Файрвол по карману: как сэкономить на UTM

Файрвол по карману: как сэкономить на UTM

Файрвол по карману: как сэкономить на UTM

Всё чаще компании прибегают к сервисной модели обеспечения информационной безопасности в противовес созданию собственных аналогов in-house. Экономия при покупке UTM-сервиса защиты от сетевых угроз может достигать 50 %, а штатные специалисты избавляются от дополнительной нагрузки. Ниже мы разберём на примере UTM, какие выгоды получит компания, выбирая подход «кибербезопасность как сервис».

 

 

 

 

  1. Введение
  2. Модель расчёта трат на внедрение UTM
  3. Из чего состоят траты на реализацию ИБ-проекта
    1. 3.1. Капитальные затраты
    2. 3.2. Операционные затраты
    3. 3.3. Обучение и кадровый вопрос
    4. 3.4. Стоимость аренды и поддержки WAN
  4. Сводный расчёт затрат на ИБ-проект
  5. Выводы

 

Введение

Корпоративные сети таят в себе множество рисков для ИБ, поэтому универсальные шлюзы безопасности — UTM (Unified Threat Management) — это «мастхэв» для любого бизнеса. UTM — не просто межсетевой экран, а сложное многофункциональное сетевое устройство, которое помимо фильтрации трафика решает и другие задачи. В частности, в состав UTM-сервиса от «Ростелеком-Солар» также входят фильтрация трафика веб-приложений, защита от вредоносных программ, обнаружение и предотвращение вторжений (IPS), контроль использования приложений сети и потоковый антивирус.

Определившись с необходимой технологией, компания встаёт перед сложным выбором: как развернуть выбранное решение в своей инфраструктуре и какой бюджет на это потребуется. Глобально здесь — два варианта. Первый: внедрить весь аппаратно-программный комплекс по принципу «in-house», когда установка и обслуживание оборудования происходят непосредственно на площадке заказчика (силами самой компании или частично с помощью интегратора). Второй: приобрести подписку у сервис-провайдера. В последнем случае не нужно размещать у себя дорогое оборудование и заботиться о его обслуживании. Вместо этого сервис-провайдер устанавливает на площадке заказчика CPE (Customer Premises  Equipment) — маршрутизатор, который является шлюзом для доступа в интернет. Весь трафик проходит через CPE к ЦОДу провайдера, где обрабатывается и фильтруется.

 

Рисунок 1. Общая архитектура сервиса

 Общая архитектура сервиса

 

Какой из двух вариантов выгоднее для заказчика и где он может сэкономить? Давайте разбираться.

 

Модель расчёта трат на внедрение UTM

В статье мы сравниваем традиционный проектный и сервисный подходы. Под традиционным мы подразумеваем вариант, когда заказчик сам закупает у дистрибьютора всё необходимое оборудование, а его внедрением и обслуживанием занимаются штатные специалисты. Для сравнения взяты цены на классические межсетевые экраны средней ценовой категории без скидок. Как известно, вендоры часто предлагают своим клиентам индивидуальные скидки и бонусы, и финальная стоимость закупки может сильно отличаться от заявленной изначально. В то же время и сервис-провайдер часто получает скидки и благодаря этому также снижает цену на предоставляемый сервис. Тем не менее во всех этих вариантах размер скидок сложно спрогнозировать точно, поэтому в статье мы их не учитываем: наша задача — показать не абсолютную стоимость, а объективную экономию заказчика.

В качестве примера для расчёта возьмём компанию, которая имеет множество однотипных удалённых площадок с головным и региональными офисами. Это может быть, например, ритейлер, банк, сеть клиник и т. п. Именно такие территориально-распределённые ИБ-проекты особенно сложны в поддержке и затратны для заказчика.

Сравним затраты на внедрение UTM для трёх типов компаний.

  1. Компания А: 1 головной офис и 20 удалённых площадок. В таких компаниях в лучшем случае есть 1—2 обособленных специалиста по информационной безопасности, но чаще всего их функции поделены между сотрудниками ИТ-службы. Таким образом, зона ответственности между ними размыта.
  2. Компания B: 5 офисов и 70 удалённых площадок. В удалённых офисах обычно нет ИБ-специалистов — всю работу берёт на себя центральная команда. Из-за этого аналитики и инженеры по информационной безопасности загружены операционными задачами и у них не остаётся времени на реализацию долгосрочных стратегических проектов.
  3. Компания C: 10 офисов в нескольких регионах и 200 удалённых площадок. В организациях такого масштаба обычно понимают значимость ИБ для бизнеса. При этом из-за большого количества точек, которые открывались, как правило, в разное время, используемые СЗИ и политики безопасности неоднородны. Это значительно усложняет обслуживание ИБ-ландшафта и заставляет искать варианты стандартизации. Кроме того, по мере роста и открытия новых точек компания ищет новые способы оптимизации затрат на киберзащиту.

