Barracuda SecureEdge: Características

SecureEdge se basa en la misma tecnología que CloudGen Firewall, el firewall empresarial de Barracuda, probado en batalla. Diseñado específicamente para la nube, SecureEdge ofrece una seguridad multicapa avanzada para proteger los recursos críticos de su empresa, aprovechando un conjunto completo de funciones que incluyen:

• protección frente a amenazas avanzadas
• Detección y prevención de intrusiones
• Protección contra malware
• Inspección de SSL
• Inspección profunda de paquetes con estado
• Arquitectura de paso único
• Filtrado de URL: ACL basada en aplicaciones

Las soluciones tradicionales suelen detectar las amenazas a la red después de que la hayan atacado y, a continuación, envían notificaciones de registro al administrador. Barracuda Advanced Threat Protection (ATP), en cambio, implementa una emulación del sistema completo, lo que ofrece una enorme visibilidad del comportamiento del malware. Los archivos se comparan con una base de datos de hashes criptográficos que siempre está actualizada. En caso de que el archivo sea desconocido, se emula en un espacio aislado virtual donde se puede descubrir el comportamiento malicioso. Barracuda ATP ofrece a los administradores un control pormenorizado basado en los tipos de archivos que incluye funciones de cuarentena automática y listas de bloqueo para mantener el más alto nivel de protección para la red de una organización.

Barracuda SecureEdge puede aplicar IPS, protección antivirus, control de aplicaciones, filtrado de URL e incluso Advanced Threat Protection al tráfico web cifrado con SSL mediante el enfoque estándar de «intermediario de confianza». La intercepción SSL puede ajustarse para eximir de la inspección SSL a redes locales, usuarios/grupos, categorías de filtro URL o dominios definidos personalizados.

El Sistema de Prevención de Intrusiones (IPS) de SecureEdge mejora significativamente la seguridad de la red al ofrecer una protección integral en tiempo real contra una amplia gama de amenazas de red, piratería, vulnerabilidades, exploits y exposiciones en sistemas operativos, aplicaciones y bases de datos. Previene ataques de red como:

• Inyecciones de SQL y ejecuciones de código arbitrario
• Intentos de controlar el acceso y escalaciones de privilegios
• Scripts de sitios y desbordamientos de búfer
• Ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS)
• Cruce de directorios (directory traversal) e intentos de sondeo y exploración
• Ataques de puerta trasera, troyanos, rootkits, virus, gusanos y spyware

Como resultado, Barracuda SecureEdge puede identificar y bloquear intentos avanzados de evasión y técnicas de ofuscación que los atacantes utilizan para eludir y engañar a los sistemas tradicionales de prevención de intrusiones.

Las actualizaciones automáticas de firmas se entregan de manera regular o de manera urgente a medida que surgen nuevas vulnerabilidades, para garantizar que Barracuda SecureEdge esté constantemente actualizado.

SecureEdge aplica una seguridad completa con ACLs, control de aplicaciones, filtrado de URL, antivirus y protección frente a amenazas avanzadas, permitiendo la segmentación y el control de la red dentro de Azure Virtual WAN. Esto elimina la necesidad de grupos de seguridad, Azure Firewall o Azure Security Partners y los sustituye por una solución flexible, fácil de usar y rentable. Además, SecureEdge proporciona una visibilidad en tiempo real sin precedentes de todo el tráfico que entra y se genera desde dentro de Virtual WAN.

La tecnología de Balanceo de Sesiones Adaptativo garantiza el uso del mejor enlace ascendente disponible para el perfil de la aplicación, en todos los túneles cifrados a través de los sitios SD-WAN. Si el estado de salud del enlace ascendente inicial se recupera, el tráfico SD-WAN cifrado cambiará de forma transparente de nuevo a este enlace ascendente. El enrutamiento basado en aplicaciones, teniendo en cuenta los resultados de la detección dinámica de ancho de banda y latencia, aplica el mismo concepto para el tráfico saliente de internet, asegurando que las aplicaciones SaaS como Office 365 siempre utilicen el mejor enlace ascendente disponible, incluso cuando las condiciones cambian con frecuencia.

