¿Qué es el cortafuegos como servicio (FWaaS)?

Saltar a una sección

¿Cómo funciona el cortafuegos como servicio? ¿Por qué es importante FWaaS? ¿Cuáles son las características principales de FWaaS?

Inspección profunda de paquetes y prevención de intrusiones DNS y filtrado de URL Consola de gestión centralizada Visibilidad y tala Escalabilidad y capacidad elástica Integración con redes modernas Infraestructura gestionada por el proveedor

¿Cuáles son los beneficios de FWaaS? ¿Cuáles son los posibles retos de FWaaS? FWaaS vs NGFW FWaaS vs SWG ¿Cuál es el papel de FWaaS en SASE? ¿Cuál es el enfoque de Netskope para desplegar soluciones FWaaS? Preguntas frecuentes

¿Qué es un cortafuegos? ¿Qué es un cortafuegos en la nube? ¿Dónde se sitúa FWaaS en la red? ¿Puede FWaaS reemplazar a la VPN o a la SD-WAN? ¿Qué hay que tener en cuenta al elegir FWaaS?

¿Cómo funciona el cortafuegos como servicio?

FWaaS funciona enrutando el tráfico de salida a través de un servicio de cortafuegos en la nube, donde se aplican políticas de seguridad y la inspección se realiza antes de que el tráfico llegue a sitios web, aplicaciones o Servicios en la nube. En lugar de desplegar y gestionar el Appliance cortafuegos en cada ubicación, Organización envía el tráfico a un punto de aplicación en la nube cerca del usuario o oficina sucursal y gestiona Política de forma centralizada.

El tráfico se enruta al servicio de cortafuegos en la nube
Los usuarios y las ramas envían tráfico al cortafuegos en la nube (a menudo a través de clientes o túneles).
Aplica Política primero
El servicio aplica conjuntos de reglas de firewall, como direcciones IP/puertos/protocolos permitidos, controles de capa de aplicación, reglas de usuario/grupo y reglas de destino FQDN.
La inspección se realiza sobre el tráfico de red
El servicio de cortafuegos en la nube inspecciona las capacidades Usar de tráfico de salida de red, como reglas de cortafuegos de 5 tuplas, prevención de intrusiones (IPS), comprobaciones de seguridad DNS y filtrado de URL DNS basado en dominio.
Se toma la decisión de permitir, bloquear, alertar o registrar un evento
Según los resultados de Política y la inspección del firewall, el tráfico de salida de red está permitido o bloqueado. Los usuarios también pueden recibir alertas y los eventos pueden registrarse para su revisión y auditoría.
Una consola central gestiona FWaaS Política a nivel global
Los administradores crean y actualizan el cortafuegos Política una vez, y luego lo aplican de forma consistente en usuarios, ubicaciones y entornos en la nube.
Monitoreo e investigación de los feeds de registros Flujo de trabajo
Los registros de tráfico suelen fluir hacia herramientas de monitorización y, donde se utiliza Usar, SIEM/SOAR Plataforma para apoyar las necesidades de detección, investigación y cumplimiento.

FWaaS es un punto de control de salida de la red de aplicación de Política en la nube que se sitúa entre los usuarios o sucursales y el destino deseado de internet o recursos en la nube.

¿Por qué es importante FWaaS?

FWaaS importa porque muchas Organizaciones ya no operan dentro de un solo perímetro de red. Los usuarios trabajan desde diferentes ubicaciones, las aplicaciones viven en múltiples nubes y las sucursales se conectan directamente a internet. Un servicio de seguridad contra cortafuegos ayuda a los líderes de seguridad a mantener los controles coherentes sin desplegar y mantener Appliance En todas partes ni hacer backhauling de tráfico y afectar negativamente a la experiencia del usuario.

Los usuarios y sucursales distribuidos cambian el perímetro
El tráfico ya no fluye a través de un único centro de datos, por lo que los cortafuegos de red tradicionales requieren backhauling de tráfico o añadir appliances cortafuegos o VMs donde están ubicados los usuarios y oficinas sucursales, a un gran coste y con mayor complejidad operativa.
La coherencia política entre ubicaciones es más difícil de lo que parece
Cuando cada sitio distribuido tiene su propia configuración, las reglas del cortafuegos pueden variar con el tiempo. FWaaS ayuda a aplicar las mismas reglas de cortafuegos Política a usuarios y oficinas sucursales, independientemente de dónde se encuentren.
La gestión centralizada reduce las lagunas y la carga operativa
Un solo plano de control facilita la actualización de Política, reduce las configuraciones erróneas y responde más rápido cuando cambian las amenazas o necesidades empresariales.

