Analizamos FireCloud Internet Access

La solución SASE de WatchGuard permite proteger el acceso a aplicaciones y servicios desde cualquier ubicación, simplificando la gestión de políticas de seguridad tanto para departamentos TI como para proveedores de servicios gestionados. Comunicaciones Hoy ha probado FireCloud Internet Access y te contamos sus ventajas, capacidades de configuración y experiencia de uso.

La conectividad se ha convertido en uno de los eslabones más débiles de la cadena de la seguridad en los tiempos de la deslocalización. Hasta antes de la pandemia global, la modalidad preferida para trabajar era el desplazamiento a la oficina, que contaba con una infraestructura de seguridad tradicional, basada en firewalls, gateways y soluciones antivirus instaladas en los equipos de trabajo.

Con la pandemia, los trabajadores tuvieron que empezar a conectarse desde sus domicilios o desde ubicaciones fuera de la empresa, lo cual supuso, en un primer momento, tener que desplegar en domicilios y ubicaciones remotas, equipos de conectividad de red certificados como seguros por los departamentos TI correspondientes, así como utilizar de forma generalizada conexiones tunelizadas, que hasta entonces eran la excepción y no la regla.

A partir de ese momento, la tendencia ha sido la de deslocalizar la conectividad corporativa. Los trabajadores trabajan con sus equipos desde sus domicilios, coworkings, aeropuertos o cualquier otro lugar donde puedan desarrollar su actividad profesional.

Lo que se mantiene invariable, independientemente de dónde se conecten los usuarios, es la necesidad de que la conexión sea segura. La puerta de entrada y salida de datos en los equipos es, esencialmente, la conectividad de red. Así que, blindando la conexión de los portátiles y equipos de sobremesa y el tráfico de red asociado, los departamentos TI de las empresas tendrán una parte importante de la seguridad corporativa bajo control.

Posiblemente haya que orquestar políticas adicionales que gestionen localmente la seguridad de los equipos en lo que a los dispositivos conectados a través de los puertos USB se refiere, o en lo que concierne a las transferencias a través de Bluetooth o incluso NFC. La buena noticia la encontramos en que los equipos portátiles o PC profesionales, permiten definir políticas robustas para este tipo de tareas.

La pregunta que podemos hacernos, llegados a este punto, es la de cómo podemos blindar la conectividad de los equipos en cualquier ubicación. La respuesta la encontramos en la arquitectura SASE (Secure Access Service Edge) y en productos como FireCloud Internet Access de WatchGuard. La arquitectura SASE se compone de elementos como redes WAN definidas por software, seguridad como servicios, donde entre dichos servicios encontramos Secure Web Gateways (SWG) o Firewall as a Service (FWaaS) y metodologías Zero Trust para el control de acceso a partir de las credenciales y privilegios asociados a cada usuario.

Es importante destacar que la conectividad deslocalizada convive con las fórmulas de conectividad tradicionales en entornos on-premises. No se trata de dejar atrás a las fórmulas convencionales de conectividad, sino de añadir las fórmulas de conectividad que las empresas y organizaciones han ido adoptando como resultado de la adopción de metodologías de trabajo diferentes.

FireCloud se integra con WatchGuard Cloud de un modo consistente, compartiendo la gestión unificada de políticas con Firebox. Y se posiciona muy bien de cara a facilitar a los Managed Services Providers (MSPs) que ofrezcan a sus clientes propuestas de seguridad SASE adaptadas a modelos de trabajo deslocalizados o híbridos.

La superficie de ataque aumenta de forma considerable una vez que se adoptan modelos de trabajo deslocalizados o híbridos. Las empresas no se pueden permitir el lujo de que sus trabajadores vean comprometida la productividad o la integridad de los datos y aplicaciones empresariales cuando desarrollan su actividad en la modalidad de teletrabajo. Por no hablar de los riesgos asociados al robo de credenciales corporativas.

