Los administradores de TI tratan de proporcionar soluciones corporativas críticas de forma eficiente y, además, tienen que luchar para que los empleados no utilicen aplicaciones a menudo peligrosas. Con el objetivo de incrementar la productividad de red y de los empleados, los administradores TI necesitan priorizar el ancho de banda de aplicaciones críticas y bloquear completamente las aplicaciones de juegos o redes sociales.
Desgraciadamente, los firewalls de inspección de paquetes utilizados por muchas organizaciones simplemente no lo cortan. Confían en los puertos y protocolos, y no son capaces de identificar aplicaciones en la nube o Software as a Services (SaaS), junto con muchos de los servicios web 2.0, que confían buscadores para proporcionar la aplicación.
Por tanto, no pueden separar lo bueno de lo malo, lo productivo de lo no productivo. Como resultado, los administradores de TI se conforman con un acercamiento binario al control del tráfico: bloquear o permitir. Pero, ¿deberían bloquear los puertos o los protocolos por completo o simplemente impedir el acceso a algunas aplicaciones no deseadas? ¿O deberían abrir las puertas y permitir el acceso a cualquier aplicación que pueda resultar útil, incluso cuando se pone en riesgo la productividad y se expone a la empresa a amenazas? Ninguna es una elección satisfactoria.
Las compañías líderes actualmente resuelven este dilema con los firewalls de próxima generación (NGFW, en siglas inglesas), que pueden proporcionar inteligencia, control, identificación y visualización mejorados de todas las aplicaciones en la red. Esto es efectivo porque los firewalls de próxima generación pueden integrar control de aplicación con otras capacidades de prevención de intrusiones y protección frente al malware.
Para gestionar aplicaciones de forma efectiva, el firewall de próxima generación debe seguir cada uno de los siguientes criterios:
Escaneo del tráfico de aplicaciones
Primero, su firewall de próxima generación debe ser capaz de escanear todo el tráfico, incluyendo el tráfico por capa de aplicación y por capa de red. Esto requiere ir más allá de una simple inspección de paquetes para llevar a cabo una inspección profunda de los mismos, independientemente del puerto y del protocolo.
Además, el motor de inspección exhaustiva de paquetes del firewall debe ser actualizado dinámicamente para identificar las últimas amenazas, ataques de malware, spyware y páginas web que podrían afectar a la seguridad de su red. Más importante, el cortafuegos debería ser capaz de bloquear aquellas amenazas de seguridad sin introducir latencia o degradar la red a niveles inutilizables.
Categorización y visualización
Para permitirle crear y ajustar controles de políticas de aplicación basados en observación crítica, su NGFW debería permitirle analizar y visualizar todo el tráfico de aplicación de su red.
Para hacer esto de forma efectiva, el firewall necesita identificar y categorizar aplicaciones específicas que funcionan en su red y comprender a quién va dirigido el tráfico. Es necesario presentar esta información en un gráfico intuitivo, permitiéndole observar la actividad de la aplicación en tiempo real, añadir informes de tendencias en aplicaciones, páginas web visitadas y otras actividades de los usuarios.
Política de control granular
El firewall de próxima generación debe permitirle crear de forma fácil y flexible políticas relacionadas con la aplicación, basadas en criterios contextuales, como por ejemplo, usuarios, grupos, aplicaciones u horas del día.
Por ejemplo, debe garantizar el acceso a una aplicación particular en función de la necesidad de las personas que lo utilicen en cada negocio. Alguien en su grupo de marketing puede tener razones legítimas para acceder a Twitter o Facebook para llevar a cabo campañas en las redes sociales, mientras que un empleado del departamento financiero, no.
Además, para una gestión fácil y efectiva, una política debería ser centralizada, unificada y basada en objetivos. Los NGFW con inteligencia y control de aplicación le permitirán crear políticas de firewall basadas en aplicación, ayudándole a recuperar el completo control sobre el tráfico de aplicación gestionando el ancho de banda. Esto incrementa la productividad, previene las pérdidas de datos y protege contra el malware basado en la aplicación.
Gestión del ancho de banda
Para ayudarle a gestionar el ancho de banda de aplicación, su cortafuegos de próxima generación debería permitirle priorizar el ancho de banda localizado en aplicaciones esenciales y aplicaciones sensibles a la latencia (por ejemplo, Salesforce.com, LiveMeeting o VoIP). Al mismo tiempo, debe permitirle limitar el ancho de banda localizado en aplicaciones no esenciales (por ejemplo, YouTube, MySpace o Facebook).
Además, su firewall debería ayudarle a incrementar la productividad controlando el acceso a aplicaciones basadas en web (por ejemplo, ESPN). Por último, debería ofrecerle la posibilidad de limitar el acceso a capacidades específicas dentro de las aplicaciones. Por ejemplo, podría permitir el acceso a Facebook, pero bloquear el acceso a juegos en el propio portal, como por ejemplo Farmville.
Bloqueo del ‘malware’
El malware ya no necesita la intervención de los usuarios para funcionar. La propagación del mismo ha evolucionado de mandar un simple virus ejecutable a atacar sistemas en redes locales infectando documentos y archivos considerados seguros.
Un cortafuegos debe tener la capacidad de hacer el trabajo; capacidad de rendimiento para controlar por completo las aplicaciones, sin perder la capacidad del tráfico de red
Por ejemplo, los archivos en Adobe PDF o Flash, son ahora targets principales para ataques debido a su ubicuidad y a la invisibilidad de los ataques que se producen a través de ellos. Estas amenazas llegan a las redes a través de varios canales, y solo se pueden prevenir a través de dispositivos que soporten servicios de seguridad dinámica y que reciban continuamente inteligencia malware de laboratorios de investigación dedicados.
Control de aplicaciones distribuidas
Una vez que ha actualizado su firewall de próxima generación en su gateway central, la siguiente fase lógica sería aplicar el control de aplicación y la política de gestión de ancho de banda en cualquier sitio distribuido.
Debido a que las redes actuales se conectan directamente a Internet, necesita vigilar por igual la seguridad del tráfico de aplicación que va y viene desde las sucursales.
La gestión del ancho de banda es crucial para optimizar el rendimiento de las redes distribuidas y para la productividad de los empleados remotos. Los controles de aplicación le permiten establecer políticas basadas en las necesidades específicas de cada sitio o en localizaciones geográficas únicas.
Los mismos controles granulares además facilitan la administración permitiéndoles estandarizar políticas para grupos o roles basados en objetos distribuidos en diferentes ubicaciones desde una consola centralizada. Más aún, las capacidades de visualización robustas son críticas en la seguridad de redes distribuidas, ya que le permiten analizar y hacer un seguimiento del uso, del tráfico y del rendimiento, y ajustar las políticas en todo el mundo.
Proporcionar rendimiento óptimo
Finalmente, nada de esto importa si su cortafuegos no tiene la capacidad de hacer el trabajo. Su herramienta necesita la capacidad de rendimiento para controlar por completo las aplicaciones, sin perder la capacidad del tráfico de red.
El rendimiento tecnológico puede incrementar drásticamente la viabilidad de su solución de control e inteligencia de aplicación.
En resumen, su firewall necesita mantenerse actualizado con el paso del tiempo. Debe controlar completamente la capa de aplicación (no solo la capa de red).
La inteligencia y control de aplicaciones, junto con la visualización en tiempo real, deberían ser componentes integrales de su NGFW porque le ayudan a gestionar tanto las aplicaciones relacionadas con el negocio como aquellas que no, y le ayudan a incrementar la productividad de los empleados y de la red.
