Skip to content Skip to navigation Skip to footer

概述

通訊服務提供商 (CSP) 在網路安全方面面臨艱難挑戰。電信網路遍布全球且複雜多樣,涵蓋內部資料中心、公共雲端和私人雲端部署以及實體零售場所等。這些場所通常包括連線到企業廣域網路 (WAN) 的訪客無線網路和物聯網 (IoT) 裝置。                                 

對 CSP 而言,網路安全至關重要。所有客戶流量都要經過組織的資料中心,使得這些資料中心成為了首要攻擊目標。實體零售場所的銷售點 (POS) 系統也經常遭到網路犯罪者攻擊。CSP 不僅要根據適用標準(例如支付卡行業資料安全標準 (PCI DSS) 和即將實施的 PCI 軟體安全框架 (SSF))來保護委託給他們的敏感資料,還要防範以破壞其客戶服務為目的的攻擊。為此,需要集中掌握與全面防護,避免對網路效能與客戶體驗造成負面影響。


Protecting Communications Service Providers with the Fortinet Security Fabric

Protecting Communications Service Providers with the Fortinet Security Fabric

更多內容
在不犧牲客戶體驗的前提下遵守 PCI SSF

在不犧牲客戶體驗的前提下遵守 PCI SSF

更多內容
Advanced Threats: The CIO’s Time Bomb

Advanced Threats: The CIO’s Time Bomb

下載

總部網路安全

通訊服務提供商 (CSP) 的總部網路對其營運至關重要,並且包含了大量敏感資訊。從客戶收集的支付卡和帳單資訊會流經並儲存在此網路上。客戶的流量會透過企業資料中心進行路由和處理,為能夠獲取存取權限的攻擊者提供了大量有價值的資料。企業必須能夠保護所有資料,並保持对適用法規的遵從。

然而,CSP 的網路威脅風險並不限於資料竊取。分散式阻斷服務 (DDoS) 攻擊或勒索軟體感染可能會導致關鍵服務中斷。如此一來,已入侵企業網路的攻擊者便可利用和濫用網路上的聯網監控裝置。

在數位創新推動下,許多 CSP 對其 WAN 進行了擴展,除現有的企業資料中心之外,還引入了公共雲端和私人雲端。保護這類異質網路環境需要一套完全整合的綜合網路安全解決方案。使用 FortiManagerFortiSIEMFortiAnalyzer,安全團隊可實現對網路的集中可視性和控制,並輕鬆完成合規性報告。FortiClient 和 FortiEDR(端點偵測和回應)為員工工作站和銷售點 (POS) 系統提供整合式進階端點安全解決方案。FortiWebFortiNAC 透過 FortiAuthenticator 簡化身分管理,為連線到網路的物聯網 (IoT) 裝置提供網站安全以及自動識別和漏洞掃描功能。

Fortinet 解決方案幫助 CSP 減輕了複雜、分散式網路的防護負擔,其功能包括:

  • 與主要雲端提供商和超過 250 個第三方安全解決方案進行原生整合
  • 由單一管理介面提供集中可視性、管理和策略實施
  • 現成的合規管理、監控和報告支援
  • 內建的分析解決方案可提高應用程式可用性並節省 IT 資源
FortiDeceptor 透過欺騙、暴露和消除來自內部和外部的攻擊來補充組織現有的入侵保護策略,以防發生實際損害。 FortiInsight 使用者和實體行為分析 (UEBA) 技術可偵測可能代表潛在內部威脅的行為異常和不合規活動。 FortiSandbox 提供進階威脅偵測、自動緩解、可執行的透視分析和靈活部署等強大功能組合,以防止有針對性的攻擊和繼發的資料丟失。 FortiClient 透過整合可視性、控制和主動防禦增強端點安全性,使組織能夠即時發現、監控和評估端點風險。 FortiEDR 在提供進階端點威脅預防、偵測和回應功能的同時,能夠將系統效能和可用性受到的影響降到最小。 FortiGate NGFW 採用專用網路安全處理器,可提供頂級保護、端到端可視性和集中控制,以及對純文字和加密流量的高效能檢測功能。 FortiWeb 網站應用程式防火牆可保護雲端資源和 DevOps 環境,抵禦已知和未知威脅,包括 SQL 注入、跨網站指令碼 (XSS)、緩衝區溢位和 DDoS 攻擊等複雜威脅。 FortiNAC 提供整個網路的可視性以及對所有裝置及使用者存取的控制能力,包括動態自動回應。 FortiAuthenticator 身分識別和存取管理解決方案以及 FortiToken 權杖僅在必要時授予使用者存取權。 FortiSIEM 透過單一解決方案提供可視性、自動回應和快速修復功能,簡化了安全資訊和事件管理工作。 FortiGate Secure SD-WAN 結合新一代防火牆 (NGFW) 的安全性、進階路由和 WAN 最佳化功能,透過統一產品提供高效能和安全性。
總部網路安全 欺騙 insiderthreatmap securitysandbox 端點 FortiEDR FortiGate WAF FortiNAC 驗證 SIEM SD-WAN
按一下圖表中的特定部分,獲取更多詳細資料

