Seguridad de Red Consolidada

Transcripción

1 Seguridad de Red Consolidada White Paper FORTINET OFRECE CONSOLIDACIÓN DE SEGURIDAD DE RED PROTECCIÓN DE RED EN TIEMPO REAL

2 Introducción Como profesional de TI dedicado a la seguridad de red, constantemente debes enfrentar una serie de amenazas en constante evolución y cada vez más requisitos de cumplimiento. Sin embargo, debes hacer un balance entre tu capacidad de administrar este dinámico panorama de amenazas y los muchos otros imperativos, incluyendo costos (tanto gastos de capital como gastos operativos), espacio limitado de centro de datos, capacidad de administración y cada vez más inquietudes ambientales. Este documento discute cómo la consolidación de seguridad de red utilizando una plataforma de Administración Integrada de Amenazas (UTM) puede ayudar a enfrentar los desafíos para una seguridad más eficiente, ahorros significativos en costos y una menor huella ambiental. El imperativo de consolidación Impulsada por el espacio, la energía, los presupuestos y otras limitaciones, la consolidación se ha convertido en un imperativo táctico y estratégico para los profesionales empresariales de TI en todos los niveles, desde el CIO hasta los demás puestos. Los beneficios de la consolidación, ya sean físicos o virtuales, son bien conocidos: menores costos, menos consumo de energía, mayor capacidad de administración y una mejor huella ambiental, entre otros. Gran parte de la atracción relacionada con la consolidación se concentra en su aplicación al centro de datos en general, o a los servidores de aplicaciones en particular. Sin embargo, si el punto de concentración radica solo en esto se pasa por alto un área en la que la consolidación ofrece aún más ventajas significativas: la seguridad de red. Consideremos que, en el caso de la consolidación de servidores de aplicaciones, la mayoría de los beneficios son, en cierto sentido, periféricos a la tarea fundamental del momento: la entrega de servicios de aplicaciones. Por el contrario, tal como se desarrolla debajo, consolidar la seguridad de red con una plataforma UTM ofrece mejoras significativas en la capacidad de lograr la tarea fundamental: administrar las distintas amenazas que enfrentan las redes empresariales. La consolidación de la seguridad de red también ofrece beneficios notables en cuanto a costos. De acuerdo con Gartner, la manera más importante en que las organizaciones de seguridad de información ahorraron en el 2008 fue aprovechando la convergencia de las funciones de seguridad establecidas en plataformas de seguridad basadas en red o basadas en hosts que ofrecen múltiples capas de seguridad en un solo producto para protección contra una creciente variedad de amenazas de red y contenido en evolución 1. De hecho, Gartner estimó que para el 2010, solo el 10% de las amenazas de seguridad emergentes exigirían soluciones de puntos tácticos en comparación con el 80% establecido en el De esta manera, la consolidación de seguridad de red es un verdadero negocio: incluye todos los beneficios que la consolidación ofrece para otras áreas de la empresa: menores costos, administración más fácil y muchos beneficios verdes, y una mayor seguridad! La tormenta perfecta La consolidación de la seguridad de red no podría haber llegado en mejor momento para los profesionales de TI que trabajan en la seguridad ya que se encuentran en el centro de una tormenta perfecta ocasionada por una convergencia de tres tendencias. En primer lugar, el lento crecimiento de los presupuestos de TI. En una encuesta reciente realizada a las personas a cargo de la toma de decisiones relacionadas con TI por Computer Economics, el crecimiento promedio esperado de los presupuestos de TI fue de solo el 2.5% 2. Y dado que los presupuestos de TI dependen en gran medida de las ganancias de la compañía, los tiempos difíciles que enfrenta la economía no hacen más que desacelerar la tasa de crecimiento. En segundo lugar, está la tendencia desafortunada en relación con la complacencia sobre las cuestiones de seguridad de red y cumplimiento, sino entre los profesionales de seguridad, entre el personal ejecutivo que controla el presupuesto. En cierto sentido, la seguridad de red ha sido víctima de su propio éxito al lidiar con nuevas amenazas y nuevos mandatos