¿Cuáles son las características principales de FWaaS?

FWaaS normalmente agrupa capacidades de política de firewall de próxima generación en servicios de cortafuegos en la nube que se entregan y gestionan de forma centralizada en un gran conjunto de centros de datos situados más cerca de usuarios remotos y oficinas sucursales para ofrecer una experiencia de usuario de alto rendimiento. La mayoría de las soluciones de servicios de cortafuegos en la nube se centran en una aplicación consistente, inspección a gran escala y operaciones más sencillas.

Inspección profunda de paquetes y prevención de intrusiones

A Cortafuegos basado en la nube inspecciona el tráfico más allá de los primeros puertos de paquetes e IPs. Puede analizar sesiones entre paquetes, identificar patrones arriesgados y bloquear exploits conocidos o comportamientos sospechosos con controles de estilo IPS. En la práctica, esta capacidad se refleja en tres controles principales:

Inspeccionar el tráfico de la capa de aplicación (Capa 7) entre paquetes
Detectar y bloquear exploits y técnicas comunes de ataque
Decisiones de Política de Soporte basadas en reglas de cortafuegos de 5 tuplas, capa de aplicación, usuario y grupo, FQDNs y contexto

DNS y filtrado de URL

FWaaS funciona en las capas 3 y 4 para la inspección del tráfico, que incluye solicitudes de servicio de nombres de dominio (DNS) en el puerto 53. Estas solicitudes son consultas DNS para traducir un dominio legible por humanos (por ejemplo, www.icecube.com) a una dirección IP enrutable. Este es un momento muy eficiente para comprobar el dominio en busca de riesgos de seguridad conocidos o para validar su categorización. Por esta razón, FWaaS suele incluir comprobaciones de seguridad DNS y filtrado basado en dominios para categorías de seguridad y relacionadas con el negocio, con el fin de evitar que los usuarios lleguen a destinos web maliciosos o que violan Política. Estas comprobaciones DNS y los controles de categorías de filtrado de dominio reducen la exposición antes de que la conexión esté completamente establecida. En una consola, normalmente verás varios controles de DNS Política, como:

Una capacidad para definir perfiles DNS
Filtros de categoría configurables basados en dominio (por ejemplo, juegos, juegos, etc.)
Comprobaciones DNS para dominios defectuosos conocidos o riesgos de seguridad basados en DNS

Consola de gestión centralizada

La mayoría de los proveedores de servicios de cortafuegos en la nube proporcionan una única consola para crear, probar y desplegar el cortafuegos Política en diferentes ubicaciones. Esto ayuda a los equipos de seguridad a reducir la deriva de reglas y aplicar cambios más rápido. La mayoría de Plataformas lo soportan a través de:

Un lugar para gestionar las reglas y excepciones del cortafuegos
Objetos compartidos, plantillas y grupos de Política
Acceso basado en roles para equipos de red y seguridad

Visibilidad y tala

FWaaS produce registros consistentes entre usuarios y sucursales, lo que ayuda a las investigaciones y auditorías. Los registros suelen integrarse con SIEM y herramientas de monitorización para correlación y alertas. Normalmente obtienes tres tipos principales de logarítmicas y salidas:

Registros de sesión para tráfico permitido y bloqueado
Registros de amenazas para detecciones y correcciones de reglas
Exportaciones o integraciones para el flujo de trabajo SIEM

Escalabilidad y capacidad elástica

Un valor clave de los servicios de cortafuegos basados en la nube es escalar sin necesidad de enviar hardware. La capacidad puede expandirse a medida que crecen los usuarios, el ancho de banda o la demanda. Esto suele manifestarse de tres maneras prácticas:

Escalar la capacidad de inspección a medida que aumenta la demanda
Evitar el tamaño de los electrodomésticos por sitio y los ciclos de actualización
Apoyo a la rápida expansión de sucursales o usuarios de Nuevo

Integración con redes modernas

FWaaS está diseñado para funcionar con arquitecturas en la nube e híbridas, incluyendo SD-WAN y estructuras de redes en la nube. Esto reduce la fricción al enrutar el tráfico a través de puntos de inspección. Esto suele ser posible a través de:

Integraciones con SD-WAN y patrones de enrutamiento en la nube
Soporte para entornos en la nube y despliegues multirregión
Trabajar con controles de identidad y acceso para el contexto de Política

Infraestructura gestionada por el proveedor

Muchos proveedores de servicios de cortafuegos en la nube operan la infraestructura subyacente, incluyendo actualizaciones y disponibilidad. Esto reduce el esfuerzo de mantenimiento, pero aumenta la dependencia de la fiabilidad del proveedor. Esto significa:

Los proveedores gestionan el parche y la disponibilidad de Plataforma
Acceso más rápido a las capacidades y protecciones de Nuevo
SLAs claros y planificación de resiliencia

¿Cuáles son los beneficios de FWaaS?