Para lograr la mejor experiencia de usuario posible en la WAN, los dispositivos de sitio SecureEdge miden proactivamente los anchos de banda disponibles y la calidad de todos los enlaces ascendentes de Internet y entre los puntos finales de la VPN. Los resultados están disponibles directamente para el motor de políticas de seguridad y SD-WAN, permitiéndole seleccionar el enlace ascendente más adecuado para cada aplicación o descalificar un enlace si el ancho de banda o la latencia están fuera de los límites aceptables.

Una combinación única de tecnología de seguridad de próxima generación y enrutamiento WAN adaptable permite a Barracuda SecureEdge asignar dinámicamente el ancho de banda disponible, el enlace ascendente y la información de enrutamiento según el protocolo, el usuario, la ubicación y el contenido, así como la aplicación, las categorías de aplicaciones e incluso las categorías de contenido web. De este modo, se mantienen libres las líneas de alta disponibilidad y alto coste para las aplicaciones empresariales y de misión crítica, a la vez que se reducen considerablemente los tiempos de respuesta y se libera ancho de banda adicional.

Para ver una lista actual de aplicaciones y subaplicaciones que SecureEdge reconoce para el enrutamiento basado en aplicaciones, por favor visite el Explorador de Aplicaciones en Línea.

Barracuda SecureEdge utiliza la detección dinámica de ancho de banda y latencia para equilibrar automáticamente las sesiones existentes dentro de los túneles VPN lógicos a través de todos los enlaces ascendentes disponibles. Este balanceo en tiempo real optimiza la eficiencia de la red y el uso del ancho de banda en cualquier momento dado.

Si la detección dinámica de ancho de banda y latencia indica que el ancho de banda medido de un enlace ascendente es demasiado bajo para soportar ciertos tipos de tráfico crítico para el negocio (por ejemplo, VoIP), Barracuda SecureEdge cambia automáticamente las sesiones de tráfico no crítico a enlaces secundarios para liberar ancho de banda para el tráfico crítico.

La SD-WAN segura entre dispositivos de Barracuda Networks utiliza TINA (Transport Independent Network Architecture) por defecto, una versión mejorada del protocolo IPsec diseñada para superar las limitaciones inherentes de IPsec. El protocolo TINA emplea una combinación de TCP, UDP y ESP para conexiones VPN de alta velocidad, mejorando significativamente la conectividad VPN. También añade conectividad predeterminada de extremo a extremo (no de red a red), compatibilidad integrada con NAT, compatibilidad integrada con proxy HTTPS y SOCKS4/5, soporte para direcciones dinámicas y una mejor calidad de túneles VPN mediante una supervisión avanzada y dinámica del estado de los túneles.

Con el módem USB LTE opcional, los dispositivos del sitio de SecureEdge pueden aprovechar la conectividad 4G/LTE y la infraestructura celular para proporcionar velocidades de banda ancha, ya sea en configuración de conmutación por error o de equilibrio de carga. Para ubicaciones sin opciones de banda ancha por cable y con suficiente conectividad celular, el módem USB LTE puede servir como la conexión principal a Internet. El módem USB LTE Barracuda se puede utilizar incluso para la implementación sin intervención de los dispositivos SecureEdge en áreas donde la conectividad a Internet por cable aún no está disponible.

Para extender el servicio SASE a la velocidad de línea a todos los dispositivos del sitio y superar las limitaciones introducidas por la tecnología SD-WAN tradicional basada en enlaces ascendentes compartidos como la banda ancha, SecureEdge incorpora tecnología de optimización de enlaces ascendentes con corrección de errores de reenvío e inteligencia de tráfico autorreparable. Esto permite utilizar el ancho de banda físico disponible de manera más eficaz y expandir los beneficios de SD-WAN a sitios con enlaces ascendentes únicos, así como optimizar la utilización de los enlaces ascendentes compartidos.

