De nos jours, il existe un vaste choix de modèles de tarification et de licence pour les organisations, comme la licence perpétuelle par instance, l'abonnement avec paiement par instance, par débit, par utilisateur, par CPU, la tarification à la consommation, le système Bring-Your-Own License (BYOL), les accords de licence d'opérateur à la consommation (SPLA) Pay-As-You-Go (PAYG), etc.
Une préoccupation qui revient souvent est que les modèles de tarification et de licence des fournisseurs n'encouragent pas réellement les initiatives de transformation numérique et de passage en cloud de l'entreprise.
La plus grande préoccupation est la rentabilité des licences pour le provisionnement à la demande de capacité pour des produits de sécurité comme les pare-feu d'applications web (WAF) ou la protection des API et applications web (WAAP) qui nécessitent une puissance de calcul importante pour traiter et sécuriser les données. Cette préoccupation est particulièrement vive concernant la prévisibilité des coûts et la planification des capacités. Le profil de performances ou les contraintes de capacités pour une instance WAF ou WAAP spécifique peuvent nécessiter des modifications pour s'adapter au type de trafic. L'infrastructure de licence et l'automatisation doivent s'y adapter dans un environnement très riche en données. Quelques très gros clients ont transféré certaines applications du cloud mutualisé à un déploiement en cloud privé en raison des pics et de la variabilité des coûts avec les modèles de tarification à la consommation et de PAYG pour le trafic.
Parmi les autres préoccupations fréquentes, même si le personnel de sécurité est fréquemment chargé de protéger des environnements cloud, il est fréquent qu'il n'ait pas son mot à dire sur le choix ou la gestion de ces environnements cloud. De nombreuses entreprises ne déploient pas qu'un seul environnement cloud, mais plusieurs en parallèle, ce qui complexifie encore davantage la tâche de ceux chargés d'assurer la sécurité dans le cloud. Il est très difficile d'assurer la protection de plusieurs plateformes en cloud, chacune présentant ses propres capacités et API, une gestion et des rapports propres, avec un niveau homogène de sécurité. Selon une étude de Radware, 92 % des entreprises ont déclaré que les décisions concernant les plateformes cloud sont prises par des décideurs n'appartenant pas au personnel de sécurité. En l'absence d'une expertise en sécurité ou en matière de clouds en interne, il peut être judicieux de passer par une offre de service géré.
Les coûts supplémentaires correspondant aux licences lors de la transition au cloud représentent une préoccupation constante. De nos jours, une entreprise doit payer deux fois pour les capacités : une première fois pour les centres de données privés et une deuxième pour les nouvelles capacités en cloud. Dans ce cas, un modèle BYOL est intéressant, avec un type de licence permettant de récupérer la capacité de licences déjà achetée et provisionnée dans un environnement et de la transférer dans un nouvel environnement.
La tarification WAF et WAAP de Radware répond aux préoccupations ci-dessus en proposant un prix fixe aux clients qui préfèrent payer en une seule fois, dès le départ, avec des frais d'assistance réduits par la suite. Pour les clients qui préfèrent éviter un coût initial important, il existe un modèle d'abonnement annuel. Pour les clients n'ayant pas d'expertise en interne, Radware propose également une offre WAF/WAAP entièrement gérée. Enfin, pour répondre aux préoccupations concernant les coûts lors de la transition au cloud ou pour les grandes sociétés et fournisseurs de services qui hébergent de nombreux clients et souhaitent limiter les coûts pour leur entreprise, Radware propose également un modèle de tarification par contrat de licence global flexible (GEL). Les entreprises peuvent ainsi obtenir et payer pour des capacités de licences globales tout en distribuant cette capacité entre leurs clients.
D'autre part, les tests d'intrusion sont utilisés pour identifier les processus, les paramètres de sécurité ou autres faiblesses qu'un intervenant malveillant pourrait exploiter activement. L'utilisation de mots de passe non cryptés, la réutilisation de mots de passe et le stockage non sécurisé des identifiants utilisateurs sont quelques exemples de points faibles qu'un test d'intrusion permet de découvrir. Pour fournir une évaluation objective, les tests d'intrusion doivent être réalisés par des prestataires tiers.
Pour tester la qualité de la protection, qu'il s'agisse de correctifs internes apportés au code ou de celle du WAF, une analyse des failles et des tests d'intrusion doivent être effectuées avant et après la correction du code et/ou le déploiement du WAF.
| |
Radware |
WAF dans un CDN |
WAF natif dans le cloud mutualisé |
WAAP sous forme de logiciel |
| Licence perpétuelle |
Oui |
Oui |
Non |
Oui |
| Prix de l'abonnement |
Oui |
Oui |
Oui |
Oui |
| Compatibilité avec des plateformes hybrides (multicloud, physique/SDDC) |
Oui |
Oui |
Non |
Oui |
| BYOL |
Oui |
Oui |
Non |
Oui |
| SPLA/ELA |
Oui |
Oui |
Non |
Oui |
| Récupérer la capacité et transférer à un autre déploiement |
Oui |
Non |
Non |
Peut-être |
| Offre de service géré |
Oui |
Oui |
Non |
Peut-être (tiers) |
Ressources supplémentaires