Next Generation Firewall

Todos sabemos que os termos em informática possuem significados diferentes de acordo com visões pessoais, principalmente aqueles relativamente novos ou ainda não amadurecidos. É o caso do “Next Generation Firewall” ou simplesmente NGFW, que anda muito em voga nos últimos tempos e merece um olhar mais próximo. Afinal de contas, o seu próximo firewall pode ser um NGFW (ou um firewall comum renomeado para “next generation”, mas aí já é outra história).

Para entender o que é um firewall de próxima geração é importante começar pelo o que seria um firewall “da geração atual”. Um firewall em seu conceito mais básico é um sistema ou dispositivo projetado para bloquear acessos não autorizados. É uma tecnologia bastante antiga, do final da década de 80, o que explica suas deficiências. Nos anos 90 a tecnologia evoluiu, em boa parte graças a CheckPoint, que criou entre outras coisas o conceito de stateful inspection, que se tornou um requisito obrigatório. Com o passar do tempo o firewall tornou-se essencial, quase onipresente, e acabou virando para leigos sinônimo de proteção de rede ou do computador.

No entanto toda a evolução não retirou do firewall sua característica e limitação essencial: tomar decisões a partir de protocolos e portas. Ao mesmo tempo as técnicas de invasão utilizadas por hackers evoluiram gerando outros sistemas de segurança complementares. O mais famoso deles foi o IDS (intrusion detecion system), que depois evoluiu para o IPS (intrusion prevention system). Não os citei por acaso. Firewall e IDS/IPS foram desde o inicio consideramos primos, tecnologias não apenas complementares como simbióticas. Não foi por acaso que na primeira metade dessa década muitos especialistas acreditaram que os produtos de firewall iriam incorporar os de detecção e até provocar sua extinção. Na época o Gartner Group chegou a anunciar o fim da detecção de intrusos como tecnologia isolada. Esse novo produto foi chamado de “deep packet inspection firewall”, ou firewall com inspeção profunda de pacotes, em uma tradução ao pé da letra. Foi a primeira versão de um NGFW.

Hoje sabemos que o “deep packet inspection firewall” não deu certo, pelo menos até agora. Por vários motivos as empresas de firewall não conseguiram integrar componentes eficientes de detecção de intrusos. Por outro lado, as empresas de detecção de intrusos, que tentaram o caminho oposto de integrar um firewall aos seus produtos, também falharam. Mas os esforços não foram em vão. Esse investimento em pesquisa foi um dos geradores da tecnologia que permitiu o UTM, os produtos de segurança multifuncionais para pequenas e médias redes. A diferença entre um UTM e um NGFW é o desempenho limitado do primeiro. O NGFW deveria, desde o inicio, ser um firewall corporativo. O resultado é que as grandes empresas em sua maioria continuam a utilizar equipamentos dedicados para firewall e IPS.

Apesar do fracasso o conceito inicial se manteve, e até hoje o conjunto firewall + IPS continua a ser a base do que as empresas e mercado chamam de NGFW. A diferença é que cada um incorpora ou sugere funcionalidades adicionais. Para o Gartner, por exemplo, o NGFW deveria incorporar, além do IPS, as funcionalidades de identificação de aplicações, integração com outras tecnologias de segurança não instalados no firewall, como filtros web, e recursos avançados de gerenciamento de políticas de acesso. Para outros não deve faltar o chamado firewall de aplicação, tecnologias especializadas para filtrar o acesso a servidores de aplicação ou banco de dados. Um fator de ajuda aos fabricantes é a evolução da capacidade de processamento do hardware e a tecnologia multicore, tanto no processamento de rede como no de aplicação, que já permite que sistemas corporativos de firewall e IPS possam ser executados no mesmo equipamento com bons resultados, embora ainda não existam exemplos de software integrados realmente eficientes. Não é a toa que melhores exemplos atuais de integração são encontrados nos produtos de blade, hardware genéricos que permitem a instalação de produtos independentes em um mesmo chassi.

É possível que com o passar do tempo a idéia evolua para algo mais abrangente, migrando do paradigma de um único produto com superpoderes para o que acabou se tornando de fato o que é NGFW hoje: sistemas diversos integrados em seu gerenciamento e monitoração por processos e/ou tecnologias. Para as empresas o mais importante é o resultado final, não importando se as diferentes camadas de proteção estão em um único produto de software, em diferentes appliances/servidores ou integrados em um grande equipamento com blades de hardware. Além disso as experiências em tentar integrar em um único produto diferentes camadas mostraram que elas não interagem entre si só porque compartilham o mesmo hardware. Pelo contrário, a maioria atua como se fossem produtos independentes. Para piorar, as consoles de gerenciamento estão muito longe de ser a soma das consoles dos produtos dedicados. Todas são limitadas.

Na hora de selecionar produtos corporativos de segurança as empresas devem focar em dois pontos: a eficiência da tecnologia em cumprir o que promete e a eficiência do gerenciamento para que a empresa aproveite os benefícios da tecnologia. É claro que há outros pontos importantes como os custos envolvidos para aquisição e operação, porém o mais importante é que o produto de segurança funcione bem em todos os aspectos, o que inclui não afetar a rede e os sistemas de negócio. Falando especificamente de firewall, deve-se escolher um firewall que faça bem a sua função primordial. Se o produto trouxer outras camadas, ainda melhor. Depois deve-se complementar o firewall com as camadas de segurança necessárias para a operação da empresa, não importando se o produto está ou não integrado ou se é ou não do mesmo fabricante. Se for, é melhor. Por fim deve-se integrá-los na camada de gerenciamento, com processos ou software se for o caso, para correlacionar eventos e gerar informação. Em outras palavras, NGFW é a solução de segurança implementada para proteção de rede que ao mesmo tempo que a protege contra diferentes tipos de ataques, fornece ao administrador de segurança informações úteis que o ajudem a identificar e mitigar ameaças. Pode ser um produto ou vários, gerenciado pela empresa ou por um prestador de serviços. A forma, na verdade, é o que menos importa, se o resultado for o que a empresa precisa.