通訊服務提供商的網路安全
高效能網路流量
通訊服務提供商 (CSP) 在網路安全方面面臨艱難挑戰。電信網路遍布全球且複雜多樣,涵蓋內部資料中心、公共雲端和私人雲端部署以及實體零售場所等。這些場所通常包括連線到企業廣域網路 (WAN) 的訪客無線網路和物聯網 (IoT) 裝置。
對 CSP 而言,網路安全至關重要。所有客戶流量都要經過組織的資料中心,使得這些資料中心成為了首要攻擊目標。實體零售場所的銷售點 (POS) 系統也經常遭到網路犯罪者攻擊。CSP 不僅要根據適用標準(例如支付卡行業資料安全標準 (PCI DSS) 和即將實施的 PCI 軟體安全框架 (SSF))來保護委託給他們的敏感資料,還要防範以破壞其客戶服務為目的的攻擊。為此,需要集中掌握與全面防護,避免對網路效能與客戶體驗造成負面影響。
通訊服務提供商 (CSP) 的總部網路對其營運至關重要,並且包含了大量敏感資訊。從客戶收集的支付卡和帳單資訊會流經並儲存在此網路上。客戶的流量會透過企業資料中心進行路由和處理,為能夠獲取存取權限的攻擊者提供了大量有價值的資料。企業必須能夠保護所有資料,並保持对適用法規的遵從。
然而,CSP 的網路威脅風險並不限於資料竊取。分散式阻斷服務 (DDoS) 攻擊或勒索軟體感染可能會導致關鍵服務中斷。如此一來,已入侵企業網路的攻擊者便可利用和濫用網路上的聯網監控裝置。
在數位創新推動下,許多 CSP 對其 WAN 進行了擴展,除現有的企業資料中心之外,還引入了公共雲端和私人雲端。保護這類異質網路環境需要一套完全整合的綜合網路安全解決方案。使用 FortiManager、FortiSIEM和 FortiAnalyzer,安全團隊可實現對網路的集中可視性和控制,並輕鬆完成合規性報告。FortiClient 和 FortiEDR(端點偵測和回應)為員工工作站和銷售點 (POS) 系統提供整合式進階端點安全解決方案。FortiWeb 和 FortiNAC 透過 FortiAuthenticator 簡化身分管理,為連線到網路的物聯網 (IoT) 裝置提供網站安全以及自動識別和漏洞掃描功能。
Fortinet 解決方案幫助 CSP 減輕了複雜、分散式網路的防護負擔,其功能包括:
支付卡行業資料安全標準 (PCI DSS) 是通訊服務提供商 (CSP) 關注的主要問題。由於零售商店遍布全國各地,消費者支付卡資料的追蹤和保護非常複雜。在即將發佈的 PCI 軟體安全框架 (SSF) 發佈後,這些要求將得到更強力的執行,實現並保持合規性也會變得越來越難。
要實現並保持合規性,需要一種整合且有目的性的合規方法。許多組織為了達到法規要求專門實施了安全控制措施。結果往往是採用了一堆沒有底層結構的點安全解決方案,但實際安全效益卻很少或根本沒有。
隨著公司零售場所網路不斷擴展,PCI 要求日益複雜,保持和展示監管合規性所需的網路可視性和集中管理變得越來越難實現。隨著新裝置加入網路,公司的數位足跡擴展到雲端,數位創新計劃增加了 IT 和安全團隊的負擔。隨著雲端運算的發展,這進一步加劇了這種情況,對於在雲端基礎設施上處理與儲存的受保護資料,組織必須提供適當的存取保護和控制,而他們並未完全掌控這些資料。
使用 Fortinet Security Fabric,CSP 可以實現 PCI DSS/SSF 和其他合規領域所需的集中可視性和控制。Security Fabric 包括 12 個 Fabric Connector 和超過 135 個 Fabric 應用程式開發介面 (API),可立即與第三方解決方案整合。開放式 API 生態系統,與 30 多家威脅情報共享組織合作,以及與 100 多種第三方供應商產品的整合,透過這些可以實現任何安全解決方案的輕鬆整合與集中管理。
