Que retenir lors de l'achat de NGFW? Liste de contrôle

Nous avons déjà publié un court article " Critères de sélection NGFW ". Il est également supposé ici que vous avez déjà choisi votre NGFW et que vous allez l'acheter. De quoi devez-vous vous souvenir? Comment ne pas trébucher à la dernière étape - l'achat. À notre avis, c'est une question très importante, car NGFW de n'importe quel fournisseur n'est pas bon marché. Et si tout se déroule comme prévu ou ne fonctionne pas comme prévu, vous risquez d'avoir des problèmes, comme la personne qui a pris la décision d'acheter. Dans cet article, nous essaierons de refléter les principaux points auxquels vous devez faire attention AVANT d'acheter, et non APRÈS . Peut-être que cette petite liste de contrôle vous aidera à éviter des dépenses imprévues et à sauver vos nerfs déjà effilochés.

1. Coût annuel de possession

Le tout premier élément que vous devez vérifier. Vous devez comprendre que tout NGFW a absolument besoin d'un renouvellement annuel des abonnements, des contrats, des mises à jour (différents fournisseurs l'appellent différemment). Pour beaucoup, c'est une surprise qu'un achat unique ne soit pas suffisant et chaque année, vous devez «payer à nouveau». Et surtout, sans renouveler les abonnements, la fonctionnalité la plus importante (pour laquelle NGFW est généralement acheté) cesse de fonctionner. Ce sont des fonctions telles que IPS, filtrage d'URL (catégories et réputation des sites), Contrôle des applications, Antivirus, Antispam, Sandbox, etc. La liste complète dépend du fournisseur spécifique. Sans renouveler vos abonnements, votre NGFW se transforme en pare-feu classique. Bien que non, un pare-feu inhabituel et extrêmement cher . Différents fournisseurs ont un coût de possession annuel différent, mais en règle générale, il fluctue autour de 30 à 40% de l'achat initial. N'oubliez pas cela. Tirera-t-il votre budget annuel IB / IT? Assurez-vous de demander à votre partenaire des informations sur le coût annuel de possession. En général, il est étrange que le partenaire ne vous fournisse pas ces numéros par défaut.

2. NGFW ne résoudra pas tous les problèmes de l'IB

Beaucoup perçoivent le NGFW comme une panacée pour tous les maux de la sécurité de l'information. Mais ce n'est en aucun cas le cas. NGFW ne couvre que quelques vecteurs d'attaques possibles sur votre réseau. Il n'y a pas de solution unique qui garantit une protection à 100%. Et si quelqu'un vous le promet, alors il vous trompe simplement, ou lui-même ne comprend pas bien de quoi il parle. La tâche de NGFW est de réduire autant que possible la zone d'attaque. Pourquoi tout ça? De plus, n'oubliez pas les autres remèdes. Si vous n'avez soudainement pas assez de fonds pour acheter NGFW, vous ne devriez pas dépenser le dernier argent et «ratisser» le budget en raison du rejet d'autres moyens de protection , tels que les antivirus de bureau ou les systèmes de sauvegarde. Fixez des priorités et évaluez vos capacités financières. Les sociétés de sécurité de l'information ne commencent pas par l'achat de NGFW. Ceci n'est qu'un élément supplémentaire d'une protection complète. Ne vous attendez pas à des résultats magiques d'une seule «boîte».

3. Hors de la boîte, tout NGFW fonctionne extrêmement mal

Récemment, nous avons publié le cours « Check Point to Maximum », où nous avons montré comment le configurer correctement pour une protection maximale. En cours de route, nous avons montré à quel point il est facile de contourner NGFW avec les paramètres par défaut. Et cela ne s'applique pas seulement à Check Point. La même image est observée avec Fortinet, Palo Alto Networks, Cisco Firepower, etc. (J'ai effectué des tests parallèles). Ne présumez même pas que NGFW protégera adéquatement votre entreprise avec les paramètres par défaut en quelques clics. NGFW devra être réglé, plus d'une fois, mais en permanence, pour s'adapter à l'évolution des menaces. N'oubliez pas que la sécurité de l'information n'est pas un résultat, c'est un processus .

4. Préparez-vous aux problèmes et planifiez votre temps.

L'achat de NGFW vaut la peine de se préparer aux difficultés techniques. Même si vous l'achetez avec des services de mise en œuvre. Aucun intégrateur ne fera absolument tout le travail pour vous. La sécurité de l'information étant un processus, vous devrez l'ajuster et vous devrez résoudre les problèmes qui se posent. Et ce n'est pas parce que NGFW est mauvais, c'est parce qu'il a tellement de fonctions. Pour vous souvenir de tout, vous devrez passer un temps décent. Sinon, vous risquez de conserver les paramètres par défaut qui n'utilisent pas 20% des fonctionnalités NGFW. Quel est le coût de la configuration de l'inspection SSL? Vous devrez l'activer si vous êtes vraiment intrigué par la sécurité. Et vous devrez trier manuellement les sites et les applications qui cessent de fonctionner une fois l'inspection activée. Personne ne le fera pour vous (à moins bien sûr que vous ayez un modèle de service d'assistance technique). Des problèmes similaires peuvent survenir à de nombreuses étapes de la mise en œuvre et du fonctionnement de NGFW. Les deux points suivants en découlent.

