Aplica A: Acceso a Internet FireCloud
Este tema de inicio rápido repasa los pasos generales para configurar y probar FireCloud. Esta guía presenta FireCloud, repasa los componentes básicos de FireCloud y le ayuda a configurarlo.
FireCloud es un firewall como servicio totalmente administrado y basado en la nube que protege a sus usuarios remotos contra las amenazas de seguridad de Internet. Usted configura FireCloud en WatchGuard Cloud, y los usuarios se conectan al servicio con el Connection Manager de WatchGuard. Mientras los usuarios están conectados a FireCloud, están protegidos y pueden utilizar su computadora y navegar por Internet de forma segura.
A continuación, se ofrece una descripción general de los pasos de esta guía de inicio rápido:
- Active una licencia de FireCloud o iniciar una prueba.
- Configure los ajustes de autenticación de FireCloud.
- Revise los ajustes predeterminados.
- Descargue e instale el Connection Manager.
- Conéctese a FireCloud con el Connection Manager.
- (Opcional - Solo para Service Providers) Cree e implemente plantillas de FireCloud.
Antes de empezar, le recomendamos que se familiarice con estos términos clave relacionados con FireCloud:
WatchGuard Cloud
WatchGuard Cloud es la plataforma en la que se configura, administra y monitoriza FireCloud. Hay dos tipos de cuentas de WatchGuard Cloud: Subscriber y Service Provider. Cada tipo de cuenta tiene una vista diferente de WatchGuard Cloud. Para obtener más información, vaya a Acerca de los Tipos de Cuenta de WatchGuard Cloud.
Para los Service Providers, los procedimientos de esta guía de inicio rápido requieren pasos adicionales.
Inventario y Asignación
Los usuarios comprados por una cuenta Service Provider se almacenan en su inventario en WatchGuard Cloud. Como Service Provider, puede asignar dispositivos a su propia cuenta o cualquier cuenta que administre. La asignación de usuarios es la forma en que los Service Provider aprovisionan una cuenta con usuarios con licencia para un servicio de seguridad, como FireCloud.
Connection Manager de WatchGuard
El Connection Manager es una aplicación que se instala en las computadoras de los usuarios finales. Los usuarios utilizan el Connection Manager para conectarse a FireCloud.
Agente de WatchGuard
El Agente de WatchGuard maneja la comunicación entre las computadoras administradas en la misma red y el servidor de WatchGuard. El agente se instala en cada endpoint o computadora y se utiliza para implementar el software de WatchGuard, como el connection manager de WatchGuard y el software Endpoint Security. Tiene un uso bajo de CPU, memoria y ancho de banda, y usa menos de 2 MB de datos por día.
Cuando descarga el instalador desde la UI de FireCloud, está descargando el Agente de WatchGuard.
Proveedor de Identidad
Un proveedor de identidad es la base de datos externa con sus usuarios y grupos. Así es como FireCloud sabe qué usuarios y grupos están autorizados, y cómo se autentican los usuarios cuando se conectan a FireCloud. Puede utilizar cualquier proveedor de identidad que admita SAML, como Okta, Microsoft Entra ID (Azure Active Directory) o AuthPoint.
Servicios de Directorios y Dominio
Servicios de Directorios y Dominio es una función de WatchGuard Cloud que le permite sincronizar usuarios, grupos y dispositivos externos con WatchGuard Cloud. También puede agregar usuarios y grupos alojados en WatchGuard Cloud al WatchGuard Cloud Directory. A continuación, puede utilizar los usuarios, grupos y dispositivos en los Servicios de Directorios y Dominio con productos como FireCloud.
Para FireCloud, puede utilizar sus servidores de autenticación existentes de Servicios de Directorios y Dominio, como el WatchGuard Cloud Directory, para autenticar a sus usuarios y grupos de FireCloud en lugar de utilizar un proveedor de identidad.
Activar una Licencia de FireCloud o Iniciar una Prueba
Antes de empezar, debe comprar y activar una licencia de FireCloud o iniciar una prueba de FireCloud.
Si aún no compró una licencia de FireCloud, le recomendamos que inicie una prueba gratuita de FireCloud en WatchGuard Cloud. Para obtener información detallada sobre cómo iniciar una prueba, vaya a Administrar Pruebas – Service Providers o Administrar Pruebas – Subscribers. Todas las licencias de prueba son válidas por 30 días y pueden renovarse una vez por otros 30 días hasta un máximo de 60 días.