Fortinet Security Fabric 提供的安全整合為 CSP 提供了各種以合規性為中心的解決方案,例如:
通訊服務提供商 (CSP) 分支機構需要快速、可靠和可擴展的網路連線能力。通常,零售場所必須為客戶進行疑難排解和維修,因此他們必須能夠快速存取客戶資料,並能執行需要穩定、可靠網路連線的診斷測試。
透過傳統的多協定標籤交換 (MPLS) 線路部署這種連線解決方案不僅成本高昂,還缺少彈性。相比之下,軟體定義的廣域網路 (SD-WAN) 可提供 MPLS 的可靠性保證,但要透過寬頻連線運作。透過最佳化多個傳輸媒體的使用,SD-WAN 提高了連線速度,並降低了總體擁有成本 (TCO)。網路基礎設施最佳化可改善網路效能,並減少企業資料中心的負載,進而提升營運效率。這使 CSP 能夠滿足其服務等級協定 (SLA),同時最大限度地減少營運成本 (OpEx)。
部署 SD-WAN 時要考慮的一個問題是,它需要額外的安全規定。為了充分利用 SD-WAN 的功能,必須在網路邊緣進行安全部署,進而產生多個點產品。Fortinet Secure SD-WAN 則不需要。與市場上其他 SD-WAN 解決方案不同,Fortinet Secure SD-WAN 提供包含強大 SD-WAN 威脅防護功能的全方位 SD-WAN 解決方案。內建新一代防火牆 (NGFW) 為第 3 層至第 7 層提供安全控制,並透過單一設備提供業界領先的效能,該設備使用的是專門為其打造的業界首款 SD-WAN 應用程式專用積體電路 (ASIC) 晶片。Fortinet Secure SD-WAN 設備還包含一套整合入侵防護系統 (IPS),可對分支機構進行全面的流量檢測。因此,流量可以直接路由到目的地,從而在不犧牲安全性的情況下提高網路效能,尤其是雲端流量。
Fortinet Secure SD-Branch 為利用 Fortinet SD-Branch 提升分支機構的安全性奠定了基礎。Fortinet SD-Branch 為從網際網路到交換層的分支機構安全基礎設施提供集中可視性和管理,以此提高安全營運的效率,簡化合規性活動的安全控制實施和資料收集,並提升企業 WAN 的可視性和安全性,使 CSP 得以減少額外開銷並最佳化 OpEx。作為 Fortinet SD-Branch 的一部分,FortiAP 無線存取點可為企業和訪客網路提供高效能、安全的網路連線,而 FortiNAC 可為連線到網路的所有裝置提供自動識別和存取控制。
透過 Fortinet Secure SD-WAN 提供的可靠且安全的網路連線,分支機構還可以部署 IP 語音 (VoIP) 來代替單獨的電話服務,而無需擔心頻寬消耗、可用性或體驗品質。在這裡,FortiVoice 提供了易於設定且靈活的 VoIP 解決方案,使用 Fortinet SD-Branch 內建的交換和存取控制功能可以将該解決方案與其他企業和公共 Wi-Fi 網路隔離。為確保網路中斷時的連線能力,FortiExtender 提供 3G/4G/LTE/5G 備份解決方案。
在選擇網路解決方案時,CSP 需要的是能夠滿足其效能和安全性基準並提供以下功能的解決方案:
Fortinet SD-Branch 使 CSP 能夠透過以下功能將集中式安全可視性和管理擴展到分支機構位置:
通訊服務提供商 (CSP) 是惡意軟體攻擊的常見目標。CSP 網路上的一個據點透過利用其信任的關係,將惡意軟體傳播給客戶。CSP 需要能夠偵測和封鎖在其網路上運作的惡意軟體。但是,根據 FortiGuard Labs 進行的分析,每天偵測到的惡意軟體中有 40% 是零時差或以前未知的威脅。
進階威脅防護需要多層防禦,包括以下功能:
FortiGuard Labs 利用每天分析超過 100 億個安全事件所得的資料,以極高的準確度快速收集、分析威脅情報並進行分類。它利用 AI 和 ML 編寫惡意軟體簽名並將其發佈到整個 Fortinet Security Fabric 中。透過 Fortinet Security Fabric 在整個組織網路中提供的整合,安全團隊還可以利用最新的安全協調、自動化和回應功能 (SOAR)。
廣泛分散的 CSP 網路為未知威脅提供了許多潛在存取途徑,包括公共 Wi-Fi、行動裝置和聯網的物聯網 (IoT) 裝置。FortiGate 新一代防火牆 (NGFW) 偵測到的任何可疑內容,在到達網路前都會轉送到 FortiSandbox 進行隔離和檢測(包括 SSL/TLS 內容解密)。FortiSandbox 生成的威脅情報隨後會透過 Fortinet Security Fabric 與其他安全元件共用。FortiEDR(端點偵測和回應)進階端點保護以較小的佔地面積提供進階端點保護,且具有高可用性保證,能夠保護企業關鍵系統。
當然,網路威脅並不限於外部攻擊者。組織可以使用 FortiDeceptor 來識別獲得網路存取權的惡意內應或攻擊者。FortiInsight 的使用者和實體行為分析 (UEBA) 功能有助於識別端點或使用者可能對企業造成威脅的異常行為、不合規行為或可疑行為。
越來越多的組織開始採用面向企業關鍵資料儲存和應用程式的雲端服務,而這些資源都需要強大的安全防護。雖然大多數雲端服務提供商都提供內建的安全設定,但組織經常設定錯誤,使得敏感資料容易外洩。常見的原因是對雲端共享責任模型的誤解,該模型概述了分配給雲端服務提供商和客戶的安全責任以及他們的共同責任。
在雲端實現集中可視性和一致的安全組態管理也很複雜,每個雲端供應商提供的內建安全控制和介面都不一樣。保護雲端安全需要集中掌握內部部署、雲端部署以及安全解決方案的可視性,這些解決方案專為多雲端環境的雲端應用程式提供一致的安全與策略管理。
要保護多雲端網路安全,首先需要實現全網路的可視性和集中組態管理。Fortinet Security Fabric 與主要雲端提供商和超過 250 個第三方安全解決方案原生整合,能夠集中控制整個網路中的可視性和安全策略執行,從而打破不同雲端部署之間的孤島。透過這種集中式控制,安全團隊無須手動設定每個雲端服務提供商提供的安全設定。
組織實現雲端部署的全面可視性後,下一步就是要保護雲端應用程式。支付卡行業資料安全標準 (PCI DSS) 等許多法規都需要網站應用程式防火牆 (WAF)。PCI DSS 第 6.6. 条規定,DevOps 環境必須要有 WAF,除非組織每次修改應用程式時都會執行完整的程式碼檢閱。
因此,WAF 是公司雲端安全部署的重要組成部分。FortiWeb WAF 以實體設備、虛擬機器 (VM) 或軟體即服務 (SaaS) 的形式提供,能夠為組織網站、支付入口網站和網站應用程式開發介面 (API) 提供雲端原生保護。
組織也必須對雲端部署的存取權進行整體管理。FortiCASB 和 FortiCWP 可提供雲端原生存取控制和工作負載保護,簡化了多雲端部署的可視性和安全管理工作。最後,FortiGate 新一代防火牆 (NGFW) 以雲端原生基礎設施即服務 (IaaS) 的形式提供,可為任何部署環境提供可擴展的安全性。
應用程式和資料儲存並非組織唯一需要保護的雲端資產。越來越多的組織開始利用雲端 SaaS 電子郵件解決方案,例如 Google Mail 或 Microsoft Office 365。FortiMail 使組織能夠使用同一個電子郵件閘道來保護 SaaS 和內部電子郵件部署。