Por otro lado, las organizaciones precisan de soluciones de seguridad fáciles de desplegar y gestionar, ya sea a través de sus propios departamentos TI o de empresas que ofrezcan servicios gestionados de seguridad. FireCloud Internet Access se postula como una firme candidata para satisfacer las necesidades de organizaciones y empresas en cualquier sector en el ámbito de la seguridad.

La idea consiste, básicamente, en tunelizar la conexión entre el equipo del usuario y las aplicaciones, servicios o portales web a los que se conecten las fuerzas de trabajo móviles. Esta tunelización se llevaba a cabo tradicionalmente a través de VPNs, aunque esta tecnología está limitada por el hardware desplegado en las organizaciones para orquestar la tunelización de las conexiones, así como por la complicación asociada a la puesta a punto y configuración de la tunelización.

La clave está en llevar a la nube la gestión de la seguridad que antes se llevaba a cabo mediante equipos on-prem. De este modo, tanto los departamentos TI como los proveedores de servicios gestionados, como los usuarios, simplifican la operativa asociada a la seguridad de los equipos y los datos corporativos.

El centro neurálgico de FireCloud Internet Access es, de cara al usuario, el endpoint o agente que se instala en los equipos que emplea para acceder a las aplicaciones y servicios. Es el elemento a través del cual se recoge la telemetría necesaria para ofrecer los servicios de seguridad y gestión de las conexiones. De momento, podemos descargar el cliente para equipos Windows y Mac, aunque no para equipos Windows sobre ARM. Paulatinamente, WatchGuard extenderá el ámbito de aplicación de sus endpoints.

Para los departamentos TI y los MSPs, el centro neurálgico de FireCloud Internet Access es WatchGuard Cloud, el portal unificado desde el que se configuran todos los productos, servicios y licencias contratados con WatchGuard.

Nada mejor que hablar de una solución de seguridad desde la experiencia. Para ello, WatchGuard ha permitido a Comunicaciones Hoy poner a prueba esta interesante solución para la seguridad de las fuerzas de trabajo móviles e híbridas.

Para ello, nos hemos puesto en el papel tanto del departamento TI o MSP, como en el de los usuarios que se conectan a las aplicaciones, servicios, recursos o portales de Internet desde sus equipos.

Para los departamentos TI y los MSPs, la gestión de FireCloud pasa por definir y cuantificar con precisión los perfiles de los usuarios que van a hacer uso de FireCloud Internet Access, así como de los diferentes grupos de usuarios que podemos crear para facilitar la definición de políticas de conexión.

Los apartados que son susceptibles de ser configurados contemplan Servicios de Seguridad y Reglas de Acceso. Las Reglas de Acceso permiten establecer qué Servicios de Seguridad se incluyen en las configuraciones que se aplicarán a los diferentes usuarios.

Tenemos Análisis de Contenido, centrado en la detección de virus o ataques de red a partir de malware o vulnerabilidades de día cero (APT o Amenazas Persistentes Avanzadas). Se pueden definir diferentes configuraciones progresivamente más restrictivas de acuerdo con los roles de los diferentes usuarios.

También tenemos opciones para Bloqueo de Red, con parámetros como el de detección de Botnet, IPS (Intrusion Prevention Service) con diferentes niveles de amenaza, bloqueo de sitios mediante IP o bloqueo de puertos.

Se pueden definir excepciones para diferentes dominios o webs, al tiempo que podemos definir reglas de acceso mediante geolocalización.

El Filtrado de Contenido, por su parte, permite la creación de perfiles con diferentes posibilidades de acceso a diferentes categorías de contenidos o a diferentes tipos de aplicaciones, como puede ser, sin ir más lejos, la transferencia de archivos, la mensajería instantánea o el streaming de contenidos, entre otras muchas posibilidades.

Las Reglas de Acceso permiten activar o desactivar funcionalidades como la de permitir o no a los usuarios la desconexión manual de FireCloud en el agente, o la adición de una cabecera XFF para detectar adecuadamente el idioma de las conexiones. Recuerda que los agentes se conectan a PoP (Point of Presence) ubicados en geografías como Alemania o el Reino Unido. Las Reglas de Acceso, además, permiten activar o no el Filtrado de Contenido, la Geolocalización o el Análisis de Contenido, seleccionando, a su vez, diferentes perfiles de Filtrado de Contenido o Geolocalización. También se deja abierta la opción de usar los servidores DNS de FireCloud o servidores personalizados.

