Las plataformas de cortafuegos de malla híbrida ganan interés a medida que se intensifican los retos de gestión

A medida que las redes empresariales se vuelven más complejas, también lo son las implementaciones de cortafuegos. Hay cortafuegos locales que gestionar, cortafuegos desplegados en máquinas virtuales y cortafuegos desplegados en contenedores. Hay cortafuegos para nubes y cortafuegos para centros de datos, cortafuegos para perímetros de red y cortafuegos para oficinas distribuidas. Según Gartner, para 2026, más del 60% de las organizaciones tendrán más de un tipo de despliegue de cortafuegos.

"Un cortafuegos solía ser una caja o un chasis con varias tarjetas", dice Fernando Montenegro, analista de Omdia. "Luego tuvimos un cortafuegos en una máquina virtual. Y ahora tenemos un factor de forma de contenedor para un cortafuegos porque los clientes están desplegando contenedores. Y, oh, necesitamos cortafuegos como servicio para soportar SASE".

En respuesta, los proveedores que ofrecen múltiples factores de forma para sus cortafuegos están reuniendo todos estos cortafuegos diferentes bajo una única interfaz de gestión centralizada. Una plataforma de cortafuegos de malla híbrida es un sistema de gestión centralizado que supervisa distintos tipos de cortafuegos, como los instalados in situ, los cortafuegos como servicio y los de la nube.

Este enfoque emergente es diferente de las plataformas de gestión de políticas de seguridad de red (NSPM) de proveedores como Firemon o Tupin, porque los cortafuegos de malla híbrida son plataformas de un solo proveedor y los NSPM son una superposición de gestión que puede manejar cortafuegos de múltiples proveedores. Los cortafuegos de malla híbrida también son diferentes de la arquitectura de malla de ciberseguridad, afirma Adam Hils, analista de Gartner. Una arquitectura de malla de ciberseguridad une varios productos de ciberseguridad de un mismo proveedor, dice, no sólo cortafuegos. Pero un cortafuegos híbrido de malla puede ser un componente de una arquitectura de malla de ciberseguridad, o puede desplegarse por sí solo.

¿Qué está impulsando el interés por los cortafuegos de malla híbrida?

Uno de los principales impulsores de la adopción de cortafuegos de malla híbrida es que las cargas de trabajo se están trasladando a la nube. "Las cargas de trabajo alojadas en la nube suelen tener un proceso de despliegue ágil muy diferente que impide el uso de controles de cortafuegos tradicionales", afirma Hils, de Gartner.

Otro factor es el auge de las arquitecturas de confianza cero y la microsegmentación. "Se pueden coordinar todos los cortafuegos y establecer un enfoque de confianza mínima", continúa Hils. Más allá de esto, otros impulsores son el trabajo híbrido -que está acelerando la adopción del cortafuegos como servicio- y el IoT. "El Internet de las cosas está cambiando los requisitos de interconectividad", infiere Hils.

Además, los profesionales de la seguridad son caros, y cuantos más cortafuegos diferentes tenga una empresa, sobre todo si son todos de distintos proveedores, más complicada puede resultar la gestión. Según Gartner, el uso de los mejores cortafuegos para distintos casos de uso aumenta la complejidad y la sobrecarga de gestión. "Nuestros clientes buscan consolidar proveedores", comenta Hils. "Permite que menos personas, menos administradores, se encarguen de la gestión de los cortafuegos".

Algunos firewalls de malla híbrida también controlarán firewalls nativos de la nube proporcionados por Azure y AWS, añade. "Pero ese es el único firewall de terceros que gestionarían". Si una empresa tiene más de un proveedor que proporciona firewalls, entonces no obtendrían todos los beneficios que podrían obtener de un firewall de malla híbrida, dice.

Retos y obstáculos

La falta de integración entre los distintos proveedores de cortafuegos es un obstáculo importante a la hora de implantar una plataforma híbrida de cortafuegos de malla.

Un enfoque de cortafuegos de varios proveedores no es tan infrecuente en los entornos empresariales. No todos los proveedores tienen soluciones maduras para todos los casos de uso de cortafuegos, por lo que las empresas se ven obligadas a recurrir a varios proveedores. Además, muchas empresas tienen diferentes unidades de negocio que utilizan distintos proveedores por diversas razones históricas, como operaciones aisladas o fusiones y adquisiciones.

"Un cortafuegos de malla híbrida te hace muy dependiente de un único proveedor", afirma John Carey, director general del grupo de soluciones tecnológicas de la consultora global AArete. "Algunas organizaciones prefieren tener lo mejor de su clase y seleccionar la herramienta adecuada para el trabajo adecuado. Verás CrowdStrike junto a CyberArk junto a Juniper junto a Cisco. No se ven muchas organizaciones que hagan una eliminación general, quitando todas esas herramientas y poniendo una. Es costoso y no quieren depender totalmente de un único proveedor". Si un cortafuegos de malla híbrido sólo puede gestionar cortafuegos de ese único proveedor, eso podría ser un problema para esas empresas.

