Kami telah menerbitkan artikel pendek "
Kriteria pemilihan NGFW ." Diasumsikan juga di sini bahwa Anda telah memilih NGFW Anda dan akan membelinya.
Apa yang perlu Anda ingat? Bagaimana tidak tersandung pada tahap terakhir - pembelian. Menurut pendapat kami, ini adalah masalah yang sangat penting, karena NGFW dari vendor mana pun tidak murah. Dan jika semuanya berjalan sesuai rencana atau tidak berfungsi seperti yang Anda harapkan, maka Anda mungkin memiliki masalah, seperti orang yang membuat keputusan untuk membeli. Dalam artikel ini kami akan mencoba untuk mencerminkan poin utama yang perlu Anda perhatikan
SEBELUM membeli, dan bukan SETELAH . Mungkin daftar kecil ini akan membantu Anda menghindari biaya tak terduga dan menyelamatkan saraf Anda yang sudah usang.
1. Biaya kepemilikan tahunan
Item pertama yang harus Anda periksa. Anda perlu memahami bahwa mutlak NGFW memerlukan pembaruan berlangganan, kontrak, dan pembaruan tahunan (vendor berbeda menyebutnya berbeda). Bagi banyak orang, ini mengejutkan bahwa pembelian satu kali saja tidak cukup dan setiap tahun Anda perlu "membayar lagi". Dan yang paling penting, tanpa memperbarui langganan, fungsi paling penting (yang biasanya dibeli oleh NGFW) berhenti bekerja. Ini adalah fungsi seperti IPS, pemfilteran URL (kategori dan reputasi situs), Kontrol Aplikasi, Antivirus, Antispam, Sandbox, dll. Daftar lengkap tergantung pada vendor tertentu. Tanpa memperbarui langganan Anda, NGFW Anda berubah menjadi firewall biasa. Meskipun tidak,
firewall yang tidak biasa dan
mahal . Vendor yang berbeda memiliki biaya kepemilikan tahunan yang berbeda, tetapi sebagai aturan, itu berfluktuasi sekitar 30-40% dari pembelian awal. Ingat ini. Apakah akan menarik anggaran tahunan IB / IT Anda? Pastikan untuk meminta informasi biaya kepemilikan tahunan kepada pasangan Anda. Secara umum, aneh jika pasangan tidak memberikan Anda angka-angka ini secara default.
2. NGFW tidak akan menyelesaikan semua masalah IB
Banyak yang menganggap NGFW sebagai obat mujarab untuk semua penyakit keamanan informasi. Tapi ini tidak berarti demikian. NGFW hanya mencakup beberapa vektor kemungkinan serangan di jaringan Anda. Tidak ada solusi tunggal yang menjamin perlindungan 100%. Dan jika seseorang menjanjikan ini kepada Anda, maka dia hanya menipu Anda, atau dia sendiri tidak sepenuhnya mengerti apa yang dia bicarakan. Tugas NGFW adalah mempersempit area serangan sebanyak mungkin. Kenapa semua ini? Selain itu, jangan lupa tentang solusi lainnya. Jika Anda tiba-tiba tidak memiliki cukup dana untuk membeli NGFW, maka Anda tidak boleh menghabiskan uang terakhir dan "menyapu"
anggaran karena penolakan terhadap cara perlindungan lain , seperti antivirus desktop atau sistem cadangan. Tetapkan prioritas dan evaluasi kemampuan keuangan Anda. Perusahaan keamanan informasi tidak memulai dengan pembelian NGFW. Ini hanyalah elemen tambahan dari perlindungan komprehensif. Jangan mengharapkan hasil ajaib hanya dari satu "kotak".