Si compró una licencia de FireCloud, vaya a https://myproducts.watchguard.com/activate y complete el asistente de activación. Para más información, vaya a Activar una Licencia de FireCloud.
Le recomendamos que extienda su periodo de prueba ahora para disfrutar de los 60 días completos. Solo puede extender la prueba una vez en los 30 días siguientes a la fecha de inicio de la prueba y solo antes de que esta se venza.
Si tiene una cuenta Service Provider de WatchGuard Cloud y desea utilizar FireCloud para su propia cuenta, después de activar una licencia de FireCloud, debe asignar los usuarios a su cuenta Subscriber. Para obtener información detallada, vaya a Asignar Usuarios de FireCloud.
Configurar los Ajustes de Autenticación
Antes de poder configurar FireCloud, debe configurar un proveedor de identidad. Un proveedor de identidad es un sistema externo que utiliza para administrar y autenticar sus usuarios y grupos de FireCloud. Así es como FireCloud sabe qué usuarios y grupos están autorizados, y cómo se autentican los usuarios cuando se conectan a FireCloud.
Configurar un Proveedor de Identidad
Para configurar un proveedor de identidad para FireCloud:
- Inicie sesión en WatchGuard Cloud y seleccione Configurar > FireCloud.
- Seleccione el tipo de proveedor de identidad a utilizar e ingrese la información requerida:WatchGuard Cloud Directory
Utilice los usuarios y grupos que agregue a WatchGuard Cloud Directory. El WatchGuard Cloud Directory es un dominio de autenticación donde puede agregar usuarios y grupos alojados en WatchGuard Cloud. Para obtener más información sobre el WatchGuard Cloud Directory y cómo agregar usuarios y grupos alojados en WatchGuard Cloud, vaya a Acerca del WatchGuard Cloud Directory.
Esta opción es la más adecuada para cuentas que no cuentan con un proveedor de identidad externo, cuentas con pocos usuarios y cuentas que desean probar FireCloud.
Si selecciona esta opción y no configuró WatchGuard Cloud Directory, este se configurará de forma automática.
Cuando utiliza el WatchGuard Cloud Directory como su proveedor de identidad de FireCloud, FireCloud solo admite usuarios sin MFA. Para utilizar FireCloud con usuarios con MFA que haya agregado al WatchGuard Cloud Directory, debe configurar AuthPoint como proveedor de identidad SAML para FireCloud.
AuthPoint y SAML de TercerosUtilice cualquier proveedor de identidad que admita SAML, como AuthPoint o Microsoft Entra ID, para autenticar a sus usuarios y grupos. Para configurar un proveedor de identidad SAML, debe proporcionar información adicional:
- Identificación de Entidad del Service Provider de SAML — Ingrese un nombre para identificar a FireCloud como su Service Provider. Una Identificación de Entidad es un nombre único para un proveedor de identidad o un proveedor de servicios. Después de configurar este valor para FireCloud, utilice esta Identificación de entidad para configurar su proveedor de identidad.
- Identificación de Proveedor de Identidad — Ingrese la identificación del proveedor de entidad de su proveedor de identidad. Los proveedores de identidad generalmente muestran este valor en la UI, pero en algunos casos es posible que tenga que descargar un archivo de metadatos y obtener el valor desde allí. Por ejemplo, la Identificación de entidad de AuthPoint sería https://sp.authpoint.cloud.watchguard.com/ACC-1234567 donde ACC-1234576 es su número de cuenta de WatchGuard Cloud. .
- URL de Inicio de Sesión Único — Ingrese la URL de inicio de sesión único para su proveedor de identidad. Por lo general, se trata de una URL que contiene el nombre del proveedor de identidad. Por ejemplo, la URL de inicio de sesión único de AuthPoint sería https://sp.authpoint.usa.cloud.watchguard.com/saml/ACC-1234567/sso/spinit, donde usa es la región de su cuenta de WatchGuard Cloud. y ACC-1234576 es su número de cuenta de WatchGuard Cloud. . Puede encontrar la URL de inicio de sesión único de AuthPoint en el archivo de metadatos SAML.