El servicio SASE de Barracuda SecureEdge está disponible como SaaS administrado directamente por Barracuda Networks, como SecureEdge para Microsoft Azure Virtual WAN administrado por Microsoft, o como dispositivos virtuales y de hardware que el cliente o el socio de confianza pueden administrar y alojar. Independientemente del tipo de implementación, toda la administración de la configuración basada en la intención se lleva a cabo desde el portal en la nube del administrador de SecureEdge. A continuación, el servicio se encarga de propagar y aplicar los cambios en cada extremo del servicio, sede local, usuario o dispositivo IoT.

Tras conectar y encender los dispositivos del sitio, cada uno utiliza automáticamente todos los enlaces ascendentes disponibles para conectarse al servicio SASE. Gracias a la configuración de políticas de SD-WAN predefinida para miles de aplicaciones empresariales frecuentes, se asegura que los dispositivos utilicen siempre la mejor ruta de enlace ascendente para la aplicación.

El servicio Barracuda SecureEdge y el agente de acceso SecureEdge proporcionan acceso seguro a cualquier aplicación privada o SaaS, independientemente de dónde se encuentren alojadas, siguiendo los principios de confianza cero. Zero Trust Network Access (ZTNA) proporciona a los usuarios el acceso con el menor privilegio a las aplicaciones empresariales, minimizando el riesgo empresarial. Barracuda SecureEdge Zero Trust Security establece un control de acceso sin igual para usuarios y dispositivos sin los problemas de rendimiento de una VPN tradicional. Ofrece acceso remoto, condicional y contextual a los recursos, y disminuye el acceso con privilegios excesivos y los riesgos asociados de terceros.

La conexión a recursos corporativos a menudo sufre limitaciones causadas por líneas de banda ancha de internet compartidas con pérdidas. La optimización de última milla para el tráfico de aplicaciones mediante SecureEdge mejora la experiencia del usuario final al reducir la pérdida de paquetes y aumentar la porción del ancho de banda disponible en las líneas compartidas, mejorando así la calidad de las llamadas de voz y vídeo. La tecnología subyacente para remediar la pérdida de paquetes se basa en códigos de red lineales aleatorios (RLNC, por sus siglas en inglés), un nuevo esquema de codificación algorítmica que reacciona mucho más rápido a las pérdidas y las remedia sobre la marcha, lo que requiere menos retransmisiones y reduce la sobrecarga en los dispositivos.

La aplicación SecureEdge Access Agent está disponible para todas las plataformas de escritorio y móviles, proporcionando seguridad y funcionalidad de ZTNA consistentes. Lo mejor de todo: la licencia es por usuario y cubre hasta 5 dispositivos por usuario.

El enrutamiento de todo el tráfico a un punto de acceso central puede afectar a las aplicaciones sensibles a la latencia, como Microsoft 365 o Zoom. Para ofrecer la mejor calidad de servicio posible, SecureEdge permite definir aplicaciones que pueden conectarse directamente a dichos servicios y qué tráfico de aplicaciones debe ser redirigido para su posterior procesamiento.

La optimización integrada del tráfico de Internet desde el servicio hasta el agente de SASE permite que los terminales aprovechen una mayor parte del ancho de banda disponible en las líneas de Internet compartidas para mejorar el rendimiento de las aplicaciones. La tecnología subyacente que se usa para solucionar la pérdida de paquetes se basa en códigos de red lineales aleatorios (RLNC, por sus siglas en inglés), un potente esquema de codificación. Los algoritmos basados en los códigos RLNC reaccionan mucho más rápido ante las pérdidas y las corrigen más deprisa sobre la marcha, lo que requiere menos retransmisiones de paquetes y reduce la sobrecarga de los dispositivos.

La funcionalidad de pasarela web segura del servicio SecureEdge se ha extendido al punto final con el agente de acceso SecureEdge, proporcionando Acceso Seguro a Internet (SIA). El agente bloquea categorías web conocidas como prohibidas o no deseadas sin realizar más inspecciones. No hay ninguna razón para enviar este tipo de tráfico a la nube para su inspección cuando se puede bloquear inmediatamente en el endpoint. Esto podría ser contenido que entre en conflicto con el cumplimiento normativo o corporativo, o sitios web que se sabe que son maliciosos. Esto incluso incluye las «llamadas salientes» de software malicious que ya está en el dispositivo e intenta comunicarse con su origen. El acceso a aplicaciones SaaS «conocidas como seguras» está permitido por defecto, sin enviarlas al servicio en la nube para inspección de seguridad. Los clientes tienen pleno control al activar o desactivar el acceso mediante las más de 100 categorías de filtros de contenido y miles de definiciones de aplicaciones.