3. Di luar kotak, semua NGFW bekerja dengan sangat buruk
Baru-baru ini, kami menerbitkan kursus “
Check Point to Maximum ”, di mana kami menunjukkan cara mengkonfigurasinya dengan benar untuk perlindungan maksimum. Sepanjang jalan, kami menunjukkan betapa mudahnya untuk memotong NGFW dengan pengaturan default. Dan ini tidak hanya berlaku untuk Check Point. Gambar yang sama diamati dengan Fortinet, Palo Alto Networks, Cisco Firepower, dll. (Saya melakukan tes paralel). Bahkan jangan berasumsi bahwa NGFW akan cukup melindungi perusahaan Anda dengan pengaturan default dalam beberapa klik. NGFW harus disetel, lebih dari sekali, tetapi terus-menerus, beradaptasi dengan perubahan ancaman. Jangan lupa bahwa
keamanan informasi bukanlah hasil, itu adalah proses .
4. Bersiaplah untuk masalah dan rencanakan waktu Anda.
Membeli NGFW patut dipersiapkan untuk kesulitan teknis. Bahkan jika Anda membelinya dengan layanan implementasi. Tidak ada integrator yang dapat melakukan semua pekerjaan untuk Anda. Karena keamanan informasi adalah suatu proses, Anda harus menyesuaikannya dan Anda harus menyelesaikan masalah yang muncul. Dan ini bukan karena NGFW buruk, itu karena ia memiliki banyak fungsi. Untuk membawa semua "ke pikiran", Anda harus menghabiskan waktu yang layak. Jika tidak, Anda berisiko tetap menggunakan pengaturan default yang tidak menggunakan 20% fitur NGFW. Berapa biaya pengaturan inspeksi SSL? Anda harus menyalakannya jika Anda benar-benar bingung dengan keamanan. Dan Anda
harus menyortir secara manual situs dan aplikasi yang berhenti berfungsi setelah inspeksi dihidupkan. Tidak ada yang akan melakukan ini untuk Anda (kecuali tentu saja Anda memiliki model layanan dukungan teknis). Masalah serupa dapat muncul pada banyak tahap implementasi dan operasi NGFW. Dua poin berikut mengikuti dari ini.
5. Tetapkan anggaran untuk pelatihan
NGFW sendiri adalah produk yang agak rumit. Tidak peduli bagaimana vendor berusaha menyederhanakannya. Banyak fungsi terkonsentrasi di dalamnya, ada banyak kehalusan dan jebakan. Jangan berasumsi bahwa Anda akan langsung belajar produk baru untuk Anda. Karena itu
, ketika merencanakan pembelian, pastikan untuk merencanakan anggaran untuk pelatihan karyawan yang akan mengelolanya. Kadang-kadang dapat dikeluarkan sebagai bagian dari satu transaksi tunggal, atau menerima pelatihan sebagai hadiah (semuanya tergantung pada jumlah transaksi dan loyalitas pasangan Anda).
6. Dukungan teknis
Anda pasti harus menghubungi dukungan teknis dan lebih baik jika produktif. Pasti ada karyawan yang bisa berbahasa Inggris dengan baik. Atau pertimbangkan opsi dukungan teknis dari mitra Rusia. Perhatikan masalah ini dengan seksama. Jika tidak, Anda
berisiko ditinggal sendirian dengan masalah Anda . Terkadang masalah dukungan teknis merupakan faktor penentu ketika memilih mitra atau bahkan vendor.
7. Jelajahi perizinan secara rinci
Situasi yang sangat umum. Sebuah proyek percontohan sedang berlangsung, mereka menunjukkan kepada Anda betapa indah dan fungsional semuanya. Namun, setelah melakukan pembelian, Anda menemukan bahwa tidak semua fungsi tersedia untuk Anda. Tidak ada laporan yang ditunjukkan kepada Anda pada awalnya, kotak pasir tidak berfungsi, pengguna jarak jauh tidak dapat terhubung, tidak ada manajemen terpusat, dll. Tentu saja, ini adalah tugas pasangan Anda - untuk memahami tugas-tugas Anda, membentuk spesifikasi yang benar, dan membicarakan tentang kemungkinan penambahan atau penambahan. Ini masalah kepercayaan. Tapi ada pepatah yang baik: "
Percaya, tapi verifikasi ." Saya pikir akan sangat tidak menyenangkan untuk pergi ke kepemimpinan untuk anggaran lain, segera setelah pembelian.
