Unternehmen können aus verschiedenen Preisgestaltungs- und Lizenzierungsmodellen wählen: unbefristete Preisgestaltung pro Instanz, Abonnement nach Instanz, nach Datenvolumen, pro Benutzer, nach CPU-Kernen, Preisgestaltung nach Nutzung, Bring-your-own-License (BYOL), Pay-as-you-go (PAYG), Service-Provider-Lizenzvereinbarungen (SPLA) usw.
Unternehmen berichten uns häufig, dass die Preisgestaltung und die Lizenzierungsmodelle der Anbieter die Initiativen zur digitalen Transformation und die Umstellung auf die Cloud nicht ausreichend unterstützen.
Ihre größte Sorge ist die Kosteneffizienz bei der Lizenzierung für eine bedarfsgerechte Bereitstellung von Kapazitäten für Sicherheitsprodukte wie Web Application Firewall (WAF) oder den Schutz für Web-Applikationen und API (WAAP), die für die Verarbeitung und Sicherung von Daten große Rechnerleistungen beanspruchen. Diese Sorge betrifft vor allem die Kostenprognose und die Kapazitätsplanung. Das Leistungsprofil oder die Kapazitätsbeschränkungen für eine bestimmte WAF- oder WAAP-Instanz müssen gegebenenfalls geändert werden, um das Datenverkehrsprofil zu berücksichtigen. Die entsprechende Lizenzierungsinfrastruktur sowie die Automatisierung müssen für eine datenintensive Umgebung geplant werden. Einige Großkunden haben einen Teil der Applikationen von der Public Cloud in eine private Cloud-Bereitstellung verlagert, da die Preisgestaltung nach Nutzung der Public Cloud und die PAYG-Modelle für den Datenverkehr zu hohe und schwankende Kosten mit sich bringen.
Häufig stellt sich auch das Problem, dass das Sicherheitsfachpersonal zwar mit dem Schutz der Cloud-Umgebungen betraut ist, aber oft keine Entscheidungsbefugnis bei der Auswahl oder beim Management der Cloud-Umgebungen hat. Viele Unternehmen stellen nicht nur eine einzige, sondern mehrere parallele Cloud-Umgebungen bereit. Dies erschwert die Aufgabe der Cloud-Sicherheit noch mehr. Es ist sehr komplex, mehrere Cloud-Plattformen mit jeweils eigenen Funktionen, API, Verwaltungs- und Berichtsfunktionen auf einem kontinuierlichen Sicherheitsniveau zu schützen. Laut einer Studie von Radware gaben 92 % der Unternehmen an, dass Entscheidungen über Cloud-Plattformen nicht vom Sicherheitsfachpersonal, sondern von anderen Verantwortlichen getroffen werden. Bei einem Mangel an firmeninterner Sicherheitskompetenz oder Fachwissen im Cloud-Bereich kann ein Managed Service-Angebot sinnvoll sein.
Zusätzliche Kosten im Zusammenhang mit der Lizenzierung während der Umstellung auf die Cloud sind ein häufiges Problem. Heute zahlen Unternehmen zweimal für ihre Kapazitäten, einmal für die privaten Rechenzentren und dann noch einmal für die neuen Kapazitäten in der Cloud. Hier handelt es sich um ein BYOL-Modell mit einem Lizenzmodell, das bereits bezahlte und in einer Umgebung lizenzierte Kapazitäten wiederherstellen und in eine neue Umgebung verschieben kann.
Die Preisgestaltung von Radware WAF und WAAP geht auf alle oben genannten Belange ein und bietet eine unbefristete Preisgestaltung für Kunden, die eine einmalige Vorauszahlung und dann geringere laufende Supportkosten wünschen. Kunden, die sich über die Anschaffungskosten Gedanken machen, wird ein jährliches Abonnement angeboten. Kunden, die über keine firmeninterne Kompetenz verfügen, erhalten bei Radware auch ein vollständig verwaltetes WAF/WAAP-Angebot. Schließlich bietet Radware auch Global Elastic Licensing (GEL) an, ein Preisgestaltungsmodell, das die Kosten während der Umstellung auf die Cloud im Auge behält und für große Unternehmen und Service Provider geeignet ist, die viele Mandanten hosten und die Kosten für das Unternehmen in Grenzen halten wollen. Dies ermöglicht es Unternehmen, Lizenzkapazitäten global zu beziehen und zu bezahlen, und diese Kapazitäten auf die jeweiligen Mandanten umzulegen.
Penetrationstests hingegen werden eingesetzt, um Prozesse, Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein böswilliger Akteur aktiv ausnutzen könnte. Die Verwendung von unverschlüsselten Passwörtern, die Wiederverwendung von Passwörtern und die ungesicherte Speicherung von Benutzerdaten sind Beispiele für Schwachstellen, die bei einem Penetrationstest entdeckt werden. Zur objektiven Beurteilung empfiehlt sich die Durchführung von Penetrationstests durch einen externen Anbieter.
Um die Qualität des Schutzes zu testen – entweder durch interne Code-Fixes oder durch eine WAF – sollten Schwachstellen-Scans sowie Penetrationstests sowohl vor als auch nach Code-Fixes und/oder der Bereitstellung einer WAF durchgeführt werden.
| |
Radware |
CDN-gestützte WAF |
Native WAF für die Public Cloud |
Softwarebasierte WAAP |
| Unbefristete Preisgestaltung |
Ja |
Ja |
Nein |
Ja |
| Preisgestaltung für Abonnements |
Ja |
Ja |
Ja |
Ja |
| Unterstützung hybrider Plattformen (Multi-Cloud, physisch/SDDC) |
Ja |
Ja |
Nein |
Ja |
| BYOL |
Ja |
Ja |
Nein |
Ja |
| SPLA/ELA |
Ja |
Ja |
Nein |
Ja |
| Kapazitäten für weitere Bereitstellungen zurückgewinnen |
Ja |
Nein |
Nein |
Möglicherweise |
| Managed Service-Angebot |
Ja |
Ja |
Nein |
Möglicherweise (Drittanbieter) |
Weitere Ressourcen