Informe tcnico

Seleccin de un firewall de prxima generacin:

10 consideraciones clave
Requisitos imprescindibles para empresas medianas

Lo que aprender
Muchas empresas de tamao mediano han llegado a un momento crtico con respecto a la seguridad de sus
redes: deben reforzar su solucin de seguridad tradicional para abordar las nuevas tendencias que surgen de la
movilidad y la nube y enfrentarse a un panorama de amenazas cada vez mayor. Estas dinmicas complican el
desafo de mantener la seguridad de la red y complican la habilidad de la red para desempearse de manera
ptima para la empresa.
Los firewalls tradicionales no son eficaces para ver lo que los usuarios hacen, los tipos de aplicaciones a las que
acceden o los dispositivos que usan. Los firewalls de prxima generacin estn diseados para permitir cerrar
algunas brechas. En este documento se presentan 10 consideraciones para que las empresas medianas tengan
en cuenta al momento de evaluar una solucin de firewall de prxima generacin:
1.

El firewall est diseado sobre una base de firewall activo integral?

2.

La solucin admite acceso remoto seguro y resistente para usuarios mviles?

3.

El firewall proporciona proteccin proactiva contra amenazas?

4.

Puede el firewall mantener el rendimiento cuando se ejecutan diversos servicios de seguridad?

5.

La solucin ofrece visibilidad detallada de aplicaciones con control de aplicaciones exhaustivo?

6.

El firewall permite distribuir inteligencia de dispositivo, aplicaciones, red y usuario para impulsar la proteccin
sensible al contexto?

7.

El firewall ofrece seguridad web basada en la nube?

8.

Se puede implementar una solucin que garantice la funcionalidad futura y que escale a medida que su
organizacin crece?

9.

El proveedor de servicios de firewall, cuenta con servicios y soporte amplios para facilitar la ruta de
migracin?

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 1 de 8

10. El proveedor de firewall, ofrece opciones de financiacin atractivas para acelerar los tiempos de
implementacin?
Un firewall de prxima generacin debe proporcionar una solucin integrada que cuente con una amplia gama de
servicios de firewall de prxima generacin que sean asequibles y fciles de implementar y administrar. En este
informe lo ayudaremos a evaluar los firewalls de prxima generacin para que pueda escoger la mejor seleccin
para su empresa mediana.

Posibilidad de riesgo para la red: 100%

Segn el Informe anual de seguridad 2014 de Cisco, "todas las organizaciones deben suponer que han sido
hackeadas". 1 Los investigadores de Cisco Security Intelligence Operations (SIO) descubrieron que el trfico
malicioso se puede visibilizar en el 100% de las redes corporativas; es decir que existen evidencias de que
adversarios hayan penetrado estas redes y probablemente operen durante perodos prolongados sin ser
detectados. 2
Estos hallazgos resaltan los motivos por los cuales es fundamental que todas las organizaciones implementen una
solucin de firewall de prxima generacin que pueda proporcionar seguridad continua y visibilidad integral de la
red de seguridad. Los ataques son inevitables y los equipos de TI deben poder ser capaces de determinar el
alcance del dao, contener el evento, corregirlo y volver a llevar las acciones a la normalidad, rpidamente.

Transicin a un nuevo modelo de seguridad

Un firewall de prxima generacin es un componente importante de un modelo de seguridad centrado en las
amenazas. Es importante pasar a un modelo centrado en las amenazas para poder obtener visibilidad de la red y
responder adecuadamente a las amenazas antes, durante y despus de un ataque. A medida que evale los
firewalls de prxima generacin, recuerde que toda solucin debe:

Ofrecer proteccin integral: la defensa de la red dentro del panorama de amenazas modernas requiere
proteccin contra intrusiones y antimalware de clase empresarial, basada en la investigacin de
vulnerabilidades, clasificacin de la reputacin y otros factores crticos.

Trabajar con polticas empresariales: un firewall de prxima generacin debe ofrecer amplitud y
profundidad completas de aplicacin de polticas para el uso de aplicaciones. Tambin debe garantizar que
la colaboracin diversa y las aplicaciones Web 2.0 que se usen tanto para motivos personales como
profesionales puedan supervisarse y controlarse, en forma exhaustiva, en funcin de la poltica
empresarial.

Asegure polticas aplicadas por dispositivo y usuario: un firewall de prxima generacin debe ofrecer
una perspectiva completa de los dispositivos y usuarios que acceden a la red y desde qu ubicacin.
Adems, debe garantizar que las polticas de seguridad puedan diferenciarse segn usuario, grupo y tipo
de dispositivo (versin especfica de Apple iPhone, iPod, dispositivos mviles con Android, etc.).

