Los cortafuegos de nube pública son dispositivos virtuales de seguridad de la red que se implementan en la nube pública. Por lo general, sus funciones son similares a las de los cortafuegos de hardware. Sin embargo, en las implementaciones de nube híbridas, los cortafuegos de nube pública ofrecen bastante más escalabilidad, disponibilidad y extensibilidad que los dispositivos locales. En realidad, son lo mismo que los llamados «cortafuegos virtuales», pero se denominan «cortafuegos de nube pública» cuando se utilizan en este tipo de entornos.

La necesidad de implementar cortafuegos de nube pública

La seguridad de las aplicaciones basadas en la nube es una responsabilidad compartida entre el cliente y el proveedor de servicios en la nube (CSP, por sus siglas en inglés). El CSP protege la infraestructura —el hardware, el software, las redes y las instalaciones— que ejecuta sus servicios. Sin embargo, las organizaciones que utilizan estos servicios son responsables de la seguridad de los sistemas operativos, las plataformas, los controles de acceso, los datos, la propiedad intelectual, el código fuente y el contenido dirigido al cliente, elementos que también hacen uso de la infraestructura del proveedor (véase la figura 1). Muchos CSP ofrecen cortafuegos como servicio de forma opcional, pero el usuario sigue siendo el responsable de configurar las políticas de cortafuegos y de supervisar las amenazas.

Figura 1: Modelo de seguridad compartida para entornos basados en la nube

Muchas empresas, durante el proceso de migrar sus aplicaciones desde los centros de datos hasta la nube, continúan utilizando los cortafuegos locales para proteger sus activos basados en la nube. Esta configuración tiene sus ventajas, pues les resulta conocida y saben que funciona, pero resulta difícil y cara de escalar, ya que requiere una inversión en hardware y software bastante elevada, así como el trabajo extra de instalar, mantener y actualizar los dispositivos locales. Además, muchas empresas son reticentes a invertir en la redundancia necesaria para garantizar la alta disponibilidad de sus cortafuegos. Por otra parte, a las organizaciones multinacionales les resulta poco práctico hacer extensiva la seguridad interna a las aplicaciones que tienen dispersas por todo el mundo.

Ventajas de los cortafuegos de nube pública

Una de las ventajas de los cortafuegos de nube pública es que palían las limitaciones de los cortafuegos locales. Estos cortafuegos virtuales, que se ejecutan en la infraestructura del CSP, ofrecen alta disponibilidad porque aprovechan las inversiones del CSP en potencia y sistemas de calefacción, refrigeración y ventilación redundantes, así como los servicios de red y los sistemas de copia de seguridad automatizada que previenen la pérdida de datos en caso de que se produzca algún fallo en el emplazamiento. 

Conforme una organización se hace más presente en la nube, los cortafuegos de nube pública se adaptan sin dificultad añadiendo instancias virtuales, sin que haga falta instalar ni mantener ningún hardware. Incluso las amenazas que acaparan el ancho de banda, como los ataques por denegación de servicio distribuido (DDoS, por sus siglas en inglés), pueden mitigarse de forma rápida y efectiva por medio de cortafuegos de nube pública.

A diferencia de los cortafuegos locales, los de nube pública se implementan muy cerca de los activos que protegen. Esta configuración evita el despilfarro de ancho de banda que supone desviar el tráfico desde una determinada región hasta el centro de datos y puede reducir o eliminar los cargos que el CSP aplica al tráfico que atraviesa diferentes regiones. Ni siquiera el perímetro del CSP constituye una barrera, gracias a los acuerdos de interconexión entre la mayoría de los principales CSP.

Cómo funcionan los cortafuegos de nube pública

Los cortafuegos de nube pública, como sus homólogos locales, identifican y controlan las aplicaciones, conceden acceso mediante políticas basadas en el usuario e impiden que las amenazas conocidas y desconocidas traspasen el perímetro de la red. Además, proporcionan visibilidad de las aplicaciones en entornos de varias nubes enteros, lo que ayuda a las organizaciones a tomar decisiones mejor fundadas acerca de las políticas y los procedimientos de seguridad. La automatización y la gestión centralizada permiten a los desarrolladores integrar mecanismos de seguridad de nueva generación en el ciclo de vida del desarrollo de aplicaciones, de manera que las funciones de seguridad se adapten a las estrategias de desarrollo de aplicaciones nativas en la nube y a los principios de DevOps, como los ciclos de integración/implementación continua (CI/CD, por sus siglas en inglés). 

Dado que las amenazas avanzadas son cada vez más sofisticadas, las brechas en el perímetro son inevitables. Las ciberamenazas actuales suelen atacar a estaciones de trabajo o usuarios concretos para después moverse de forma lateral por la red, obteniendo privilegios de acceso que no les corresponden y poniendo en riesgo las aplicaciones y datos vitales, estén donde estén. Los cortafuegos de nube pública de gama alta permiten implementar estrategias de segmentación y microsegmentación que aíslan las aplicaciones y datos vitales en segmentos seguros con el fin de bloquear el movimiento lateral de las amenazas y facilitar el cumplimiento normativo.

Los cortafuegos de nube pública funcionan mejor cuando están diseñados y configurados para utilizarse junto con las soluciones de seguridad nativas del proveedor, ya que así no hay problemas de integración. Lo ideal es que la organización adquiera cortafuegos de nube pública de proveedores de ciberseguridad que hayan desarrollado sus soluciones en colaboración con los CSP que la organización pretende utilizar.

Casos de uso

Como se ve, los cortafuegos de nube pública son de lo más versátil. A continuación veremos varios casos de uso típicos: 

• Protección de las aplicaciones y los datos vitales para la organización: para controlar el acceso, los cortafuegos de nube pública aíslan las aplicaciones y los datos vitales en segmentos seguros según los principios del modelo Zero Trust (confianza cero). Las arquitecturas de políticas divididas en zonas permiten a las organizaciones desarrollar políticas de control de acceso basadas en las aplicaciones y los usuarios, protegiendo el tráfico horizontal entre máquinas virtuales.
• Seguridad en las sucursales: las organizaciones implementan cortafuegos de nube pública para llevar la seguridad a sus sucursales. Como ya hemos mencionado, los cortafuegos de nube pública, que son de carácter virtual, pueden implementarse casi en cualquier lugar del mundo, lo que los convierte en una elección muy interesante para las empresas multinacionales.
• Entornos definidos por software seguros: los cortafuegos de nube pública pueden proteger entornos definidos por software, lo que incluye las redes definidas por software y las redes de área extensa definidas por software (SDN y SD-WAN, respectivamente, por sus siglas en inglés). Gracias a ellos, las organizaciones pueden garantizar el mismo nivel de seguridad de la red en toda su empresa, aislar los sistemas cruciales (como los de punto de venta) y proteger en tiempo real el tráfico de los datos que circulan por sus redes SD-WAN.
• Salvaguarda de los activos alojados en nube privada: los cortafuegos de nube pública también pueden satisfacer las necesidades de seguridad de las nubes privadas, que son entornos informáticos «a petición» utilizados por una sola organización. En estos casos, los cortafuegos virtuales ayudan a maximizar la inversión realizada en entornos muy virtualizados y, al reducir el aprovisionamiento manual, también ahorran tiempo.

Para obtener más información sobre los cortafuegos de nube pública, visite nuestro sitio web.