En el mundo de la seguridad, el concepto de Defensa en Profundidad o Defensa por Capas está ampliamente extendido y justificado.

Disponer de varias soluciones tecnológicas, que nos permitan disponer de múltiples puntos de control en diferentes niveles de la organización y con diferentes tecnologías o fabricantes tiene su lógica y nos permite alcanzar niveles superiores de protección y control.

Llevado al mundo de los Firewalls la discursión tiene su miga. En este caso nosotros diríamos que si tiene su lógica, pero depende de la situación y otros factores. Veámoslos.

Lo primero que tendríamos que tener en cuenta es, en que parte de la organización (o capa, si lo preferimos) estamos considerando esta política. Si estamos hablando, por ejemplo, del perímetro y del Data Center, en donde además tenemos necesidades diferentes (funcionalidades de Next Generation Firewall en el perímetro y tradicionales de filtrado de paquetes en el Data Center), estaríamos de acuerdo. Diferentes fabricantes pueden tener diferentes fortalezas en cada una de las características comentadas, como puede ser, cobertura de seguridad por una parte y routing y rendimiento por otra. Sin embargo, si en ambos casos hablamos por ejemplo de funcionalidades NG, probablemente la coordinación, el coste de adquisición mantenimiento y operación no compensan un posible mínimo solapamiento de coberturas de seguridad y/o minimización de posibles bugs (ya bastante raros de por si en estas plataformas).

Igualmente tendremos que tener en cuenta si hablamos por ejemplo de organizaciones geográficamente dispersas y con necesidades de soluciones de tamaños muy diferentes el posible ahorro por una parte en la adquisición o bien la mejor adecuación a ciertas circunstancias, contra la mayor complejidad y coste de operación, así como la interconexión (por ejemplo, generación y mantenimiento de túneles VPN) de las diferentes plataformas.

La misma situación nos encontramos cuando hablamos de protección del mundo “físico” y los nuevos entornos SDN o de Cloud. Debemos tener muy en cuenta que, por muy alejados que parezcan estar en un principio, ambos mundos acabarán, antes o después, interconectados, y que dicha conexión puede generarnos más de un dolor de cabeza.

Siempre dispondremos de la posibilidad de contratar por encima de las soluciones de Firewall una herramienta de Orquestación que nos permita aunar lo mejor de ambos mundos y ocultar la complejidad y las problemáticas de gestión, pero también en este caso tendremos que evaluar los costes de dicha solución, así como nuestra madurez a la hora de definir y poner en práctica políticas de seguridad de más alto nivel.

Como vemos en este caso, no es tan fácil decidir a priori, sin evaluar las diferentes situaciones, cual es la mejor estrategia, que en otros casos de herramientas de Ciber Seguridad se ven con más claridad.

Aquí solamente hemos esbozado alguna de las situaciones que nos podemos encontrar, pero cada caso y cada organización es un mundo y es muy difícil generalizar y cubrir todos los supuestos.

Hay que evaluar los pros y los contras y realizar un estudio económico y de funcionalidad que no cubra solamente el momento de la compra (o incluso el mantenimiento de las licencias de la propia solución) sino los costes de gestión y operación, para decidir cuál es la mejor opción en cada caso.

NetSecure