Finalmente, cuando se habilitan diversos servicios, la solucin de firewall de prxima generacin no debera
degradar significativamente el rendimiento y, a la vez, debera garantizar proteccin, polticas, uniformidad y
contexto, todo de una vez, a velocidad de cable.
Tenga en cuenta estas preguntas clave al momento de elegir una solucin de firewall de prxima generacin:

1
2

Informe anual de seguridad 2014 de Cisco: https://grs.cisco.com/grsx/cust/grsCustomerSurvey.html?SurveyCode=9115&KeyCode=000420186.

Ibd.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 2 de 8

1. El firewall est diseado sobre una base de firewall activo integral?

Un firewall de prxima generacin debe comprender tanto el trfico de red como el de las amenazas. Una solucin
diseada sobre una base de firewall activo integral puede proporcionar visibilidad a las brechas de seguridad
potenciales, tales como puertos abiertos. El firewall debe contar con un motor de inspeccin activa amplio que
permita proteger recursos fundamentales y, al mismo tiempo, ofrecer confiabilidad y seguridad de alto rendimiento.
El firewall de prxima generacin debe maximizar la seguridad de la red con polticas claras y determinsticas de
capa 3 y 4. Funcionalidades tales como la red privada virtual (VPN) de sitio a sitio, la traduccin de direcciones de
red (NAT) y el routing dinmico tambin permiten ofrecer seguridad perimetral resistente y un acceso confiable y
seguro.
El firewall de prxima generacin tambin debe poder identificar qu usuarios se conectan a la red y desde qu
lugar, los dispositivos que usan y las aplicaciones y sitios web a los que acceden. Asegrese de que su firewall
tambin ofrezca visibilidad a los usuarios, los dispositivos y las aplicaciones.

2. La solucin admite acceso remoto seguro y resistente para usuarios mviles?

Los usuarios de hoy en da exigen acceso a la red desde cualquier lugar y en cualquier momento desde una
variedad de dispositivos mviles personales y de la empresa. Pero la apertura de la red para asignar este tipo de
acceso lleva a una prdida de control y visibilidad. Para proporcionar conectividad segura desde el dispositivo a la
aplicacin y, al mismo tiempo, proteger la red, las organizaciones deben saber, en todo momento, quines son los
usuarios y qu tipos de dispositivos usan para acceder a la red.
Un firewall de prxima generacin que puede habilitar el reconocimiento de dispositivo, la aplicacin y la identidad
del usuario le permite aplicar control de acceso y reducir las amenazas segn el contexto de la solicitud. Los
controles exhaustivos de identidad de toda la red y del comportamiento en combinacin con la tecnologa VPN
pueden ayudarlo a proteger su red y usuarios mviles.

3. El firewall proporciona proteccin proactiva contra amenazas?

Un firewall de prxima generacin preventivo bloquear la mayora (> 80%) del malware en la gateway, y requiere
intervencin mnima de los administradores.
Busque una base de datos de filtrado web slida e integrada. Las soluciones de filtrado web que le permiten crear
ms de una poltica de filtrado URL le permiten distribuir acceso diferenciado a Internet. Puede crear reglas de
filtrado web o URL para distintos usuarios y grupos, conforme a sus requisitos.

4. Puede el firewall mantener el rendimiento cuando se ejecutan diversos servicios de

seguridad?
La compra, la implementacin y, luego, la administracin de diversos mdulos de servicio de seguridad exclusivos
es un proceso costoso y complejo. Antes, esta era la nica forma en que las organizaciones podan escalar a
medida que sus necesidades cambiaban. Hoy en da, con los firewalls de prxima generacin, puede reducir la
cantidad de cajas para administrar e implementar con una nica solucin que combina soluciones de firewall,
VPN, seguridad web, antimalware y de sistema de prevencin de intrusiones (IPS).
El hardware de aceleracin de seguridad especficamente diseado (por ejemplo, expresiones regulares y cifradas
para acelerar el procesamiento de IPS y VPN) debe formar parte de la plataforma base para distribuir diversas
capas de seguridad avanzada por sobre el firewall y sin impacto en el rendimiento.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 3 de 8

A fin de simplificar la administracin, busque servicios de seguridad avanzada que puedan activarse simplemente
mediante la activacin de la licencia de software adecuada. Los servicios de seguridad ampliados deben
distribuirse con impacto mnimo sobre el rendimiento de red.