regulatorios como Sarbanes-Oxley. No hubo ningún titular que resalte los ataques basados en redes durante muchos años y muchos ejecutivos sintieron que la seguridad estaba bajo control. Existe además una tendencia a concentrarse en cuestiones relacionadas con el cumplimiento, a costa de cuestiones de seguridad más tradicionales dado que su impacto en los resultados finales se perciben más fácilmente y más en línea con las inquietudes a nivel ejecutivo. En tercer lugar, y quizás la más importante, existe la creciente complejidad de la seguridad de red: la creciente sofisticación de las amenazas, una carga de cumplimiento cada vez mayor y las vulnerabilidades a las que se expone la red constantemente con las nuevas aplicaciones y tecnologías. Las vulnerabilidades ya no se concentran tanto en la reputación de los hackers si no en el beneficio económico y el crimen organizado que se está instalando para aprovechar las debilidades de la seguridad de redes. Por supuesto, cuando se trata de ganancias, la innovación ocurre más rápidamente de manera que el alcance y potencia de las amenazas está cambiando más rápidamente. La carga de cumplimiento es más pesada que nunca, especialmente dada la necesidad de comprobar que todos los pasos posibles se tomaron para proteger los datos sensibles, lo cual exige un registro y una auditoría extensiva. Y por si esto fuera poco, el éxito de TI en la provisión de nuevas aplicaciones para el soporte de la innovación del negocio y ventaja competitiva, sin mencionar las aplicaciones populares como Skype y Facebook, ha inevitablemente agregado nuevas vías de ataque. 2

3 La consolidación de seguridad de red a través de la plataforma de UTM ofrece una manera de atravesar esta tormenta ofreciendo seguridad más eficiente a un menor costo que las soluciones de punto difíciles de integrar. Como bonificación, también promueve muchos aspectos de las iniciativas corporativas en pos del medioambiente. Optimizando la seguridad a través de la consolidación Como profesional de TI dedicado a la seguridad de red, constantemente debes enfrentar una serie de amenazas en evolución y Consolidar la seguridad de red mejora la seguridad de tres maneras: mediante una mejor integración, una administración más eficiente y una inteligencia de amenazas superior. Integración Mejorada Una mejor integración tanto a nivel de software como de hardware reafirma la seguridad ofreciendo una cobertura más completa de amenazas y una mejor escalabilidad. Cobertura más completa de amenazas Las amenazas que enfrentamos en la actualidad se basan tanto en la red como en el contenido. Las amenazas de red incluyen la denegación de servicio (siendo particularmente peligrosa la denegación de servicio distribuida utilizando redes zombies ), interceptación de redes y otras intrusiones y gusanos básicos. Estas amenazas se enfrentan utilizando firewalls, Sistemas de Prevención de Intrusos (IPS) y VPNs. Las amenazas basadas en contenido incluyen gusanos, virus, phishing y pharming, spyware, spam de correo electrónico y otros más sofisticados y requieren tecnologías de inspección de contenido como antivirus, antispam, filtrado web y otras similares. La creciente sofisticación de los atacantes, impulsada en parte por la progresiva participación del crimen organizado, también está incrementando la frecuencia de los ataques mezclados que combinan amenazas tanto a nivel de red como del contenido. Por ejemplo, el malware FunLove incluía un virus y un gusano, mientras que Bable.H de la familia FunBag esencialmente involucraban un virus como la carga útil de un gusano. Los ataques específicos, que negocian la velocidad de propagación para una penetración más furtiva y por ende más profunda en valiosos recursos, utilizan una mezcla similar. Por ejemplo, el phishing espía comienza con un mensaje de correo electrónico enviado a una audiencia específica predispuesta a utilizar ciertos sitios y servicios web, incluye un troyano (o un enlace que resultará en la descarga de uno) que monitorea el tráfico web, esperando los sitios particulares a los que pueda tener acceso (como por ejemplo, transacciones bancarias en línea). Cuando esto sucede, adquiere credenciales y otra información valiosa y luego la transmite a un sitio de compilación, por lo general a través de