Con la llegada de la nube al mundo empresarial, el teletrabajo y el aumento del número de dispositivos conectados, el perímetro de seguridad corporativo se ha roto creando una superficie de ataque grande distribuida y las ciberamenazas se han incrementado. Para proteger a las organizaciones de estos crecientes peligros existen soluciones como el Gateway Web Seguro de nueva generación (NG SWG).
Índice de temas
Introducción a Next Generation Secure Web Gateway (NG SWG)
NG SWG hace referencia a una puerta de enlace web segura (SWG) de próxima generación, una nueva solución nativa cloud que permite proteger a las empresas del creciente volumen de sofisticadas amenazas habilitadas para la nube y los datos.
Es la evolución lógica de la puerta de enlace web segura tradicional, también conocida como proxy web o filtro web. Ofrece protección frente al malware, además de reforzar las políticas de la empresa que lo utilice. Concede controles de aplicaciones y emplea filtros de inspección de contenido para proteger el tráfico que inicia un usuario y evita que se filtren datos. Los más eficaces son los que brindan protección en tiempo real.
Por otra parte, a diferencia de una puerta de enlace web segura tradicional, un SWG de próxima generación se ocupa tanto de la nube como del tráfico web, mientras que el primero solo se ocupa del tráfico web y es ciego a las amenazas habilitadas para la nube y los riesgos de datos para instancias personales de aplicaciones gestionadas, miles de aplicaciones de Shadow IT y servicios en la nube.
Un NG SWG se ocupa tanto de la nube como del tráfico web
Durante la última década, muchas empresas han permitido que los servicios en la nube específicos enumerados, como Microsoft Office 365, eludan las defensas de seguridad de firewall y proxy en línea, lo que permite una entrada de “alfombra roja” para amenazas o exfiltración de datos. La incapacidad de detectar la transferencia de datos entre instancias de aplicaciones en la nube personal y de la empresa o el uso de instancias no autorizadas para la entrega de amenazas en la nube se suma a la lista de puntos ciegos para las defensas heredadas.
En definitiva, Next Gen SWG permite seguir operando sin sacrificar el control sobre el movimiento de los datos de la empresa en aplicaciones y servicios web, ni asfixiar los flujos de trabajo con grandes prohibiciones sobre ciertas aplicaciones y actividades. Esto es crucial teniendo en cuenta el cambio reciente y masivo del trabajo de oficina al trabajo a distancia, así como la migración de arquitecturas tradicionales in situ a la nube durante los últimos años
¿Cuál es la diferencia entre SWG y SSE?
Como hablamos en nuestro artículo sobre SSE (Security Service Edge), todo lo que necesitas saber, estas dos soluciones de seguridad de red están diseñadas para proteger tanto a los sistemas de una empresa u organización, como a sus usuarios, de cualquier ciberamenaza. Sin embargo, tienen diferencias y la primera de ellas es que se complementan a la hora de ofrecer protección.
Una solución SWG (Secure Web Gateway) se crea y activa para proteger a los empleados de una entidad de las amenazas existentes en la web y online. También para reforzar la seguridad de la empresa y las políticas de uso aceptables. Puede inspeccionar el tráfico entrante y saliente de los sitios web para identificar y bloquear contenido malicioso en páginas web, o intentos de acceso a web que no cumplan las políticas de la organización. Puede desplegarse tanto en la nube como en local.
Una solución SWG está integrada en un paquete SSE, cuyo objetivo es ofrecer una arquitectura de seguridad de red en un único pack
Si hablamos de SSE, según la definición que Gartner acuñó en 2021, Security Service Edge (Servicio de seguridad en el edge), se encarga de securizar el acceso a la web, los servicios cloud y las aplicaciones privadas de una empresa. Es decir, se encarga de la unificación de las tecnologías que hacen posible que se pueda acceder, de manera segura, a la nube, a aplicaciones o a la web. A tenor de esta aceptación, una solución SWG está integrada en un paquete SSE, cuyo objetivo es ofrecer una arquitectura de seguridad de red en un único pack.
Diferencia de NG SWG de una solución proxy web heredada
Básicamente Next Gen SWG es el siguiente paso en la evolución de las soluciones de puerta de enlace y proxy web tradicionales.