- Certificado IDP — Pegue o cargue el certificado x.509 de su proveedor de identidad. Puede descargar el certificado de algunos proveedores de identidad, mientras que otros proveedores de identidad incluyen el certificado como un valor en el archivo de metadatos.
Para AuthPoint, puede encontrar la Identificación de Proveedor de Identidad y la URL de inicio de sesión único en el archivo de metadatos de AuthPoint. Para descargar el certificado de metadatos de AuthPoint y el certificado IDP, en WatchGuard Cloud, vaya a Configurar > AuthPoint > Recursos > Certificado.
- Haga clic en Guardar.
Solo tiene que configurar un proveedor de identidad la primera vez que configure FireCloud. Para editar los ajustes de su proveedor de identidad o cambiar a un nuevo proveedor de identidad, vaya a Configurar > FireCloud > Autenticación.
Proporcionar la Información de FireCloud a Su Proveedor de Identidad (Solo SAML)
Si configura un proveedor de identidad SAML, FireCloud genera un certificado que puede proporcionar a su proveedor de identidad. Este certificado le proporciona a su proveedor de identidad la información para identificar FireCloud y garantiza que su proveedor de identidad solo responda a las solicitudes de autenticación válidas que envía FireCloud. Puede descargar este certificado desde la página de Autenticación de FireCloud.
Le recomendamos que importe el certificado FireCloud a su proveedor de identidad y habilite la verificación de firma.
Es posible que su proveedor de identidad tenga un nombre diferente para la verificación de firma. Por ejemplo, Okta llama a este ajuste Solicitud Firmada SAML y Entra ID lo llama Certificados de Verificación.
Si selecciona utilizar AuthPoint como proveedor de identidad, también debe crear un recurso SAML en AuthPoint para FireCloud y agregar el recurso SAML a sus políticas de autenticación existentes o agregar nuevas políticas de autenticación para el recurso SAML.
- En la página Autenticación de FireCloud, haga clic en Descargar Certificado FireCloud. Utilice este certificado cuando configure un recurso SAML en AuthPoint. También utiliza el valor Identificación de Entidad del Service Provider de SAML.
- Seleccione Configurar > AuthPoint > Recurso.
- Haga clic en Agregar Recurso.
- En la lista desplegable Tipo, seleccione SAML.
- Ingrese un nombre para su recurso, como FireCloud.
- En la lista desplegable Tipo de Aplicación, seleccione Otros.
- En el cuadro de texto Identificación de Entidad del Service Provider, ingrese la Identificación de Entidad del Service Provider de SAML que especificó en Configurar un Proveedor de Identidad en FireCloud. Este es el nombre que usted dio para identificar al FireCloud.
- En el cuadro de texto Assertion Consumer Service, ingrese el valor ACS de su cuenta de FireCloud, según su región de su cuenta de WatchGuard Cloud.
- América del Norte / Américas — https://authsvc.firecloud.usa.cloud.watchguard.com/v1/acs
- EMEA — https://authsvc.firecloud.deu.cloud.watchguard.com/v1/acs
- APAC — https://authsvc.firecloud.jpn.cloud.watchguard.com/v1/acs
- En la lista desplegable Identificación de Usuario Enviada en la Redirección al Service Provider, seleccione Nombre del Usuario.
- Para obtener el certificado, cargue su certificado FireCloud.
- En la lista desplegable Certificado de AuthPoint, seleccione el certificado de AuthPoint que se asociará a su recurso. Debe seleccionar el mismo certificado desde el que descargó los metadatos y el certificado x.509.
- Haga clic en Agregar Atributo.
- En el cuadro de texto Nombre de Atributo, ingrese Grupos. Este valor distingue entre mayúsculas y minúsculas.
- En la lista desplegable Obtener Valor De, seleccione Grupos de Usuarios.
- Haga clic en Guardar.
AuthPoint guarda su atributo personalizado. - Haga clic en Guardar.
AuthPoint crea su recurso SAML. - En la página Políticas de AuthPoint, agregue una nueva política de autenticación de AuthPoint para este recurso o agregue el recurso a sus políticas de autenticación existentes. Para más información, vaya a Acerca de las Políticas de Autenticación de AuthPoint.
- Para permitir que los usuarios se conecten a FireCloud solo con su contraseña, su política de autenticación de AuthPoint debe requerir solo la opción de autenticación de contraseña.
