Las siete capacidades principales del firewall para un control de aplicación efectivo
Control de aplicaciones distribuidas o el escaneo del tráfico de las aplicaciones son, en opinión de Isaac Fores, director de SonicWALL Iberia, las capacidades que debe tener un firewall de próxima generación.
Los administradores de TI tratan de proporcionar soluciones corporativas críticas de forma eficiente, y además tienen que luchar para que los empleados no utilicen aplicaciones a menudo peligrosas. Con el objetivo de incrementar la productividad de red y de los empleados, los administradores TI necesitan priorizar el ancho de banda de aplicaciones críticas y bloquear completamente las aplicaciones de juegos o redes sociales.
Desgraciadamente, los firewalls de inspección de paquetes utilizados por muchas organizaciones simplemente no lo cortan. Confían en los puertos y protocolos, y no son capaces de identificar aplicaciones en la nube o SaaS, junto con muchos de los servicios web 2.0 que confían buscadores para proporcionar la aplicación. Por tanto, no pueden separar lo bueno de lo malo, lo productivo de lo no productivo. Como resultado, los administradores TI se conforman con un acercamiento binario al control del tráfico – bloquear o permitir. Pero, ¿deberían bloquear los puertos o los protocolos por completo o simplemente bloquear algunas aplicaciones no deseadas? O ¿deberían abrir las puertas y permitir el acceso a cualquier aplicación que pueda resultar útil, incluso cuando se pone en riesgo la productividad y se expone a la empresa a amenazas? Ninguna es una elección satisfactoria.
Las compañías líderes actualmente resuelven este dilema con los firewalls de próxima generación que pueden proporcionar inteligencia, control, identificación y visualización mejorados de todas las aplicaciones en la red. Esto es efectivo porque los firewalls de próxima generación pueden integrar control de aplicación con otras capacidades de prevención de intrusiones y protección frente a malware.
Para gestionar aplicaciones de forma efectiva, el firewall de próxima generación debe seguir cada uno de los siguientes criterios:
1. Escaneo de todo el tráfico de aplicaciones: Primero, su firewall de próxima generación debe ser capaz de escanear todo el tráfico, incluyendo el tráfico por capa de aplicación y por capa de red. Esto requiere ir más allá de una simple inspección de paquetes para llevar a cabo una inspección profunda de los mismos, independientemente del puerto y del protocolo. Además, el motor de inspección exhaustiva de paquetes del firewall debe ser actualizado dinámicamente para identificar las últimas amenazas, ataques de malware, Spyware y páginas web que podrían afectar a la seguridad de su red. Más importante, el firewall debería ser capaz de bloquear aquellas amenazas de seguridad sin introducir latencia o degradar la red a niveles inutilizables.
2. Categorización y visualización de aplicaciones a través del firewall: Para permitirle crear y ajustar controles de políticas de aplicación basados en observación crítica, un firewall de próxima generación debería permitir analizar y visualizar todo el tráfico de aplicación de su red. Para hacer esto de forma efectiva, el firewall necesita identificar y categorizar aplicaciones específicas que funcionan en una red y comprender a quién va dirigido el tráfico. Es necesario presentar esta información en un gráfico intuitivo que permita observar la actividad de la aplicación en tiempo real, añadir informes de tendencias en aplicaciones, páginas web visitadas, y otras actividades de los usuarios.
3. Creación de una política de control de aplicación granular: El firewall de próxima generación debe permitir crear de forma fácil y flexible políticas relacionadas con la aplicación, basadas en criterios contextuales, como por ejemplo, usuarios, grupos, aplicaciones u horas del día. Por ejemplo, debe garantizar el acceso a una aplicación particular en función de la necesidad de las personas que lo utilicen en cada negocio. Alguien en su grupo de marketing puede tener razones legítimas para acceder a Twitter o Facebook para llevar a cabo campañas en las redes sociales, mientras alguien en el grupo financiero no. Además, para una gestión fácil y efectiva, una política debería ser centralizada, unificada y basada en objetivos. Los firewalls de próxima generación con inteligencia y control de aplicación le permitirán crear políticas de firewall basadas en aplicación, ayudando a recuperar el completo control sobre el tráfico de aplicación gestionando en ancho de banda. Esto incrementa la productividad, previene las pérdidas de datos y protege contra el malware basado en la aplicación.
