Pero cuando recurrimos al FW del centro de datos, las cosas se complican mucho más. ¿Por qué?
Los firewall abordan mucho más que un acceso seguro a Internet. También se utilizan para administrar el tráfico WAN, mantener una estricta segmentación de la LAN del centro de datos y garantizar la confiabilidad y alta disponibilidad del tráfico de la red.
Entonces, ¿cómo puede una solución de seguridad en la nube reemplazar un FW de centro de datos físico? Para comprender eso, debemos comprender mejor el papel que desempeñan los FW del centro de datos.
Firewall de Datacenter Multifunción
Acceso seguro a Internet
Primero, al igual que un FW de sucursal, el FW en el centro de datos asegura el acceso a Internet. Garantiza que las aplicaciones alojadas en el centro de datos accedan a los recursos basados en Internet de forma segura. Esta funcionalidad de seguridad puede extenderse a cualquier usuario que regrese al centro de datos para un acceso seguro a Internet.
Acceso seguro desde Internet
En segundo lugar, el FW del centro de datos asegura el acceso desde Internet. Los servicios públicos que se alojan en el centro de datos deben tener puertos abiertos al tráfico entrante. El FW del centro de datos aplica seguridad a ese tráfico entrante, protegiendo la red detrás del FW.
Acceso seguro a WAN
En tercer lugar, proporciona seguridad de acceso WAN. El FW del centro de datos controla el acceso a servidores y aplicaciones específicos de usuarios o equipos específicos. También proporciona monitoreo completo y registro de eventos para fines comerciales y de cumplimiento normativo.
Segmentación LAN
Finalmente, proporciona segmentación de LAN, asegurando el acceso entre las LAN y subredes del centro de datos. En esta función, el FW del centro de datos garantiza que la separación de la red dentro del centro de datos se aplique, gestione y supervise.
El FWaaS adecuado para Reemplazar el Firewall centro de datos
Ahora que comprendemos todos los roles que puede cumplir un FW de centro de datos, podemos empezar a pensar en cómo un FWaaS podría ofrecer esa funcionalidad.
Acceso seguro a Internet
Todo el tráfico vinculado a Internet debe pasar a través de FWaaS para su protección. Debería establecer permitir o bloquear reglas entre entidades de red como sitios, usuarios individuales, subredes y más para diversas aplicaciones, servicios y sitios web. Los usuarios remotos no deberían tener que regresar al centro de datos para acceder a Internet de forma segura, solo deberían pasar directamente a través de FWaaS desde cualquier lugar del mundo.
Un FWaaS con un SWG integrado le permitiría monitorear, controlar y bloquear el acceso a sitios web en función de categorías predefinidas y personalizables. También debería poder configurar las reglas de acceso según las categorías de URL. Y, por supuesto, necesitará un registro de eventos de seguridad en cada acceso a categorías configurables específicas.
Con la prevención de amenazas incorporada, un FWaaS también podría proporcionar capacidades anti-malware e IPS como servicio. La entrega como servicio garantizaría que las firmas estuvieran siempre actualizadas. Y debido a que se entrega en la nube, no estaría sujeto a las limitaciones informáticas de los dispositivos de borde. En cambio, permitiría la inspección TLS ilimitada y el procesamiento de firmas IPS.
Acceso seguro desde Internet
El tráfico destinado a aplicaciones alojadas en el centro de datos también puede protegerse mediante un FWaaS. Esto se debe a que un FWaaS entregado como un servicio en la nube no se limita a las limitaciones físicas y heredadas de los firewalls locales. En cambio, podría establecer reglas de reenvío de puertos en un PoP remoto, y FWaaS dirigiría automáticamente el tráfico al servidor y la aplicación correctos en su WAN.
Acceso seguro a WAN
Para proteger el tráfico WAN, el FWaaS debe incluir un firewall WAN para que el tráfico se pueda permitir o bloquear entre entidades organizativas como sitios, usuarios, hosts, subredes y más. Y, a diferencia de un FW de red, un FW WAN puede aprovechar las capacidades de conocimiento del usuario y la prevención avanzada de amenazas.
