¿Qué es un cortafuegos interno?
Un cortafuegos interno es una solución de seguridad diseñada para proteger la red frente a ataques que ya hayan traspasado el perímetro. En general, el cortafuegos es un dispositivo o software diseñador para supervisar el tráfico y evitar el acceso no autorizado; el cortafuegos interno es una aplicación avanzada del mismo concepto.
Existen varias diferencias importantes entre el cortafuegos interno y el perimetral. A diferencia del cortafuegos perimetral tradicional, el cortafuegos interno debe ofrecer proactivamente visibilidad y protección frente a las amenazas internas, y debe ser lo bastante rápido para abordar las exigencias del tráfico interno. Actualmente, cada vez es más probable que los ataques penetren el perímetro de red, y los cortafuegos internos minimizan los daños que estos ataques pueden causar.
Aunque todas las empresas deberían contar con cortafuegos internos y medidas de seguridad similares, los cortafuegos internos suelen ser especialmente útiles para las empresas de gran tamaño con múltiples segmentos de red para distintos departamentos, así como para las redes con grandes superficies de ataque que se crean al ejecutar servicios distribuidos en nubes públicas y privadas.
Proteja su centro de datos con un cortafuegos interno diseñado expresamente para ello
«Haga posible la seguridad intrínseca con un cortafuegos definido por servicio»
¿Cómo funcionan los cortafuegos internos?
- Minimizar la superficie de ataque mediante la microsegmentación, que divide la red en zonas granulares que se protegen por separado.
- Utilizar la automatización inteligente para aplicar y actualizar las políticas de seguridad basándose en el comportamiento «correcto».
En lugar de intentar identificar y neutralizar cada amenaza individualmente, el cortafuegos interno aprovecha un conocimiento más profundo del tráfico interno para identificar la actividad que no se ajusta al comportamiento que los administradores esperan ver. Define políticas tanto a nivel de red como de procesos para mitigar las amenazas que aprovechan múltiples vectores de ataque. El cortafuegos interno se sitúa en puntos estratégicos de la red interna y utiliza un enfoque de confianza cero para aislar las amenazas y limitar los posibles daños. En otras palabras, asume que las amenazas ya se encuentran en el entorno e impide que se desplacen libremente por la red interna.
¿En qué se diferencia de un cortafuegos externo?
Un cortafuegos interno supervisa y protege el tráfico de red este-oeste (interno), en lugar del tráfico norte-sur en el perímetro. Un cortafuegos externo supervisa el perímetro de la red e impide el acceso no autorizado desde el exterior. Los dos tipos de cortafuegos buscan solucionar problemas diferentes: Mientras que un cortafuegos externo sencillamente protege contra los intrusos externos, la red interna necesita supervisar todo el tráfico de red para identificar a atacantes y posibles amenazas. En consecuencia, el diseño de los cortafuegos internos y externos difiere en varios ámbitos clave:
Un cortafuegos interno no puede confiar en los métodos tradicionales de detección de amenazas, basados en puertos, y necesita mantener el ritmo de un alto volumen de tráfico interno. Por lo tanto, debe ser más avanzado que un cortafuegos perimetral típico para poder identificar de forma inteligente la actividad maliciosa.
Por otro lado, dado que los cortafuegos internos se ocupan de las aplicaciones y servicios propios de la empresa, pueden aprovechar un conocimiento más profundo de su tráfico para automatizar las políticas de seguridad y bloquear comportamientos sospechosos. Al aprender lo que constituye un comportamiento «correcto», un cortafuegos interno inteligente puede detectar la actividad que no se ajusta al perfil autorizado y responder en consecuencia.
¿Necesitan las empresas un cortafuegos interno?
Un cortafuegos interno es una parte imprescindible de la seguridad de cortafuegos de red, en especial según aumenta el grado de distribución de las redes y la dificultad de evitar que los atacantes penetren el perímetro de red. Complementa el cortafuegos perimetral y proporciona una capa adicional de seguridad para bloquear el tráfico este-oeste y evitar el desplazamiento lateral de amenazas dentro de la empresa. Visto el incremento en la cantidad y sofisticación de los ciberataques, es prácticamente inevitable que se vulnere el perímetro de red de las organizaciones. Cuando ocurra, el cortafuegos interno minimiza los daños que los atacantes pueden infligir.
¿Por qué es necesario tener un cortafuegos interno?
Los cortafuegos perimetrales proporcionan una primera línea de defensa contra los ataques externos, pero ya no bastan para proteger a su empresa de las amenazas sofisticadas. Ahora que hay más usuarios y dispositivos en la red que nunca, además de una mayor superficie de ataque debido al aumento de los servicios distribuidos que se ejecutan a través de nubes públicas y privadas, es arriesgado asumir que basta con proteger el perímetro. Una amenaza que logre penetrar el perímetro de red puede acceder sin restricciones a sus redes internas, a menos que exista una medida de protección, como un cortafuegos interno.
Según un informe reciente, el 59 % de los ataques intentan desplazarse lateralmente, por lo que es crucial defender su red contra estas amenazas. Un cortafuegos interno impide que los atacantes campen a sus anchas por su red y limita el daño que pueden causar.
Prácticas recomendadas para cortafuegos internos
Pese a las diferencias en propósito y diseño de los cortafuegos internos y los perimetrales, las prácticas recomendadas para los cortafuegos internos son similares a las de los cortafuegos de red estándar. He aquí algunos principios comunes:
- Documente las reglas de cortafuegos y su propósito. Es fácil olvidar por qué se estableció originalmente una norma concreta, sobre todo si el personal informático que lo hizo ya no se encuentra en la organización. La documentación es importante para el mantenimiento a lo largo del tiempo, ya que le permite reevaluar las políticas de seguridad y eliminar las que ya no cumplan ningún propósito.
- Audite regularmente los registros de eventos. Esto le ayudará a determinar qué reglas de seguridad se utilizan y cuáles no, lo que le permitirá eliminar las que no utilice y modificar otras para reforzar la seguridad y evitar deficiencias.
- Recurra a la automatización para mantener las normas actualizadas. Si se dejan desatendidas, las largas listas de reglas de cortafuegos pueden provocar que se acumulen reglas innecesarias, aumente la sobrecarga y aparezcan deficiencias de seguridad. Recurrir a la automatización para reducir la carga del personal de TI le permite evitar estos problemas y no quedarse atrás cuando se producen cambios rápidos.
- Aplique la seguridad de confianza cero. Es decir, no confiar en nadie de forma predeterminada (ni dentro ni fuera de la red), lo cual es fundamental para contener los ataques rápidamente. Puesto que los ciberataques siguen aumentando, ya no es seguro asumir que los atacantes no penetrarán la red. Un enfoque de seguridad de confianza cero es clave para limitar el impacto de las amenazas que logran traspasar el perímetro.
Productos y soluciones relacionados
NSX Distributed Firewall
Centro de datos protegido con un cortafuegos de pila completa distribuido en cada carga de trabajo
NSX
Plataforma de virtualización de red y seguridad.
NSX Advanced Threat Prevention
Analice el tráfico de red y prevenga intrusiones en NSX Distributed Firewall.