un IRC o de un canal encriptado. Al permitir la capacidad de compartir conocimiento entre las contramedidas, consolidar su seguridad de red con una plataforma de UTM puede incrementar en gran medida la capacidad de detectar y evitar no solo ataques estándar sino ataques multi-vectores más sofisticados. Por ejemplo, un sistema consolidado que asocia un motor antivirus basado en firma con un motor proactivo de prevención de intrusos será mucho más eficiente que una solución de una sola técnica. Del mismo modo, integrar las capacidades de filtrado web, antivirus e IPS de manera que permita los distintos motores para correlacionar la actividad puede incrementar en gran medida la capacidad de rechazar los ataques sofisticados. Esta correlación permite al sistema iniciar una defensa durante la fase más temprana posible del ataque, reduciendo la posibilidad de éxito y disminuyendo el daño relacionado. La integración de hardware ofrece beneficios adicionales. Un sistema operativo de seguridad de red común reforzado en el que todos los servicios innecesarios han sido eliminados y que se ajusta a las contramedidas soportadas es obviamente más seguro que los sistemas operativos múltiples, cada uno con sus propias vulnerabilidades y, en el caso de soluciones de proveedores múltiples, variados niveles de soporte. La consolidación puede eliminar el procesamiento redundante con distintas capacidades compartiendo la ejecución de rutinas comunes. Por ejemplo, crackear paquetes varias veces, una vez por cada contramedida, es altamente ineficiente y ocasiona latencia adicional en la red. Para reducir la latencia aún más, los sistemas de UTM diseñados específicamente deben emplear una aceleración de hardware cada vez que sea posible, lo cual también contribuye en gran medida a la escalabilidad de la solución. Por último, la consolidación ofrece una manera superior de incorporar capacidades de red múltiples como múltiples protocolos de enrutamiento (por ejemplo, RIP, OSPF, BGP), técnicas de traducción (por ejemplo, NAT, PAT), switching, VLANs, priorización de tráfico, sistemas virtuales, agrupamiento para el caso de fallas. La virtualización es particularmente importante para destrabar aún más la funcionalidad de seguridad, como la capacidad de crear dominios múltiples de seguridad y separados de manera que los recursos con distintos niveles de confianza puedan ser aislados y tratados de manera diferente. 3

4 Administración más eficiente Consolidar la seguridad de red a través de UTM puede mejorar en gran medida la productividad de los profesionales de seguridad, ofreciendo administración unificada y centralizada a todas las capacidades de la solución, que por supuesto también es necesaria para la escalabilidad. No existe por cierto manera práctica de unificar y centralizar la administración de una solución de seguridad de proveedores múltiples. Y aún si un solo proveedor ofreciera una solución basada en varios módulos, aún si fuera denominada Administración Integrada de Amenazas, la realidad es que dichos proveedores generalmente ensamblan en su oferta de una compilación de soluciones OEM. Esto es específicamente probable con los proveedores que están haciendo la transición de una oferta de amenaza única (como por ejemplo, Prevención de Intrusos) a la Administración Integrada de Amenazas: desarrollan su oferta de UTM agregando tecnologías de OEM a su competencia principal: el antivirus de un proveedor, la Prevención de Intrusos de otro, y así sucesivamente. Es muy posible que dichas soluciones puedan ofrecer un enfoque de administración fragmentada, parcialmente unificada cuya complejidad puede comprometer su capacidad de monitorear y contrarrestar las amenazas a nivel de red y contenido. Por contraste, muchas tareas de administración de seguridad son más fáciles con una solución verdaderamente consolidada. La centralización ofrece la capacidad de administrar dispositivos múltiples a la misma vez y soportar otras características de escalabilidad como políticas jerárquicas y capacidades flexibles de agrupamiento. Desde una sola consola, se pueden establecer o modificar todas las configuraciones relacionadas con un dominio determinado, o, según se deseara, en el caso de una administración basada en roles, globalmente entre todos los dominios. Las