Durante más de 20 años, las empresas administraron sus propios firewalls o bien tuvieron dispositivos propios en sus centros de datos pero administrados por proveedores de servicios.

Esta última opción, se llama firewall administrado: un dispositivo administrado por un proveedor de servicios de seguridad (MSSP). El proveedor asume la administración del dispositivo firewall, llegando a su operación e incluso su política de seguridad en algunos casos, descargando de esas funciones al equipo interno de IT. En este caso, simplemente se traslada el “problema” de gestionar los dispositivos del equipo interno a uno externo, pero se mantiene la carga de trabajo y las tareas intrínsecas a la gestión de los Firewalls.

Firewall as a Service (FWaaS o FaaS) propone una nueva arquitectura: una transformación de un factor de forma de dispositivo a un verdadero servicio en la nube.

En el informe de Gartner de Hiper-Ciclo para protección de Infraestructura del 2016, se definió el FaaS como una nueva categoría emergente. Se definió FaaS como “… un servidor de seguridad entregado como un servicio basado en la nube o una solución híbrida (es decir, dispositivos en la nube y en las instalaciones)”.

La propuesta de FaaS es proporcionar una arquitectura más simple y más flexible mediante el aprovechamiento de la administración de políticas centralizada, múltiples funciones de cortafuegos empresariales y túnel de tráfico para mover total o parcialmente las inspecciones de seguridad a una infraestructura en la nube.

¿Qué es un FaaS?

FaaS ofrece un único servidor de seguridad lógico que está disponible en cualquier lugar, se adapta a cualquier carga de trabajo de tráfico, aplica una política unificada y se mantiene automáticamente por un proveedor de la nube.

Veamos estos elementos con más detalle:

• Instancia única de firewall global: Una instancia de firewall para toda la organización global es radicalmente diferente de la arquitectura actual que coloca un filtrado de seguridad de red en cada ubicación, un centro regional o un centro de datos.

Con FaaS, todos los recursos de la organización (centro de datos, sucursal, infraestructura en la nube o usuario móvil) se conectan al servicio global de FaaS y aprovechan todas sus capacidades de seguridad (control de aplicaciones, filtrado de URL, IPS, etc.) como lo harían con un Firewall de Nueva Generación (NGFW) que se encontrase en su conexión perimetral.

• Escala sin problemas para abordar la carga de trabajo de inspección: FaaS proporciona los recursos necesarios para realizar todo el procesamiento de seguridad en todo el tráfico, independientemente de la fuente o el destino.

Los equipos de IT ya no necesitan procesos de dimensionamiento complejos para determinar la capacidad del dispositivo necesaria para planificar los requisitos actuales y el crecimiento futuro. Si, por ejemplo, tenemos un aumento en el volumen de tráfico SSL por el despliegue de una nueva aplicación o servicio no programado o planificado al dimensionar el firewall, se puede sobrecargar la capacidad de gestión del tráfico del dispositivo o degradar otros servicios de inspección. FaaS puede escalar para adaptarse a estas necesidades sin interrumpir las operaciones de la empresa.

• Aplicación de una política unificada: Un único firewall, por diseño, tiene una sola política de seguridad. Si bien hemos hablado anteriormente de Orquestadores de Políticas de Seguridad o consolas multidominio (en caso de contar con un proveedor de Firewalls único) aún debe considerarse las instancias individuales de firewalls por ubicación y, a menudo, personalizar las políticas a los atributos únicos de las ubicaciones o funcionalidades necesarias y distintivas.

En entornos de firewall heterogéneos (a menudo creados debido a fusiones y adquisiciones), la política de seguridad es difícil de configurar e impone una mayor exposición a de la superficie de riesgo.

Con un solo firewall basado en la nube que aplica uniformemente la política de seguridad en todo el tráfico, para todas las ubicaciones y usuarios este problema se minimiza y simplifica, reduciéndose la superficie de riesgo y homogeneizándose.

• Automantenido: Uno de los aspectos más problemáticos y costosos de la gestión de cortafuegos es mantener el software/versión mediante parches y actualizaciones. Es un proceso arriesgado que puede afectar a la conectividad, generar ventanas de no disponibilidad y en general sobrecargar a los equipos de operaciones.

Muchos equipos de IT tienden a omitir o evitar por completo estas actualizaciones, primando la estabilidad, pero a menudo asumiendo riesgos de seguridad y no pudiendo beneficiarse de nuevas características y mejoras. Debido a que el software de firewall basado en la nube es mantenido por el proveedor de FaaS y es compartido por todos los clientes, el firewall se mantiene actualizado al solucionar rápidamente las vulnerabilidades y errores y evoluciona rápidamente con nuevas características y capacidades a las que los clientes pueden acceder de inmediato.

FaaS es una gran opción para los equipos de IT sobrecargados dentro de las empresas. En lugar de desperdiciar recursos en dimensionamiento, implementación, parcheado, actualización y configuración de numerosos dispositivos periféricos, el trabajo ahora puede centrarse en brindar un verdadero valor de seguridad al negocio a través de la detección temprana y la mitigación rápida del riesgo real.