Con el creciente uso de las aplicaciones web por parte de los usuarios corporativos, se han desarrollado Secure Web Gateways (SWG) que abarcan una serie de funcionalidades y que tradicionalmente se entregan como dispositivos in situ. Antes de profundizar en la disponibilidad de estas funcionalidades como servicios en la nube, veamos brevemente las características de un SWG.
¿Qué son las pasarelas web seguras?
Las Secure Web Gateways tienen características especiales en comparación con otros sistemas de seguridad informática que se han implantado en las empresas desde hace muchos años, como los UTM (Unified Threat Management, normalmente aparatos que integran múltiples funciones de seguridad informática), los IPS (Intrusion Prevention Systems), los Next Generation Firewalls (NGFW.) y otros sistemas de seguridad informática, que añaden al cortafuegos tradicional funcionalidades de control de aplicaciones basadas en la Inspección Profunda de Paquetes (DPI) y la anti-intrusión, basadas en la habilitación o autorización del uso de puertos, y por tanto de aplicaciones asociadas, en base a políticas definidas por empresa, grupo o usuario.
Si bien es cierto que hoy en día es posible encontrar soluciones de seguridad de los tipos anteriormente mencionados que incluyen una o más funcionalidades SGW, lo más frecuente es que los proveedores propongan Secure Web Gateways como soluciones muy específicas, que en mayor o menor medida pueden incluir desde funcionalidades NGFW hasta otras aún más refinadas, como la Prevención Avanzada de Amenazas (APT; tecnologías que previenen ataques con malware sofisticado o realizados por hackers expertos en el robo de datos sensibles) o la Prevención de Pérdida de Datos (DLP). Este último tiene como objetivo detectar la posibilidad de que se transmitan datos confidenciales a destinatarios no autorizados mediante el control de todo lo relacionado con los datos almacenados en reposo o en movimiento.
Para ser aún más claro, al hablar de Secure Web Gateways puede ser útil referirse a los criterios por los que Gartner incluye a los candidatos a SWG en esta categoría. Deben tener una funcionalidad optimizada de
- Filtrado de URL (técnica que restringe el acceso a los sitios en función de su reputación);
- protección antimalware (protección que va más allá de la clásica protección antivirus, extendiéndose a la lucha contra el malware más escurridizo o evolucionado: ransomware, spyware, spam y ataques de phishing);
- funcionalidades de control de aplicaciones (herramientas que impiden el uso de aplicaciones que puedan poner en peligro la seguridad de un sistema informático;
- Para ello, aplican medidas para controlar los datos y su tratamiento de principio a fin, para identificar a los usuarios, autenticarlos y autorizarlos, controlar los datos introducidos en las aplicaciones, etc.).
La evolución de los SWG: de los aparatos a la nube. Por qué vale la pena
Según el Cuadrante Mágico de Gartner para Secure Web Gateways, publicado a finales de noviembre de 2018, y que solo tiene en cuenta a los proveedores con más de 20 millones de dólares de ingresos y más de 3.000 clientes en el mercado de los SWG, en 2017 la facturación de estas empresas relacionadas con los Secure Web Gateways creció un 16% respecto a 2016, pasando de 1.400 millones a 1.600 millones. El mayor pico de crecimiento se produjo en 2010 (+23%), tras lo cual se produjo una tendencia más moderada pero estable. Sin embargo, se observan fuertes diferencias según el tipo de entrega de estas soluciones.
En 2017, según Gartner, el 74% de los ingresos se generó a partir de la venta de dispositivos, frente al 26% de los servicios de SWG basados en la nube. Sin embargo, las tendencias medias para el quinquenio 2013-2017 muestran un crecimiento del 5% en los ingresos de los dispositivos, frente a un crecimiento del 32% en los ingresos de Cloud Secure Web Gateway.
El creciente desarrollo de los SWG en la nube puede tener, a nuestro juicio, varias explicaciones. Cuatro pueden ser:
- el efecto de la mayor propensión a adoptar modelos de nube pública, nube híbrida y multicloud en general, para aprovechar las oportunidades que ofrecen los servicios SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) y PaaS (Platform-as-a-Service);
- la incorporación por parte de algunos grandes proveedores de redes y/o seguridad de servicios SWG basados en la nube para complementar soluciones similares ofrecidas en modo appliance (físico o software/virtual);
- la aparición de proveedores de seguridad que, aprovechando el creciente favor de la nube entre las empresas y el crecimiento de las dos mayores nubes públicas (Amazon AWS y Microsoft Azure), han comenzado a desarrollar ofertas de seguridad basadas en la nube desde cero, con las medianas empresas en el punto de mira;
- el crecimiento de la capacidad de algunos proveedores de este tipo para satisfacer no sólo las necesidades del mercado medio, sino también las de las empresas. Suelen ser aquellas que, además de tener grandes sedes con centros de datos conectados a la red con potentes pasarelas de seguridad, también tienen muchas oficinas periféricas y usuarios móviles cuyo tráfico de Internet está preferiblemente protegido no por costosos aparatos difíciles de gestionar a distancia y de “actualizar” in situ, sino por servicios de seguridad en la nube accesibles mediante la conexión al ISP (proveedor de servicios de Internet) o al operador más cercano.
