Назад до блогу Jedna licencja na całą sieć. Jak liczymy koszt ochrony anty-DDoS w LiveShield

Jedna licencja na całą sieć. Jak liczymy koszt ochrony anty-DDoS w LiveShield

Cennik, do którego potrzebny jest arkusz kalkulacyjny

Typowy model licencjonowania systemów anty-DDoS na rynku wygląda mniej więcej tak: osobna licencja na komponent odpowiedzialny za detekcję, osobna na komponent filtrujący. Jeśli sieć ma kilka routerów brzegowych eksportujących dane o ruchu, każdy z nich może wymagać własnej licencji na detekcję. Filtracja bywa rozliczana per interfejs sieciowy. Chcesz przetwarzać pakiety wydajnie, z pominięciem stosu systemu operacyjnego? Obsługa DPDK to często kolejna, oddzielnie płatna pozycja na fakturze.

Na tym lista się nie kończy. Zdarzają się jednorazowe opłaty aktywacyjne. Panel webowy do podglądu ruchu bywa dodatkiem rozliczanym per użytkownik - każda osoba w NOC, która ma widzieć wykresy, to kolejna pozycja w miesięcznym rachunku. Wsparcie techniczne potrafi być limitowane liczbą zgłoszeń w miesiącu, zależnie od wykupionego pakietu.

Efekt jest taki, że odpowiedź na proste pytanie "ile będzie kosztować ochrona naszej sieci" wymaga zbudowania modelu: ile mamy routerów, ile interfejsów, ile lokalizacji, ilu administratorów będzie korzystać z panelu, czy potrzebujemy DPDK. A gdy sieć rośnie - dochodzi nowy węzeł, nowy router, nowa serwerownia - koszt licencji rośnie skokowo, mimo że ruch mógł zmienić się nieznacznie.

Jest jeszcze jeden szczegół, na który warto zwrócić uwagę: sposób liczenia ruchu. Część rozwiązań na rynku licencjonuje sumę ruchu przychodzącego i wychodzącego. Dla operatora ISP, który ma naturalną asymetrię ruchu, oznacza to płacenie za pasmo, które z perspektywy ochrony anty-DDoS nie ma znaczenia - ataki wolumetryczne przychodzą z zewnątrz.


Jak to rozwiązaliśmy w LiveShield?

Projektując model licencyjny LiveShield przyjęliśmy jedno założenie: operator nie powinien się zastanawiać ile będzie go kosztowało bezpieczeństwo.
Cena licencji uzależniliśmy od jednego czynnika - wolumenu ruchu przychodzącego do sieci, wyrażonego w Gbps. To wszystko.

Co z tego wynika w praktyce:

Nie ma znaczenia, ile serwerów uruchomisz. Moduły LiveShield (Manager, Analyser, Worker) możesz rozmieścić na jednej maszynie albo rozdzielić na kilka - licencja tego nie rozróżnia. Worker może stać w każdej lokalizacji, w której masz ruch, albo jeden Worker może obsługiwać całość.

Nie ma znaczenia, ile masz lokalizacji. Sieć rozpięta na dwie, trzy czy pięć serwerowni to wciąż jedna licencja. Na potrzeby wyceny sumujemy ruch przychodzący ze wszystkich lokalizacji i to jest jedyna liczba, która nas interesuje.

Nie ma znaczenia, ile masz routerów brzegowych ani interfejsów. Dokładamy kolejny punkt styku z BGP, kolejny port - koszt licencji się nie zmienia.

Liczymy wyłącznie ruch przychodzący. Nie sumujemy in + out. Ruch wychodzący z Twojej sieci nie podnosi ceny licencji.

liveshield-09-cytat-zdjecie.png


Pełna funkcjonalność w każdej licencji

Drugim filarem tego modelu jest brak wariantów funkcjonalnych. Nie ma wersji "basic" i "enterprise", nie ma modułów dokupowanych osobno. Każda licencja LiveShield, niezależnie od wolumenu ruchu, zawiera komplet:

  • detekcję ataków w oparciu o analizę pełnej kopii ruchu (mirror), z pierwszą reakcją w czasie nawet poniżej sekundy
  • przetwarzanie pakietów z wykorzystaniem DPDK - w standardzie, bez dodatkowej licencji
  • mitygację przez BGP FlowSpec, z automatycznym generowaniem i dystrybucją reguł do routerów brzegowych
  • BGP Blackholing (RTBH), w tym blackholing selektywny
  • zaawansowaną filtrację z dynamicznym uczeniem wzorca ataku dla ruchu TCP i UDP
  • wykrywanie ataków rozproszonych typu carpet bombing, z agregacją per podsieć
  • event pipelines - powiadomienia e-mail i webhooki, konfigurowalne osobno dla różnych prefiksów lub grup klientów
  • raportowanie wspierające obowiązki sprawozdawcze wynikające z KSC/NIS2
  • panel zarządzania bez limitu użytkowników
  • pełne wsparcie IPv4 i IPv6
Do tego aktualizacje oprogramowania w okresie licencji.


Sprzęt też nie komplikuje rachunku

LiveShield działa on-premise, na standardowych serwerach x86 z kartami sieciowymi kompatybilnymi z DPDK. Nie wymaga dedykowanych appliance'ów ani zamkniętego sprzętu. To oznacza, że koszt infrastruktury jest przewidywalny i pozostaje w pełni pod kontrolą operatora - a licencja LiveShield jest od niego całkowicie niezależna. Możesz wymienić serwer, dołożyć drugi, przenieść Workera do innej lokalizacji - wolumen ruchu przychodzącego to nadal jedyna zmienna w cenie.

Po co to wszystko?

Model "jedna licencja - jeden parametr - pełna funkcjonalność" nie jest chwytem marketingowym, tylko konsekwencją tego, jak myślimy o produkcie. Ochrona anty-DDoS ma działać w całej sieci operatora, a nie tylko tam, gdzie starczyło budżetu na kolejną licencję komponentu. Sztuczne dzielenie funkcjonalności na warianty prowadzi do sytuacji, w której operator ma detekcję, ale mitygację musi dokupić - a atak nie będzie czekał na zamknięcie procesu zakupowego.

Jeśli chcesz sprawdzić, jak ten model przełożyłby się na Twoją sieć, wystarczy jedna informacja:  ruch przychodzący w piku. Napisz do nas na office@liveshield.net albo skorzystaj z formularza na liveshield.net. 
Możesz też samodzielnie obejrzeć panel w wersji demo: https://demo.liveshield.net