La solución de firewall en contenedores anunciada por cisco para su venerable familia de conmutadores Catalyst tiene como objetivo facilitar la segmentación de los recursos de red para los clientes empresariales que utilizan sistemas mixtos de TI/OT, pero también ahorrarles dinero mediante la consolidación de implementaciones de red y seguridad. Específicamente, el contenedor basado en Docker creado por Cisco para su dispositivo de seguridad adaptable (ASA) Secure Firewall se puede alojar en conmutadores de acceso Catalyst 9300. Secure Firewall ASA combina firewall, antivirus, prevención de intrusiones, cifrado y soporte para redes privadas virtuales (VPN). El firewall admite hasta 10 interfaces lógicas, todas las cuales pueden usarse para la segmentación. "Debido a que limita cualquier infracción a un área específica, esta segmentación limita la capacidad de un atacante para moverse lateralmente dentro de la red", escribió Pal Lakatos-Toth, gerente de productos de ingeniería dentro del grupo de seguridad de Cisco, en un blog sobre el anuncio. “La integración de sistemas de tecnología de la información (TI) y tecnología operativa (OT), también conocida como convergencia IT/OT, es un proceso crucial en industrias como la manufactura, la energía y los servicios públicos. Mientras que los sistemas de TI se encargan de la gestión de datos, los sistemas de OT gestionan los procesos físicos y los sistemas de control de infraestructuras críticas como redes eléctricas, plantas de tratamiento de aguas residuales y equipos de fabricación”, escribió M. . Lakatos-Toth.

La transformación digital y las iniciativas de fabricación inteligente han acelerado la convergencia de las redes de TI y OT, y "si bien esta integración puede traer beneficios significativos, incluyendo una mayor eficiencia, una mejor visibilidad y una mejor toma de decisiones, también puede aumentar el riesgo de ciberataques", afirmó Pal. Lakatos-Toth "Al alojar el ASA Secure Firewall en contenedores en los conmutadores de acceso Catalyst 9300, las organizaciones pueden simplificar el enrutamiento del tráfico a firewalls centralizados mediante túneles complejos", explicó Lakatos-Toth. la fuente, lo que la convierte en una solución rentable y eficiente para proteger las redes convergentes de TI/OT. También reduce la latencia de las aplicaciones urgentes al aplicar políticas cerca de la fuente, donde los dispositivos se conectan a la red”, dijo Lakatos-Toth.

Implementación segura en redes grandes

El ASA Secure Firewall en contenedores mantiene una tabla de conexiones con estado que realiza un seguimiento del estado y el contexto de cada conexión de red que pasa y aplica el control de acceso basado en el contexto. “Si una aplicación requiere puertos adicionales para funcionar, el firewall abre y rastrea dinámicamente esos puertos, al tiempo que garantiza que se mantengan las políticas de seguridad y los controles de acceso. Todos estos eventos se registran con fines de auditoría y se pueden utilizar para rastrear y prevenir violaciones de seguridad”, dijo Lakatos-Toth. Para el control de acceso en la red IT/OT, el Firewall seguro ASA en contenedores utiliza listas de control de acceso (ACL) y etiquetas de grupo de seguridad (SGT). “Con los SGT, el firewall aplica políticas de seguridad basadas en etiquetas en lugar de direcciones IP. Utiliza SGT para autenticar dispositivos OT y asignarlos a un grupo de seguridad específico, como 'OT', y luego usarlo para inspección dinámica”, dijo Lakatos-Toth. La solución ASA se administra a través de Cisco Enterprise DNA Center (DNAC) para respaldar la administración y las configuraciones de la conectividad de la red. DNAC garantiza que la aplicación de firewall esté siempre actualizada y sea segura. “Cisco Defense Orchestrator también es compatible con el sistema y le permite crear e implementar políticas de seguridad consistentes en redes grandes. Realiza análisis de políticas y agiliza los procesos de configuración y gestión”, escribió Lakatos-Toth.

Si bien esta es la primera vez que Cisco implementa un firewall en el 9300, el conmutador ha incluido soporte para contenedores Docker durante varios años. La idea era permitir a los clientes crear sus propias aplicaciones para el conmutador sin tener que reescribirlas con cada cambio de infraestructura. Según Cisco, los contenedores Docker son livianos y usan muy poca CPU y memoria. “Por ejemplo, en una gran empresa, un operador de red puede alojar una aplicación de monitoreo de red en las plataformas de acceso Cisco Catalyst para localizar con precisión los problemas en la red y actuar en consecuencia, utilizando la información recibida en tiempo real”, dijo Cisco. ASA Secure Firewall en contenedor estará disponible en octubre en el switch Catalyst 9300 con IOS EX versión 17.12.2.