Защита веб-приложений

Игорь Тюкачев

Руководитель отдела развития бизнеса продуктов ИБ компании Axoft

Во-первых, стоит посчитать TCO (total cost of ownership) – эффективность по затратам. Во-вторых, нужно заказывать пентесты для оценки уязвимости защиты веб-приложений. Оценивая эффективность поставщиков услуг/продуктов, нужно ответить на вопросы: «Что влияет на ценовую политику услуг и средств защиты веб-приложений? В каких случаях необходимо наличие специалистов по средствам защиты веб-приложений в штате заказчика?» Когда на стороне заказчика есть критичное веб-приложение, которое необходимо защищать, или недопустима утечка данных, которые есть в веб приложении, – это повод иметь в штате профильного специалиста. Даже в случае с облачным WAF+Anti-DDoS.

Н Ч

Никита Черняков

Руководитель отдела развития облачных технологий и сервисов компании Axoft

Каждая организация, делая выбор между вариантом размещения WAF в собственной инфраструктуре (как частный случай: размещение виртуальной машины в инфраструктуре Cloud-провайдера (IaaS)) или получая WAF как управляемый сервис (SaaS), должна ответить себе на несколько вопросов. Главный из которых, на мой взгляд – кто берет на себя задачи по внедрению, настройке и администрированию. Если заказчик не обладает большим набором компетенций, ресурсов, персонала для самостоятельного решения вопросов администрирования WAF, предпочтительнее будет получение данного сервиса по модели SaaS (когда все эти вопросы берет на себя провайдер). В обратном случае – когда организация имеет штат опытных сотрудников, которые умеют работать с WAF, – скорее всего, у такой компании будут повышенные требования к гибкости и глубине настроек, и тогда логично использовать on-prem.