- Para exigir que los usuarios se autentiquen con la MFA cuando se conectan a FireCloud, su política de autenticación de AuthPoint debe requerir las opciones de autenticación push, código QR u OTP además de la opción de autenticación de contraseña.
Controlar el Acceso a FireCloud
Si ha conectado FireCloud a un proveedor de identidad que tiene más usuarios de los que realmente usarán FireCloud, puede controlar el acceso a FireCloud para que solo algunos usuarios puedan conectarse al servicio y consumir una licencia de usuario. Para hacer eso, puede deshabilitar la regla de acceso predeterminada de FireCloud y configurar reglas de acceso solo para los grupos de usuarios que desea que tengan acceso a FireCloud. Los usuarios que no tengan una regla de acceso no podrán conectarse al servicio FireCloud ni consumir una licencia. Para más información, vaya a Reglas de Acceso de FireCloud.
También puede proporcionar el connection manager de FireCloud solo a los usuarios finales que desee que utilicen el servicio.
Revisar los Ajustes Predeterminados
De forma predeterminada, FireCloud tiene todos los servicios de seguridad habilitados con configuraciones predeterminadas y se aplica una regla de acceso predeterminada para especificar qué servicios de seguridad se aplican al tráfico de los usuarios. Esto significa que puede implementar y utilizar FireCloud inmediatamente, pero le recomendamos que revise los ajustes predeterminados.
Los motores de escaneo protegen contra spyware, virus, aplicaciones maliciosas, correo electrónico de spam y filtraciones de datos. Los servicios de escaneo de contenido están habilitados de forma predeterminada con los ajustes recomendados. Para que el escaneo de contenido se aplique al tráfico, también debe habilitar el escaneo de contenido en las reglas de acceso de FireCloud.
Con FireCloud, puede habilitar el escaneo de contenido con estos servicios:
Gateway AntiVirus
Gateway AntiVirus protege a sus usuarios contra los virus. Puede configurar la acción que Gateway AntiVirus realiza cuando se detecta un virus, ocurre un error, el contenido escaneado excede el límite de tamaño configurado o el contenido escaneado está cifrado.
APT Blocker
Un ataque de Amenaza Persistente Avanzada (APT) es un tipo de ataque de red que usa malware avanzado y vulnerabilidades de día cero para conseguir acceso a redes y a datos confidenciales durante periodos extendidos de tiempo. APT Blocker identifica las características y el comportamiento del malware APT en los archivos y archivos adjuntos de correo electrónico que ingresan a su red. Puede configurar la acción que APT Blocker realiza para cada nivel de amenaza (Alto, Medio, Bajo).
Puede utilizar FireCloud para monitorizar y bloquear amenazas de seguridad comunes, como botnets, spyware, inyecciones de SQL, scripts entre sitios y desbordamientos de búfer. Los servicios de seguridad de bloqueo de red de FireCloud están habilitados de forma predeterminada con los ajustes recomendados.
Botnet Detection
Una botnet comprende una gran cantidad de computadoras cliente infectadas con malware que un servidor remoto controla y utiliza para realizar actos maliciosos. El servicio de seguridad Botnet Detection agrega una lista de direcciones IP de sitios botnet conocidos a la Lista Sitios Bloqueados de FireCloud, lo que permite a FireCloud bloquear estos sitios a nivel de paquete.
Intrusion Prevention Service
Intrusion Prevention Service (IPS) usa firmas que ofrecen protección en tiempo real contra amenazas en la red, que incluyen spyware, inyecciones de código SQL, scripts de sitios y desbordamientos de buffers. Configure la acción que IPS realiza cuando detecta una amenaza, así como el tipo de escaneo.
Para aprender a configurar el bloqueo de red, vaya a Configurar el Bloqueo de Red en FireCloud.
Geolocation es un servicio de seguridad que permite a FireCloud detectar las ubicaciones geográficas de las conexiones hacia y desde sus dispositivos. Con FireCloud, puede habilitar y configurar Geolocation para bloquear el acceso hacia y desde ubicaciones específicas.
La acción de Geolocation predeterminada no bloquea ningún país.
Para aprender a configurar las acciones de Geolocation, vaya a Agregar Acciones de Geolocation en FireCloud.
El filtrado de contenido utiliza los servicios de seguridad WebBlocker y Application Control para bloquear aplicaciones y categorías de contenido específicas. Los servicios de seguridad de filtrado de contenido están habilitados de forma predeterminada con los ajustes recomendados.
