Bonjour à tous - nous sommes une entreprise d’environ 5000 utilisateurs et nous cherchons une solution pour nous accompagner dans une récente acquisition. Nous reprenons une unité commerciale qui a été cédée d’une autre organisation, donc c’est un peu différent des acquisitions classiques.
Quelqu’un a-t-il de l’expérience avec le déploiement de l’une ou l’autre solution ? Zscaler met en avant sa capacité à aider lors de l’acquisition d’entreprises plus que PAN ne le fait. Par ailleurs, nous utilisons actuellement des pare-feux PAN et j’espère pouvoir réutiliser les mêmes politiques pour Prisma, ce qui faciliterait l’intégration avec Prisma par rapport à une solution nouvelle comme Zscaler.
Un aperçu du coût serait également très apprécié. Merci !
Si vous utilisez des pare-feux PANW, Prisma est évident.
Zscaler fait partager leur infrastructure entre clients. Ainsi, l’IP publique peut changer quotidiennement. Cela pourrait poser problème avec les applications SaaS.
De plus, avec Prisma Access, vous pouvez gérer les politiques pour les applications privées et Internet avec la même pile de règles. Zscaler vous imposera d’avoir ZPA et ZIA.
En tant que personne ayant réalisé plusieurs projets swg/casb/ztna, voici mon avis. La raison pour laquelle beaucoup de personnes ici ont une réaction viscérale à ce produit est que ce projet est difficile. C’est vraiment difficile.
Vous aurez besoin du soutien et de la coopération de nombreuses équipes pour bien faire les choses. Vous devrez refactoriser des applications, comprendre comment certaines fonctionnent, et comprendre comment vos utilisateurs travaillent.
Ce n’est pas impossible et cela en vaut la peine, mais selon la maturité de votre organisation, ce sera un combat ardu.
Nous utilisons Prisma pour plus de 10k utilisateurs (à travers différents clients). L’intégration et la gestion des règles avec Panorama sont élégantes et compatibles avec les grandes boîtes PA sur site.
“En général” Prisma est correct et cohérent, mais nous avons rencontré certains problèmes, notamment des latences pour certains protocoles qui ne peuvent toujours pas être expliqués (l’affaire est encore en cours)
Le déploiement est “assez” simple une fois que vous comprenez les étapes.
Revendeur/PS ici.. Un client a utilisé Zscaler PS pour le déploiement et c’était assez coûteux.
Un déploiement Prisma géré par Panorama pourrait faire l’affaire. Nous l’avons fait et nous avons dû intervenir sur le déploiement d’un autre client récemment. Le prix dépendra du nombre d’utilisateurs (tarification par utilisateur).
La plupart des gens ont voté pour Prisma et je recommande aussi. La seule chose à ajouter à propos de Zscaler ZPA est qu’il n’effectue aucune inspection des menaces. Après que l’utilisateur et l’appareil soient validés, c’est essentiellement un accès direct (à l’exception de quelques vérifications de vulnérabilités HTTP). Les applications sont aussi définies au niveau couche 4 (IP et port), et il ne supporte pas le trafic initié par le serveur ou le centre de données.
Si vous n’utilisez pas de pare-feux Palo, évitez Prisma comme la peste. Je n’ai jamais regretté une solution SaaS plus qu’avec Prisma Access. Leur nouvelle interface est une horreur.
Regardez le connecteur ZTNA de Palo. C’est un produit qu’ils ont développé pour concurrencer le connecteur Zscaler (app). J’ai utilisé le connecteur d’app Zscaler pour établir rapidement une connectivité avec un site acquis et le chevauchement IP n’est pas un souci. Le connecteur de Palo fonctionne à peu près de la même manière d’après ce que je vois.
Je n’ai pas travaillé avec Prisma mais avec Zscaler. Évitez Zscaler, nous avions beaucoup de petits problèmes et c’est super cher. J’ai travaillé avec de nombreux appareils PAN et je pencherais plutôt pour Prisma que pour Zscaler
Modifié parce que cela ressemblait à une note écrite par un enfant de deux ans.
Comme tout, chacun a ses avantages et ses inconvénients. Prisma est beaucoup plus cher de mon expérience.
Zscaler est plus raffiné et bien supérieur à Prisma en termes de reporting.
La gestion cloud est nulle, mais s’améliore doucement.
Palo ne vous laissera pas déployer Prisma à moins d’être partenaire et d’avoir un PCNSE, de suivre la formation Prisma (Edu-318 je pense) et d’acheter le service d’assistance à la déploiement.
Vous aurez probablement besoin de politiques différentes pour une organisation acquise. Ont-ils besoin d’accéder à toutes les applications internes ? Ces pare-feux sont-ils pour des plages publiques externes ou pour la segmentation interne ? Je vois que la plupart des clients ont peu de politiques en commun entre pare-feux et VPN, et beaucoup ont très peu de politiques limitant l’accès VPN par utilisateur.
Si vous comparez les solutions, vous obtiendrez probablement de meilleurs prix.
Si vous utilisez déjà Palo, Prisma est évident. C’est coûteux mais logique pour une base utilisateur importante. C’est compliqué à configurer avec quelques défauts selon moi mais globalement correct.
Merci pour la réponse. Pouvons-nous réutiliser les mêmes politiques que celles des pare-feux ? Devons-nous devoir les mettre à jour lors du passage à l’architecture SASE/Zéro Trust ? Il faut aussi préciser que notre architecture est assez traditionnelle, avec environ 100 sites, et que tout le trafic est routé vers notre data center principal… MPLS devient coûteux et le VPN n’est pas aimé dans notre organisation.
Le plan serait d’avoir ZIA et ZPA à terme, cela ne poserait donc pas de problème pour ce début d’intégration lors du M&A.
C’est la seule réponse vraiment utile dans ce fil. Surtout pour comprendre comment fonctionnent réellement les applications - de bout en bout. À moins que vous utilisiez déjà des politiques de firewall très micro-segmentées, votre approche pour créer des politiques sur ces applications n’a probablement pas préparé pour ce qu’il faut pour développer des politiques qui satisfont à la fois vos objectifs de gestion des risques et d’expérience utilisateur.