Como alternativa, una empresa puede utilizar un producto NSPM de un proveedor como Tufin o Firemon, dice Scott Wheeler, líder de prácticas en la nube de Asperitas Consulting, una firma de servicios de TI y en la nube. "No son productos de cortafuegos, pero permiten el concepto de cortafuegos de malla híbrida. Así que, dependiendo de cómo se mire la semántica, son más una solución de cortafuegos de malla híbrida porque se puede gestionar a través de diferentes proveedores de cortafuegos".

Y hay otras formas de conseguir el mismo efecto, insiste. Asperitas Consulting está trabajando con una institución financiera de Chicago que decidió integrar todo en Microsoft Sentinel (una plataforma combinada de análisis de seguridad y detección y respuesta ante amenazas) porque ofrece un punto de vista único y centralizado. "No quieren tener un millón de soluciones puntuales", afirma Wheeler.

Al mismo tiempo, pueden surgir problemas de integración incluso en entornos de un solo proveedor. Algunos proveedores de cortafuegos híbridos de malla pueden tener problemas para integrar los distintos cortafuegos que ellos mismos ofrecen. Y las funciones y la automatización prometidas por un proveedor pueden no funcionar siempre como se anuncia. "Algunos de estos proveedores se están adelantando a su capacidad de ejecución", irrumpe el analista de Gartner. También hay problemas de precios, dice. "Todas estas herramientas tienen precios erráticos de diferentes maneras, y la gente de compras está teniendo algunas dificultades para averiguar qué piezas necesitan".

Otro reto que plantea el despliegue de cortafuegos de malla híbrida es que los cortafuegos no son iguales. Los distintos tipos de cortafuegos deben gestionarse de forma diferente. "Digamos que su empresa está añadiendo una nueva sucursal", dice Montenegro de Omdia. "El equipo de redes trabajará con el equipo de instalaciones. Esto es radicalmente diferente de cuando se hace seguridad de red de punto final y se tiene un nuevo empleado en la empresa; entonces la solicitud va a venir de RRHH y se tiene un flujo de trabajo muy diferente. O si tienes una nueva aplicación en tu centro de datos, el flujo de trabajo es distinto. Y es diferente de un cortafuegos basado en contenedores para tu carga de trabajo".

Estos cortafuegos no sólo se despliegan de forma diferente, añade. También necesitan políticas de seguridad diferentes. Un cortafuegos basado en contenedores tendrá que gestionar las direcciones IP y los cambios de objetos de forma diferente a un cortafuegos de usuario final, que es diferente a un cortafuegos de sucursal, que es diferente a un cortafuegos de centro de datos. Y una vez desplegados y configuradas las políticas de seguridad, los cambios futuros también se gestionan de forma diferente.

"Antiguamente, cuando se realizaba una solicitud de gestión de cambios en un cortafuegos, se enviaba un formulario con el puerto que debía permitirse, la IP de origen y la IP de destino", explica Montenegro. "Es poco probable que ese flujo de trabajo funcione en un cortafuegos de contenedor o en un cortafuegos de usuario final". Disponer de un cortafuegos de malla híbrido puede ofrecerle una visión centralizada de todos sus cortafuegos, afirma. "Pero si no eres capaz de soportar todos esos casos de uso diferentes, vas a crear problemas a tu organización".

Principales proveedores de cortafuegos de malla híbrida

Los líderes del mercado de cortafuegos de malla híbrida son Fortinet, Check Point Software Technologies, Palo Alto Networks y Cisco. "Disponen de los factores de forma necesarios", afirma Hils. "Pero puede que no todos hayan construido una arquitectura de gestión completa". Gartner todavía no tiene un cuadrante mágico para los cortafuegos híbridos de malla, dice, porque es pronto. Sin embargo, la consultora de investigación sí publicó su última actualización de su cuadrante mágico para cortafuegos de red en diciembre de 2022, perfilando a Fortinet, Palo Alto y Check Point como los tres líderes.

En un reciente informe sobre el ciclo hype de las redes de confianza cero, Gartner explicaba cómo las empresas se esfuerzan por implantar controles de cortafuegos en múltiples entornos, lo que conduce a una falta de gestión y visibilidad centralizadas. Están recurriendo a plataformas de cortafuegos de malla híbrida para consolidar la gestión de políticas sin dejar de soportar múltiples tipos de despliegue de cortafuegos, incluyendo el centro de datos, la nube, las sucursales y las redes empresariales.

Para las empresas que están considerando una plataforma de cortafuegos de malla híbrida, Gartner recomienda que integren los cortafuegos de malla híbrida con su estrategia de confianza cero; la mayoría de los controles existentes, como los cortafuegos basados en hardware, no se retirarán por completo a medio o largo plazo, lo que generará una complejidad que un cortafuegos de malla híbrida puede ayudar a simplificar.