Acceso a LAN seguro
El tráfico de VLAN debe protegerse como cualquier tráfico de WAN, enviando tráfico al FWaaS PoP más cercano e inspeccionándolo con todos los motores de control de acceso y prevención de amenazas. Para evitar problemas de latencia, es importante que el PoP esté cerca del centro de datos, lo que garantiza un tiempo mínimo de ida y vuelta. Y, para tráfico confiable, de alto volumen y sensible a la latencia, debe tener la opción de enrutar ese tráfico localmente en un dispositivo de borde local. No se debe permitir tráfico entre diferentes segmentos sin la creación de reglas de enrutamiento local o la inspección por parte de FWaaS.
El FWaaS – firewall as a service – correcto necesita la arquitectura correcta
El desafío de aprovechar un FWaaS para cumplir con todos los requisitos del firewall del centro de datos va más allá de la funcionalidad: debe tener visibilidad de toda la red. Y eso simplemente no es posible con arquitecturas basadas en nociones heredadas de un perímetro empresarial. Las empresas de hoy en día ya no se encuentran en oficinas físicas y centros de datos, y ahora dependen de aplicaciones y centros de datos en la nube, con usuarios móviles distribuidos por todas partes.
Desafortunadamente, la mayoría de las ofertas de FWaaS están diseñadas para abordar únicamente el tráfico de Internet, principalmente para los usuarios que acceden a aplicaciones en la nube. Por lo general, carecen de la visibilidad para proteger el tráfico WAN, incluidos los usuarios remotos que acceden a aplicaciones internas. Además, a menos que el proveedor de FWaaS tenga una gran red de PoP, la distancia entre el usuario y el PoP más cercano suele ser demasiado grande, lo que provoca problemas de latencia y afecta el rendimiento. Por lo tanto, si bien trasladar la seguridad a la nube puede resolver muchos problemas, aún debemos asegurarnos de que FWaaS pueda controlar todas las aplicaciones, puertos y protocolos al tiempo que contabiliza el tráfico en todas las direcciones.
Es por eso que Gartner introdujo una nueva arquitectura que han denominado Secure Access Service Edge (SASE). SASE es la convergencia de soluciones de puntos de seguridad y redes en un servicio unificado, global y nativo de la nube. Como arquitectura nativa de la nube, tiene una posición única para proporcionar redes empresariales y capacidades de seguridad a todos los bordes (físicos, en la nube y móviles), incluido el tráfico entre los bordes (WAN) y desde los bordes hasta Internet. Con visibilidad completa de todos los bordes de la red, un FWaaS que forma parte de una arquitectura SASE más amplia, está diseñado de forma única para abordar todas las funciones del FW del centro de datos.
¿A dónde fue mi DMZ?
Los servicios y aplicaciones orientados a Internet solían estar alojados en una DMZ que estaba limitada a la ubicación física del FW del centro de datos. Pero un FWaaS le permite migrar servidores y aplicaciones que solían estar en el centro de datos a la nube o ubicaciones dispares, con un riesgo mínimo y cambios de política. A FWaaS no le importa dónde está físicamente la DMZ, solo necesita que se defina la DMZ, por lo que si la mueve (o partes de ella) a AWS o Azure, todos los controles de acceso a ella (desde Internet y desde el WAN) simplemente seguirá, con Cato Cloud, su DMZ ahora se convierte en otra VLAN más. Tienes total visibilidad y control sobre el tráfico. Con nuestra arquitectura SASE, el tráfico siempre pasa a través de los PoP de la nube SASE y la inspección de seguridad primero, en lugar de directamente a su LAN. Si no tiene que poner su DMZ en un puerto físico separado, incluso puede mover su DMZ a cualquier lugar de su red, porque Cato le brinda una fuerza de seguridad FW uniforme en toda la red. Y dado que Cato es una solución de seguridad como servicio, siempre está actualizada, manteniendo su seguridad en la posición óptima.
Transición en Su tiempo
Cuando se trata de alejarse de su arquitectura heredada, debería ser fácil migrar en una línea de tiempo que tenga sentido para usted. De hecho, la arquitectura debe permitir dejar el FW del centro de datos en su lugar y aún permitirle aprovechar la mayoría de los otros beneficios de FWaaS.
