Seguridad para soluciones SD-WAN

Obtenga con Teldat la mejor solución de comunicaciones SD-WAN y el sistema de seguridad más adecuado para su red contra el malware. Seguridad en sus dispositivos, overlay y en la nube.

Amenazas de seguridad y malware

 
El malware evoluciona constantemente. Cada día surgen nuevas amenazas que adoptan formas muy diferentes (phishing, spyware, criptominado, ransomware…). De hecho, según un análisis realizado por AV-Test, actualmente existen más de 1.100 millones de aplicaciones potencialmente no deseadas (PUA, en sus siglas en inglés) o malware, y la cifra sigue creciendo.

Tecnologías de seguridad

 
A la hora de proteger a los clientes de estas amenazas, existen muchas opciones en el mercado (desde firewalls internos, filtrado DNS y de URLs, firewalls de nueva generación y pasarelas web seguras). Cada opción tiene sus ventajas, dependiendo del presupuesto, las necesidades del cliente y los distintos tipos de tráfico. Las soluciones de filtrado URL comparan las URLs a las que los usuarios quieren acceder con categorías o listas de URLs predefinidas. Este sistema puede ser útil para evitar que usuarios accedan a páginas potencialmente peligrosas, con contenido prohibido (por ejemplo, en centros educativos), o que no estén vinculadas al trabajo. En términos presupuestarios, son soluciones de seguridad de bajo nivel. Las pasarelas web seguras actúan como una pantalla entre el usuario y el contenido web, analizando y asegurando el tráfico que pasa por ellas. Suelen incluir filtrado de URLs, detección y bloqueo de malware, y control de aplicaciones. Actúan como guardias de seguridad, permitiendo o prohibiendo el acceso a páginas web o la descarga de archivos. Son soluciones de seguridad de nivel medio.
Según Gartner, el firewall de nueva generación es “un firewall de inspección profunda de paquetes que va más allá de la inspección y el bloqueo puerto/protocolo. Aporta inspección a nivel aplicación, evita intrusiones, y analiza datos de fuera del firewall”. Existen importantes diferencias entre los cortafuegos tradicionales y los de nueva generación: los últimos son capaces de filtrar paquetes en aplicaciones de Nivel 7 mediante firmas y de clasificar tráfico empleando descodificación SSL. También pueden actualizarse fácilmente y en remoto. Son soluciones de alto nivel, ya que ofrecen todas las funcionalidades de seguridad en un único producto. Su precio sube dependiendo del número de elementos de seguridad presentes.
Muchos proveedores recurren a estrategias diversas para vender estas tecnologías, como ofrecer programas de licencias basados en usuarios conectados/bytes consumidos, o aplicar un determinado precio por ubicación/dispositivo. Estos programas también dependerán de si la instalación es in situ o en la nube (aaS/aaP), presentando ambas opciones ventajas y desventajas. Por ejemplo, las soluciones in situ aportan seguridad al analizar el tráfico que fluye por ellas. Esto aumenta la capacidad de procesamiento del hardware (y sus costes asociados) y genera dependencia con el proveedor (puesto que las comunicaciones y la seguridad deben estar en manos del mismo agente).
Las soluciones en la nube ofrecen mucha mayor flexibilidad:

  • Están siempre actualizadas: ya no es necesario emplear tiempo y dinero en recibir parches o actualizaciones del proveedor, la nube cuenta siempre con la última versión y las funcionalidades más novedosas.
  • Están siempre conectadas: alta disponibilidad garantizada – el servicio se encuentra siempre disponible (independientemente de la fecha, la época del año o la ubicación).
  • Se paga por lo que se usa: el usuario paga por los servicios que va a necesitar, adaptándose la solución al presupuesto y las necesidades del cliente. Se ofrece siempre la opción de dejar de pagar por servicios que no se disfrutan.

¿Qué propone Teldat en materia de seguridad?

 

Combinar SD-WAN con Seguridad (be.SAFE)

Seguridad en los dispositivos

 
Cortafuegos de nivel 7 activado por defecto e interfaces aisladas por VRFs:

  • Seguridad de perímetro (intrusiones y ataques)
  • Bloqueo por defecto de conexiones entrantes y salientes usando parámetros como direcciones IP, protocolos de puertos, y URLs Sólo el tráfico permitido específicamente se procesará por defecto. El resto se descartará.

