Qué esperar de la próxima generación de pasarelas web seguras

Por Michael Schneider - Director de Gestión de Productos, Skyhigh Security

29 de abril de 2022 5 Minuto de lectura

Tras más de un siglo de innovación tecnológica desde que las primeras unidades salieron de las cadenas de montaje de Henry Ford, los automóviles y el transporte tienen poco en común con la época del Modelo T. Esta evolución continuará a medida que la sociedad encuentre mejores formas de lograr el resultado de trasladar a las personas del punto A al punto B.

Mientras que los Secure Web Gateways (SWG) han funcionado con un calendario mucho más comprimido, se ha producido una evolución igualmente drástica. Los SWG siguen centrándose en gran medida en garantizar que los usuarios estén protegidos de los rincones inseguros o no conformes de Internet, pero la transición a un mundo de nube y trabajo remoto ha creado nuevos retos de seguridad que el SWG tradicional ya no está equipado para manejar. Ha llegado la hora de la próxima generación de SWG que puedan capacitar a los usuarios para desenvolverse con seguridad en un mundo cada vez más descentralizado y peligroso.

Cómo hemos llegado hasta aquí

En realidad, el SWG empezó como una solución de filtrado de URL que permitía a las organizaciones asegurarse de que la navegación web de los empleados cumplía la política corporativa de acceso a Internet.

El filtrado de URL pasó entonces a los servidores proxy situados detrás de los cortafuegos corporativos. Dado que los proxies terminan el tráfico procedente de los usuarios y completan la conexión con los sitios web deseados, los expertos en seguridad vieron rápidamente el potencial de realizar una inspección más exhaustiva que la mera comparación de las URL con las listas negras existentes. Al incorporar antivirus y otras funciones de seguridad, el "Secure Web Gateway" se convirtió en una parte fundamental de las arquitecturas de seguridad modernas. Sin embargo, el SWG tradicional sólo podía desempeñar este papel si era el punto de estrangulamiento de todo el tráfico de Internet, situándose en el borde de cada perímetro de la red corporativa y haciendo que los usuarios remotos volvieran a pasar por esa red a través de enlaces VPN o MPLS.

SWG de nueva generación

La transición a un mundo de trabajo en la nube y a distancia ha impuesto nuevas cargas al tradicional SWG basado en el perímetro. Ahora los usuarios pueden acceder directamente a la infraestructura de TI y a los recursos conectados desde prácticamente cualquier lugar y desde una variedad de dispositivos diferentes, y muchos de esos recursos ya no residen dentro del perímetro de la red en servidores corporativos.

Esta notable transformación también amplía los requisitos para la protección de datos y amenazas, dejando a los equipos de seguridad lidiando con una serie de nuevas y sofisticadas amenazas y retos de cumplimiento. Por desgracia, los GDS tradicionales no han sido capaces de seguir el ritmo de este panorama de amenazas en evolución, lo que ha dado lugar a una arquitectura ineficaz que no consigue aprovechar el potencial de la fuerza de trabajo distribuida.

Casi todas las infracciones importantes implican ahora sofisticados componentes web multinivel que no pueden ser detenidos por un motor estático. El enfoque tradicional de los SWG ha sido coordinarse con otras partes de la infraestructura de seguridad, incluidas las cajas de arena de malware. Pero a medida que las amenazas se han vuelto más avanzadas y complejas, hacer esto ha supuesto ralentizar el rendimiento o dejar que las amenazas pasen. Aquí es donde Remote Browser Isolation (RBI) aporta un cambio de paradigma a la protección contra amenazas avanzadas. Cuando RBI se implementa como un componente integral de la inspección de tráfico SWG, puede ofrecer protección en tiempo real y de día cero contra ransomware, ataques de phishing y otro malware avanzado, de modo que ni siquiera las amenazas más sofisticadas puedan pasar, sin entorpecer la experiencia de navegación.

Otro problema de la mayoría de los SWG tradicionales es que no son capaces de proteger suficientemente los datos a medida que fluyen de los usuarios distribuidos a las aplicaciones en la nube, debido a que carecen de una protección de datos avanzada y de inteligencia de las aplicaciones en la nube. Sin una tecnología Data Loss Prevention (DLP) lo suficientemente avanzada como para comprender la naturaleza de las aplicaciones en la nube y seguir el ritmo de la evolución de las exigencias de seguridad, las organizaciones pueden encontrar lagunas de protección de datos en sus soluciones de SWG que las mantengan vulnerables a los riesgos.

Por último, está la cuestión de las aplicaciones en la nube. Aunque las aplicaciones en la nube operan en la misma Internet que los sitios web tradicionales, funcionan de una forma fundamentalmente diferente que los SWG tradicionales simplemente no pueden entender. Los agentes de seguridad de acceso a la nube (CASB, por sus siglas en inglés) están diseñados para proporcionar visibilidad y control sobre las aplicaciones en la nube, y si el SWG no tiene acceso a una base de datos de aplicaciones CASB exhaustiva y a controles CASB sofisticados, está efectivamente ciego ante la nube. Sólo un SWG consciente de la nube con funcionalidad CASB integrada puede ampliar la protección de datos a todos los sitios web y aplicaciones en la nube, permitiendo a las organizaciones y a sus usuarios estar mejor protegidos contra las amenazas avanzadas.

