Giải Mã Các Gói Subscription Của tường lửa Palo Alto Networks và Cách Mua License Tối Ưu Cho Doanh Nghiệp
Nhiều doanh nghiệp sau khi đầu tư một khoản không nhỏ cho firewall Palo Alto Networks lại rơi vào một trong hai tình huống trớ trêu: mua thiếu license khiến các tính năng bảo mật quan trọng bị “khóa”, hoặc mua dư license cho những dịch vụ không bao giờ được cấu hình và sử dụng. Cả hai đều là lãng phí — một bên lãng phí về rủi ro an ninh, một bên lãng phí về ngân sách.
Bài viết này sẽ giúp bạn hiểu rõ từng gói subscription cốt lõi của Palo Alto Networks, mối quan hệ phụ thuộc giữa chúng, và cách xây dựng chiến lược mua license tối ưu cho quy mô doanh nghiệp của mình.
- Bản đồ các gói Cloud-Delivered Security Services (CDSS)
Palo Alto Networks gọi nhóm các subscription bảo mật này là CDSS – Cloud-Delivered Security Services. Đây là các dịch vụ dựa trên đám mây, tích hợp trực tiếp với NGFW (và cả Prisma Access), chia sẻ chung dữ liệu threat intelligence để bảo vệ toàn diện trước các mối đe dọa đã biết, chưa biết và các kỹ thuật tấn công né tránh tinh vi.
1.1. Threat Prevention / Advanced Threat Prevention – “xương sống” của hệ thống
Đây là subscription nền tảng nhất, đóng vai trò lõi IPS (Intrusion Prevention System) của firewall.
- Threat Prevention (tiêu chuẩn): cung cấp các chức năng IPS cốt lõi như chặn khai thác lỗ hổng đã biết (buffer overflow, thực thi mã từ xa…) và cho phép firewall tự động nhập các danh sách chặn IP/Domain/URL (External Dynamic Lists) từ Palo Alto Networks hoặc bên thứ ba. Lưu ý quan trọng: gói Threat Prevention tiêu chuẩn hiện đã ngừng bán cho khách hàng mới (EOS – End of Sale). Toàn bộ tính năng của nó đã được gộp vào gói Advanced Threat Prevention.
- Advanced Threat Prevention: kế thừa toàn bộ Threat Prevention, đồng thời bổ sung khả năng phân tích traffic theo thời gian thực bằng inline deep learning — khác với sandbox truyền thống vốn chỉ phát hiện mối đe dọa sau khi nó đã lọt vào mạng, Advanced Threat Prevention có thể chặn các lỗ hổng zero-day ngay từ gói tin đầu tiên. Gói này cũng tăng cường khả năng phát hiện và ngăn chặn traffic điều khiển từ xa (C2) mang tính né tránh cao.
Điểm doanh nghiệp cần lưu ý: Advanced Threat Prevention gần như là điều kiện tiên quyết để mở khóa nhiều dịch vụ khác, đặc biệt là DNS Security.
1.2. DNS Security / Advanced DNS Security
Đây là phần nhiều doanh nghiệp hiểu sai và dẫn đến mua thiếu license: DNS Security không thể hoạt động độc lập. Để dùng được dịch vụ DNS Security (dù là bản cơ bản), bắt buộc phải có đồng thời:
- Một license Threat Prevention hoặc Advanced Threat Prevention đang hoạt động, và
- Một license DNS Security hoặc Advanced DNS Security.
Lý do là vì các dịch vụ DNS Security dùng chung nền tảng kỹ thuật với hệ thống Threat Prevention, nên không thể tách rời khi vận hành trên NGFW.
- DNS Security (cơ bản): cho phép firewall sinkhole các truy vấn DNS dựa trên danh sách tên miền độc hại do Palo Alto Networks tổng hợp, kết hợp phân tích dự đoán bằng machine learning để phát hiện các kỹ thuật như DGA (tên miền được tạo tự động) hay DNS tunneling.
- Advanced DNS Security: bổ sung khả năng dùng Precision AI để phân tích các thay đổi trong phản hồi DNS theo thời gian thực, giúp phát hiện các hình thức DNS hijacking tinh vi hơn.
- Advanced DNS Security Resolver: đây là hướng đi mới nhất — một dịch vụ DNS resolver vận hành hoàn toàn trên cloud, cho phép doanh nghiệp chuyển tiếp toàn bộ truy vấn DNS ra internet đến resolver an toàn do Palo Alto Networks quản lý. Điểm khác biệt là dịch vụ này không đòi hỏi phải có Threat Prevention làm nền, vì nó chuyển DNS Security từ một tính năng gắn liền với firewall thành một dịch vụ độc lập theo kiến trúc riêng.
1.3. Advanced WildFire: chống malware & zero-day
Advanced WildFire là engine phòng chống malware dựa trên cloud lớn nhất của Palo Alto Networks, sử dụng các mô hình machine learning đã được cấp bằng sáng chế để phát hiện các mối đe dọa né tránh cao, đồng thời phân phối chữ ký bảo vệ mới đến toàn bộ NGFW trên toàn cầu chỉ trong vài giây sau khi phát hiện.