 

Из чего состоят траты на реализацию ИБ-проекта

Капитальные затраты

Реализация любого ИБ-проекта по традиционной модели предполагает значительные капитальные затраты на старте. В случае с UTM-системами это — в первую очередь закупка межсетевых экранов, которые необходимо установить на каждой из площадок, причём покупать устройства следует с запасом, чтобы можно было оперативно заменить вышедшее из строя оборудование (минимальный запас составляет 2 % от основной партии).

Этим траты на «железо» не ограничиваются. Чтобы обеспечить отказоустойчивость и непрерывность всех процессов, заказчики часто дублируют межсетевые экраны, устанавливая дополнительное оборудование. Как правило, такая конфигурация реализуется в офисах, а не на удалённых площадках. Дублирующее оборудование подключается к сети, чтобы в любой момент оно было готово к полному запуску.

К стоимости аппаратного решения нужно добавить цену лицензий (отдельно для каждого устройства, включая дублирующие), которые обеспечивают доступ к вендорским службам безопасности. Обычно срок подписки составляет один год. Иногда производители оборудования предлагают варианты на три года или пять лет. Кроме того, для управления межсетевыми экранами также требуется отдельный сервер, а значит, и ещё одна лицензия на софт.

В сервисной модели такого понятия, как капитальные затраты, не существует. Они заменяются операционными: цена оборудования уже включена в ежегодную подписку на сервер.

Ниже приведены примерные капитальные затраты на стадии внедрения UTM в компании типа A (то есть 1 головной офис и 20 удалённых площадок).

 

Таблица 1. Пример расчёта капитальных затрат для компании типа A

  Традиционная модель Сервисная модель
Точки 20 3 330 814,50 ₽ 0,00 ₽
Офисы 1 226 350,00 ₽ 0,00 ₽
Итого     3 557 164,50 ₽ 0,00 ₽

 

Кроме того, возможен сценарий, когда организация открывает меньше точек, чем планировала изначально, и закупленное оборудование оказывается невостребованным. Избежать подобной ситуации при традиционном подходе трудно, тогда как сервисная модель позволяет быстро подключать или отключать свои точки, не переплачивая за то, что не используется.

Сервис также даёт возможность обеспечить отказоустойчивость работы за меньшую стоимость. В случае с UTM это достигается установкой на площадке двух СРЕ для создания отказоустойчивой конфигурации: при выходе из строя одного устройства его подменяет второе (в режиме Active-Standby). При этом СРЕ в разы дешевле межсетевого экрана, и дополнительное устройство в данном случае не станет обременительным для заказчика.

 

Операционные затраты

Операционные затраты в проектах, связанных с внедрением UTM, состоят из ежегодной подписки, которая включает доступ к обновлениям и актуальным базам от вендоров, а также регулярных трат на обслуживание оборудования. Последние складываются из зарплат инженеров и аналитиков вкупе с накладными расходами, включая услуги связи, командировки, страховые взносы и т. п. Если же заказчик выбирает сервисную модель, его траты ограничены ежегодным платежом — подпиской на сервис.

Примерный расчёт операционных затрат для компании типа A выглядит следующим образом (см. табл. 2; приведены усреднённые значения по зарплате и накладным расходам).

 

Таблица 2. Пример расчёта операционных затрат для компании типа A

  Традиционный подход Сервисная модель
Ежегодная подписка на доступ к обновлениям и сервисам безопасности от вендора 983 014,50 ₽ 0,00 ₽
Сопровождение и обслуживание межсетевых экранов 594 000,00 ₽ 0,00 ₽
Подписка на сервис UTM 0,00 ₽ 2 116 800,00 ₽
Итого 1 577 014,50 ₽ 2 116 800,00 ₽

 

Обучение и кадровый вопрос

Экономия, как правило, отображена в денежном эквиваленте, но на практике выгода проявляется и в других аспектах. Часто владельцу бизнеса важно, чтобы его сотрудники занимались стратегическими, а не рутинными задачами. В небольших компаниях новые решения в части ИБ увеличивают нагрузку на собственные ИТ-службы. Например, обновление межсетевых экранов и задачи по настройке их политик безопасности являются весьма обременительной работой и требуют контроля со стороны инженеров. Этот полуручной процесс может отнимать у штатных специалистов от 15 % до 25 % времени. Сервис-провайдер, в свою очередь, берёт эти функции на себя.

