En un mundo ideal, la detección de intrusos se aplicaría en toda tu red: centros de datos, propiedades en la nube y oficinas. No afectaría al rendimiento de tu tráfico. Y no habría limitaciones de capacidad. Hoy nos complace dar un paso más para que esto se haga realidad, con el anuncio de la versión beta privada de las funciones de detección de intrusos de Cloudflare: supervisión en directo de las amenazas en todo el tráfico de tu red, como función entregada como servicio, sin ninguna de las limitaciones de los enfoques de hardware heredados.
Los servicios de red de Cloudflare, que forman parte de Cloudflare One, te ayudan a conectar y proteger toda la red corporativa (centro de datos, en la nube o entorno híbrido) contra ataques DDoS y otro tráfico malicioso. Puedes aplicar reglas de firewall para bloquear el tráfico no deseado o aplicar un modelo de seguridad positiva, e integrar listas de IP personalizadas o gestionadas en tus políticas de firewall para bloquear el tráfico asociado a malware, bots o anonimizadores conocidos. Nuestras nuevas funciones del Sistema de detección de intrusos (IDS) amplían estos controles de seguridad críticos mediante la supervisión activa de una amplia variedad de firmas de amenazas conocidas en tu tráfico.
¿Qué es un IDS?
Los Sistemas de detección de intrusos se suelen implementar como dispositivos independientes, pero con frecuencia se incorporan como funciones en firewalls más modernos o de gama superior. Amplían la cobertura de seguridad de los firewalls tradicionales, que se centran en bloquear el tráfico que sabes que no quieres en tu red, para analizar el tráfico respecto a una base de datos de amenazas más amplia, detectando diferentes tipos de ataques sofisticados, como el ransomware, la exfiltración de datos y la exploración de la red basada en firmas o "huellas" en el tráfico de red. Muchos IDS también incorporan la detección de anomalías, que supervisa la actividad con respecto a una referencia para identificar patrones de tráfico inesperados que pudieran ser indicativos de una actividad maliciosa. (Si te interesa la evolución de las funciones de los firewalls de red, te recomendamos esto, donde ya hemos profundizado en el tema.)
¿Qué problemas se han encontrado los usuarios con las soluciones IDS actuales?
Hemos entrevistado a muchos clientes para que nos cuenten sobre sus experiencias en la implementación de IDS y los puntos conflictivos que esperan que podamos resolver. Los clientes mencionaron la lista completa de problemas ya habituales con otras soluciones de seguridad basadas en hardware, como la planificación de la capacidad, la planificación de la ubicación y el redireccionamiento del tráfico por una ubicación central para su supervisión, el tiempo de inactividad para la instalación, el mantenimiento y las actualizaciones, y la vulnerabilidad a la congestión o a los fallos cuando hay grandes volúmenes de tráfico (por ejemplo, ataques DDoS).
Los clientes con los que hemos hablado también mencionaron repetidamente las dificultades a la hora de realizar concesiones entre la seguridad y el rendimiento para su tráfico de red. Un ingeniero de redes explicó:
"Sé que mi equipo de seguridad me odia por esto, pero no puedo dejar que activen la función IDS en nuestros firewalls en local. En las pruebas que mi equipo llevó a cabo, se redujo el rendimiento en casi un tercio. Soy consciente de que ahora tenemos este punto débil en nuestro sistema de seguridad, y estamos buscando una forma alternativa de conseguir cobertura IDS para nuestro tráfico, pero no puedo justificar que se ralentice la red para todo el mundo solo para detectar un potencial agente malicioso".
Por último, los clientes que decidieron aceptar la reducción del rendimiento e invertir en un dispositivo IDS nos comentaron que suelen silenciar o ignorar la fuente de información de las alertas que llegan a su SOC después de activarlo. Con la cantidad de ruido que hay en Internet y el posible riesgo de pasar por alto una señal importante, los IDS pueden acabar generando muchos falsos positivos o notificaciones sobre las que no se puede actuar. Este volumen puede llevar a los equipos del SOC, que quizá estén sobrecargados de trabajo, a cansarse de las alertas y a acabar silenciando señales potencialmente importantes ocultas entre tanto ruido.