FWaaS puede mejorar la consistencia operativa y reducir la sobrecarga de mantener cortafuegos distribuidos. Como Servicios en la nube gestionados por firewall, o FWaaS, traslada más trabajo de Plataforma al proveedor mientras mantiene centralizado el control de la Política. Los beneficios incluyen:

Despliegue y mantenimiento simplificados: Los equipos pueden desplegar Política sin enviar, poner en estantería ni actualizar el hardware en cada sitio. Muchas actualizaciones y cambios en Plataforma se gestionan como parte de los servicios gestionados del cortafuegos.
Escalabilidad: La capacidad puede expandirse a medida que crecen los usuarios, las ramas y el tráfico de red, sin rediseñar la huella del cortafuegos de cada ubicación.
Visibilidad de seguridad: El registro centralizado y la inspección constante mejoran la monitorización e investigaciones en diferentes ubicaciones y usuarios remotos.
Gestión de la Política Central: Un único servicio de gestión de cortafuegos suele gestionar reglas, objetos y excepciones a nivel global, ayudando a reducir la deriva de Política.
Consideraciones sobre el modelo de costes: FWaaS suele desplazar el gasto de hardware inicial a precios de suscripción. Esto puede mejorar la previsibilidad del presupuesto, aunque los costes a largo plazo deben evaluarse en relación con la propiedad del Appliance y los patrones de ancho de banda.

FWaaS suele ser una buena opción cuando Organización necesita una aplicación consistente entre usuarios distribuidos y sitios de sucursales, y quiere servicios centralizados de gestión de firewall sin mantener pilas completas de Appliances en cada ubicación.

Los principales componentes y capacidades de SASE incluyen la WAN definida por software (SD-WAN), la seguridad de acceso a la nube Broker (CASB), la pasarela de seguridad Web (SWG), el cortafuegos como servicio (FWaaS) y el acceso a la red de confianza cero (ZTNA).

¿Cuáles son los posibles retos de FWaaS?

FWaaS puede simplificar las operaciones de seguridad, pero también introduce compensaciones que los líderes de seguridad deberían tener en cuenta al comparar proveedores de FWaaS.

Coste de suscripción continuo vs. Coste inicial: Las cuotas anuales de suscripción pueden superar los costes de Appliance con el tiempo.
- Mitigación: El coste total del modelo durante 3–5 años, incluyendo los ciclos de sobrecarga y actualizaciones de la gestión.
Migración y cambios de enrutamiento: Mover el tráfico a un servicio de firewall en la nube puede requerir rediseñar el rediseño de salidas, túneles y enrutamiento de ramas.
- Mitigación: Adopta un enfoque por fases por sitio o aplicación, valida la latencia y mantén los caminos de rollback.
Limitaciones de personalización (dependientes del proveedor): Algunos FWaaSproviders ofrecen menos opciones de ajuste de bajo nivel que Appliance.
- Mitigación: Confirma la granularidad de la Política, el registro de detalles y los objetos de regla desde el principio.
Planificación de dependencia y resiliencia de Internet: Si la conectividad cae, la inspección puede deteriorarse.
- Mitigación: Usar dos ISP, conmutación por error y supervivencia local cuando sea necesario.
Privacidad y cumplimiento de datos: El tráfico puede atravesar infraestructuras y regiones de terceros.
- Mitigación: Valida la residencia de Datos, certificaciones, Encriptación y registros de auditoría.
Integración con sistemas heredados: Redes antiguas, proxies o pilas de identidad pueden complicar el despliegue.
- Mitigación: Prueba la interoperabilidad y el soporte para los protocolos requeridos.
Fiabilidad del proveedor / SLAs: Las interrupciones, retrasos en el soporte o SLAs débiles pueden crear exposición.
- Mitigación: Revisa el historial de disponibilidad, la respuesta a incidentes y los SLAs de los contratos.
Visibilidad para el tráfico este/oeste solo en las instalaciones: La inspección pura de nubes puede pasar por alto los flujos internos de tráfico.
- Mitigación: Usar un enfoque híbrido donde se necesita segmentación interna.

