すでに短い記事「 NGFW選択基準 」を公開しています 。 ここでは、すでにNGFWを選択し、購入することも想定しています。 何を覚えておく必要がありますか? 最後の段階でつまずかない-購入。 私たちの意見では、これは非常に重要な問題です。 ベンダーのNGFWは安くはありません。 そして、すべてが計画通りに進んでいるか、期待どおりに機能しない場合は、購入を決定した人のような問題が発生している可能性があります。 この記事では、AFTERではなく購入前に注意を払う必要がある主要なポイントを反映しようとします。 おそらく、この小さなチェックリストは、予期しない出費を避け、すでに擦り切れている神経を節約するのに役立ちます。
1.年間所有コスト
最初に確認すべき項目。 NGFWには、サブスクリプション、契約、更新の年次更新が絶対に必要であることを絶対に理解する必要があります(ベンダーごとに異なる呼び出し方をしています)。 多くの人にとって、これは1回限りの購入では不十分であり、毎年「再度支払う」必要があるという驚きです。 そして最も重要なことは、サブスクリプションを更新せずに、最も重要な機能(NGFWが通常購入される)が機能しなくなることです。 これらは、IPS、URLフィルタリング(サイトのカテゴリと評判)、アプリケーション制御、ウイルス対策、スパム対策、サンドボックスなどの機能です。 完全なリストは、特定のベンダーによって異なります。 サブスクリプションを更新しないと、NGFWは通常のファイアウォールに変わります。 そうではありませんが、異常な、 非常に高価なファイアウォール 。 さまざまなベンダーの年間所有コストは異なりますが、原則として最初の購入の約30〜40%が変動します。 これを覚えて。 IB / ITの年間予算を引き上げますか? パートナーに年間所有コストの情報を必ず依頼してください。 一般に、パートナーがデフォルトでこれらの番号を提供しなかった場合は奇妙です。
2. NGFWはすべてのIB問題を解決しません
多くの人は、NGFWを情報セキュリティのすべての悪の万能薬と考えています。 しかし、これは決してそうではありません。 NGFWは、ネットワークに対する攻撃の可能性のあるいくつかのベクトルのみを閉じます。 100%の保護を保証する単一のソリューションはありません。 そして、誰かがあなたにこれを約束するなら、彼は単にあなたをだましている、または彼自身が彼が話していることを完全に理解していない。 NGFWのタスクは、攻撃エリアを可能な限り狭めることです。 なんでこんなこと? また、他の救済策も忘れないでください。 NGFWを購入するのに十分な資金が突然ない場合は、デスクトップウイルス対策やバックアップシステムなど、 他の保護手段が拒否されるため 、最後のお金を使って予算を「削る」べきではありません。 優先順位を設定し、財務能力を評価します。 情報セキュリティ企業は、NGFWの購入から始めません。 これは、包括的な保護の追加要素にすぎません。 1つの「ボックス」からの魔法の結果を期待しないでください。
3.箱から出して、NGFWが非常にうまく機能しない
最近、「 最大のチェックポイント 」コースを公開し、最大限の保護のために正しく設定する方法を示しました。 途中で、デフォルト設定でNGFWをバイパスすることがいかに簡単かを示しました。 そして、これはチェックポイントだけに当てはまりません。 フォーティネット、パロアルトネットワークス、Cisco Firepowerなどでも同じ状況が見られます。 (並列テストを実施しました)。 数回クリックするだけで、NGFWがデフォルト設定で会社を適切に保護すると想定しないでください。 NGFWは、複数回、しかし絶えず変化する脅威に合わせて調整する必要があります。 情報セキュリティは結果ではなく、プロセスであることを忘れないでください 。
4.問題に備え、時間を計画します。
NGFWを購入することは、技術的な問題に備える価値があります。 実装サービスで購入しても。 インテグレーターがあなたのために絶対にすべての仕事をすることはありません。 情報セキュリティはプロセスであるため、発生する問題を調整し、解決する必要があります。 そして、これはNGFWが悪いからではなく、非常に多くの機能を持っているからです。 すべてを「気にする」ためには、かなりの時間を費やす必要があります。 そうしないと、NGFW機能の20%を使用しないデフォルト設定のままになる危険があります。 SSLインスペクションを設定する費用はいくらですか? セキュリティに本当に困惑している場合は、有効にする必要があります。 また、検査がオンになった後に機能しなくなるサイトやアプリケーションを手動でソートする必要があります 。 誰もあなたのためにこれを行いません(もちろん、テクニカルサポートのサービスモデルをお持ちでない限り)。 NGFWの実装と運用の多くの段階で、同様の問題が発生する可能性があります。 このことから、次の2つのポイントが続きます。
5.トレーニングの予算を立てる