¿Cómo aborda Cloudflare estos problemas?
Creemos que hay una forma más elegante, eficiente y efectiva de supervisar todo el tráfico de tu red en busca de amenazas sin que tengas que introducir cuellos de botella en el rendimiento ni cansar a tu equipo con alertas sobre las que no se puede actuar. Durante el último año y medio, hemos aprendido con tus comentarios, hemos experimentado con diferentes enfoques tecnológicos y hemos desarrollado una solución para acabar con esas concesiones, que siempre son tan difíciles de realizar.
Una interfaz para todo tu tráfico
Las funciones IDS de Cloudflare funcionan en todo tu tráfico de red (sea cual sea el puerto o protocolo IP), tanto si se trata del tráfico que circula hacia tus direcciones IP que anunciamos en tu nombre o hacia las direcciones IP que te alquilamos o, en breve, del tráfico que circula dentro de tu red privada. Puedes aplicar una supervisión y un control de seguridad uniformes en toda tu red, en un solo lugar.
Se acabaron las complicaciones con el hardware
Al igual que todas nuestras funciones de seguridad, diseñamos nuestro IDS desde cero en software, y se implementa en todos los servidores de la red Anycast global de Cloudflare. Esto significa que:
Ya no necesitas planificar la capacidad: ahora toda la capacidad de la red global de Cloudflare es la capacidad de tu IDS, actualmente 142 Tb/s, y sigue creciendo.
Ya no necesitas planificar las ubicaciones: se acabó la elección de regiones, el reenvío del tráfico a ubicaciones centrales o la implementación de dispositivos primarios y de reserva. Puesto que cada servidor ejecuta nuestro software IDS y el tráfico se lleva automáticamente a la ubicación de red más cercana a su origen, la redundancia y la conmutación por error están integradas.
Se acabó el tiempo de inactividad por mantenimiento: las mejoras a las funciones IDS de Cloudflare, al igual que todos nuestros productos, se implementan continuamente en nuestra red global.
Información sobre amenazas de toda nuestra red global interconectada
El panorama de los ataques evoluciona de forma constante, y necesitas un IDS que sea capaz de anticiparse a ellos. Debido a que el IDS de Cloudflare se entrega con un software que hemos escrito desde cero y que mantenemos nosotros, podemos incorporar continuamente en nuestras políticas información sobre amenazas de los más de 20 millones de propiedades de Internet en Cloudflare, manteniéndote así protegido tanto de los patrones de ataque conocidos como de los nuevos que vayan surgiendo.
Nuestra información sobre amenazas combina fuentes de código abierto de confianza mantenidas por la comunidad de la seguridad, como las firmas contra amenazas Suricata, con información que hemos recopilado desde la perspectiva única que tenemos por ser una red extremadamente interconectada que transporta un porcentaje significativo de todo el tráfico de Internet. No solo compartimos esta información públicamente a través de herramientas como Cloudflare Radar. También la incorporamos a nuestras herramientas de seguridad, incluidos los IDS, para que nuestros clientes estén protegidos lo antes posible ante las nuevas amenazas. El recién anunciado equipo dedicado a la información de amenazas de Cloudflare ampliará aun más estas funciones, aplicando conocimientos adicionales para entender y obtener información de nuestros datos de red.
¿Estás deseando empezar?
Si eres un cliente de Advanced Magic Firewall, puedes acceder ahora a estas funciones en la versión beta privada. Puedes ponerte en contacto con tu equipo de cuenta para obtener más información o empezar ahora mismo. ¡Estamos deseando conocer tu opinión para seguir desarrollando estas funciones!