8. Beli tanpa tes
Tanpa proyek percontohan, Anda hanya dapat menyalahkan diri sendiri (baik, dan bersumpah pada pasangan yang "menjebak" Anda). Jangan menganggap serius buklet pemasaran. Sangat disarankan untuk melakukan setidaknya beberapa tes sebelum membeli. Dan tes yang paling penting adalah kinerja nyata perangkat pada lalu lintas nyata Anda. Ini sangat penting.
Anda tidak dapat mempercayai lembar data pada perangkat yang menulis metrik kinerja yang fantastis. Sayangnya, semua vendor berdosa dengan ini. Jika Anda tidak punya waktu untuk tes semacam itu, maka Anda hanya bisa mengandalkan pengalaman pasangan Anda, yang akan menawarkan opsi.
9. Pilih model berdasarkan inspeksi HTTPS
Poin lain yang banyak orang lupakan ketika memilih model. Inspeksi SSL adalah beban tambahan yang serius pada NGFW Anda. Banyak, dalam upaya untuk menghemat uang, memilih model yang kinerjanya cukup dekat, sementara sama sekali melupakan lalu lintas HTTPS. Dan setelah mengaktifkan inspeksi SSL, mereka menemukan bahwa gateway mereka "tersedak". Saya ulangi sekali lagi: "
Tanpa inspeksi HTTPS, NGFW Anda sama sekali tidak berguna ." Saya sudah menunjukkan ini dalam salah satu pelajaran saya. Jadi pastikan untuk mempertimbangkan beban tambahan pada perangkat dalam bentuk inspeksi SSL. Jika tidak, Anda cukup membuang uang.
10. Beli dari mitra "akrab"
Kesalahan umum saat membeli NGFW adalah membeli dari pemasok yang “sudah dikenal”. Saya yakin bahwa hampir setiap perusahaan memiliki mitra yang “telah lama” memasok beberapa produk IT. Lebih mudah dan mudah dimengerti untuk bekerja dengannya. Hanya NGFW yang bukan server, atau switch, dan tentunya bukan stapler yang dapat Anda beli dari siapa pun di sudut. Sama sekali bukan fakta bahwa pemasok Anda saat ini memiliki keterampilan dan kompetensi yang diperlukan.
Hasil dari implementasi dan keamanan perusahaan Anda tergantung pada kualifikasi mitra . Saat memilih pemasok, Anda harus terlebih dahulu melihat pengalaman dan keahlian teknisnya. Ini paling baik didefinisikan sebagai bagian dari proyek percontohan. Dengan demikian, Anda akan segera membunuh dua burung dengan satu batu:
- Uji NGFW dalam infrastruktur Anda dan putuskan sebuah model;
- Mengevaluasi kecukupan pasangan. Apakah dia dapat membantu Anda dengan implementasi dan kemudian dapat memberikan dukungan teknis.
Padahal, item ini yang paling penting. Mitra yang baik harus memandu Anda melalui daftar periksa ini. Dia harus menunjukkan semua poin penting, memperingatkan tentang semua masalah yang mungkin terjadi dan secara alami memberikan solusi.
Kesimpulan
Semoga artikel ini bermanfaat bagi seseorang. Ini tentu saja bukan resep universal, tetapi akan membantu menghindari masalah yang paling umum. Jika Anda memiliki pertanyaan atau memiliki komentar / saran, maka tuliskan di komentar atau
email saya.
PS Mungkin Anda akan tertarik dengan artikel kami sebelumnya "
Skenario Implementasi NGFW yang Khas "
PSS Dapatkan lisensi uji coba dan uji solusi yang Anda minati di
sini