capacidades de registro unificado y reporte hacen que las auditorías de cumplimiento sean más fáciles, con la misma unificación aplicada al análisis de eventos y la correlación que no solo mejora la respuesta automática de la solución a las amenazas, sino que hace el análisis forense más rápido y fácil. Por último, se pueden administrar todas las clases de dispositivo utilizando un conjunto común de aplicaciones, lo cual es crítico para la capacidad de escalar la solución a media que crece la empresa. Inteligencia superior ante amenazas La consolidación da como resultado una inteligencia ante amenazas superior haciendo posible la unificación de investigación de amenazas, que es la investigación de base de los proveedores y el esfuerzo de desarrollo que provee la inteligencia de seguridad multi-capa para una administración exitosa de amenazas. Tradicionalmente había cierta rivalidad entre los investigadores de antivirus y los de vulnerabilidades. Sin embargo, a medida que los ataques se volvieron más complejos y multi-modo, demandaron un enfoque híbrido para la investigación de amenazas que combina estas dos disciplinas, así como otras. Así como permitir los distintos módulos de contramedidas en una solución de UTM para compartir el conocimiento hace que la respuesta a las amenazas sea más eficiente, un programa integrado de investigación y desarrollo a través de todos los tipos de amenazas ofrece contramedidas más precisas. Esta es otra área en la que los enfoques no consolidados por lo general no son suficientes, exactamente por las mismas razones que discutimos anteriormente bajo administración. Los proveedores que utilizan la tecnología OEM para complementar sus ofertas dependen de la investigación de amenazas ofrecidas por los proveedores. Esto hace que sea más difícil juzgar la calidad de la solución completa y esparce la responsabilidad de la calidad y actualización de la investigación. La existencia de otro enlace en la cadena de transmisión del laboratorio de investigación a los usuarios finales solo puede dificultar aún más garantizar una respuesta oportuna y la capacidad de respuesta del escritorio de ayuda del proveedor. Dado que el entendimiento de varias amenazas se esparce a través de los distintos proveedores, sin importar qué tan bueno sea el conocimiento especializado, el conocimiento compartido a través de las disciplinas es naturalmente limitado, lo cual dificulta aún más entender las amenazas multi-modo o cómo las distintas partes de la solución pueden funcionar en conjunto de manera más eficiente para contrarrestarlas. En cambio, la investigación de amenazas detrás de una solución de UTM verdaderamente consolidada incluirá un esfuerzo por parte de un equipo de investigadores altamente capacitados con experiencia en una amplia variedad de amenazas y contramedidas, respaldado por estructuras para compartir conocimiento y procesos diseñados para resaltar las maneras en que los ataques multi-modo pueden combinar las distintas amenazas. Del mismo modo, los miembros del equipo a cargo del desarrollo de contramedidas tendrán un entendimiento profundo de las sinergias ofrecidas al compartir el conocimiento de su solución de UTM. Esto hace que la detección de nuevas amenazas y el desarrollo de contramedidas adecuadas sean más rápidos y precisos. Dicho esfuerzo de investigación también debe ser global en su naturaleza, incluir sugerencias automatizadas de toda la base de dispositivos instalados así como medios manuales para que los clientes puedan reportar nuevas amenazas y resaltar la cooperación con los principales proveedores de infraestructura. Esto significa que es importante contar con una gran base instalada. Los proveedores más pequeños simplemente no pueden ofrecer el mismo grado de cobertura. 4