La monitorización es otro apartado esencial para las organizaciones y empresas, ya sea a través de sus propios departamentos TI, como de proveedores de servicios gestionados. En este sentido, WatchGuard FireCloud Internet Access también proporciona un completo repertorio de estadísticas y notificaciones tanto en forma de resumen como en forma de listado detallado de cada evento.

Tenemos desglose por razón de los dispositivos, donde tenemos acceso al historial de conexiones y desconexiones. También tenemos estadísticas relacionadas con la seguridad y con el tráfico, tanto para todos los usuarios como para usuarios individuales.

Para los usuarios, la gestión de FireCloud pasa por la instalación del agente correspondiente al sistema operativo que esté usando en su equipo de trabajo. Las opciones de configuración del agente son bastante limitadas, como corresponde a un servicio de seguridad SASE gestionado, donde lo que se busca es que los usuarios se adapten a las políticas de seguridad y acceso definidas por la empresa.

La potencia de FireCloud radica en las políticas de acceso o denegación de acceso definidas en el panel de configuración dentro de WatchGuard Cloud, por lo que será vital que los usuarios instalen y activen el agente de conexión de WatchGuard en el equipo o los equipos desde los cuales se conecten a las aplicaciones y servicios empresariales o desde los cuales usen las aplicaciones con las que desempeñan su labor.

La velocidad de acceso a Internet, por otro lado, no parece estar condicionada por la activación de la conexión. Al menos, obtenemos tasas de velocidad más que razonables, suficientes para el acceso a servicios, aplicaciones, recursos o webs con garantías.

Hay que tener en cuenta que la tunelización se realiza contra servidores de AWS. El tráfico se enruta por el PoP más próximo según la ubicación; en el caso de España, se utilizan principalmente los PoPs de Reino Unido o Alemania, salvo que haya uno más cercano.

FireCloud Internet Access es la primera propuesta de WatchGuard dentro de las soluciones SASE de seguridad empresarial. Está pensada para profesionales que trabajen desde ubicaciones remotas, haciendo que sus conexiones sean seguras allí donde se encuentren sin las complicaciones de los túneles VPN. Combina las tecnologías de FWaaS y de Secure Web Gateway (SWG), con un completo conjunto de opciones de configuración para la seguridad y el acceso a aplicaciones, servicios, recursos o webs en Internet.

Al mismo tiempo, incorpora metodologías Zero Trust basadas en privilegios para las credenciales de los diferentes usuarios y grupos de usuarios que se conecten a Internet. La metodología Zero Trust es sumamente potente, aunque hace que la configuración de las políticas de seguridad y acceso se convierta en un proceso casi quirúrgico dependiendo de la minuciosidad con la que se desee blindar la conectividad de los diferentes usuarios y grupos.

WatchGuard pone los medios para facilitar la configuración y puesta a punto de la conectividad y su seguridad y de las políticas de acceso a diferentes servicios y aplicaciones. Por ejemplo, es posible bloquear el acceso a redes sociales, plataformas de mensajería o servicios de streaming de contenidos, que no necesariamente tienen que ver con la seguridad empresarial sino con el uso de los dispositivos corporativos.

Hay que decir que hay algunos apartados que precisan de un poco de atención por parte de WatchGuard, como la compatibilidad del agente con equipos Windows sobre ARM o dispositivos móviles y tabletas incluso. O la inclusión de herramientas para crear reportes directamente desde los apartados de configuración de FireCloud dentro de WatchGuard Cloud.

En cualquier caso, estamos ante una herramienta de gran valor para las empresas y organizaciones que deseen blindar las conexiones de sus fuerzas de trabajo móviles y remotas de un modo conceptualmente sencillo, aunque la complejidad caiga del lado de los departamentos TI o los proveedores de servicios gestionados que se encarguen de este tipo de tareas.