Cibersegurança: firewalls NGFW – O que é um next-generation firewall (NGFW)?
O firewall de próxima geração (NGFW), ou firewalls NGFW, melhora a tecnologia de firewall tradicional com outras funções de filtragem de dispositivos de rede, como controle de aplicativos online, um sistema integrado de prevenção de invasões (IPS), recursos de prevenção de ameaças e proteção avançada contra malware, para melhorar a segurança da rede corporativa.
Firewalls NGFW vs. Firewall Tradicional
Os firewalls tradicionais operam nas camadas 3 e 4 do modelo Open Systems Interconnection (OSI) para informar suas ações, gerenciando o tráfego de rede entre hosts e sistemas finais. Eles permitem ou bloqueiam o tráfego com base na porta e no protocolo, aproveitam a stateful inspection e tomam decisões com base em políticas de segurança definidas.
À medida que ameaças avançadas, como o ransomware, começaram a surgir, os stateful firewalls foram facilmente contornados, criando uma alta demanda por uma solução de segurança aprimorada e mais inteligente.
O NGFW, é introduzido pelo Gartner (por volta de 2007) como um “firewall de inspeção profunda de pacotes que vai além da inspeção e bloqueio de portas/protocolos, adicionando inspeção de camada de aplicativo, prevenção de invasões e trazendo inteligência de fora do firewall”. Ele apresentou todos os recursos de um firewall tradicional, mas com recursos mais granulares que permitem políticas baseadas em identidade, localização, aplicativo e conteúdo.
Como funcionam os NGFWs?
Em comparação com os firewalls tradicionais, os NGFWs se aprofundam no tráfego da rede para entender de onde ele vem. Eles são capazes de coletar um maior conhecimento sobre tráfego malicioso e ameaças incorporadas que tentam se infiltrar no perímetro da rede e acessar dados corporativos.
Enquanto um firewall tradicional opera apenas nas camadas 3 e 4 do OSI, os NGFWs podem operar na camada 7 – a camada de aplicação. Isso significa que as ameaças no nível do aplicativo, que são algumas das mais perigosas e penetrantes, são interrompidas antes de serem violadas, economizando tempo e custos na correção.
Quais são as capacidades de um NGFW?
Os NGFWs, assim como seus antecessores de stateful inspection, fornecem funções básicas de firewall, como filtragem de URL, antivírus e suporte para VPNs de acesso remoto, mas estão acima dos stateful firewalls com vários recursos avançados de segurança:
- O reconhecimento de aplicativos permite a aplicação granular de políticas e o controle de aplicativos com base em aplicativos específicos, seu conteúdo, origem e destino de tráfego e muito mais, em vez de uma aplicação restrita por porta, protocolo e endereço IP.
- A inspeção profunda de pacotes (DPI) analisa o conteúdo dos pacotes de rede para identificar detalhes no nível do aplicativo e identificar ameaças ocultas em tráfego que de outra forma seria legítimo.
- A funcionalidade do sistema de prevenção de invasões (IPS) detecta e bloqueia ameaças conhecidas e desconhecidas, inspecionando o tráfego em busca de padrões e comportamentos suspeitos.
- A identificação do usuário permite que o NGFW associe a atividade da rede a usuários específicos, não apenas aos locais aos quais eles se conectam, para uso em políticas e monitoramento baseados em usuários.
- A inspeção TLS/SSL decifra e inspeciona o tráfego criptografado por TLS/SSL – a esmagadora maioria do tráfego atual – para encontrar ameaças ocultas. (No entanto, a inspeção exige muito do processador, prejudicando o desempenho em firewalls com restrições de hardware).
- A integração de inteligência de ameaças permite que um NGFW atualize proteções com base em ameaças recém-descobertas em diversas fontes, incluindo os próprios nós de rede da organização, bem como feeds públicos e de terceiros.
Confira também: O que é OSINT – Open-Source Intelligence?
Por que preciso de um NGFW?
O cenário atual de ameaças cibernéticas exige proteção robusta contra ameaças, e os firewalls tradicionais não estão à altura da tarefa. Os firewalls NGFW podem bloquear malware avançado e estão mais bem equipados para impedir ameaças persistentes avançadas (APTs), como Cozy Bear, responsável pelo ataque à cadeia de suprimentos SUNBURST de 2020, e Deep Panda, que são famosos por explorar a vulnerabilidade Log4Shell.