Dado que reemplazar el FW de la sucursal con un FWaaS es el paso más fácil, cualquier FWaaS debe comenzar con la configuración básica para asegurar el acceso a Internet. Esto se puede lograr con conectividad a través de un túnel IPSec al FWaaS PoP, o mediante el uso de un dispositivo SD-WAN de borde del proveedor FWaaS. A partir de ahí, el FWaaS debería admitir la transición gradual de las reglas, la aplicación y la inspección al FWaaS, lo que eventualmente le permitirá eliminar el FW del centro de datos.
FWaaS de Cato como tu Centro de datos FW
Reemplazar un FW de centro de datos está plagado de desafíos porque sirve para muchos propósitos. Las soluciones de seguridad simples como un FW en la nube o un SWG están diseñadas para abordar casos de uso únicos y no pueden reemplazar por completo todas las funciones del FW del centro de datos. Es por eso que necesita un nuevo enfoque para toda su red y seguridad. La solución SASE de Cato, construida sobre una arquitectura nativa de la nube, está diseñada de manera única para enfrentar ese desafío. La capacidad de Cato para asegurar el tráfico a todos sus bordes mientras proporciona visibilidad y control completos, le brinda toda la funcionalidad que necesita del FW de su centro de datos.
Como arquitectura nativa de la nube, con visibilidad total en toda la red, la solución de Cato incluye:
NGFW
Nuestro NGFW proporciona un conocimiento completo de las aplicaciones con la capacidad de inspeccionar la carga útil de los paquetes de datos y distinguir entre diferentes tipos de tráfico web. El NGFW inspecciona el tráfico de Internet y WAN y puede hacer cumplir reglas granulares basadas en entidades de red, restricciones de tiempo y tipo de tráfico. El motor de inspección profunda de paquetes (DPI) clasifica el contexto relevante, como la aplicación o los servicios, desde el primer paquete y sin tener que descifrar la carga útil. Cato proporciona una lista completa de firmas y analizadores para identificar aplicaciones comunes. Además, las definiciones de aplicaciones personalizadas identifican las aplicaciones específicas de la cuenta por puerto, dirección IP o dominio.
Puerta de Enlace Web Segura
Cato proporciona un SWG para brindarle un control granular sobre su tráfico vinculado a Internet, lo que permite el cumplimiento de las políticas corporativas y evita las descargas de software no deseado o malicioso. Proporcionamos políticas predefinidas para docenas de categorías de URL diferentes y admitimos reglas personalizadas, lo que mejora la granularidad del control de acceso web. Al igual que con el resto de nuestro servicio, el SWG se administra fácilmente a través del portal de administración de Cato y se cubre con un registro completo de eventos.
Prevención de amenazas avanzada
Como parte de la Prevención de amenazas avanzada de Cato, Cato ofrece capacidades anti-malware y del Sistema de prevención de intrusiones (IPS). Ambos servicios inspeccionan el tráfico de Internet y WAN. Los PoP de Cato inspeccionan el tráfico cifrado con TLS en Cato Cloud, por lo que no hay restricciones de escala ni latencia adicional.
Detección y respuesta de amenazas gestionadas para reducir el tiempo de permanencia
El servicio de respuesta y detección de amenazas gestionadas (MDR) de Cato permite a las empresas descargar el proceso de detección de puntos finales comprometidos, que requiere muchos recursos y depende de las habilidades, al equipo de Cato SOC. Cato aplica a la perfección un servicio completo de MDR a las redes de los clientes. Recopilamos y analizamos automáticamente todos los flujos de red, verificamos la actividad sospechosa y notificamos a los clientes sobre los puntos finales comprometidos. Este es el poder de la convergencia de redes y seguridad para simplificar la protección de la red para empresas de todos los tamaños.
Descubrimiento de eventos
Event Discovery (llamado Instant * Insight) proporciona a cualquier equipo de TI las capacidades avanzadas de búsqueda e investigación de un centro de operaciones de alto nivel. Event Discovery organiza más de 100 eventos de red y seguridad en una sola línea de tiempo consultable. Las consultas complejas se pueden construir fácilmente seleccionando entre los tipos y subtipos de eventos presentados en la pantalla. El almacén de datos es almacenado y mantenido por Cato.