Se aplica una inspección de seguridad completa a las aplicaciones y sitios web que no se consideran ni buenos ni malos, o que el departamento de TI requiere una inspección completa por razones de cumplimiento normativo. El tráfico hacia y desde estos destinos se envía automáticamente al servicio SecureEdge para una inspección de seguridad completa de próxima generación, que incluye IPS, inspección profunda de SSL y protección frente a amenazas avanzadas a través de la nube Barracuda BATP.

La función de filtrado de contenido de SecureEdge le permite crear y aplicar políticas eficaces de contenido y acceso a Internet al proporcionar una visibilidad altamente detallada y en tiempo real de la actividad en línea, desglosada por usuarios y aplicaciones individuales. Protege la productividad de los usuarios, bloquea las descargas de malware y otras amenazas basadas en Internet y facilita el cumplimiento mediante el bloqueo del acceso a sitios web y servidores no deseados, lo que proporciona una importante capa de seguridad adicional junto con el control de aplicaciones.

Los servicios de SecureEdge y los dispositivos del sitio SecureEdge incluyen diccionarios preescritos en inglés de palabras clave y frases relacionadas con el acoso, las armas, el terrorismo y la pornografía. Se notifica a los administradores cuando se busca en línea contenido que contenga estas palabras clave o frases. Las alertas están etiquetadas con identidades reales de usuarios de red, marcas de tiempo, direcciones IP y términos de búsqueda, lo que facilita la identificación de la fuente, independientemente de los perfiles en línea. Las palabras clave personalizadas para el monitoreo se pueden añadir fácilmente mediante la interfaz de usuario basada en la web.

Aunque los sitios web maliciosos e inapropiados estén bloqueados, los usuarios aún pueden acceder a contenido inapropiado mediante motores de búsqueda populares. Los dispositivos del sitio de SecureEdge y los servicios de SecureEdge ofrecen la capacidad de aplicar la opción SafeSearch para los motores de búsqueda más populares y YouTube. Dado que esto se aplica a nivel de red, los usuarios finales no pueden manipular ni eludir esta configuración a través de sus propias cuentas.

Los servicios de SecureEdge y los dispositivos del sitio SecureEdge proporcionan la capacidad de eliminar de manera transparente la publicidad en línea sin mostrar un mensaje de bloqueo ni notificaciones llamativas.

La inigualable red global de inteligencia de amenazas de Barracuda ingiere vastas cantidades de diversa información sobre amenazas en tiempo real desde millones de puntos de recopilación en todo el mundo. Barracuda CloudGen Access utiliza este sistema para mejorar continuamente sus capacidades de detección de amenazas y responder a las tendencias de amenazas que evolucionan rápidamente.

SecureEdge es fácil de configurar y no requiere habilidades informáticas especializadas. SecureEdge funciona de inmediato con una configuración predeterminada inteligente, adecuada para todas las aplicaciones en la nube y SaaS. El servicio puede desplegarse en todas las ubicaciones como una solución SD-WAN pura junto a los Firewall existentes o como una solución SD-WAN segura que sustituya a los Firewall existentes.

La implementación sin intervención le permite enviar dispositivos de sitio SecureEdge directamente desde la fábrica a la ubicación remota deseada sin necesidad de personal de TI en el lugar. Conecte la unidad, enciéndala y automáticamente solicitará, recibirá e instalará su archivo de configuración específico. Esto hace que sea extremadamente fácil, rápido y económico desplegar los dispositivos del sitio de SecureEdge en organizaciones ampliamente distribuidas. Para los sitios en áreas donde la conectividad a Internet por cable aún no está disponible, se puede utilizar el módem USB LTE opcional de Barracuda para facilitar el despliegue inicial.