Las soluciones de filtrado y proxy web tradicionales ya no son eficaces a la hora de proteger a los usuarios de aplicaciones en la nube o en la web o a las empresas frente a:
1. La cantidad creciente de aplicaciones y servicios, así como de amenazas en la nube
2. El aumento de la exposición y el robo de datos en un mundo que concede prioridad a la nube
3. Un número cada vez mayor de teletrabajadores que acceden a aplicaciones y recursos públicos y privados
En el otro lado de la balanza, un NG SWG va más allá de las antiguas políticas de “permitir/bloquear” de los proxies web para un carril de tráfico y combina las capacidades de los proxies, los agentes de seguridad de acceso a la nube (CASB) en línea y las plataformas de prevención de pérdidas de datos (DLP).
Esta combinación ofrece una amplia variedad de funciones y características avanzadas de visibilidad en la nube:
- Filtrado de contenido web con valoraciones dinámicas
- Descifrado SSL/TLS con rendimiento y escala de nube
- Funcionalidad de agentes de seguridad de acceso a la nube (CASB) en línea para descubrir, decodificar e inspeccionar tráfico en aplicaciones y servicios en la nube
- Protección avanzada frente a amenazas (ATP), entre otros, sandboxing y detección de anomalías basada en aprendizaje automático (machine-learning)
- Prevención de la pérdida de datos (DLP) para aplicaciones en la nube y tráfico web
- Información estratégica y contexto con abundantes metadatos para investigar, elaborar informes detallados, etc.
¿Cuál es la diferencia entre Netskope SWG y CASB?
Lo primero de todo hay que aclarar que una cosa es SWG y otra CASB. Del primero ya hemos hablado antes, del segundo podemos decir que responde a las siglas Cloud Access Security Broker. Este agente de seguridad de acceso a la nube es un software local o basado en cloud que se ubica entre los usuarios del servicio en la nube y las aplicaciones en la nube, y monitorea todas las actividades, haciendo cumplir las políticas de seguridad. En otras palabras, proporciona seguridad de datos de extremo a extremo, desde la nube hasta el dispositivo. Un NG SWG combina varias herramientas entre las que se encuentran estos agentes de seguridad de acceso a la nube (CASB).
En el caso de la propuesta de Next Gen SWG de Netskope se refiere al enfoque avanzado e integral del fabricante para asegurar las puertas de enlace web, que incorpora varias características y capacidades clave más allá de las soluciones SWG tradicionales. Estos son algunos factores diferenciadores:
- Arquitectura nativa en la nube.
- Visibilidad granular y control de políticas.
- Protección contra amenazas integrada.
- Prevención de pérdida de datos (DLP).
- Control de aplicaciones en la nube.
En definitiva, el SWG de próxima generación de Netskope extiende las capacidades de un SWG tradicional con una arquitectura nativa de la nube, control granular de políticas, protección integrada contra amenazas, prevención de pérdida de datos y control mejorado sobre las aplicaciones en la nube. Su objetivo es abordar los desafíos de seguridad en evolución que plantea la adopción de la nube, las fuerzas de trabajo remotas y la proliferación de amenazas cibernéticas.
¿SWG es un proxy?
Una puerta de enlace web segura (SWG) es un producto de ciberseguridad que protege los datos de la empresa y hace cumplir las políticas de seguridad. Las SWG operan entre los empleados de la empresa e Internet. Al igual que un filtro de agua, que elimina las impurezas peligrosas del agua para que esta sea potable, las SWG filtran el contenido inseguro del tráfico web para detener las ciberamenazas y las fugas de datos. También bloquean los comportamientos de riesgo o no autorizados de los usuarios.
Todos los productos de SWG incluyen estas tecnologías:
- Filtrado de URL
- Detección y bloqueo de antimalware
- Control de aplicaciones
Las SWG también pueden incluir la prevención de pérdida de datos (DLP), el filtrado de contenido y otros filtros de tráfico de Internet.
Por proxy se entiende un equipo informático que hace de intermediario entre las conexiones de un cliente y un servidor de destino, filtrando todos los paquetes entre ambos.