1.4. Advanced URL Filtering: chặn web độc hại theo thời gian thực
Kết hợp cơ sở dữ liệu URL độc hại của Palo Alto Networks với engine phân tích web thời gian thực đầu tiên trong ngành, giúp tự động phát hiện và ngăn chặn các cuộc tấn công web mới, có chủ đích ngay khi chúng xuất hiện, thay vì phải chờ chữ ký được cập nhật theo lô.
1.5. Các gói mở rộng khác

- Cách mua License sao cho tối ưu ngân sách doanh nghiệp
Nguyên tắc 1: Ánh xạ subscription theo rủi ro thực tế, không mua theo trào lưu
Sai lầm phổ biến nhất là mặc định chọn một gói bundle “cho chắc” mà không có mô hình rủi ro rõ ràng. Cách làm đúng là gắn từng subscription (Threat Prevention, Advanced URL Filtering, Advanced WildFire…) với các rủi ro cụ thể mà doanh nghiệp đang đối mặt, thay vì mua tất cả “cho an tâm”. Việc mặc định chọn một bundle duy nhất mà thiếu mô hình rủi ro rõ ràng thường dẫn đến chi vượt ngân sách, đồng thời tạo ra cảm giác an toàn giả tạo.
Nguyên tắc 2: Tận dụng các gói bundle có sẵn để tiết kiệm
Palo Alto Networks có sẵn gói kết hợp nhiều subscription với giá tốt hơn mua lẻ, như:
- Precision AI Pro Bundle gồm Advanced Threat Prevention, Advanced WildFire, Advanced URL Filtering, Advanced DNS Security, Advanced SD-WAN và Device Security, phù hợp doanh nghiệp cần bảo vệ toàn diện, đa lớp, nhiều chi nhánh.
Nguyên tắc 3: Dùng thử trước khi cam kết ngân sách dài hạn
Doanh nghiệp có thể yêu cầu license đánh giá (evaluation license) cho các dịch vụ như Advanced Threat Prevention hoặc IoT Security. Các license dùng thử có giới hạn thời gian và không nhằm mục đích sử dụng cho môi trường production, nhưng là công cụ hữu ích để ra quyết định mua sắm dựa trên dữ liệu thực tế thay vì phỏng đoán.
Nguyên tắc 4: Đồng bộ ngày gia hạn (Co-term)
Nên đồng bộ hóa ngày gia hạn subscription trên toàn bộ firewall và Panorama, gộp thành một chu kỳ mua sắm hằng năm duy nhất. Điều này vừa đơn giản hóa quy trình đấu thầu/mua sắm, vừa giảm rủi ro một thiết bị nào đó bị gián đoạn license do sơ suất theo dõi lệch ngày.
Nguyên tắc 5: Đồng bộ license giữa các thiết bị trong cụm HA
Một lưu ý kỹ thuật hay bị bỏ sót khi lập ngân sách: mỗi firewall trong một cặp High Availability (HA) cần có license giống hệt nhau. Bỏ sót điều này khi lập kế hoạch mua sắm dễ dẫn đến việc phải mua bổ sung gấp trong tình huống bị động.
3. Gợi ý lựa chọn license theo phân vùng mạng

- Câu hỏi thường gặp (FAQ)
Mua Threat Prevention có tự động có DNS Security không?
Không. Đây là hai license riêng biệt phải mua tách nhau. Threat Prevention (hoặc Advanced Threat Prevention) chỉ là điều kiện bắt buộc phải có để DNS Security hoạt động được, chứ không tự động bao gồm DNS Security.
License Threat Prevention “EOS” là gì, tôi có bị ảnh hưởng không?
EOS (End of Sale) nghĩa là Palo Alto Networks ngừng bán gói Threat Prevention tiêu chuẩn cho khách hàng mới. Nếu bạn đang có license này, vẫn có thể tiếp tục sử dụng, nhưng khi cần mua mới hoặc mở rộng, bạn sẽ cần chuyển sang Advanced Threat Prevention, gói này đã bao gồm toàn bộ tính năng của bản cũ.
Có bắt buộc phải mua bundle không, hay có thể mua lẻ từng subscription?
Có thể mua lẻ. Tuy nhiên nếu nhu cầu của doanh nghiệp từ 3 subscription trở lên, các gói bundle như Professional Bundle hay Precision AI Pro Bundle thường tối ưu chi phí hơn đáng kể so với mua rời từng license.
- Kết luận
Việc lựa chọn subscription cho Palo Alto Networks không nên là quyết định “mua tất cả cho chắc” hay “mua gói rẻ nhất cho đủ dùng”, mà cần bắt đầu từ việc hiểu rõ mối quan hệ phụ thuộc giữa các license (đặc biệt là cặp Threat Prevention – DNS Security), sau đó ánh xạ nhu cầu thực tế của doanh nghiệp vào đúng combo subscription và hình thức mua (lẻ hay bundle).
Nếu bạn chưa chắc chắn hệ thống hiện tại của mình đang thiếu hay thừa license nào, một buổi audit license miễn phí sẽ giúp bạn có bức tranh rõ ràng trước khi ra quyết định gia hạn hoặc mở rộng.