WebBlocker
WebBlocker le ayuda a controlar qué sitios web están disponibles para sus usuarios. WebBlocker utiliza una base de datos que agrupa las direcciones de sitios web en categorías de contenido. Cuando un usuario intenta conectarse a un sitio web, FireCloud busca la dirección en la base de datos de WebBlocker y toma la acción que usted especifique para la categoría de contenido.
Application Control
Application Control le permite monitorizar y controlar el uso de aplicaciones por parte de sus usuarios. Puede usar Application Control para bloquear el uso de aplicaciones específicas y puede reportar acerca del uso e intentos de uso de las aplicaciones.
Para aprender a configurar el filtrado de contenido, vaya a Filtrado de Contenido en FireCloud.
Una regla de acceso de FireCloud es una política que determina cuándo FireCloud permite o deniega conexiones. FireCloud asocia cada conexión con una regla de acceso en función de los grupos de usuarios a los que pertenece el usuario. Puede configurar qué servicios de seguridad se aplican al tráfico que gestiona cada regla de acceso.
FireCloud tiene una regla de acceso Predeterminada que se aplica a todas las conexiones. La regla de acceso Predeterminada tiene todos los servicios de seguridad habilitados con las configuraciones predeterminadas. No puede editar ni eliminar la regla de acceso Predeterminada.
Si no desea utilizar la regla de acceso Predeterminada, puede deshabilitarla. Si la regla de acceso Predeterminada está deshabilitada y la conexión de un usuario no coincide con ninguna otra regla de acceso, se deniega la conexión.
Para obtener más información sobre las reglas de acceso de FireCloud, vaya aReglas de Acceso de FireCloud.
Descargar e Instalar el Connection Manager de WatchGuard
Para que FireCloud proteja a sus usuarios, estos deben tener el Connection Manager de WatchGuard instalado en su dispositivo y usarlo para conectarse a FireCloud.
Para descargar el Agente de WatchGuard que se utiliza para instalar el Connection Manager de WatchGuard:
- Inicie sesión en WatchGuard Cloud y vaya a Configurar > FireCloud.
- Seleccione Descargar Cliente.
Se abre la página Descargar Cliente.
- Haga clic en Descargar Instalador.
Comienza la descarga del instalador del Agente de WatchGuard. - Ejecute el instalador descargado.
- Haga clic en Instalar.
- Cuando se complete la instalación, haga clic en Finalizar.
Una vez instalado el Agente de WatchGuard, éste descarga e instala automáticamente el Connection Manager. Una vez finalizado este proceso, se abrirá el Connection Manager y se le solicitará que ingrese sus credenciales para conectarse a FireCloud. Utiliza las credenciales de la cuenta de usuario en su proveedor de identidad.
Conectarse a FireCloud con el Connection Manager
Mientras esté conectado a FireCloud, estará protegido y podrá usar su computadora y navegar por Internet de forma segura. Después de conectarse a FireCloud por primera vez, el agente mantiene su sesión abierta y usted permanece conectado incluso si reinicia su computadora.
Si se desconecta de FireCloud, deberá iniciar sesión manualmente y volver a conectarse.
Para conectarse a FireCloud:
- Abra el Connection Manager de WatchGuard.
- En la bandeja del sistema, haga clic en el Connection Manager de WatchGuard y, a continuación, seleccione Conectar.
- Ingrese su nombre de usuario o dirección de correo electrónico y luego haga clic en Siguiente.
- Ingrese su contraseña.
Verá un mensaje de éxito cuando se conecte a FireCloud. - Haga clic en Iniciar Sesión.
Crear e Implementar Plantillas de FireCloud (Opcional — Solo para Service Providers)
Para los Service Providers, las plantillas de FireCloud proporcionan una forma de administrar los ajustes de configuración compartida para varias cuentas. En una plantilla de FireCloud, puede configurar las reglas de acceso y los servicios de FireCloud tal y como lo haría para su cuenta de FireCloud. A continuación, puede suscribir sus cuentas administradas a la plantilla para que esas cuentas hereden los ajustes de configuración de la plantilla.
Para obtener más información sobre las plantillas de FireCloud, vaya a Acerca de las Plantillas de FireCloud y Administrar las Plantillas de FireCloud.