Hoy en día, las organizaciones tienen muchos modelos de precios y licencias entre los que elegir: precios perpetuos por instancia, precios de suscripción por instancia, por rendimiento, por usuario, por núcleos de CPU, precios medidos en función del consumo, licencia propia (BYOL), consumo con pago según el uso (PAYG) y acuerdos de licencia de proveedor de servicios (SPLA), entre otros.
La preocupación que escuchamos a menudo es que los modelos de precios y licencias de los proveedores no apoyan eficazmente las iniciativas de transformación digital y las transiciones a la nube para la empresa.
La mayor preocupación es la rentabilidad de las licencias para el aprovisionamiento bajo demanda de la capacidad de productos de seguridad como Firewall de aplicaciones web (WAF) o Protección de aplicaciones web y API (WAAP), que requieren mucha potencia de cálculo para procesar y proteger los datos. Esta preocupación es especialmente grave para la previsibilidad de los costos y la planificación de la capacidad. Es posible que sea necesario cambiar el perfil de rendimiento o las limitaciones de capacidad de una instancia WAF o WAAP concreta para adaptarse al perfil de tráfico. La infraestructura de licencias y la automatización tienen que adaptarse a esto en un entorno de uso intensivo de datos. Algunos clientes grandes han trasladado algunas de las aplicaciones a una implementación de nube privada desde la nube pública debido al pico y la variabilidad en los costos con precios medidos y modelos PAYG para el tráfico.
Otra preocupación frecuente es que, aunque el personal de seguridad suele tener la tarea de proteger los entornos de nube, con frecuencia no tiene autoridad sobre la elección o la gestión de los entornos de nube. Muchas organizaciones implementan no solo un único entorno de nube, sino varios de estos entornos en paralelo, lo que complica aún más la tarea de la seguridad en la nube. Es muy difícil proteger varias plataformas en la nube, cada una con sus propias capacidades, API, gestión e informes con un nivel de seguridad consistente. Según la investigación de Radware, el 92% de las organizaciones declararon que las decisiones sobre las plataformas en la nube son tomadas por partes interesadas que no son personal de seguridad. Con la falta de experiencia interna en seguridad o en el dominio de la nube, puede tener sentido utilizar una oferta de servicios gestionados.
Los costes adicionales asociados a las licencias durante la transición a la nube son una preocupación constante. En la actualidad, una organización debe pagar dos veces por la capacidad, una por los centros de datos privados y otra por la nueva capacidad en la nube. En este caso, un modelo BYOL con un modelo de licencia que puede recuperar la capacidad de licenciamiento ya pagada y aprovisionada en un entorno y trasladarla a un nuevo entorno.
Los precios de Radware WAF y WAAP abordan todas las preocupaciones anteriores al ofrecer precios perpetuos a los clientes que desean pagar una sola vez por adelantado y luego un menor costo de soporte continuo. Para los clientes preocupados por los costos iniciales, se ofrece un modelo de suscripción anual. Para los clientes que carecen de experiencia interna, Radware también ofrece una oferta de WAF/WAAP totalmente gestionada. Por último, para hacer frente a los problemas de costos durante la transición a la nube o para las grandes empresas y proveedores de servicios que alojan a muchos inquilinos y quieren contener el costo para la empresa, Radware también ofrece un modelo de precio de licencia elástica global (GEL, por sus siglas en inglés). Esto permite a las organizaciones obtener y pagar por la capacidad de la licencia de forma global, mientras se distribuye esa capacidad entre los inquilinos.
Las pruebas de penetración, por otro lado, se utilizan para identificar procesos, configuraciones de seguridad u otras debilidades que un actor malicioso podría explotar activamente. El uso de contraseñas sin cifrar, la reutilización de contraseñas y el almacenamiento inseguro de las credenciales de los usuarios son ejemplos de debilidades descubiertas por una prueba de penetración. Para proporcionar una evaluación objetiva, lo mejor es que las pruebas de penetración sean hechas por un proveedor externo.
Para comprobar la calidad de la protección, ya sea de las correcciones de código internas o del WAF, se deben utilizar tanto el escaneo de vulnerabilidades como las pruebas de penetración antes y después de las correcciones de código y/o el despliegue de un WAF.
| |
Radware |
WAF basado en CDN |
WAF nativo de nube pública |
WAAP basado en software |
| Precios perpetuos |
Sí |
Sí |
No |
Sí |
| Precios por suscripción |
Sí |
Sí |
Sí |
Sí |
| Soporte de plataformas híbridas (multi-cloud, física/SDDC) |
Sí |
Sí |
No |
Sí |
| BYOL |
Sí |
Sí |
No |
Sí |
| SPLA/ELA |
Sí |
Sí |
No |
Sí |
| Recuperar la capacidad y pasar a otra implementación |
Sí |
No |
No |
Quizá |
| Oferta de servicios gestionados |
Sí |
Sí |
No |
Quizá (externos) |
Recursos adicionales