Los firewalls de nube pública son dispositivos virtuales de seguridad de red implementados en la nube pública. Como regla general, los firewalls de nube pública suelen ofrecen capacidades similares a las de los firewalls de hardware. Sin embargo, en implementaciones de nube híbrida, los firewalls de nube pública ofrecen ventajas significativas en comparación con los dispositivos locales en cuanto a escalabilidad, disponibilidad y extensibilidad. A veces llamados “firewalls virtuales”, estos dispositivos se conocen como “firewalls de nube pública” cuando se usan en esos entornos.

La necesidad de firewalls de nube pública

La seguridad para las aplicaciones basadas en la nube es una responsabilidad compartida entre el cliente y el proveedor de servicios en la nube (CSP). El CSP protege la infraestructura (hardware, software, redes e instalaciones) en la que se ejecutan los servicios. Sin embargo, las organizaciones que usan estos servicios son responsables de la seguridad de los sistemas operativos, las plataformas, el control de acceso, los datos, la propiedad intelectual, el código fuente y el contenido orientado al cliente que se encuentra en la infraestructura del proveedor (ver la figura 1). Muchos CSPs ofrecen firewalls como un servicio opcional, pero el usuario sigue siendo responsable de la configuración de políticas de firewall y la supervisión de amenazas.

Figura 1: Modelo de seguridad compartida para entornos basados en la nube

A medida que las empresas migran las aplicaciones existentes de sus centros de datos a la nube, suelen continuar usando firewalls locales para proteger los recursos basados en la nube. La ventaja de esta configuración es que resulta familiar y su eficacia está comprobada, pero es difícil y costosa de escalar, ya que requiere la inversión de grandes cantidades de dinero en hardware y software, además de los gastos de instalación, mantenimiento y actualización de los dispositivos locales. Además, muchas empresas son reacias a invertir en la redundancia necesaria para garantizar la alta disponibilidad de los firewalls. A las organizaciones globales también les resulta poco práctico extender la seguridad local a las aplicaciones dispersas a nivel mundial.

Beneficios de los firewalls de nube pública

Los firewalls de nube pública abordan las limitaciones de los firewalls locales y mucho más. Estos firewalls virtuales, que se ejecutan en la infraestructura del CSP, tienen alta disponibilidad porque aprovechan la inversión del CSP en energía y calefacción, ventilación y aire acondicionado (HVAC) redundantes, además de los servicios de red y los sistemas de respaldo automáticos a fin de evitar la pérdida de datos si se produce una falla del sitio. 

A medida que crece la presencia en la nube de una organización, los firewalls de la nube pública se escalan con facilidad mediante el agregado de instancias virtuales, sin necesidad de instalación ni mantenimiento de hardware. Incluso las amenazas que ocupan ancho de banda, como distributed denial-of-service (denegación de servicio distribuida - DDoS), pueden mitigarse con rapidez y de manera eficaz con los firewalls de nube pública.

A diferencia de los firewalls locales, los de nube pública se implementan cerca de los recursos que protegen. Gracias a esta configuración, se evita el gasto de banda ancha asociado con el envío de tráfico por red de retorno desde la región al centro de datos y se pueden reducir o eliminar las tarifas que imponen los CSPs al tráfico que cruza los límites regionales. Incluso el perímetro del CSP no constituye una barrera debido a los acuerdos de interconexión entre la mayoría de los principales CSPs.

Cómo funcionan los firewalls de nube pública

Al igual que los locales, los firewalls de nube pública identifican y controlan aplicaciones, otorgan acceso mediante políticas que establecen los usuarios y evitan que amenazas conocidas y desconocidas penetren el perímetro de red. Los firewalls de nube pública brindan visibilidad de las aplicaciones en todo un entorno de nubes múltiples; esto ayuda a las organizaciones a tomar decisiones informadas en cuanto a procedimientos y políticas de seguridad. La automatización y la gestión centralizada les permiten a los desarrolladores incorporar la seguridad de vanguardia en el ciclo de vida de desarrollo de las aplicaciones, lo que garantiza que la funcionalidad de seguridad pueda seguir el ritmo de las estrategias de desarrollo nativas de la nube y los principios de DevOps, como la integración y la entrega continuas (CI/CD). 

Dada la gran sofisticación de las amenazas avanzadas, las vulneraciones del perímetro son inevitables. Las ciberamenazas de hoy suelen comprometer a usuarios o estaciones de trabajo individuales y, luego, se trasladan lateralmente a través de una red, adquieren acceso a privilegios y ponen en riesgo aplicaciones y datos de misión crítica donde sea que se encuentren. Los firewalls de nube pública de nivel superior son compatibles con estrategias de segmentación y microsegmentación que aíslan aplicaciones y datos esenciales en segmentos seguros para bloquear el movimiento lateral de amenazas y optimizar el cumplimiento de las normas.

Los firewalls de nube pública funcionan mejor cuando están diseñados y configurados para trabajar en conjunto con soluciones de seguridad nativas del proveedor, sin brechas. Se recomienda que las organizaciones obtengan firewalls de nube pública de proveedores de ciberseguridad que hayan desarrollado sus soluciones en conjunto con los CSPs que planean emplear las organizaciones.

Casos de uso

Como se muestran en este análisis, los firewalls de nube pública son muy versátiles. Estos son algunos casos de uso típicos: 

• Proteger aplicaciones y datos de misión crítica: Los firewalls de nube pública aíslan las aplicaciones y los datos críticos en segmentos seguros en función de principios de Confianza Cero como un medio para controlar el acceso. Las arquitecturas de políticas basadas en zonas les permiten a las organizaciones generar políticas de control de acceso basadas en aplicaciones y usuarios, lo que protege el tráfico este‑oeste entre máquinas virtuales.
• Extender la seguridad a las oficinas sucursales: Las organizaciones implementan firewalls de nube pública para extender la seguridad a las oficinas sucursales. Como se mencionó, la naturaleza virtual de los firewalls de nube pública permite que se implementen casi en cualquier lugar del mundo; esta constituye una función muy atractiva para las empresas mundiales.
• Proteger los entornos definidos por software: Los firewalls de nube pública pueden proteger entornos definidos por software, incluidas las redes definidas por software y las redes de área extensa (SDNs y SD‑WANs). Las organizaciones pueden garantizar la seguridad de red consistente en toda la empresa, aislar puntos de ventas y otros sistemas críticos, y asegurar el flujo de tráfico en vivo en SD‑WANs.
• Proteger los recursos de nube privada: Los firewalls de nube pública pueden satisfacer las necesidades de seguridad de las nubes privadas, que son entornos de procesamiento a petición que usa una sola organización. En estos entornos, los firewalls virtuales ayudan a maximizar la inversión en entornos altamente virtualizados y reducir el tiempo que lleva el aprovisionamiento manual

Para obtener más información sobre los firewalls de nube pública, visite nuestro sitio web.