Как правильно писать заявку на покупку NGFW

Как правильно писать заявку на покупку NGFW

Как правильно писать заявку на NGFW

Когда вы хотите купить NGFW, то нужно что-то написать в офис производителя, чтобы он подобрал вам модель. 

Что нужно прислать в заявке:

1. Планируемый защищаемый объем трафика в пике. Например: хотим NGFW для защиты трафика на скоростях в пике до 10 Гбит/с.

2. Число хостов в сети, которые генерируют трафик. На самом деле инженеру для оценки нужно число новых соединений в секунду. Опыт показывает, что каждый хост создает в среднем 0,1 новых соединения в секунду. Но лучше взять с запасом по соединению на каждый хост в секунду. То есть для 10000 хостов число новых соединений в секунду будет 10000. Пример запроса: у нас 10000 хостов в сети (посчитайте все сервера, компьютеры, роутеры, принтеры и другой IoT)

3. Если есть публичные ресурсы к которым ходит весь Интернет, то сколько новых соединений в секунду в пике бывает на эти ресурсы (если получится это оценить). Слово новых - ключевое. Не путайте число новых соединений с числом одновременных соединений. Обычно это можно посмотреть на графике системы мониторинга, которая обычно у всех есть. Завышать не нужно, потому что сам сервер может не выдержать число новых соединений в секунду, которые вы запросили. Обычно еще стоит WAF или DDOS, который как раз режет число новых соединений, и на самом деле NGFW тоже содержит функции сдерживания числа новых соединений в секунду. (Если у вас есть F5 или A10 или еще какие-то балансировщики - это тоже надо упомянуть. Но это отдельный разговор.) Пример: Число новых соединений в секунду в пике на наши веб сервера: 1000 HTTP(S) соединений в секунду. 

4. Нужна ли подписка Threat Prevention , которая включит обновления антивируса, IPS, anti-spyware, TI , DNS Sinkholing . У некоторых производителей подписка anti-spyware называется anti-bot. 

5. Нужна ли подписка URL Filtering. Обычно в ЦОД она не требуется. 

6. Нужна ли подписка Wildfire - песочница облачная и также встроенная (у Palo Alto Networks внутри NGFW есть Machine Learning , который обнаруживает zero day на лету)

7. Нужна ли подписка Global Protect (функционал HIP для удаленных сотрудников, позволяющий пускать только защищенные компьютеры в сеть компании )

8. Нужна ли подписка DNS Security для определения DGA доменов. 

9. Нужна ли подписка Autofocus для расследования инцидентов и подключения к TIP.

10. Нужна ли подписка IoT для контроля устройств IoT в вашей сети. Замечу, что контроль ICS/ SCADA уже входит в стандартную поставку.

10. Будет это кластер из 2 устройств или standalone.

PS: На самом деле инженер производителя в первую очередь оценивает тип вашей компании: финансовая, медиа, телеком, производство, государство и др, потому что это разный трафик и это разная нагрузка на устройство. Например, финансовый трафик содержит более короткие транзакции и поэтому NGFW больше напрягается. Причем модель иногда нужно давать в 2 раза мощнее, чем заказчику с таким же трафиком (по сумме байт в секунду), но с более длинными транзакциями. То есть на трафик 10 Гбит/с для коротких транзакций будет одна модель, на трафик 10 Гбит/с для длинных транзакций - другая. Проблема, что никто не знает своего трафика и длины транзакций уж тем более. Поэтому перед покупкой NGFW его нужно тестировать именно на своем трафике и со всеми включенными функциями. Обычно это можно сделать через SPAN порт вашего свитча, что не прерывает работы компании на время теста.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ksiva

Пусть будет утренний в честь того, что я его создал утром.