FWaaS vs NGFW

FWaaS y un cortafuegos de nueva generación (NGFW) aplican la política de seguridad de red, pero difieren en cómo se entregan y operan. FWaaS es un modelo entregado en la nube optimizado para usuarios distribuidos y tráfico de salida de ramas. Un NGFW suele ser un dispositivo o cortafuegos virtual que despliegas y ejecutas tú mismo (o a través de un servicio NGFW gestionado) que soporta las reglas de cortafuegos Política de tráfico de entrada y salida.

Comparaciones clave	FWaaS	NGFW
Despliegue	Servicios en la nube; rutas de tráfico hacia los puntos de presencia de proveedores	Appliance o instancia virtual en Datos Center, sucursal o nube
Gestión	Consola central de Política entre sitios y usuarios	A menudo se distribuyen operaciones entre muchos cortafuegos (pueden centralizarse con herramientas)
Escama	Capacidad elástica; Escala con la demanda	Planificación de capacidad ligada a límites de hardware/instancia
Entornos que mejor se adaptan	Trabajo remoto, muchas sucursales, organizaciones multinacionales y dispersas	Sitios fijos, necesidades estrictas on-premise, diseños especializados de redes
Consideraciones de latencia	Depende de la proximidad y la ruta de enrutamiento de PoP	A menudo es bajo para el tráfico local; puede añadir latencia si haces backhaul a un hub
Control/personalización	Varía según el proveedor; puede estar restringido por el modelo de servicio	Típicamente mayor flexibilidad de ajuste y despliegue

En lo que respecta a tu organización, elige FWaaS cuando la coherencia Política y la escala entre ubicaciones sean lo más importante, y elige NGFW cuando el control local y el despliegue personalizado sean la prioridad.

FWaaS vs SWG

FWaaS vs pasarela web segura (SWG) es un punto común de confusión porque ambos están en la nube e inspeccionan el tráfico, pero resuelven problemas diferentes.

FWaaS aplica el cortafuegos de red Política para tipos de tráfico más amplios. Puede aplicar controles a través de direcciones IP y rangos, puertos, protocolos, usuarios y ubicaciones, y a menudo incluye controles de Capa 7 (aplicación), prevención de intrusiones y registro para conexiones de red, no solo navegación web.
SWG se centra específicamente en el tráfico web (HTTP/HTTPS). Está diseñado para filtrado de URLs/categorías, protección contra malware y phishing, controles de navegación segura y aplicación específica de la Política de objetos web (500+).

A menudo se complementan entre sí. Muchas organizaciones gestionan ambas como parte de Ventaja del Servicio de Seguridad (SSE) o SASE para poder aplicar una Política consistente para el acceso general a la red (FWaaS) y protección en la deep web para el uso de navegadores y SaaS (SWG y CASB en línea).

SSE le permitirá actualizar con éxito su arquitectura tecnológica mediante la convergencia de su proxy web (SWG), ZTNA, CASB y DLP en una única solución eficaz y de alto rendimiento.

¿Cuál es el papel de FWaaS en SASE?

Borde de servicio de acceso seguro (SASE) combina redes y seguridad en un modelo entregado en la nube, ayudando a Organización a aplicar accesos consistentes, protección de datos y protección contra amenazas cuando los usuarios se conectan desde sucursales, desde casa o móviles.

En una arquitectura de acceso seguro en el borde (SASE), el firewall-as-a-service (FWaaS) entrega la función de cortafuegos como un servicio basado en la nube, permitiendo a Organización aplicar la seguridad de red Política de forma consistente en usuarios y ubicaciones sin depender de Appliances físicos en oficinas sucursales o entornos domésticos. Debido a que SASE fusiona redes y seguridad en un marco unificado entregado en la nube, FWaaS funciona junto con componentes como SD-WAN y otros servicios de seguridad en la nube, incluyendo la pasarela web segura (SWG), el Broker de seguridad de acceso a la nube (CASB) y el acceso a redes de confianza cero (ZTNA), para proporcionar una protección integral para aplicaciones web, nube y privadas. Su función principal es garantizar una gestión centralizada de la Política, controles uniformes y visibilidad total en toda la pila de seguridad en la nube, para que los usuarios experimenten el mismo nivel de seguridad sin importar desde dónde se conecten.

¿Cuál es el enfoque de Netskope para desplegar soluciones FWaaS?

FWaaS es una solución clave para habilitar defensas adicionales de seguridad del tráfico no web. Los usuarios remotos y las oficinas de sucursales se benefician de controles de tráfico de salida de red FWaaS junto con un proxy web para inspeccionar el tráfico web, aplicaciones SaaS y la IA generativa. Con la base de FWaaS, se puede añadir un sistema de prevención de intrusiones (IPS), además de controles de seguridad DNS, filtrado por categorías de dominio DNS, un proxy SOCKS para el tráfico en puertos estándar y no estándar (por ejemplo, FTP, SFTP, FTPS, Telent, etc.), y la configuración de defensas en línea para prevención de pérdida de datos (DLP) y protección contra amenazas. Más información sobre FWaaS.