NGFW自体はかなり複雑な製品です。 ベンダーがどのように簡素化しようとしても。 多くの機能がそれに集中しており、多くの微妙さと落とし穴があります。 あなたがあなたのために新しい製品をすぐに学ぶと仮定しないでください。 したがって、購入を計画するときは、それを管理する従業員のトレーニングの予算を必ず計画してください。 単一のトランザクションの一部として発行されたり、ギフトとしてトレーニングを受けることもあります(すべてトランザクションの量とパートナーの忠誠心に依存します)。
6.技術サポート
あなたは間違いなくテクニカルサポートに連絡する必要があり、それが生産的であればより良いです。 良い英語を話す従業員が必要です。 または、ロシアのパートナーからの技術サポートのオプションを検討してください。 この問題に細心の注意を払ってください。 そうしないと、問題が発生する可能性があります 。 技術サポートの問題は、パートナーまたはベンダーを選択する際に決定的な要因になる場合があります。
7.ライセンスの詳細を調べる
非常に一般的な状況。 パイロットプロジェクトが実施されており、すべてが美しく機能する様子が示されています。 ただし、購入後、すべての機能を使用できるわけではありません。 最初に表示されたレポートはありません。サンドボックスは機能しません。リモートユーザーは接続できません。集中管理などはありません。 もちろん、これはあなたのパートナーの仕事です-あなたの仕事を理解し、正しい仕様を形成し、考えられる制限や追加について話し合うことです。 これは信頼の問題です。 しかし、 「 信頼するが、確認する 」という格言があります。 購入後すぐに別の予算のためにリーダーシップを発揮することは非常に不愉快だと思います。
8.テストなしで購入
パイロットプロジェクトがなければ、自分だけを責めることができます(まあ、あなたを「フレーム」に入れたパートナーに誓います)。 マーケティングブックレットを真剣に受け取らないでください。 購入前に少なくともいくつかのテストを実施することを強くお勧めします。 そして、最も重要なテストは、実際のトラフィックでのデバイスの実際のパフォーマンスです。 これは非常に重要です。 素晴らしいパフォーマンスインジケータを作成するデバイスのデータシートを信頼することはできません 。 残念ながら、すべてのベンダーはこれに罪を犯しています。 そのようなテストの時間がない場合は、オプションを提供するパートナーの経験のみを期待できます。
9. HTTPS検査に基づいてモデルを選択する
モデルを選択するときに多くの人が忘れてしまうもう1つのポイント。 SSLインスペクションは、NGFWに深刻な追加負担をかけます。 多くの人は、お金を節約するために、HTTPSトラフィックを完全に忘れながら、パフォーマンスが非常に近いモデルを選択します。 そして、SSLインスペクションを有効にすることで、彼らはゲートウェイが「窒息」していることを発見します。 もう一度繰り返します 。「 HTTPS検査がなければ、NGFWはまったく役に立ちません 。」 私はすでにレッスンでこれを実証しました。 そのため、SSLインスペクションの形式でデバイスの追加の負荷を考慮してください。 そうでなければ、あなたは単にお金を捨てます。
10.「使い慣れた」パートナーからの購入
NGFWを購入する際の典型的な間違いは、「馴染みのある」サプライヤーから購入することです。 ほとんどすべての企業には、一部のIT製品を「長年にわたって」提供しているパートナーがいると確信しています。 彼と仕事をするのは便利で理解しやすい。 NGFWのみがサーバーでもスイッチでもありません。また、角を曲がった誰からでも購入できるステープラーでもありません。 現在のサプライヤーが必要なスキルと能力を持っているということはまったくありません。 実装の結果と会社のセキュリティは、パートナーの資格に依存します 。 サプライヤーを選択する際には、まず彼の経験と技術的専門知識を検討する必要があります。 これは、パイロットプロジェクトの一部として最もよく定義されています。 したがって、あなたはすぐに1つの石で2羽の鳥を殺します:
- インフラストラクチャでNGFWをテストし、モデルを決定します。
- パートナーの妥当性を評価します。 彼は実装を支援し、技術サポートを提供できますか?
実際、このアイテムは最も重要です。 優れたパートナーがこのチェックリストをご案内します。 彼はすべての重要なポイントを示し、考えられるすべての問題について警告し、自然に解決策を提供する必要があります。
おわりに
この記事が誰かにとって本当に役立つことを願っています。 これは確かに普遍的なレシピではありませんが、最も一般的な問題を回避するのに役立ちます。 ご質問がある場合、またはコメント/提案がある場合は、コメントを記入するか、 メールしてください。
PSおそらく、以前の記事「 典型的なNGFW実装シナリオ 」に興味があるでしょう。
PSS試用版のライセンスを取得し、興味のあるソリューションをここでテストします