5 Reducir costos a través de la consolidación Los ejecutivos de seguridad de red enfrentan cada vez más los mismos imperativos de costos que otras áreas de la informática: mejorar servicios a la vez que se reduce el costo total de propiedad (TCO) en términos de gastos operativos (OpEx) y gastos de capital (CapEx). En seguridad, como en otras áreas de TI, los gastos operativos abarcan la mayor parte del presupuesto. Muchos de los beneficios de la consolidación de seguridad de red desde el punto de vista de gastos de capital son obvios. En primer lugar, hay costos iniciales menores dado que no se están comprando sistemas múltiples y existen aún ahorros menores provenientes de la reducción de cableado. Existe además el hecho de que en muchas empresas, el espacio de centros de datos es cada vez más críticamente limitado de manera que cualquier posible reducción en el espacio en bastidor es importante para evitar la expansión de las instalaciones. La virtualización también contribuye a la reducción de los gastos de capital haciendo posible la administración de dominios múltiples de seguridad sin agregar más equipos. Quizás el beneficio más importante del costo total de propiedad (TCO) de una plataforma consolidada de seguridad de red incluye escalabilidad. Rara vez una empresa implementará todos los aspectos de la UTM de manera inmediata. Es más probable que se empiece con la consolidación de unas pocas funciones de seguridad, quizás firewall, VPN e IPS, luego se podría considerar agregar otras, quizás reemplazando una sola función de antivirus, filtrado Web u otros productos casi al final de sus vidas útiles. Con una solución consolidada, esas capacidades ya están allí. No se necesita comprar ni instalar más módulos. Por lo general, una simple suscripción es todo lo que se necesita. Es bastante similar a la práctica de comprar fibra oscura en exceso de las necesidades de ancho de banda de la actualidad y luego iluminarla cuando fuera necesario. De ese modo, la consolidación ayuda a preservar el valor de sus inversiones en seguridad facilitando la incorporación de una nueva funcionalidad con una inversión mínima de capital. La consolidación de red ofrece aún mayores beneficios en gastos operativos. Tal como se observó anteriormente, los proveedores múltiples, o aún los módulos múltiples de un solo proveedor, imponen una carga mayor de administración. Esto fuerza a su personal de seguridad a un modo reactivo, con las luchas constantes que quitan tiempo para iniciativas proactivas para respaldar el crecimiento del negocio. Además, con un enfoque de consolidación, la capacitación, el mantenimiento, el soporte y las suscripciones de servicios de actualización de amenazas no solo serán menos costosos sino que más simples y más rápidos ya que se estará lidiando solo con la interfaz de administración y un grupo de actualizaciones de un proveedor. Preservar el medioambiente con la consolidación La concientización ambiental es un tema que los clientes están considerando cada vez más en relación con los proveedores con los que hacen negocios. Por ejemplo, conforme a IDC, más del 50% de los clientes toman en consideración la actitud de los proveedores en relación con el medioambiente al momento de seleccionarlo, y un tercio evalúa la disponibilidad de ofertas verdes de un proveedor de TI como importante o muy importante 3. Esto viene directamente de la parte superior de la cadena de administración también: la informática verde está creciendo en importancia para casi el 80% de los ejecutivos. Sin embargo, del mismo modo que adoptar medidas para preservar el medioambiente puede ayudar a la reputación de la compañía, IDC también observa que el conductor número uno para la adopción de una informática verde es la reducción de costos operativos. La consolidación naturalmente significa el uso más eficiente de energía en el hardware (por ejemplo, compartir la fuente de energía y la ventilación), especialmente en el caso de soluciones de UTM basadas en chasis y blade y, en consecuencia, facturas de energía eléctrica más bajas. Como ejemplo de las posibles reducciones de costos, se considera solo una parte pequeña de la infraestructura de seguridad de red: la defensa del perímetro entre el dispositivo principal de Internet y la infraestructura de red privada. Es común encontrar un firewall, un concentrador de VPN, un sistema de prevención de intrusos, un sistema antivirus y un sistema de filtrado web implementado aquí de modo de cadena tipo margarita: cinco dispositivos ofreciendo un servicio de seguridad en una sola función. Utilizando un estimado muy conservador de 300 watts por dispositivo, el consumo de energía para esta infraestructura de seguridad totaliza 1500 watts. Reemplazando estos sistemas independientes con un sistema de seguridad de red