Если компания активно растёт, то работодателю необходимо повышать профессиональный уровень ИБ-специалистов. Для этого нужно дополнительно проводить обучение, например, по закупаемым у разных вендоров продуктам, что требует немалых финансовых вложений. Средняя стоимость обучения одного специалиста по администрированию межсетевого экрана иностранного вендора составляет 80 000 рублей.

Расширять штат — также удовольствие не из дешёвых. Не секрет, что сейчас на рынке наблюдается дефицит высококвалифицированных ИБ-специалистов, особенно в регионах. Это приводит к сложностям при подборе сотрудника, а также к высокой «стоимости» работников на рынке труда. Когда речь идёт о сервисной модели, заказчик фактически пользуется обширными наработанными компетенциями специалистов крупной ИБ-компании, ежедневно отражающих сложнейшие кибератаки.

 

Стоимость аренды и поддержки WAN

Когда возникают вопросы, связанные с объединением площадок в общую сеть, важной деталью становится выбор типа подключения. Эта статья расходов может значительно ударить по карману заказчика. Глобально у него есть два варианта: аренда виртуальных каналов связи у оператора или строительство собственного решения SD-WAN либо VPN-сети. Последний вариант крайне затратен и не идёт в сравнение с сервисной моделью, поэтому рассмотрим только первый.

Аренда виртуальных каналов у оператора связи позволяет объединить в защищённую корпоративную сеть любое количество площадок, территориально удалённых друг от друга. Услуга удобна для клиента и позволяет строить различные типы сетей. Однако аренда таких каналов выходит намного дороже обычного подключения к интернету.

В UTM-сервисе одним из ключевых компонентов является SD-WAN — решение, объединяющее облачную среду с площадками заказчиков. Его стоимость включена в ежегодную подписку. В качестве каналов связи здесь могут применяться как фиксированная сеть, так и мобильная (или их комбинация). Экономия достигается за счёт использования широкополосного интернета. По нашим оценкам, при переходе с выделенных каналов связи на аренду SD-WAN экономия для одной площадки в среднем может достигать 30 %. При этом решение SD-WAN входит в состав сервисов «Ростелеком-Солар» и не требует дополнительных затрат.

 

Сводный расчёт затрат на ИБ-проект

Сводные данные отображены на графиках ниже. Они носят информационный характер, так как по некоторым пунктам у каждой организации будут свои затраты. Важно учесть, что в перспективе 6—7 лет требуется добавить капитальные затраты на обновление и модернизацию текущего оборудования. Также не учтён тот факт, что сотрудники переходят в другие компании, а наём новых специалистов приводит к дополнительным затратам на их обучение.

 

Рисунок 2. Расчёт трат для компании А (с 1 головным офисом и 20 удалёнными площадками)

 Расчёт трат для компании А (с 1 головным офисом и 20 удалёнными площадками)

 

Рисунок 3. Расчёт трат для компании B (с 70 площадками и 5 региональными офисами)

 Расчёт трат для компании B (с 70 площадками и 5 региональными офисами)

 

Рисунок 4. Расчёт трат для компании С (с 200 однотипными площадками и 10 офисами)

 Расчёт трат для компании С (с 200 однотипными площадками и 10 офисами)

 

Выводы

Управляемые сервисы кибербезопасности быстро набирают популярность, хотя конкурировать с традиционной проектной моделью им непросто, особенно на давно сформированном рынке UTM-систем. Однако при выборе очередного решения заказчики всё чаще фокусируются не только на технологиях, но и на конечном результате. Ведь нередко бывает, что при закупке не учитываются сопровождение этих комплексных решений и обучение сотрудников. В итоге штатные специалисты оказываются загружены рутиной, а задачи бизнеса отходят на второй план. Сервисная модель — это простой, быстрый, экономичный и эффективный способ обеспечения информационной безопасности, доступный для разных категорий заказчиков вне зависимости от масштаба их инфраструктуры, бюджетов или кадровых ресурсов.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru