"Sólo nuestros firewalls aportan la visibilidad y control que requiere la Internet de hoy"
Lee Klarich, responsable de Producto de Palo Alto Networks
Creada en 2005 por un equipo de profesionales expertos en seguridad procedentes de firmas como Check Point, McAfee o Juniper, Palo Alto Networks suministra una nueva tecnología de firewall diseñada de origen para identificar aplicaciones y proporcionar visibilidad y control a los administradores de redes.
Palo Alto Networks presenta su tecnología de firewall como de segunda generación. ¿En qué se diferencia realmente de la que hoy ofrece el resto de suministradores de seguridad?
- Aunque durante los últimos 20 años el escenario de Internet ha cambiado radicalmente, todavía se siguen aplicando los primeros firewalls surgidos en 1994 para dar respuesta a las necesidades de seguridad de entonces. Pero estos firewalls ni han sido creados para hacer frente a los problemas de la Internet de hoy ni han sabido evolucionar adecuadamente. Palo Alto, por el contrario, ofrece una nueva generación de firewalls diseñada de origen de acuerdo a la realidad de la Internet de 2010.
¿En qué consiste concretamente el enfoque de protección de firewall de su compañía? ¿Qué aporta como novedad?
- Cuando surgió Internet, el mundo de las aplicaciones era relativamente pobre y cada una de ellas correspondía claramente a un puerto del protocolo TCP/IP. Pero casi 20 años después nos encontramos con que todo se ha “webificado” y que el navegador se ha convertido en el cliente universal, incluso para las aplicaciones cliente/servidor. Todas las aplicaciones han ido convergiendo hacia unos pocos puertos, que además, por definición, están abiertos, Además, el mundo de las aplicaciones es hoy tan rico que muchas usan técnicas evasivas, no tienen puerto asignado. Por ello, ya no es posible controlar el tráfico por el número de puerto utilizado; se impone la necesidad de hacerlo por el tipo de aplicación. Las empresas quieren saber qué aplicación esta fluyendo porque algunas pueden resultar peligrosas, como P2P o las redes sociales, o reducir sensiblemente el ancho de banda, como la videoconferencia. Sin embargo, ante esta nueva situación, el control de tráfico realizado por las soluciones de firewall convencionales sigue el enfoque tradicional de red, autorizando o bloqueando puertos cuando no se sabe muy bien por cuál de ellos fluye el tráfico. Lo que Palo alto Networks ofrece, por el contrario, es un enfoque basado en la aplicación que está siendo muy bien recibido por las corporaciones. Las empresas han evolucionado y conocen muy bien este problema. Muchas aplicaciones hoy, como las redes sociales por ejemplo, mantienen una relación directa y personal con el usuario final, saltándose al departamento de informática, que cada vez controla menos lo que corre por la red.
Pero el resto de fabricantes también ofrece control del tráfico por aplicación. ¿Dónde está realmente la diferencia?
- La ventaja de Palo Alto reside en que, al partir de cero, atacamos los problemas más nuevos desde la misma base del hardware. Por el contrario, la competencia intenta ofrecer estas mismas capacidades añadiendo software a su hardware convencional. Desde que Check Point inventó el firewall a principios de los 90 hasta la fecha, siempre que ha habido una nueva vulnerabilidad o ha surgido una nueva necesidad los fabricantes convencionales han ido añadiendo software adicional siguiendo un modelo de consolidación para, por ejemplo, realizar tareas de antivirus, filtrado de URL, prevención y detección de intrusiones… Pero ¿dónde está el fin de este enfoque? Esto explica que el rendimiento de muchas ofertas de firewall que prometen capacidades de hasta varios gigas descienda hasta un 98% cuando se activan las funciones complementarias. Sin embargo, Palo Alto Networks cuenta desde sus inicios con un hardware preparado de origen para tratar todas las nuevas necesidades. El enfoque de añadir cada vez más cajas al firewall básico no es ni eficaz ni económico. Si el firewall es el punto más alto de la seguridad de una organización, por qué tiene tantas cajas ayudándole a cumplir su función. Lo que se vende hoy son más “intentos” de cortafuegos que verdaderos firewalls
¿Consideran entonces a los fabricantes de firewalls convencionales como sus verdaderos competidores o intentan abrir un nuevo espacio comercial?
