Políticas de Seguridad (Security Policy) – NGAF en CuriosityCloud

Introducción

Las Security Policies (Políticas de Seguridad) en el NGAF (Next Generation Application Firewall) de CuriosityCloud representan el núcleo del sistema de control de tráfico y defensa. Estas políticas permiten aplicar reglas de acceso altamente personalizables y granulares, determinando qué tráfico se permite o se bloquea en función de múltiples criterios como dirección IP, zona, usuario, servicio, aplicación, contenido web, y horarios.

Las políticas de seguridad se procesan de arriba hacia abajo y la primera política que coincida con el tráfico es la que se aplica. Por ello, el orden de las reglas es crítico para garantizar que las acciones se apliquen correctamente.

Características destacadas del módulo de Security Policy

1. Acción configurable por regla:

   • Permit (Allow): permite el tráfico.

   • Deny (Bloquear): bloquea el tráfico inmediatamente.

   • Drop (Descartar): descarta el tráfico sin respuesta al origen.

   • Log Only: solo registra el tráfico que cumple la condición, sin modificarlo.

2. Soporte de múltiples condiciones combinadas:

   • Zona de origen y destino (ej. WAN a LAN, DMZ a LAN, etc.).

   • Dirección IP de origen y destino.

   • Servicios y puertos personalizados (ej. TCP/80, UDP/53).

   • Nombre de usuario o grupo LDAP/AD autenticado.

   • Aplicaciones reconocidas por NGAF (más de 3,000 aplicaciones predefinidas).

   • Horarios o períodos del día definidos por el administrador.

3. Inspección de aplicaciones y contenido:

   • NGAF puede analizar tráfico a nivel de capa 7 para identificar y controlar aplicaciones específicas (como Facebook, Dropbox, Skype, Zoom, etc.).

   • Las reglas pueden permitir, bloquear o limitar el uso de aplicaciones específicas.

   • Compatible con control granular (por ejemplo, permitir solo mensajes de WhatsApp pero bloquear llamadas de voz).

4. Filtrado de URL y contenido web:

   • Posibilidad de categorizar URLs por tipo (por ejemplo: redes sociales, juegos, pornografía, contenido malicioso).

   • Reglas que pueden permitir, bloquear, redireccionar o registrar accesos a determinados sitios web.

   • Soporte de listas blancas y negras personalizadas.

5. Protecciones integradas por política:

   • IPS (Intrusion Prevention System): detecta y bloquea exploits y ataques a nivel de red.

   • Antivirus: analiza tráfico web, correo o archivos en protocolos soportados.

   • Sandboxing: evalúa archivos sospechosos en un entorno seguro antes de permitir el acceso.

   • DLP (Data Loss Prevention): opcionalmente, protege contra la fuga de datos confidenciales.

6. Control de sesiones:

   • Límite de número máximo de conexiones simultáneas por IP.

   • Límite de ancho de banda por usuario, red o aplicación.

7. Registros y reportes detallados:

   • Cada coincidencia con una política puede generar logs visualizables desde el Dashboard.

   • Soporte de alertas por evento o patrones anómalos.
     
     
     

Cómo crear una Security Policy en NGAF

1. Iniciar sesión en la consola de administración del NGAF.

2. Ir a Policy Configuration > Security Policy.

3. Hacer clic en Add para agregar una nueva regla.

4. Definir:

   • Nombre de la regla y descripción (opcional).

   • Acción: Allow, Deny, Drop o Log.

   • Zonas: Origen y destino (por ejemplo: LAN a WAN).

   • Direcciones IP: origen/destino (es posible usar objetos de red).

   • Servicio o puerto: especificar protocolo (ej. HTTP, SMTP, TCP/443).

   • Usuario: si se requiere control por identidad autenticada.

   • Aplicaciones específicas: si se desea aplicar App Control.

   • Horarios de aplicación: opcionalmente definir cuándo se aplica.

5. Activar protecciones:

   • Habilitar IPS/Antivirus/App Control/Web Filter/DLP, según el objetivo de la política.

6. Guardar la política y verificar su posición dentro del listado.

Importante: NGAF evalúa las reglas en orden descendente. Coloca las reglas más específicas arriba y las más generales al final para evitar coincidencias erróneas.

Casos de uso comunes

• Permitir navegación HTTP/HTTPS en horario laboral para usuarios internos.

• Bloquear aplicaciones de mensajería y redes sociales durante ciertas horas.

• Permitir acceso FTP solo a IPs autorizadas.

• Aplicar Antivirus y Sandbox a todo tráfico saliente por HTTP/HTTPS.

• Limitar el ancho de banda por usuario para evitar saturación.

Buenas prácticas

• Definir políticas específicas por zona (LAN, WAN, DMZ, VPN).

• Usar objetos de red y grupos de servicios para facilitar gestión.

• Revisar periódicamente los logs para ajustar reglas.

• Evitar usar "Any → Any" con acciones permisivas.

• Asegurar que las políticas de Deny estén al final.

Requisitos

• El NGAF debe estar desplegado como gateway o bridge.

• Algunas funciones avanzadas requieren licencias activas (como IPS, DLP o Sandbox).

• Para control de usuarios, debe existir integración con AD/LDAP.