Seguridad en la red

 
Existen tres objetivos asociados a este escenario:

  1. Confidencialidad
  2. Integridad
  3. Autenticación

El propósito de la confidencialidad es impedir que terceros accedan a nuestra información. La integridad garantiza que los datos no se modifican durante la transmisión. La autenticación garantiza que los datos proceden de una fuente de confianza y es necesaria para protegerse ante ataques de intermediarios. Los 3 objetivos se consiguen usando IPSec en todas las conexiones de redes. IPSec es el estándar actual para la seguridad en transmisiones de datos, proporciona confidencialidad mediante cifrado (AES-256), e integridad y autenticación mediante encabezados (SHA-256). La implementación de la tecnología SD-WAN de Teldat usa el protocolo IPSec sin modificaciones, garantizando el tráfico seguro de claves de seguridad en la red (mediante claves públicas y certificados privados), la generación y renovación segura de claves de sesión, mecanismos anti-reproducción, el uso de claves seguras basadas en PFS (Perfect Forward Security), etc.

Al proceso de dividir la red en subredes lógicas se le denomina segmentación. Se basa en un aislamiento de distintos dominios o zonas de red, con el fin de que el tráfico de un dominio no pueda llegar a destinos ubicados en otros dominios. La solución de Teldat ofrece herramientas centralizadas para configurar segmentación de extremo a extremo en redes SD-WAN. Los usuarios y los servicios se aíslan en segmentos SD-WAN independientes, en función de los criterios de seguridad y las necesidades de procesamiento de tráfico común (o los requisitos de direccionamiento IP establecidos en diversos departamentos corporativos). La imagen que se incluye a continuación muestra uno de estos escenarios:

Teldat Basic / capa de seguridad económica:

 

Emplea las mejores opciones de seguridad para cubrir las diferentes amenazas de malware

 

be.SAFE Smart

Políticas de acceso, filtrado de contenido, bloqueo de páginas con contenido malicioso

 
be.SAFE SMART es una solución fácil de usar que permite a las PYMEs y usuarios residenciales controlar sus riesgos de ciberseguridad y fijar políticas de contenido para empleados y familiares. Sus principales características son:

  • Filtrado web: cuenta con un diccionario de amenazas que categoriza el 90% de las páginas web de todo el mundo en base a su contenido y ubicación.
  • Protección frente a malware: cuenta con un diccionario de amenazas que automáticamente detecta, clasifica y bloquea amenazas de malware.
  • Análisis exhaustivo y evaluación de la productividad: entender los patrones de uso de Internet, las páginas bloqueadas, las categorías de malware bloqueado, los ataques maliciosos, el contenido bloqueado en cada región…
  • Fácil de usar y multicanal: Use la aplicación móvil be.SAFE SMART o la página be.SAFE SMART para configurar las políticas de ciberseguridad en segundos sin ser un experto en la materia.
  • CPE agnostic: Compatible con el 99% de los dispositivos instalados en PYMEs y entornos residenciales (basado en soluciones DNS)

Visualizer (NTA con inteligencia artificial)

 

Detección proactiva de malware

 
Visualizer enriquece el tráfico de Telemetría con información actualizada sobre páginas maliciosas y direcciones de Internet usando mecanismos altamente precisos de identificación de amenazas, reputación y clasificación en tiempo real en páginas web y espacios IP (v4 y v6).

  • CLASIFICACIÓN DE PÁGINAS WEB Y REPUTACIÓN: Clasificación del contenido de miles de millones de páginas web en más de 70 categorías para proteger a los usuarios finales de páginas maliciosas.
  • REPUTACIÓN IP: Este complemento del Visualizer analiza las amenazas IP y gestiona grupos de datos dinámicos de millones de direcciones de IP de alto riesgo con alarmas personalizables.
  • CONTROL TI EN LA SOMBRA: Al ejercer un control TI en la sombra, las organizaciones pueden evitar fugas de datos y procesos corporativos desconocidos o descontrolados.