Gestionado directamente a través del SecureEdge Manager para todas las regiones y todos los sitios de su WAN global, independientemente del número de puntos de entrada a la nube o ubicaciones. El portal central de la nube ofrece el más alto grado de automatización y una facilidad de uso incomparable. SecureEdge Manager monitoriza y optimiza continuamente el rendimiento de la red para asegurar una conectividad ininterrumpida y niveles de servicio de alta calidad para el tráfico y las aplicaciones críticas para su empresa.

Para el filtrado de contenido, la protección contra malware, la inspección de SSL, IPS y las reglas de firewall (ACLs), los usuarios o grupos pueden definirse mediante criterios de inclusión. Permita ciertas categorías de sitios web para usuarios o grupos específicos (p. ej., dé acceso al personal de marketing a Facebook mientras lo bloquea para todos los demás) o exima a ciertos usuarios o grupos de usuarios del escaneo IPS o SSL.

En el pasado, las soluciones de seguridad eran complicadas de usar, o bien presentaban carencias en sus funciones de seguridad subyacentes. Los firewalls y otras soluciones de seguridad se basaban en la asignación de redes, rangos de IP y funciones de seguridad de productos concretas para estas redes. Las operaciones basadas en la intención se crean desde cero como parte del concepto de SecureEdge Manager para nuestra plataforma SASE unificada. La plataforma SASE de Barracuda SecureEdge es estrictamente específica para el usuario, el grupo y la aplicación. De este modo, los usuarios remotos pueden acceder a aplicaciones de nube pública y privada, e Internet mucho más rápido.

La plataforma SASE de SecureEdge le permite crear miles de aplicaciones predefinidas, así como otras privadas que se pueden alojar en cualquier lugar. Es rápido, fácil y solo tiene que hacerse una vez, y luego se comparte con las definiciones de políticas de seguridad, SD-WAN y ZTNA. Todas las optimizaciones de redes y enrutamiento necesarias se realizan de forma completamente transparente en segundo plano y se aplican automáticamente a cada sitio, usuario o instancia de servicio.

La pequeña aplicación SD-WAN Connector permite conectar cualquier sitio en la nube o local que ejecute servicios o servidores Windows o Linux para el acceso directo a las aplicaciones a través de ZTNA y los pone a disposición de su personal.

Azure Monitor y el subyacente Azure Log Analytics son la solución de Microsoft para recopilar, supervisar, analizar y actuar sobre los datos de telemetría de cualquier aplicación alojada en Azure y en entornos locales, e incluso en el equipo de red y seguridad correspondiente. Esto permite a los clientes automatizar el análisis de los datos subyacentes, configurar alertas y utilizar conocimientos impulsados por el aprendizaje automático para identificar y resolver rápidamente problemas relacionados con la seguridad y la conectividad de su infraestructura en la nube, sin iniciar sesión en las máquinas o dispositivos reales. Puede configurar SecureEdge para enviar datos de registro relevantes sobre seguridad, conectividad, SD-WAN y punto a sitio a Azure Log Analytics para un análisis más detallado.

Azure Secured Hub es un Azure Virtual WAN hub seguro con políticas de seguridad y enrutamiento asociadas configuradas por el Azure Firewall Manager, con seguridad de salida proporcionada por un servicio de proveedor de seguridad asociado aprobado por Azure. Barracuda SecureEdge es totalmente compatible para su implementación en estos escenarios, proporcionando conectividad SD-WAN y seguridad de firewall de última generación a cada sitio, así como acceso privado de alto rendimiento a los recursos en la nube para los puntos finales.

SecureEdge Manager ofrece una interfaz de panel personalizable e intuitiva para proporcionar una visión general rápida de los usuarios, las amenazas, las actividades en la red, el estado de la infraestructura y la conectividad SD-WAN. Paneles de control adicionales con configuraciones personalizadas que incluyen una selección de docenas de mosaicos predefinidos están a tan solo unos clics de distancia.