Lo que necesitamos de los SWG de nueva generación

Un SWG de nueva generación debe ayudar a simplificar la implantación de la arquitectura Security Service Edge y contribuir a acelerar la adopción de la nube segura. Al mismo tiempo, debe proporcionar una protección avanzada frente a las amenazas, un control unificado de los datos y habilitar de forma eficiente una plantilla remota y distribuida.

Estos son algunos de los casos de uso:

• Habilite una fuerza de trabajo remota con una arquitectura directa a la nube que ofrece una disponibilidad del 99,999%. A medida que los países y estados salían poco a poco de las órdenes de refugio en el lugar, muchas organizaciones indicaron que el apoyo a una fuerza de trabajo remota y distribuida será probablemente la nueva norma. Mantener la productividad de los trabajadores remotos, la seguridad de los datos y la protección de los puntos finales puede resultar a veces abrumador. Un SWG de nueva generación debe proporcionar a las organizaciones la escalabilidad y la seguridad necesarias para dar soporte a la fuerza de trabajo remota y al ecosistema digital distribuido de hoy en día. Una arquitectura nativa de la nube ayuda a garantizar la disponibilidad, reducir la latencia y mantener la productividad de los usuarios desde cualquier lugar en el que trabaje su equipo. Un verdadero servicio nativo de la nube debería ofrecer una disponibilidad de cinco nueves (99,999%) de forma constante.
• Reduzca la complejidad administrativa y disminuya los costes - Hoy en día, con el aumento de la adopción de la nube, más del 80% del tráfico se destina a Internet. Llevar el tráfico de Internet a una arquitectura tradicional "Hub and Spoke", que requiere costosos enlaces MPLS, puede resultar muy costoso. La red se detiene cuando el tráfico se dispara, y las VPN para trabajadores remotos han demostrado ser ineficaces. Un SWG de nueva generación debería ser compatible con el marco SASE y proporcionar una arquitectura directa a la nube que disminuya los costes operativos totales al reducir la necesidad de costosos enlaces MPLS. Con un modelo de entrega SaaS, los SWG de próxima generación eliminan la necesidad de desplegar y mantener una infraestructura de hardware, lo que reduce los costes operativos y de hardware, al tiempo que aumenta el rendimiento, la fiabilidad y la escalabilidad.
• Bloquee sus datos, no su negocio - Más del 95% de las empresas utilizan hoy en día servicios en la nube, pero sólo el 36% de las empresas pueden aplicar en absoluto las normas de DLP en la nube. Además, la mayoría de los SWG tradicionales no son capaces de proteger suficientemente los datos a medida que fluyen de los usuarios distribuidos a las aplicaciones en la nube, debido a la falta de protección avanzada de los datos y de inteligencia de las aplicaciones en la nube. Un SWG de nueva generación debería ofrecer una forma más eficaz de aplicar la protección con plantillas integradas en Data Loss Prevention y flujos de trabajo de protección de datos en línea para evitar que los datos restringidos fluyan fuera de la organización. Una protección de datos de dispositivo a nube ofrece una visibilidad completa de los datos y controles coherentes en todos los puntos finales, usuarios, nubes y redes. Con la tecnología DLP incorporada, los SWG de nueva generación garantizan que las organizaciones sigan cumpliendo las políticas de seguridad corporativas, así como las normativas industriales y gubernamentales.
• Defiéndase contra amenazas conocidas y desconocidas - A medida que la Web sigue creciendo y evolucionando, los ataques de malware nacidos en la Web también crecen y evolucionan, más allá de la protección que pueden proporcionar los SWG tradicionales. El ransomware, el phishing y otras amenazas avanzadas basadas en la web están poniendo en peligro a los usuarios y a los puntos finales. Un SWG de nueva generación debería contar con los controles de seguridad integrados más avanzados, incluyendo inteligencia global sobre amenazas y sandboxing, para que ni siquiera las amenazas más sofisticadas puedan pasar. Un SWG de nueva generación con soluciones de protección contra amenazas que trabajen conjuntamente es capaz de garantizar políticas coherentes, protección de datos y visibilidad en todo el tráfico aislado y no aislado. Un SWG de próxima generación también debería incluir Remote Browser Isolation integrado para evitar que las amenazas desconocidas lleguen a los puntos finales.

Está claro que los SWG han recorrido un largo camino desde que sólo eran dispositivos de filtrado de URL hasta el punto en que son esenciales para fomentar la adopción segura y acelerada de la nube. Pero tenemos que ir mucho más allá. La transformación digital no exige menos.

Volver a Blogs