El SWG proporcionado en modo DNS/proxy
Los proveedores de redes y/o seguridad pueden operar tanto en el mercado de dispositivos (para la instalación local) como en el de servicios basados en la nube. Se suministran desde los propios centros de datos del proveedor o, más a menudo, desde proveedores de servicios en la nube (CSP) con los que el proveedor tiene un acuerdo para ofrecer el mejor rendimiento al usuario final. Suelen ser servicios basados en DNS/Proxy. El sistema de nombres de dominio situado en la parte de la red del proveedor de seguridad en la nube más cercana (normalmente) al usuario, intercepta el tráfico web iniciado por éste y lo dirige al servidor más conveniente para examinar su seguridad. Esta actividad puede realizarse en modo proxy, es decir, asumiendo la identidad del usuario como emisor y receptor del tráfico. Esta interposición debe realizarse de forma que se introduzca la menor latencia posible en el tráfico.
En algunos casos, los proveedores de SWG en la nube prefieren evitar la actividad del proxy si el sitio visitado está en una lista de sitios web con buena reputación; en otros casos, todo el tráfico se somete al modo proxy, independientemente de si el sitio y/o el usuario tienen buena reputación. Para evitar latencias inaceptables para el usuario final, estos proveedores de seguridad en la nube deben tener:
- plataformas de alto rendimiento,
- tantos centros de datos distribuidos geográficamente como sea posible,
- acuerdos con los ISP locales para que las conexiones entre las oficinas remotas o los usuarios móviles y la nube sean más directas y con el mayor ancho de banda posible.
Y dado que la mayor parte del tráfico crítico para la empresa tiene lugar ahora entre los usuarios finales y las soluciones SaaS o las aplicaciones en la nube (como Microsoft Office 365, Salesforce, Amazon AWS, Google G Suite, etc.), para hacerse una primera idea de cuál puede ser el rendimiento de la conexión entre las empresas, las oficinas periféricas, los trabajadores móviles, los trabajadores inteligentes y estas aplicaciones, no basta con mirar cuántos centros de datos y POP (Point of Presence: Punto de Presencia) existen.Y dado que la mayor parte del tráfico crítico para la empresa tiene lugar ahora entre los usuarios finales y las soluciones SaaS o las aplicaciones en la nube (como Microsoft Office, Salesforce, Amazon AWS, Amazon G Suite, etc.), para hacerse una idea de antemano de cuál puede ser el rendimiento de la conexión entre las empresas, las oficinas periféricas, los trabajadores móviles, los trabajadores inteligentes y estas aplicaciones, no basta con examinar cuántos centros de datos y POP (punto de presencia: punto en el que las conexiones de los usuarios, a través del ISP, terminan en la red de alta velocidad del proveedor) hay: también hay que evaluar la existencia de peering (conexiones directas, normalmente situadas en un punto de intercambio de Internet o un servicio de colocación) entre el proveedor de servicios en la nube y el proveedor de SaaS.
Características que marcan la diferencia en los SWG basados en la nube
Otras características que deben tener en cuenta quienes elijan un proveedor de Secure Web Gateway basado en la nube es la integración de las funciones básicas (filtrado de URL, protección antimalware, control de aplicaciones) con otras capacidades avanzadas, que pueden adquirirse ahora o más adelante, en función de las nuevas necesidades o de la capacidad de gasto:
- una es la función de inspección SSL/TLS, que permite inspeccionar también los paquetes de datos cifrados: una eventualidad que está ahora a la orden del día, ya que cada vez más conexiones con sitios web y aplicaciones populares están sujetas a un cifrado de extremo a extremo;
- Otro es el CASB (Cloud Access Security Brokers), que ofrece visibilidad del comportamiento de los usuarios en el uso de los servicios web (como el SaaS) en varios aspectos (contraseñas, autenticación, tokenización, encriptación, etc.), los compara con las políticas de la empresa y aplica el cumplimiento;
- Por último, pero no por ello menos importante, merecen atención todas aquellas funcionalidades que integran los sistemas de detección de malware (incluyendo, entre otros, el sanboxing en la nube, si lo hay) con funcionalidades analíticas avanzadas y de aprendizaje automático.