4. Gestión del ancho de banda de aplicación: Para ayudar a gestionar el ancho de banda de aplicación, un firewall de próxima generación debería permitir priorizar el ancho de banda localizado en aplicaciones esenciales y aplicaciones sensibles a la latencia (por ejemplo, Salesforce.com, LiveMeeting o VoIP). Al mismo tiempo necesita permitir limitar el ancho de banda localizado en aplicaciones no esenciales (por ejemplo, YouTube, MySpace o Facebook). Además, el firewall debería ayudar a incrementar la productividad controlando el acceso a aplicaciones basadas en web (por ejemplo, ESPN). Por último, debería permitir limitar el acceso a capacidades específicas dentro de las aplicaciones. Por ejemplo, podría permitir el acceso a Facebook, pero bloquear el acceso a juegos en el propio Facebook (ejemplo Farmville).
5. Bloqueo del malware nacido en las aplicaciones: El malware ya no necesita la intervención de los usuarios para funcionar. La propagación del malware ha evolucionado de mandar un simple virus ejecutable y atacar sistemas en redes locales infectando documentos y archivos considerados seguros. Por ejemplo, los archivos en Adobe PDF o Flash, son ahora targets principales para ataques debido a su ubicuidad y a la invisibilidad de los ataques que se producen a través de ellos. Estas amenazas llegan a las redes a través de varios canales, y solo se pueden prevenir a través de dispositivos que soporten servicios de seguridad dinámica y que reciban continuamente inteligencia malware de laboratorios de investigación dedicados.
6. Control de aplicaciones distribuidas: Una vez que ha actualizado el firewall de próxima generación en su Gateway central, la siguiente fase lógica sería aplicar el control de aplicación y la política de gestión de ancho de banda en cualquier sitio distribuido. Debido a que las redes actuales se conectan directamente a Internet, necesita vigilar por igual la seguridad del tráfico de aplicación que va y viene desde las sucursales. La gestión del ancho de banda es crucial para optimizar el rendimiento de las redes distribuidas y para la productividad de los empleados remotos. Los controles de aplicación le permiten establecer políticas basadas en las necesidades específicas de cada sitio o en localizaciones geográficas únicas. Los mismos controles granulares además facilitan la administración permitiéndoles estandarizar políticas para grupos o roles basados en objetos distribuidos en diferentes ubicaciones desde una consola centralizada. Más aún, las capacidades de visualización robustas son críticas en la seguridad de redes distribuidas, ya que le permiten analizar y hacer un seguimiento del uso, del tráfico y del rendimiento, y ajustar las políticas en todo el mundo.
7. Proporcionar rendimiento óptimo: Finalmente, nada de esto importa si un firewall no tiene la capacidad de hacer el trabajo. El firewall necesita la capacidad de rendimiento para controlar por completo las aplicaciones, sin perder la capacidad del tráfico de red. El rendimiento tecnológico puede incrementar drásticamente la viabilidad de su solución de control e inteligencia de aplicación.
En resumen, un firewall necesita mantenerse actualizado con el paso del tiempo. Debe controlar completamente la capa de aplicación (no solo la capa de red). La inteligencia y control de aplicaciones, junto con la visualización en tiempo real, deberían ser componentes integrales de un firewall de próxima generación. Ayudan a gestionar tanto las aplicaciones relacionadas con el negocio como aquellas que no, y ayudan a incrementar la productividad de los empleados y de la red.
Isaac Fores,
Country Manager de SonicWALL para Iberia