5. Établir un budget pour la formation

NGFW lui-même est un produit assez complexe. Peu importe comment les fournisseurs ont essayé de le simplifier. Beaucoup de fonctions y sont concentrées, il y a beaucoup de subtilités et d'embûches. Ne présumez pas que vous apprendrez instantanément un nouveau produit pour vous. Par conséquent , lors de la planification d'un achat, assurez-vous de planifier un budget pour la formation des employés qui l'administreront. Parfois, il peut être émis dans le cadre d'une seule transaction, ou recevoir une formation en cadeau (tout dépend du montant de la transaction et de la fidélité de votre partenaire).

6. Support technique

Vous devrez certainement contacter le support technique et c'est mieux s'il est productif. Il doit y avoir un employé qui parle bien l'anglais. Ou considérez l'option d'assistance technique de partenaires russes. Portez une attention particulière à ce problème. Sinon, vous courez le risque d'être laissé seul avec vos problèmes . Parfois, la question du support technique est un facteur décisif lors du choix d'un partenaire ou même d'un fournisseur.

7. Explorez les licences en détail

Une situation très courante. Un projet pilote est en cours, ils vous montrent à quel point tout est beau et fonctionnel. Cependant, après avoir effectué un achat, vous constatez que toutes les fonctionnalités ne sont pas disponibles pour vous. Il n'y a aucun rapport qui vous a été montré initialement, le bac à sable ne fonctionne pas, les utilisateurs distants ne peuvent pas se connecter, il n'y a pas de gestion centralisée, etc. Bien sûr, c'est la tâche de votre partenaire - pour comprendre vos tâches, former la bonne spécification et parler d'éventuelles limitations ou ajouts. C'est une question de confiance. Mais il y a un bon dicton: " Faites confiance, mais vérifiez ." Je pense qu'il sera très désagréable de s'adresser à la direction pour un autre budget, immédiatement après l'achat.

8. Achat sans tests

Sans projet pilote, vous ne pouvez alors blâmer que vous-même (enfin, et jurer contre un partenaire qui vous a «encadré»). Ne prenez pas au sérieux les brochures marketing. Il est fortement conseillé d'effectuer au moins quelques tests avant d'acheter. Et le test le plus important est la performance réelle de l'appareil sur votre trafic réel. C'est très important. Vous ne pouvez pas faire confiance aux fiches techniques sur les appareils qui écrivent des mesures de performances fantastiques. Malheureusement, tous les vendeurs pèchent avec cela. Si vous n'avez pas le temps pour de tels tests, vous ne pouvez compter que sur l'expérience de votre partenaire, qui vous proposera des options.

9. Choisissez un modèle basé sur l'inspection HTTPS

Un autre point que beaucoup de gens oublient lors du choix d'un modèle. L'inspection SSL est une charge supplémentaire sérieuse pour votre NGFW. Beaucoup, dans une tentative d'économiser de l'argent, choisissent un modèle dont les performances sont suffisantes de bout en bout, tout en oubliant complètement le trafic HTTPS. Et après avoir activé l'inspection SSL, ils découvrent que leur passerelle "s'étouffe". Je répète encore une fois: " Sans inspection HTTPS, votre NGFW est complètement inutile ." Je l'ai déjà démontré dans l'une de mes leçons. Assurez-vous donc de considérer la charge supplémentaire sur l'appareil sous la forme d'une inspection SSL. Sinon, vous jetez simplement de l'argent.

10. Achat auprès d'un partenaire «familier»

Une erreur typique lors de l'achat de NGFW est d'acheter auprès d'un fournisseur «familier». Je suis sûr que presque toutes les entreprises ont un partenaire qui «fournit depuis longtemps» certains produits informatiques. Il est pratique et compréhensible de travailler avec lui. Seul NGFW n'est ni un serveur, ni un commutateur, et certainement pas une agrafeuse que vous pouvez acheter à n'importe qui dans le coin. Ce n'est pas du tout un fait que votre fournisseur actuel possède les aptitudes et les compétences nécessaires. Le résultat de la mise en place et de la sécurité de votre entreprise dépend des qualifications du partenaire . Lors du choix d'un fournisseur, vous devez d'abord regarder son expérience et son expertise technique. Ceci est mieux défini dans le cadre d'un projet pilote. Ainsi, vous tuerez immédiatement deux oiseaux avec une pierre:

1. Testez NGFW dans votre infrastructure et choisissez un modèle;
2. Évaluez l'adéquation du partenaire. Est-il en mesure de vous aider dans la mise en œuvre et peut-il ensuite vous fournir un support technique?

En fait, cet article est le plus important. Un bon partenaire devrait vous guider à travers cette liste de contrôle. Il doit indiquer tous les points importants, avertir de tous les problèmes possibles et donner naturellement des solutions.

Conclusion

J'espère que cet article est vraiment utile à quelqu'un. Ce n'est certainement pas une recette universelle, mais cela aidera à éviter les problèmes les plus courants. Si vous avez des questions ou avez des commentaires / suggestions, écrivez dans les commentaires ou écrivez- moi.

PS Peut-être serez-vous intéressé par notre article précédent " Scénarios de mise en œuvre typiques de NGFW "

PSS Obtenez une licence d'essai et testez la solution qui vous intéresse ici