Preguntas frecuentes

¿Qué es un cortafuegos?

Un cortafuegos es un control de seguridad que monitoriza el tráfico de red y hace cumplir las normas sobre qué puede conectarse. Decide si el tráfico está permitido, bloqueado o registrado en función de señales como IPs, puertos, protocolos, usuarios y aplicaciones. Los cortafuegos modernos suelen incluir una inspección de paquetes más profunda para detectar amenazas e identificar aplicaciones, no solo reglas básicas de permitido/denegado.

¿Qué es un cortafuegos en la nube?

Un cortafuegos en la nube es la protección contra cortafuegos entregada a través de la infraestructura en la nube en lugar de un dispositivo físico en un centro de datos. Puede hacer cumplir Política para usuarios, sucursales y cargas de trabajo en la nube, incluso cuando el tráfico no pasa por una central central. Muchos servicios de cortafuegos en la nube incluyen controles de firewall de nueva generación (NGFW) como la conciencia de aplicaciones, la prevención de amenazas y el registro. El firewall-as-a-Service (FWaaS) es una versión más específica de un firewall en la nube y está enfocado en el tráfico de salida de usuarios remotos y oficinas sucursales, y a menudo forma parte de una plataforma de servicios de seguridad (SSE) combinada con SWG, CASBy ZTNA soluciones para inspección de tráfico de paso único.

¿Dónde se sitúa FWaaS en la red?

FWaaS se sitúa en la ruta de la nube donde el tráfico de salida puede ser dirigido para su inspección. La organización suele enrutar el tráfico de usuarios, sucursales o redes en la nube hacia el servicio de cortafuegos en la nube Usar tunneling, integración SD-WAN, enrutamiento en la nube o reenvío basado en agentes. A partir de ahí, FWaaS aplica Política, inspecciona el tráfico de salida y envía las sesiones permitidas a su destino mientras registra los resultados.

¿Puede FWaaS reemplazar a la VPN o a la SD-WAN?

El acceso a red de confianza cero (ZTNA) es la solución más preferida para reemplazar a las VPN. ZTNA Usar un enfoque de dentro hacia fuera para asegurar la identidad y el acceso, eliminando al mismo tiempo los servicios públicos de VPN públicos expuestos y reduciendo el movimiento lateral. Los navegadores empresariales también están ganando interés por el Dispositivo Usar no gestionado por contratistas o terceros para acceder a recursos de la empresa, además de los navegadores empresariales Usar para ZTNA acceso a aplicaciones privadas.

Por tanto, FWaaS no es un sustituto directo de las VPN. FWaaS puede ayudar a enrutar el tráfico de forma más eficiente para SD-WAN y a aplicar de forma consistente las reglas del cortafuegos de tráfico de red.

¿Qué hay que tener en cuenta al elegir FWaaS?

Los equipos suelen evaluar FWaaS basándose en la experiencia del usuario, el rendimiento, el ajuste, la cobertura y las realidades operativas. El objetivo es una protección constante, una gran experiencia de usuario y sin crear complicaciones en el enrutamiento ni lagunas de visibilidad.

Las consideraciones clave incluyen:

Experiencia de usuario remoto: Una experiencia de usuario de alto rendimiento como parte de una plataforma SASE
Cobertura de tráfico: Usuarios, sucursales y ubicaciones remotas
Profundidad de inspección: Reglas de cortafuegos de 5 tuplas, inspección de paquetes, IPS, comprobaciones de seguridad DNS y controles de URL DNS de nombres de dominio, y control de aplicación Política de Capa 7
Modelo política: Facilidad para crear reglas, excepciones y segmentación por usuario/app/contexto
Registro y visibilidad: Nivel de detalle, retención, exportación e integración SIEM
Rendimiento y resiliencia: Opciones de enrutamiento, conmutación por error, cobertura POP y SLA
Integración: Proveedores de identidad, SD-WAN, enrutamiento en la nube y pila de seguridad existente
Gastos operativos: Quién gestiona las actualizaciones, ajustes y control de cambios

Para las arquitecturas SSE/SASE de Organización Usar, Netskope suele estar posicionado para aplicar controles consistentes a través de la Web, la nube y el acceso a aplicaciones privadas, Usar centralizado Política y visibilidad, con inspección de paso único.