5. La solucin ofrece visibilidad detallada de aplicaciones con control de aplicaciones

exhaustivo?
Las organizaciones no pueden controlar lo que no ven. A fin de garantizar un uso aceptable y que las polticas de
seguridad se apliquen dentro de sitios web Web 2.0 que contienen aplicaciones integradas, una solucin de
firewall de prxima generacin debe poder identificar y controlar, con precisin, las aplicaciones individuales que
utilizan firmas de aplicaciones u otros mtodos.
Los servicios de firewall de prxima generacin que ofrecen controles muy detallados permiten a los clientes crear
polticas de firewall que coinciden con las necesidades empresariales variadas de hoy en da. El control de
aplicaciones exhaustivo es fundamental, si se tiene en cuenta el volumen de acciones que pueden realizarse
dentro de una aplicacin usada comnmente tal como lo es Facebook: publicacin de contenido, poner "me gusta"
en el estado de un usuario, enviar un correo electrnico, chat, y ms. Los administradores deben poder identificar
fcilmente miles de aplicaciones y microaplicaciones, tales como juegos para Facebook (por ejemplo, FarmVille,
CandyCrush Saga y Bingo Blingo), mensajes de Facebook, chat de Facebook, al momento de tomar decisiones
sobre control de acceso.
Un firewall de prxima generacin debe poder identificar el comportamiento de aplicaciones: qu medidas toma un
usuario dentro de una aplicacin. Los administradores tambin deben poder establecer controles exhaustivos para
categoras especficas, como videos de Facebook (por ejemplo, permitir que los usuarios vean y etiqueten videos,
pero que no puedan subir videos).

6. El firewall permite distribuir inteligencia de dispositivo, aplicaciones, red y usuario para

impulsar la proteccin sensible al contexto?
La inteligencia de red permite a las organizaciones establecer polticas de seguridad diferenciadas para usuarios,
particularmente para quienes ingresan a la red desde otras ubicaciones y para quienes usan sus propios
dispositivos. Busque un firewall que le permita respaldar las prcticas de "traiga su propio dispositivo" (BYOD) de
su organizacin de una manera ms segura.
La visin de los perfiles de dispositivos, estado de los dispositivos y detalles de autenticacin 802.1x permiten a
las organizaciones ofrecer un control de acceso granular uniforme.

7. El firewall ofrece seguridad web basada en la nube?

La proteccin contra amenazas a travs de la nube puede ayudar a las organizaciones de todos los tamaos a
obtener un permetro de seguridad altamente distribuido que puede habilitar el uso de nuevas aplicaciones y
proteger a todos los usuarios de manera proactiva.
Busque un firewall que proporcione proteccin de da cero a todos los usuarios, sin importar su ubicacin. Una
mejor prctica es ofrecer seguridad web, control de aplicaciones, administracin e informes completamente
integrados en un servicio basado en la nube que proporcione control y seguridad lderes en la industria, con un
99,999% de disponibilidad y tiempo activo con proteccin contra amenazas de da cero a travs de anlisis
heursticos.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 4 de 8

8. Se puede implementar una solucin que garantice la funcionalidad futura y que escale a
medida que su organizacin crece?
A medida que una organizacin ampla sus operaciones, sus necesidades de seguridad cambian. Pero la
escalacin de las soluciones de seguridad para cumplir con las cambiantes necesidades empresariales no debe
ser muy onerosa ni incrementar la complejidad de administracin.
Un firewall de prxima generacin debe ser una solucin integrada y fcil de administrar que respalde a su
organizacin a medida que crece. Su firewall de prxima generacin reduce los gastos operativos y de capital
mediante la consolidacin de diversas soluciones de seguridad incluidos firewall activo, puerta de enlace VPN,
control de aplicaciones, seguridad web, IPS y antimalware en un solo paquete? Simplifica la implementacin del
firewall de prxima generacin y reduce la complejidad de administracin con una consola de administracin
unificada y nica?
Adems, puede su proveedor permitirle escalar a medida que su organizacin crece y sus requisitos cambian?
Elija un nico proveedor que pueda ayudarlo a implementar una solucin de seguridad integral que incluya firewall
de prxima generacin, IPS de prxima generacin y proteccin avanzada antimalware para proteccin avanzada
contra amenazas que integre reconocimiento contextual en tiempo real, automatizacin de seguridad inteligente y
efectividad en la prevencin de amenazas lder del sector.