Así pues, atendiendo a estas definiciones podríamos decir que SWG es un proxy al actuar como intermediario que se sitúa entre el cliente y el servidor, para ofrecer una visibilidad del 100% del tráfico. Sin embargo, esta afirmación tiene sus matices. Para muchos en el mundo TI, el término “puerta de enlace web segura” (SWG) es intercambiable con proxy web. No obstante, es importante tener en cuenta que no todos los SWG son proxies. Cuando se introdujeron por primera vez, los SWG se implementaron para hacer cumplir directivas corporativas u organizacionales, como impedir las compras a través de la web durante las horas de trabajo en la oficina. Actualmente, en un entorno plagado de amenazas, el SWG necesita incorporar un proxy web para proporcionar una defensa completa contra el cibercrimen basado en la web, malware y phishing.
¿Por qué? Porque al exigir específicamente un proxy en el SWG, la empresa tiene una garantía de que todo el tráfico termina en el proxy. Y cuando todo el tráfico web termina en el proxy web, el proxy tiene la capacidad para escanear el 100 por ciento del contenido que pasa por él y esperar el resultado del análisis de dicho tráfico antes de liberar esos datos al usuario. El proxy también puede realizar la autenticación y garantizar que no hay tráfico que fluya a través de Internet sin inspección o control.
Beneficios y características de NG SWG
Estas son las funcionalidades individuales exclusivas de un Next Generation Secure Web Gateway:
1. Supervisión y evaluación de acciones individuales.
2. Control minucioso de las aplicaciones.
3. Implementación de políticas de uso aceptable.
4. Protección frente a amenazas.
5. Protección de datos en cualquier lugar.
6. Cobertura de conexión directa a Internet.
Beneficios de NG SWG
Dadas las características de NG SWG, esta solución no sólo optimiza la seguridad en la nube de las empresas, sino que también mejora las experiencias de los usuarios al evitar las grandes prohibiciones sobre ciertas acciones y dispositivos.
De hecho, los controles pormenorizados y la visibilidad en línea de una Next Gen SWG ayudan a contextualizar la actividad de los usuarios y los datos, de manera que se puede orientar a los usuarios con políticas adaptables, al mismo tiempo que se reduce el riesgo y se protegen los datos sin interferir en las prácticas de trabajo legítimas.
Así, podríamos decir que un Next Gen SWG permite:
- Supervisar el comportamiento en la web, aplicaciones y servicios en la nube.
- Establecer políticas detalladas de uso aceptable.
- Invocar políticas adaptables en función del riesgo de la aplicación, el riesgo del usuario, la actividad y la sensibilidad de los datos.
- Ofrecer asesoramiento a los usuarios en tiempo real sobre alternativas más seguras y alejadas de las aplicaciones de riesgo.
Arquitectura y funcionamiento de NG SWG
La puerta de acceso a la web de nueva generación integra funciones de seguridad avanzadas para proteger a los usuarios/estaciones de trabajo que utilizan los recursos de Internet: navegación por sitios web y uso de servicios de aplicaciones basados en la nube, independientemente de su ubicación.
Su funcionamiento y arquitectura se basan en un proxy nativo cloud. Estas soluciones se instalan como un dispositivo de hardware o un componente de software en los dispositivos finales de los usuarios o en el perímetro de una red. Actúa como un filtro o guardián monitoreando el tráfico web en busca de riesgos, contenido malicioso, URL, etc. De esta manera, todo el tráfico entrante y saliente debe pasar por esta puerta de enlace.
Para diferenciar el tráfico malo del bueno, mantiene una lista de sitios aprobados y conocidos y permite el tráfico de esos sitios mientras bloquea todos los demás. Esta lista está asegurada en la base de datos de la solución SWG y aplica los filtros cuando el tráfico web intenta entrar o salir de la red de una organización.
Por ejemplo, cuando un usuario intenta acceder a un sitio, esta solicitud se dirige primero al SWG en lugar de llegar directamente al sitio de destino. En este momento, la puerta de enlace o la solución SWG inspecciona esta solicitud comparándola con la lista aceptada y las políticas de seguridad. El SWG aprueba la solicitud solo si se incluye en la lista y no viola ninguna regla de seguridad.
Para el tráfico saliente, se sigue un patrón similar. Cuando alguien intenta acceder a su red o sitio, el SWG en uso inspeccionará esta solicitud contra su conjunto de reglas de seguridad y lista permitida. Si la solicitud parece legítima, el SWG permitirá que pase el tráfico; de lo contrario, lo bloquea allí mismo para que no pueda acceder a su red o sistemas e infiltrarse en sus datos. De esta manera, el SWG ayuda a proteger sus datos, sistemas, redes y otros activos digitales.