總之,Fortinet 自適應雲端安全解決方案包含多雲端環境安全防護所需的各種功能,例如:
客戶無論是在零售場所使用店內無線存取,還是等待其流量通過企業資料中心路由,都希望 CSP 能夠提供高效能網路。如果安全技術導致網路效能降低,將對客戶體驗產生負面影響。
保護 CSP 龐大的網路需要用到許多不同的安全元素。如果這些安全解決方案沒有進行整合,則必須手動管理安全工作流程。這些營運效率低下的情況會延遲威脅偵測、防範和回應,導致冗餘,並增加營運成本 (OpEx)。
CSP 擁有各種不同的網路,包括內部資料中心、雲端部署,以及採用聯網銷售點 (POS) 系統的零售場所。保護這些異質網路需要全網路的可視性。然而,為防範複雜的多面攻擊而部署的端點防護產品會造成孤島現象,進而降低可視性。
在零售場所部署的 CSP 資料中心和 POS 裝置成為了網路犯罪者的攻擊目標。他們竊取這些裝置上的資料,或是拒絕透過分散式阻斷服務 (DDoS) 存取重要服務,或是發起勒索軟體攻擊,這些都會導致重要系統存取被拒,可能損害 CSP 達成服務等級協定 (SLA) 的能力。而且,數位創新帶來了新的攻擊媒介,包括零售場所的客用無線網路和物聯網 (IoT) 裝置的部署,從而使得威脅防護工作變得越來越困難。
CSP 會在實體零售地點和透過線上入口網站收集客戶的支付卡和其他敏感資料。這些敏感資料在組織網路中儲存和處理,包括內部資料中心和私人雲端和公共雲端,包括軟體即服務 (SaaS) 應用程式。按照 PCI DSS 等監管標準保護這些資料,隨著組織的網路日益複雜,其挑戰性也隨之增加。
CSP 有許多遠端辦公室,能夠在接入客戶和疑難排解時處理敏感的使用者資料。這些分支機構可能成為攻擊者的目標,他們試圖存取敏感資料或將分支機構作為存取總部網路的跳板。
Fortinet Security Fabric 可即時整合超過 250 個第三方安全解決方案,使 CSP 能夠在其整個網路中實現安全元素的單一管理介面可視性和組態管理。即使在雲端環境中,也能實現一致的安全策略實施,同時加快威脅偵測與回應速度。透過緊密整合,使得 CSP 在符合 SLA 的同時,能將營運成本 (OpEx) 降至最低。
Fortinet 解決方案支援最新的安全協調、自動化和回應 (SOAR) 功能。這些新功能可幫助 CSP 提升整個公司內的安全性,使企業能夠最大限度發揮可用技術人員的作用,以達到擴張並解決資源限制的目的。透過集中安全管理,監管機構、高層主管和董事會能夠在整個網路中執行策略並自動生成報告。
FortiGuard Labs 利用人工智慧 (AI) 和機器學習 (ML) 生成的威脅情報,可透過 Fortinet Security Fabric 即時傳達給各個安全裝置。提供針對全網路已知和未知威脅的全面防護,從組織的 POS 系統到雲端基礎設施,無所不包。
FortiGate 新一代防火牆 (NGFW) 已通過 NSS Labs 的效能測試,其延遲可達到業界最低水平。Fortinet 結合高效的自訂 FortiGate 應用程式專用積體電路 (ASIC) 和全球首款軟體定義廣域網路 (SD-WAN) ASIC,能夠在 WAN 邊緣和整個網路中提供高效能安全性。此外,啟用安全通訊端層/傳輸層安全性 (SSL/TLS) 加密檢測等進階功能不會影響網路速度或吞吐量。此外,FortiGate VM 系列支援資料平面開發套件 (DPDK)、單根輸入/輸出虛擬化 (SR-IOV) 和 Intel QuickAssist Technology (QAT) 等封包加速技術,以及 Fortinet 虛擬安全處理器 (vSPU) 技術,無論是在內部還是在私人雲端或公共雲端中,都能為 CSP 資料中心提供所需的最佳效能。