¿Cuál es el secreto de un NGFW?
Hoy en día por todos es conocido que la forma de trabajar de hace unos años a esta parte ha cambiado radicalmente, las aplicaciones que utilizamos son diferentes y las amenazas también han evolucionado. Ante este escenario la pregunta clave es si realmente la tecnología se ha adaptado a dichos cambios.
La buena noticia es que sí lo ha hecho y como consecuencia de dicha evolución se ha introducido una innovación tecnológica que ha roto el paradigma clásico en el mercado de la seguridad de red acuñando el término “Firewall de Nueva Generación” (NGFW por sus siglas en inglés) para describir esta nueva propuesta tecnológica.
Pero, ¿cuál es el secreto de un NGFW? Que un NGFW hace una clasificación del tráfico de la red (que no un filtrado) en función de la aplicación responsable del mismo. ¿Y por qué motivo? Porque un NGFW ha sido diseñado pensando en el modelo actual de consumo de aplicaciones IT, que ha pasado de comprar software y difundir la aplicación desde el Datacenter de la compañía a consumir aplicaciones proporcionadas como servicio (SaaS). Por ejemplo:
- ¿Cómo se hace el acceso remoto a escritorio? Vía Skype For Business.
- ¿Cómo compartimos carpetas? En OneDrive.
- ¿Cómo realizamos campañas de marketing? Por Facebook, Twitter, Linkedin, etc.
- ¿Cómo posicionamos los contactos de la compañía? Usando GoogleMaps.
«El NGFW ha sido diseñado pensando en el modelo actual de consumo de aplicaciones IT, que ha pasado de comprar software y difundir la aplicación desde el Datacenter de la compañía a consumir aplicaciones proporcionales como servicio (SaaS).
Todos ellos son ejemplos de aplicaciones que forman parte de la rutina y procesos diarios en muchas organizaciones, siendo por lo tanto, parte integral de los activos informáticos de la compañía que han de habilitarse de manera segura.
En el terreno del control de aplicaciones, la diferencia fundamental entre un NGFW y un “Unified Threat Management” (UTM) se basa en que mientras que los primeros “clasifican” los paquetes entrantes en función de la aplicación, los otros “filtran” (dejan pasar) sólo aquellos paquetes que correspondan a alguna de las aplicaciones listadas en el filtro.
Cuando el objetivo consiste en “dejar pasar” sólo las aplicaciones autorizadas ambas aproximaciones pueden ser válidas. Pero si el objetivo consiste en habilitar aplicaciones de manera diferenciada entonces sólo la aproximación de un NGFW satisface la necesidad.
Clasificar Vs. filtrar: el secreto que hace que un #NGFW sea la mejor opción para la habilitación de los activos informáticos. Clic para tuitearPor ejemplo, vamos a pensar en usar un NGFW para habilitar de manera diferenciada las aplicaciones “OneDrive” y “Office 365”, permitiendo el intercambio de ficheros vía “OneDrive” pero no del tipo ZIP, RAR y EXE vía “Office 365”. Conseguir este objetivo es una tarea fácil que requiere dos reglas: la primera regla aplica un “filtro de intercambio de ficheros tipo ZIP, RAR y EXE” que bloquea los adjuntos de este tipo a las sesiones clasificadas como “Office 365” y la segunda regla se encargaría de permitir el movimiento libre de ficheros sobre las sesiones clasificadas como “OneDrive”.
Con otros Firewalls del tipo UTM, en cambio, esta casuística no se puede resolver debido a que si optamos por aplicar un filtro que sólo deje pasar “Office 365” y “OneDrive” para luego aplicar un segundo filtro en la cadena que no permita el intercambio de ficheros ZIP, RAR y EXE entonces tendremos una situación en la que no se habilita el intercambio de este tipo de ficheros vía “OneDrive”. Y si optamos por aplicar este segundo filtro (de ficheros) a un primero que sólo permita “Office 365” entonces tendremos una situación todavía peor en la que “OneDrive” simplemente no está habilitado.
NGFW: Next-Generation Firewall Demo
Cortesía de Paloalto Networks
Social Links: