web-dev-qa-db-ja.com

単一のベンダーまたは複数のベンダーを選択する方が良いですか

最近、議論があり、ベンダーの選択に関する議論が続いた。何人かの人々は、私たちのすべてのニーズに対して単一のセキュリティベンダーを選択する方が賢明で簡単であると考えていました(たとえば、McAfeeはさまざまな製品を多数提供しているため、McAfeeと言いましょう(異なる会社を購入するだけではないと想像してみましょう)キットのブランドを変更します)。しかし、私は常に、複数の異なるベンダーのために購入し、修正しようとしている仕事に必要なデバイスを正確に購入することが、物事を行うためのより良い方法であると常に考えてきました。

明らかに単一のベンダーを使用している場合は集中管理が可能ですが、同時に、その単一のコンソールがすべてのセキュリティデバイスを制御する可能性があります。

セキュリティの観点から、複数のベンダーと単一の「パートナー」ベンダーを選択することの長所と短所は何ですか?

defensevendor-selection
5
NULLZ

順不同で頭の上から:

単一ベンダー:

  • 簡単かつ迅速な関係
  • (通常)ブランド変更されたキットでない限り、異なる製品のより良い統合
  • 製品AとBが目と目で分からない場合、「見返りを渡す」方が簡単です。これらはどちらも同じベンダーの責任です。

複数のベンダー:

  • ベンダーロックインのリスクが少ない
  • 競争の激化、したがって低価格の可能性
  • ライセンスと連絡先を追跡するのが難しい
  • 異なる製品間で作業が重複するリスク(会社Aには1、2、3を実行する製品があり、会社Bには別の3、4、5を実行する製品があります。タスク3は場合によっては(ウイルス対策など)競合につながることもあります)。
  • 各製品をニーズに合わせて正確に調整できる可能性が高まります

ご覧のように、複数ベンダーのソリューションにはより多くの「短所」があるように見えますが、これらのポイントは数えるだけでなく、特定の状況ごとに重み付けする必要があります。また、ほとんどのポイントは架空のものであり、それらはrisksまたはopportunitiesであり、それらが発生するかどうかはベンダーと状況に依存します。

どちらのオプションも推奨できないと思いますアプリオリ

メンテナンスの工数とコストは、ベンダーの数にほぼ比例し、他のすべてのものは同じですが、節約(価格、リソース、メンテナンス、生産性)はパーセントで表されるため、インストールの数に比例します。そして会社の規模。

活用する労働力と手順があり、予算が大きい大企業では、おそらく複数ベンダーのオプションの方が優れている可能性があります。セキュリティに特化した真の役割を持たない小規模な企業は、単一のオファーについて交渉し、来年の評価までそれを忘れる方がおそらく便利でしょう。

セキュリティの観点から、本当に重要なのは製品エコシステムであると私は信じています。製品はreally特定のベンダーからのものです(ブランド変更された製品ではなく、おそらく、オリジナルを生き残ったスケルトンクルーによってのみ維持されます)会社の買収)、それらがどのようにサポートされているか、およびそれらの製品に対するベンダーのコミットメント:最も優れているのは、「フラッグシップ」または「開発された」製品だけでなく、すべての製品に対する強力なサポートを保証する会社であることです。

私の経験では、「取得した」製品は最初のバージョンのオリジナルに匹敵し、次のリリースではかなり悪化します(たとえば、買収会社が製品を独自の形に変形しようとしたとき、たとえばUIの変更や構成ファイルの移動など) XMLなどに)、その後、プログラミングチームが一緒に行動するにつれて、着実に改善します(または捨てられます)。

実際に違いをもたらすのは(ただし、これは私自身の限られた経験です)following製品に費やすことができる時間(および予算)は、製品の更新、セキュリティアラートの確認、フォーラムの閲覧、そしておそらく実行です。一部はあなた自身でテストします。 believesが製品に含まれているために、ベンダーが製品をどれだけ出荷するか。

通常、連絡先ページを確認し、製品と更新履歴を検査するだけで、製品が享受しているコミットメントのレベルを評価できます。

通常、セキュリティ製品の「生物多様性」については、多かれ少なかれ次のように要約されます。

  • 同じベンダーのいくつかの製品およびコードベースは、同じ脆弱性を共有する可能性があります。
  • 異なる製品には「セキュリティの重複」がある場合があるため、一方によって保護されていないものが他方によって傍受されます。

私は両方のポイントが論争に近いと信じています(ベンダーのattitudeから派生している場合を除いて):

  • 共通のコードを共有するいくつかの製品そのコードはより強く、より長く、より良くテストされます、そしてそこにあるバグは一度に修正されます。同じアルゴリズムの異なるimplementationsconceptualの脆弱性を共有することで、修正が段階的になり、いくつかの脆弱性ウィンドウが発生する可能性があります。
  • 「オーバーラップ」を持つ2つの製品は、競合製品または労力の重複と同じです。オーバーラップが必要な場合、意図的にオーバーラップを制御できるように2つの製品を購入します-偶然の複製に頼るのではなく、その範囲は完全には知られていない可能性もあります(同じベンダーの2つの製品が2つの異なる焦点があります。オーバーラップはおそらく両方の「周辺視野」領域にあります。無料で提供されるものであれば、extraを楽しむことができますが、-rely上に?もう一度考えてください)。

ここでも、これらの要因はベンダーごとに評価され、会社のポリシー、予算、ニーズに照らして検討される必要があります。

5
LSerni

マルチベンダーアプローチを選択する方が間違いなく優れています。単一ベンダーのソリューションは、多くの領域で不足する傾向があります。彼らは良い単一の製品の力に乗って、あなたをがらくたより売る。ほとんどの単一ベンダーは他の企業も買収しているため、単一の管理プラットフォームでのコスト削減はありません。この記事は、この観点を要約するのに素晴らしい仕事をしました: http://www.drchaos.com/the-great-tragedy-of-single-vendor-solutions-why-best-of-品種はクラス最高/

0
Eric Weiss

私は世界最大の企業の1つでベンダーとして働いています。そして、会社が作業を分割する方法(セキュリティ)は、1つの部品に指定された複数のベンダーに提供したようなものです。
Webサーバーに関連するタスク(Qualysおよびその他のスキャン)を1つのベンダーに提供したように。
別の人へのWebアプリケーションレビュー。

そして、これはあなたの責任を分割する良い方法だと本当に感じています。

0
Novice User

製品を選択するとき、運用が単純化されている場合、総所有コストは単一のベンダーに傾く可能性がありますが、各ベンダーには長所と短所があるため、複数のベンダーがニーズを最も満たす可能性があります。

あなたが指摘するように、これらの製品の安定版は別々に開発されたいくつかのソリューションからまとめられているため、1つのベンダーを選択しても、シームレスな統合は保証されません。

0
DodgyG33za