- Si bien por lo novedoso de nuestra solución podríamos decir que no tenemos competidores directos, hay empresas con soluciones convencionales y maduras presentes en nuestro mismo segmento desde hace años con los que competimos abiertamente. Dicho de otra manera, Palo Alto está haciendo “daños colaterales” a otros fabricantes que se encuentran en el “límite del Imperio”, en un mercado que está atravesando una situación muy difícil. Hoy los presupuestos son escasos y la justificación de una compra debe ser óptima, como la que ofrece Palo Alto al permitir recuperar la visibilidad, el control y el conocimiento sobre los flujos aplicativos que entran y salen de las organizaciones. Y aunque el marketing de nuestra competencia va ahora en la misma línea, sólo nosotros tenemos la tecnología de origen para conseguirlo sin hardware ni software adicional. Se podría decir que el mejor marketing de nuestra compañía lo está haciendo nuestra propia competencia.
Pero cuando los grandes quieren una tecnología siempre tienen el recurso de comprarla.
- Muchos de nuestros directivos ya han vivido esa experiencia en otras compañías y no la quieren repetir. Lo de “uno más uno es igual a tres” casi nunca se cumple. Queremos seguir siendo una compañía autónoma. Tenemos un proyecto y tenemos capital, personal, partners y clientes para desarrollarlo. No estamos en venta.
¿Está especialmente indicada la tecnología de firewall de Palo Alto para algún sector o tipo de organización en concreto?
- En principio, nos dirigimos principalmente a grandes organizaciones de todos los sectores, dado el número de usuarios que soportan nuestros equipos, aunque acabamos de presentar un dispositivo de gama mas baja para empresas más pequeñas o sucursales de las de mayor tamaño. La base de clientes de Palo Alto Networks en España refleja fielmente nuestro mercado objetivo, ya que aquí estamos presentes en todo tipo de organizaciones, desde la Administración Publica, como el Instituto Nacional de Estadística y diversos ayuntamientos, a compañías eléctricas, de telecomunicaciones, asistencia médica y medios de comunicación. Nuestros productos son dispositivos tanto perimetrales como de segmentación de red, muy ricos en número de puertos, con capacidad de varios gigas y soporte de fibra y de cobre y muy difíciles de saturar. Además, corren distintos sistemas virtuales en paralelo, de modo que un solo dispositivo ofrece múltiples instancias de cortafuegos. Son productos carrier class y enterprise class idóneos para todo tipo de actividad.
Europa y España son mercados relativamente nuevos para Palo Alto. ¿Qué planes de crecimiento tiene la compañía para esta zona geográfica?
- Tomamos la decisión de invertir directamente en Europa hace alrededor de siete meses con la creación de un equipo en Bélgica, y desde entonces estamos extendiendo nuestra presencia a Reino Unido, Alemania y Francia, desde donde se lleva España y el resto del sur de la región. Y es de esperar que dentro de algunos
Palo Alto Networks presenta su tecnología de firewall como de segunda generación. ¿En qué se diferencia realmente de la que hoy ofrece el resto de suministradores de seguridad?
- Aunque durante los últimos 20 años el escenario de Internet ha cambiado radicalmente, todavía se siguen aplicando los primeros firewalls surgidos en 1994 para dar respuesta a las necesidades de seguridad de entonces. Pero estos firewalls ni han sido creados para hacer frente a los problemas de la Internet de hoy ni han sabido evolucionar adecuadamente. Palo Alto, por el contrario, ofrece una nueva generación de firewalls diseñada de origen de acuerdo a la realidad de la Internet de 2010.
¿En qué consiste concretamente el enfoque de protección de firewall de su compañía? ¿Qué aporta como novedad?
- Cuando surgió Internet, el mundo de las aplicaciones era relativamente pobre y cada una de ellas correspondía claramente a un puerto del protocolo TCP/IP. Pero casi 20 años después nos encontramos con que todo se ha “webificado” y que el navegador se ha convertido en el cliente universal, incluso para las aplicaciones cliente/servidor. Todas las aplicaciones han ido convergiendo hacia unos pocos puertos, que además, por definición, están abiertos, Además, el mundo de las aplicaciones es hoy tan rico que muchas usan técnicas evasivas, no tienen puerto asignado. Por ello, ya no es posible controlar el tráfico por el número de puerto utilizado; se impone la necesidad de hacerlo por el tipo de aplicación. Las empresas quieren saber qué aplicación esta fluyendo porque algunas pueden resultar peligrosas, como P2P o las redes sociales, o reducir sensiblemente el ancho de banda, como la videoconferencia. Sin embargo, ante esta nueva situación, el control de tráfico realizado por las soluciones de firewall convencionales sigue el enfoque tradicional de red, autorizando o bloqueando puertos cuando no se sabe muy bien por cuál de ellos fluye el tráfico. Lo que Palo alto Networks ofrece, por el contrario, es un enfoque basado en la aplicación que está siendo muy bien recibido por las corporaciones. Las empresas han evolucionado y conocen muy bien este problema. Muchas aplicaciones hoy, como las redes sociales por ejemplo, mantienen una relación directa y personal con el usuario final, saltándose al departamento de informática, que cada vez controla menos lo que corre por la red.