Next Generation Secure Web Gateway provee capacidades para prevenir malware, detectar amenazas avanzadas, filtrar sitios web por categoría, proteger datos, controlar aplicaciones y servicios en la nube para cualquier usuario, ubicación o dispositivo. Se trata de un proxy en línea de un solo paso incomparable por su capacidad para decodificar el tráfico web y en la nube, incluida la instancia y actividad.
Next Gen SWG está en el núcleo de la arquitectura de borde de servicio de acceso seguro (SASE por sus siglas en inglés), que proporciona contexto de datos y controles de políticas granulares para la nube y la web.
Aspectos destacados de una solución NG SWG
Capacidad de protección contra amenazas de NG SWG
Tal y como hemos comentado a lo largo de este artículo, una herramienta de NG SWG tiene la capacidad de protección contra amenazas. Se crea y se activa para proteger a los empleados de una entidad -independientemente de su ubicación-, de las amenazas existentes en la web y online.
Filtrado de contenido y políticas de acceso en NG SWG
Estas soluciones de puertas de enlace web seguros actúan como un filtro o guardián de discoteca que deja entrar o salir el tráfico en función de unos criterios. Todo el tráfico ha de pasar por esta puerta y va diferenciando entre tráfico bueno y malo en base a una lista de sitios aprobados y conocidos y un conjunto de reglas de seguridad.
Monitoreo y análisis de tráfico en NG SWG
Lo realmente interesante de este tipo de soluciones es que monitorean el tráfico web en busca de riesgos, contenido malicioso, URL, etcétera. En virtud de este proceso analizan el tráfico de Internet -tanto de entrada como de salida-, y controlan así el acceso de los usuarios a la web.
Implementación y despliegue de NG SWG
Dadas las circunstancias actuales que están viviendo las organizaciones, con el auge del teletrabajo y el empleo de aplicaciones y servicios cloud, se antoja necesaria la implementación de una solución de seguridad basada en la nube que proporcione protección, visibilidad y acceso remoto para toda la empresa y que sustituya herramientas heredadas que no son capaces de responder a los requerimientos presentes.
El despliegue de un NG SWG combina varias funcionalidades como proxies de bloqueo/permiso para tráfico web, CASB en línea y plataformas DLP.
Así las cosas y como hemos mencionado anteriormente, las soluciones de puerta de enlace web segura se instalan como un dispositivo de hardware o un componente de software en los puntos finales de los usuarios o en el perímetro de una red. Este tipo de herramientas pueden ser de diferentes tipos:
- SWG basado en software: Se ejecuta en la nube como una aplicación basada en SaaS o en las instalaciones de una organización.
- SWG ejecutándose en un servidor proxy: Puede ser una máquina virtual (VM) que se ejecuta en la nube o un servidor físico ubicado en un lugar
- SWG ejecutándose como dispositivos locales: Puede ser un sistema de hardware conectado a la infraestructura de TI de una organización.
Independientemente de cómo se implementen o ejecuten, cada tipo de SWG funciona de manera similar.
Integración con otras soluciones de seguridad en NG SWG
Hoy en día es posible encontrar soluciones de seguridad como UTM (Unified Threat Management), IPS (Intrusion Prevention Systems) o Next Generation Firewalls (NGFW) que incluyen una o más funcionalidades SGW. Lo más frecuente es que los proveedores propongan Secure Web Gateway como soluciones muy específicas, que en mayor o menor medida pueden incluir desde funcionalidades NGFW hasta otras aún más refinadas, como la Prevención Avanzada de Amenazas (APT; tecnologías que previenen ataques con malware sofisticado o realizados por hackers expertos en el robo de datos sensibles) o la Prevención de Pérdida de Datos (DLP).
Asimismo, SWG es un componente más de SASE. No en vano, Secure Access Service Edge es, en realidad, un paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, la aplicación o el recurso al que se accede o qué combinación de soluciones de transporte conecta al usuario y al recurso. Y dentro de sus componentes están SD-WAN: WAN definida por software; CASB: Agente de seguridad de acceso a la nube; NGFW y FWaaS: firewall de nueva generación y firewall como servicio; ZTNA: acceso a redes de confianza zero; y SWG: gateway o puerta de enlace web segura.