9. El proveedor de servicios de firewall, cuenta con servicios y soporte amplios para facilitar la
ruta de migracin?
La migracin a un firewall de prxima generacin es una tarea importante. Cada infraestructura empresarial es
nica y el mantenimiento de la seguridad mientras se transiciona a una nueva solucin exige una planificacin
detallada y una cuidadosa administracin de cambios. Incluso los perodos cortos de tiempo de inactividad pueden
debilitar la rentabilidad y la seguridad. Cualquier proveedor de firewall de prxima generacin o sus partners
certificados deben poder proporcionar amplia experiencia, conocimiento, prcticas de liderazgo y herramientas
(incluidas aquellas de terceros) para minimizar la interrupcin y respaldar la continuidad del negocio durante la
migracin, y hacerlo de manera rentable.
Adems de ofrecer soluciones de firewall innovadoras, el proveedor debe poder proporcionar servicios
profesionales para ayudar a mejorar su experiencia de migracin, minimizar las interrupciones y admitir la
continuidad del negocio durante la migracin.
Al momento de escoger un proveedor de firewall, asegrese de que el proveedor y sus partners especializados
puedan ayudar a que su organizacin logre una migracin a la vez precisa y completa. Ya sea que desee
actualizar a una nueva plataforma o migrar desde una plataforma de tercero, confirme que los proveedores de
servicios cuenten con amplia experiencia, conocimientos, prcticas de liderazgo y herramientas necesarias para
reducir los riesgos a medida que su organizacin migra a una solucin de prxima generacin. Pregunte por la
flexibilidad del servicio: el proveedor solamente realiza estos servicios a travs de prestacin en sitio? Se
pueden realizar de manera remota o mediante una combinacin de prestacin de servicios remotos y en sitio para
respaldar las necesidades, preferencias y sensibilidad de costos de su organizacin?
La asistencia tcnica luego de la instalacin tambin es una consideracin importante. Su proveedor le ofrece
personal de TI con acceso en cualquier momento (24 horas, los 365 das al ao) a ingenieros especializados? Le
proporcionan cobertura flexible del hardware, diagnsticos de dispositivos preventivos, recursos de soporte propio,
herramientas o capacitacin en lnea? Un excelente soporte tcnico le permite reducir los tiempos de inactividad
de la red y mantiene a su organizacin en funcionamiento.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 5 de 8

10. El proveedor de firewall, ofrece opciones de financiacin atractivas para acelerar los
tiempos de implementacin?
La propagacin del costo para una solucin de firewall de prxima generacin en el tiempo hace que la dedicacin
de presupuesto sea ms fcil y los pagos, ms administrables. Los proveedores que proporcionan financiacin le
dan a las organizaciones la libertad de adquirir la tecnologa que necesitan para hacer crecer sus negocios, as
como tambin la flexibilidad de reaccionar ante las cambiantes condiciones del mercado. La inversin en
tecnologas adecuadas sin tener que hacer grandes gastos de capital tambin permite que las organizaciones
canalicen los recursos financieros en otras reas de la empresa y que impulsen el xito. Busque opciones de
financiacin a tasas competitivas, con la flexibilidad para diferir pagos y financiar la solucin completa, desde la
tecnologa hasta los servicios.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 6 de 8

Mantngase un paso adelante de las amenazas y, al mismo tiempo, reduzca los costos y la
complejidad.
El firewall Cisco ASA de la serie 5500-X de prxima generacin (NGFW) permite a las empresas medianas
cumplir con las consideraciones clave mencionadas para que puedan mantenerse un paso adelante de las
amenazas emergentes de hoy en da con inteligencia de seguridad colectiva. Permite a los administradores ver y
controlar la actividad del usuario, el acceso de los dispositivos y el comportamiento malicioso. Adems, reduce la
complejidad, los gastos operativos y de capital ya que cuenta con menos cantidad de dispositivos que administrar
e implementar. Cisco, en conjunto con Sourcefire, ofrece seguridad de la red de prxima generacin para abordar
sus requisitos en cuanto a BYOD, la nube y amenazas emergentes.
Figure 1.

Cisco redefine el firewall de prxima generacin con NGFW ASA 5500-X.

Los Servicios de migracin para firewalls de Cisco, distribuidos por ingenieros de seguridad de Cisco o partners
especializados en seguridad de Cisco, permiten a las organizaciones migrar perfectamente hacia la nueva
plataforma Cisco ASA 5500-X NGFW. Cisco ofrece orientacin y soporte de expertos para ayudar a que las
organizaciones mantengan su seguridad durante una migracin y a mejorar la precisin e integridad del proceso.
El servicio Cisco SMARTnet permite reducir el tiempo de inactividad de la red y otros problemas crticos de la red
con acceso a soporte tcnico de expertos las 24 horas, los 365 das del ao, as como tambin cobertura flexible
del hardware y diagnsticos preventivos de dispositivos. La financiacin de Cisco Capital se encuentra disponible
con trminos que cumplen con sus requisitos empresariales y financieros.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 7 de 8

Visite:
www.cisco.com/go/asa para obtener ms informacin sobre el NGFW Cisco ASA 5500-X
www.cisco.com/go/services/security para obtener ms informacin sobre los Servicios de migracin para firewalls
de Cisco
www.cisco.com/go/smartnet para obtener ms informacin sobre el servicio Cisco SMARTnet
www.ciscocapital.com para obtener informacin adicional y para encontrar un representante local de Cisco Capital

Impreso en EE. UU.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

C11-730935-00

02/14

Pgina 8 de 8