Pero el resto de fabricantes también ofrece control del tráfico por aplicación. ¿Dónde está realmente la diferencia?
- La ventaja de Palo Alto reside en que, al partir de cero, atacamos los problemas más nuevos desde la misma base del hardware. Por el contrario, la competencia intenta ofrecer estas mismas capacidades añadiendo software a su hardware convencional. Desde que Check Point inventó el firewall a principios de los 90 hasta la fecha, siempre que ha habido una nueva vulnerabilidad o ha surgido una nueva necesidad los fabricantes convencionales han ido añadiendo software adicional siguiendo un modelo de consolidación para, por ejemplo, realizar tareas de antivirus, filtrado de URL, prevención y detección de intrusiones… Pero ¿dónde está el fin de este enfoque? Esto explica que el rendimiento de muchas ofertas de firewall que prometen capacidades de hasta varios gigas descienda hasta un 98% cuando se activan las funciones complementarias. Sin embargo, Palo Alto Networks cuenta desde sus inicios con un hardware preparado de origen para tratar todas las nuevas necesidades. El enfoque de añadir cada vez más cajas al firewall básico no es ni eficaz ni económico. Si el firewall es el punto más alto de la seguridad de una organización, por qué tiene tantas cajas ayudándole a cumplir su función. Lo que se vende hoy son más “intentos” de cortafuegos que verdaderos firewalls
¿Consideran entonces a los fabricantes de firewalls convencionales como sus verdaderos competidores o intentan abrir un nuevo espacio comercial?
- Si bien por lo novedoso de nuestra solución podríamos decir que no tenemos competidores directos, hay empresas con soluciones convencionales y maduras presentes en nuestro mismo segmento desde hace años con los que competimos abiertamente. Dicho de otra manera, Palo Alto está haciendo “daños colaterales” a otros fabricantes que se encuentran en el “límite del Imperio”, en un mercado que está atravesando una situación muy difícil. Hoy los presupuestos son escasos y la justificación de una compra debe ser óptima, como la que ofrece Palo Alto al permitir recuperar la visibilidad, el control y el conocimiento sobre los flujos aplicativos que entran y salen de las organizaciones. Y aunque el marketing de nuestra competencia va ahora en la misma línea, sólo nosotros tenemos la tecnología de origen para conseguirlo sin hardware ni software adicional. Se podría decir que el mejor marketing de nuestra compañía lo está haciendo nuestra propia competencia.
Pero cuando los grandes quieren una tecnología siempre tienen el recurso de comprarla.
- Muchos de nuestros directivos ya han vivido esa experiencia en otras compañías y no la quieren repetir. Lo de “uno más uno es igual a tres” casi nunca se cumple. Queremos seguir siendo una compañía autónoma. Tenemos un proyecto y tenemos capital, personal, partners y clientes para desarrollarlo. No estamos en venta.
¿Está especialmente indicada la tecnología de firewall de Palo Alto para algún sector o tipo de organización en concreto?
- En principio, nos dirigimos principalmente a grandes organizaciones de todos los sectores, dado el número de usuarios que soportan nuestros equipos, aunque acabamos de presentar un dispositivo de gama mas baja para empresas más pequeñas o sucursales de las de mayor tamaño. La base de clientes de Palo Alto Networks en España refleja fielmente nuestro mercado objetivo, ya que aquí estamos presentes en todo tipo de organizaciones, desde la Administración Publica, como el Instituto Nacional de Estadística y diversos ayuntamientos, a compañías eléctricas, de telecomunicaciones, asistencia médica y medios de comunicación. Nuestros productos son dispositivos tanto perimetrales como de segmentación de red, muy ricos en número de puertos, con capacidad de varios gigas y soporte de fibra y de cobre y muy difíciles de saturar. Además, corren distintos sistemas virtuales en paralelo, de modo que un solo dispositivo ofrece múltiples instancias de cortafuegos. Son productos carrier class y enterprise class idóneos para todo tipo de actividad.
Europa y España son mercados relativamente nuevos para Palo Alto. ¿Qué planes de crecimiento tiene la compañía para esta zona geográfica?
- Tomamos la decisión de invertir directamente en Europa hace alrededor de siete meses con la creación de un equipo en Bélgica, y desde entonces estamos extendiendo nuestra presencia a Reino Unido, Alemania y Francia, desde donde se lleva España y el resto del sur de la región. Y es de esperar que dentro de algunos