Casos de uso y ejemplos de aplicación de NG SWG
Next Gen Secure Web Gateway se ha diseñado para abordar los principales casos de uso de la nube y la seguridad web, que comprenden los controles detallados de políticas, el filtrado web, la protección frente a amenazas y la protección de datos que abarcan las aplicaciones gestionadas y no gestionadas, los servicios en la nube y el tráfico web.
En detalle, podríamos indicar 6 casos de uso de NG SWG:
- Supervisión y evaluación. Una de las funciones esenciales de un Next Gen SWG es la supervisión y la visibilidad del comportamiento de los usuarios en su actividad al acceder a sitios web y aplicaciones en la nube.
- Control de aplicaciones en la nube. Una Next Gen Secure Web Gateway debe proporcionar el control granular necesario para detener las amenazas y permitir el uso deseado.
- Uso aceptable. Una SWG proporciona filtrado web y aconseja a los usuarios sobre el uso aceptado.
- Protección contra amenazas. Una función esencial de cualquier Next Gen SWG es ofrecer una protección exhaustiva frente a amenazas multicapa tanto para la nube como para la web.
- Protección de los datos en cualquier lugar. Una solución de este calado debe proteger los datos en todas partes y brindar la funcionalidad avanzada necesaria para ofrecer protección de datos precisa y exacta.
- Cobertura directa a la red. Una Next Gen SWG debe conceder la infraestructura y las capacidades necesarias para ofrecer un acceso rápido y seguro a la nube y la web desde cualquier lugar como acceso a Internet a oficinas y trabajadores remotos.
Consideraciones y mejores prácticas al elegir una solución NG SWG
Gartner establece una serie de criterios respecto a los Secure Web Gateway y es que deben tener una funcionalidad optimizada de:
- Filtrado de URL (técnica que restringe el acceso a los sitios en función de su reputación);
- Protección antimalware (protección que va más allá de la clásica protección antivirus, extendiéndose a la lucha contra el malware más escurridizo o evolucionado: ransomware, spyware, spam y ataques de phishing);
- Funcionalidades de control de aplicaciones (herramientas que impiden el uso de aplicaciones que puedan poner en peligro la seguridad de un sistema informático;
Para ello, aplican medidas para controlar los datos y su tratamiento de principio a fin, para identificar a los usuarios, autenticarlos y autorizarlos, controlar los datos introducidos en las aplicaciones, etc.
Así pues, a la hora de elegir un proveedor de una solución de NG SWG se debe tener en cuenta que cumplan estos requisitos; pero también la integración de las funciones básicas (filtrado de URL, protección antimalware, control de aplicaciones) con otras capacidades avanzadas como inspección SSL/TLS, CASB (Cloud Access Security Brokers), así como prestaciones que integran los sistemas de detección de malware (incluyendo, entre otros, el sanboxing en la nube, si lo hay) con funcionalidades analíticas avanzadas y de aprendizaje automático.
No obstante, teniendo estas consideraciones y mejores prácticas en cuenta, cada organización debe conocer sus necesidades particulares y exponerlas de forma clara al proveedor elegido asegurándose de que cumple con sus expectativas.
Futuro del SWG de próxima generación
Cada vez más empresas están acelerando sus iniciativas de transformación digital, almacenando datos en cloud y utilizando servicios en la nube. Esto implica unir infraestructuras tradicionales en las instalaciones mediante el acceso a la nube para proteger mejor a los usuarios y a los datos en entornos de TI híbridos.
Violaciones de datos, phishing, malware… están a la orden del día. Y es que, los ciberataques continúan aumentando tanto en grandes empresas como en medianas y pymes. Ante este panorama, muchas soluciones de seguridad heredadas no son capaces de responder a estos riesgos actuales. Por ello se necesitan herramientas avanzadas que puedan combatir estos problemas y evitarlos como los Secure Web Gateway de nueva generación que ofrecen visibilidad y control total de los datos, la colaboración y las amenazas en todos los servicios de nube, usuarios y dispositivos. Debido a estas características, se augura un prometedor futuro a los NG SWG.
