedores de estos firewalls digan lo contrario. En la mayoría de los casos, sus soluciones de seguridad son solo dispositivos de firewall virtualizados, que pueden servir como buenos detectores, pero no están diseñados para la seguridad de la nube a largo plazo y del personal híbrido.

¿Por qué las empresas necesitan el FWaaS?

A medida que las organizaciones adoptan proveedores de infraestructura en la nube como AWS para aumentar la escalabilidad, siguen necesitando ofrecer capacidades de firewall empresarial en toda la organización para todos los usuarios y todas las ubicaciones. Lamentablemente, los NGFW se diseñaron hace más de una década y no están pensados para ser compatibles con aplicaciones en la nube o los requisitos dinámicos de la computación en la nube en general.

Sus homólogos, los firewall virtuales, tienen muchas de las mismas limitaciones y desafíos que los dispositivos NGFW tradicionales, lo que reduce su eficacia contra los ciberataques modernos. Por lo tanto, tiene sentido que, a medida que sus aplicaciones se trasladen a la nube, sus firewall se trasladen con ellas.

¿Cómo funciona el FWaaS?

El FWaaS permite a las organizaciones establecer enlaces locales seguros para todas las aplicaciones sin necesidad de comprar, desplegar o gestionar dispositivos de seguridad. Las capacidades de seguridad, incluido el firewall de capa 7 completo, se ofrecen como un servicio en la nube que escala de manera elástica para manejar la inspección SSL, el creciente ancho de banda y las demandas de los usuarios, así como el tráfico de aplicaciones en la nube con conexiones de larga duración.

La gestión centralizada desde una única consola permite a las organizaciones brindar protección idéntica a cualquier usuario, en cualquier dispositivo, dondequiera que se conecte, ya sea en la oficina corporativa, cuando visita una sucursal local o cuando trabaja desde casa.

Ventajas de FWaaS

Los FWaaS proporcionan múltiples ventajas sobre los NGFW, entre ellas:

• Arquitectura basada en proxy: en este diseño se inspecciona dinámicamente el tráfico de todos los usuarios, aplicaciones, dispositivos y ubicaciones. Inspecciona de forma nativa el tráfico SSL/TLS a escala para detectar el malware oculto en el tráfico cifrado y permite aplicar políticas de firewall granulares que abarcan varias capas basadas en la aplicación de red, la aplicación en la nube, el nombre de dominio (FQDN) y la URL.
• IPS en la nube: un sistema de prevención de intrusiones (IPS) basado en la nube ofrece protección y cobertura continua contra las amenazas, independientemente del tipo de conexión o la ubicación. Inspecciona todo el tráfico de los usuarios dentro y fuera de la red, incluido el tráfico SSL difícil de inspeccionar, para restablecer la visibilidad total de las conexiones de los usuarios, las aplicaciones e Internet.
• Seguridad y control de DNS: como primera línea de defensa, un firewall basado en la nube protege a los usuarios de acceder a dominios maliciosos. Optimiza la resolución de DNS para proporcionar una mejor experiencia de usuario y rendimiento de las aplicaciones en la nube, que es esencial para las aplicaciones basadas en CDN. También proporciona controles granulares para detectar y evitar el túnel DNS.
• Visibilidad y gestión simplificada: un firewall basado en la nube ofrece visibilidad en tiempo real, control y aplicación inmediata de políticas en toda la plataforma. Registra cada sesión en detalle y utiliza analíticas avanzadas para identificar eventos y ofrecer una visión de las amenazas y vulnerabilidades para todos los usuarios, aplicaciones y ubicaciones desde una sola consola.
• Disposición de Zero Trust: cuando se trata de la seguridad en la nube, no hay mejor opción que un marco Zero Trust. Al aprovechar el FWaaS como parte de Zero Trust, podrá llevar las políticas de seguridad a los usuarios en sus puntos finales en línea con el marco del perímetro de servicio de acceso seguro (SASE), algo imprescindible en la era de los trabajadores remotos. Además, Zero Trust reduce la latencia al eliminar la necesidad de acceder a la red.

Ahora que sabe cómo el FWaaS puede mejorar su postura de seguridad, su siguiente pregunta podría ser: "¿Cómo puedo comenzar mi viaje hacia el FWaaS?" Tenga cuidado. Al hablar del FWaaS, hay diversos proveedores de servicios que ofrecen protección mejorada para los datos, los puntos finales, la nube y el IoT, pero solo un proveedor ha construido su firewall en la nube y para la nube: Zscaler.

Cómo puede ayudar Zscaler Cloud Firewall

Zscaler Cloud Firewall, parte de la plataforma Zscaler Zero Trust Exchange™ integrada, ofrece controles de firewall de última generación y seguridad avanzada a todos los usuarios, en todas las ubicaciones, para todos los puertos y protocolos. Permite salidas locales a Internet rápidas y seguras y, al estar 100 % en la nube, no hay que comprar, implementar ni gestionar ningún hardware.

Los NGFW le permiten aprovechar innumerables capacidades de seguridad, lo que genera una postura general rígida y débil. Zscaler Firewall le permite:

• Definir y aplicar inmediatamente políticas granulares de firewall
• Convertir la visibilidad general en información procesable en tiempo real
• Ofrezca un IPS siempre activo a todos sus usuarios