Além disso, com inteligência integrada sobre ameaças e opções de rede e automação de segurança, os NGFWs deram às organizações a oportunidade não apenas de simplificar as operações de segurança, mas também de dar o primeiro passo em direção a um centro de operações de segurança (SOC) totalmente realizado.
Toda essa vantagem potencial, no entanto, traz alguns desafios.
Desafios dos NGFWs
Limitados pelo seu hardware, há muitos casos em que os dispositivos NGFW físicos não conseguem funcionar de forma eficaz para atender às necessidades dos ambientes modernos de hoje, introduzindo vários problemas.
Backhaul de tráfego para segurança
O backhaul para um NGFW fazia sentido quando data centers, endpoints e recursos estavam em sua maioria no mesmo local. Mas agora, à medida que a mobilidade dos usuários e a adoção da nuvem continuam a crescer, o hardware NGFW em um data center tradicional simplesmente não consegue acompanhar.
Aplicativos em nuvem como o Microsoft 365 são projetados para serem acessados diretamente pela Internet. Mas para que VPNs e NGFWs no data center de uma organização forneçam acesso e segurança, todo o tráfego precisa passar por esse data center, tornando tudo mais lento. Para oferecer uma experiência de usuário rápida, as organizações precisam rotear o tráfego da Internet localmente.
Confira também: Cibersegurança: como funciona a segurança de dados na nuvem
Proteger interrupções locais na Internet
Você pode proteger interrupções locais de Internet com hardware NGFW, mas para fazer isso, você precisa de uma pilha de segurança separada em cada local – NGFWs e potencialmente mais dispositivos em cada filial, todos os quais precisam ser implantados, mantidos e, eventualmente, substituídos manualmente, o que pode rapidamente se tornar proibitivamente complexo e caro.
Inspecionar o tráfego criptografado por TLS/SSL
Quase todo o tráfego da web atual é criptografado. Para realizar a inspeção SSL, a maioria dos NGFWs usa recursos de proxy integrados que executam a inspeção em software, em vez de no nível do chip. Isso afeta fortemente o desempenho, o que prejudica a experiência do usuário — mas sem inspeção, você fica cego para mais de 85% dos ataques.
Tipos de firewalls NGFW
Por definição, os NGFWs são firewalls de inspeção profunda de pacotes que operam no nível do aplicativo e incluem prevenção de intrusões, bem como integração de inteligência contra ameaças. Deixando de lado a funcionalidade principal, os NGFWs vêm em três formatos distintos:
- Os NGFWs de hardware são dispositivos físicos desenvolvidos para implantação local. Como hardware de segurança dedicado, esses NGFWs são usados principalmente em data centers ou para outros casos de uso que exigem dispositivos físicos.
- Os NGFWs virtuais são baseados em software e executados em máquinas virtuais (VMs). Eles são flexíveis e escaláveis o suficiente para serem mais adequados para aplicativos e serviços virtualizados e baseados em nuvem do que NGFWs somente de hardware, mas ainda dependem da infraestrutura da própria organização e são limitados pelo poder de processamento do hardware do qual estão particionados.
- Os NGFWs baseados em nuvem fornecem serviços de firewall de terceiros a partir da nuvem, permitindo-lhes proteger o tráfego que não passa por um data center tradicional. Eles foram projetados para proteger ambientes nativos da nuvem, redes distribuídas e usuários remotos, oferecendo maior escalabilidade e gerenciamento de segurança centralizado.
Confira também: Cibersegurança: Como fazer uma boa arquitetura de segurança para a sua empresa
Transforme seu Conhecimento em Proteção: Inscreva-se nos Cursos de Cibersegurança da IBSEC
Agora que você entende a importância e a complexidade dos Next-Generation Firewalls (NGFWs), está na hora de levar seu conhecimento ao próximo nível. Na IBSEC, oferecemos cursos especializados em cibersegurança que vão desde os conceitos básicos até as técnicas avançadas de proteção de redes.
Nossos cursos são desenhados por especialistas do setor e proporcionam uma abordagem prática e atualizada sobre as mais recentes ameaças e soluções de segurança. Com a crescente sofisticação dos ataques cibernéticos, estar preparado é essencial para proteger sua organização e garantir a integridade dos dados.
Não deixe para depois! Clique aqui e inscreva-se hoje mesmo nos cursos da IBSEC e torne-se um profissional de cibersegurança altamente capacitado.