consolidado, un solo sistema de 300 watts ofrece las mismas funciones con solo 20% del costo de la energía recurrente. Esta reducción de energía también reduce los costos de enfriamiento de dos maneras. En primer lugar, cada watt de energía consumido por el equipo de TI requiere aproximadamente 0.8 watts de consumo de energía de enfriamiento. En segundo lugar, la huella física más pequeña facilita dirigir el aire frío, o aplicar distintas formas de enfriamiento líquido por bastidor para una transferencia más eficiente del calor. En términos generales, un menor consumo de energía significa una menor huella de carbono. Existe además una reducción del consumo de energía en todo el ciclo de vida: una fabricación más eficiente y menos hardware que reciclar al finalizar el ciclo de vida. Aún la reducción de cableado necesario hace una contribución, ya que el revestimiento de cables de PVC deja una gran huella ambiental tanto en su fabricación como en su reciclado. 5

6 Resumen Consolidar su seguridad de red con una solución de Administración Integrada de Amenazas verdaderamente unificada le ofrece una mejor protección de red, un uso más eficiente del presupuesto de capital, menores costos operativos mediante la reducción de la carga de administración y capacitación, soporte y costos de actualización de amenazas y preserva su inversión permitiéndole agregar la funcionalidad de seguridad sólida con poco o ningún hardware. A estos ahorros tangibles se le suman los beneficios verdes de consolidación, más notablemente una menor huella de carbono en todo el ciclo de vida del equipo. En resumen, la consolidación de seguridad de red ofrece ventajas tanto económicas como de reputación, lo cual la convierte en rs una de las mejores inversiones que pueden hacer los departamentos de TI de todos los tamaños. 1 Gartner: Cost Cutting While Improving IT Security, 20 de marzo de Computer Economics: Security Technology Spending Declines as Share of IT Budget, marzo de IDC: The Growing Importance of Green IT: Findings from IDC's U.S. Green IT Survey, noviembre de 2007 Acerca de Fortinet Fortinet es el pionero y proveedor líder de administración unificada de amenazas ASIC, o UTM, sistemas de seguridad que son utilizados por empresas y proveedores de servicio para incrementar la seguridad a la vez que reducen los costos operativos totales. Las soluciones de Fortinet fueron desarrolladas desde sus principios, hasta integrar múltiples niveles de protección de seguridad, incluyendo firewall, antivirus, prevención de intrusos, VPN, prevención de spyware y antispam, diseñados para ayudar a los clientes a recibir protección de amenazas al nivel de red y contenido. Aprovechando un ASIC personalizado y una interfaz unificada, las soluciones de Fortinet ofrecen funcionalidad avanzada de seguridad que escala de una oficina remota a soluciones basadas en chasis con administración y reporte integrados. Las soluciones de Fortinet ganaron múltiples premios en todo el mundo y son los únicos productos de seguridad certificados en seis programas por ICSA Labs: (Firewall, Antivirus, IPSec, SSL, IPS de redes y Anti-Spyware). Fortinet es una compañía privada y tiene sus oficinas centrales en Sunnyvale, California. FORTINET 1090 Kifer Road, Sunnyvale, CA USA Tel Fax Copyright 2008 Fortinet, Inc. Todos los derechos reservados. Fortinet, FortiGate, FortiOS, FortiAnalyzer, FortiASIC, FortiLog, FortiCare, FortiManager, FortiWiFi, FortiGuard, FortiClient, FortiReporter y la familia "Forti" de marcas son marcas comerciales o registradas de Fortinet Corporation en Estados Unidos y/u otros países. Los nombres de las compañías y productos reales que se mencionan en este documento podrían ser marcas comerciales de sus respectivos dueños. Licencia estadounidense No. 5,623,600. Si bien Fortinet intenta ofrecer información concisa en estos materiales, Fortinet no asume ninguna responsabilidad legal por la precisión o integridad de la información. Ninguna disposición contenida en el presente representa o contiene ninguna garantía o declaración obligatoria de carácter legal. Todos los materiales contenidos en esta publicación están sujetos a cambio sin previo aviso y Fortinet se reserva el derecho de cambiar, modificar, transferir o actualizar esta publicación sin previo aviso. WPR R1 6