También ofrece la posibilidad de notificar, con alarmas, las conexiones que se detecten a cualquiera de esas páginas web. Combinar distintos factores hace posible que se detecte no sólo la página web desde la que parte la conexión, sino también la IP LAN, el mapa de localización, el minuto exacto y la cantidad de tráfico detectada.

Teldat Advanced (be.SAFE Premium):

Emplea las mejores opciones de seguridad para cubrir las diferentes amenazas de malware

 
Las redes deben ser flexibles para adaptarse a entornos cambiantes, tanto en lo que respecta al acceso de usuarios como a aplicaciones in situ. Deben estar preparadas soportar Aplicaciones en la Nube y prestar la mejor experiencia de usuario, ser ágiles, escalables, fiables y seguras. El acceso directo a la nube desde las oficinas y desde casa (para aquellos con teletrabajo), y el acceso centralizado a Internet resulta un inconveniente cuando la mayor parte del tráfico se dirige a Nubes Públicas. Cuando el acceso a Internet sobrepasa los modelos centralizados de centros de datos, el Perímetro de Seguridad se agranda y se precisan nuevas estrategias de seguridad. Una solución efectiva para alcanzar los máximos niveles de seguridad en los perímetros de estas redes requiere, además de capacidad de filtrado de web, soluciones centralizadas con capacidad IDS/IPS, antivirus, antispam, zona de pruebas, direcciones reputables, DLP, análisis SSL, y filtrado de correo (entre otros). Las soluciones de seguridad locales no pueden ofrecer un nivel de seguridad similar al que ofrecen las soluciones en la nube.
La tecnología SD-WAN de Teldat puede usar redes tradicionales privadas y acceso a Internet para el tráfico interno y el acceso a la nube, cortafuegos con información de estados, prevención DoS en el dispositivo del cliente, y reglas de nivel 7 para identificar destinos y aplicaciones de confianza o poco fiables. Además, se integra con soluciones de seguridad en la nube, ofreciendo una gestión unificada por medio de una conexión VPN al servicio en la nube. Así, todo el tráfico desde y hacia Internet se envía desde cada localización al servicio en la nube mediante un túnel seguro. Se efectúa un análisis de seguridad, bloqueando cualquier amenaza sin necesidad de gestionar las actualizaciones de seguridad en dispositivos locales y sin precisar procesadores hardware de más calidad (lo que incrementaría los costes).

  • Servicio de seguridad en la nube, prestado por Teldat
  • Cortafuegos de primera calidad para el dispositivo cliente, en colaboración con Check Point
  • Gestión de la seguridad y tecnología SD-WAN integradas

¿Cómo funciona?

 

Principales ventajas:

 
  • 100% gastos de explotación. Olvídese del hardware, las piezas de repuesto y los gastos de mantenimiento.
  • Escalable. El cliente paga en función de los servicios que consume.
  • Puede integrarse en la solución SD-WAN de Teldat o emplearse como un servicio de seguridad independiente.
  • Ecosistema vinculado a las soluciones NTA y SD-WAN de Teldat, lo que permite una instalación gradual.

Conclusión

 
Puesto que la tecnología del sector de las telecomunicaciones cambia, de media, cada tres años (y las amenazas/opciones de seguridad cada 3 o 6 meses), conviene contar con soluciones flexibles que nos eviten depender de un único proveedor. El concepto que propone Teldat combina la mejor solución en materia de telecomunicaciones con los niveles más altos de seguridad, permitiendo recurrir a otros proveedores si el precio o las funcionalidades lo hicieran necesario. Optimizar la oferta del proveedor conlleva una mejor cobertura a un menor precio. Teldat puede ofrecer todo esto gracias a su solución SD-WAN basada en comunicaciones de Nivel 7, cuyo ecosistema permite a los clientes adaptar las soluciones a sus necesidades y presupuestos (adoptando la tecnología SD-WAN a su ritmo y de manera progresiva).

Making the Net Work

Contacto

Si desea obtener más información sobre nuestra solución SD-WAN, no dude en ponerse en contacto con nosotros.

Nuestro equipo de especialistas le atenderá de inmediato