POS 的 PCI 合規性

支付卡行業資料安全標準 (PCI DSS) 是通訊服務提供商 (CSP) 關注的主要問題。由於零售商店遍布全國各地,消費者支付卡資料的追蹤和保護非常複雜。在即將發佈的 PCI 軟體安全框架 (SSF) 發佈後,這些要求將得到更強力的執行,實現並保持合規性也會變得越來越難。

要實現並保持合規性,需要一種整合且有目的性的合規方法。許多組織為了達到法規要求專門實施了安全控制措施。結果往往是採用了一堆沒有底層結構的點安全解決方案,但實際安全效益卻很少或根本沒有。              

隨著公司零售場所網路不斷擴展,PCI 要求日益複雜,保持和展示監管合規性所需的網路可視性和集中管理變得越來越難實現。隨著新裝置加入網路,公司的數位足跡擴展到雲端,數位創新計劃增加了 IT 和安全團隊的負擔。隨著雲端運算的發展,這進一步加劇了這種情況,對於在雲端基礎設施上處理與儲存的受保護資料,組織必須提供適當的存取保護和控制,而他們並未完全掌控這些資料。

使用 Fortinet Security Fabric,CSP 可以實現 PCI DSS/SSF 和其他合規領域所需的集中可視性和控制。Security Fabric 包括 12 個 Fabric Connector 和超過 135 個 Fabric 應用程式開發介面 (API),可立即與第三方解決方案整合。開放式 API 生態系統,與 30 多家威脅情報共享組織合作,以及與 100 多種第三方供應商產品的整合,透過這些可以實現任何安全解決方案的輕鬆整合與集中管理。

Fortinet Security Fabric 提供的安全整合為 CSP 提供了各種以合規性為中心的解決方案,例如:

  • 針對 PCI DSS 和其他主要法規的現成報告範本
  • 能夠集中管理和執行整個網路的安全策略
  • 自動裝置識別可實現全網路拓撲映射
  • Fortinet 產品和 Fabric-Ready 合作夥伴解決方案可提供即時遙測資料
  • 自動化威脅偵測及回應,包括自動化拼接

 

FortiAnalyzer 提供分析驅動的網路安全和記錄管理功能,能夠更好地偵測入侵。 FortiManager 支援集中管理、最佳實踐合規性和工作流程自動化的網路營運使用案例,能夠更好地防止入侵。 FortiGate Secure SD-WAN 結合新一代防火牆 (NGFW) 的安全性、進階路由和 WAN 最佳化功能,透過統一產品提供高效能和安全性。
數位創新圖表 FortiAnalyzer FortiManager SD-WAN
按一下圖表中的特定部分,獲取更多詳細資料

分支機構的安全網路

通訊服務提供商 (CSP) 分支機構需要快速、可靠和可擴展的網路連線能力。通常,零售場所必須為客戶進行疑難排解和維修,因此他們必須能夠快速存取客戶資料,並能執行需要穩定、可靠網路連線的診斷測試。

透過傳統的多協定標籤交換 (MPLS) 線路部署這種連線解決方案不僅成本高昂,還缺少彈性。相比之下,軟體定義的廣域網路 (SD-WAN) 可提供 MPLS 的可靠性保證,但要透過寬頻連線運作。透過最佳化多個傳輸媒體的使用,SD-WAN 提高了連線速度,並降低了總體擁有成本 (TCO)。網路基礎設施最佳化可改善網路效能,並減少企業資料中心的負載,進而提升營運效率。這使 CSP 能夠滿足其服務等級協定 (SLA),同時最大限度地減少營運成本 (OpEx)。

部署 SD-WAN 時要考慮的一個問題是,它需要額外的安全規定。為了充分利用 SD-WAN 的功能,必須在網路邊緣進行安全部署,進而產生多個點產品。Fortinet Secure SD-WAN 則不需要。與市場上其他 SD-WAN 解決方案不同,Fortinet Secure SD-WAN 提供包含強大 SD-WAN 威脅防護功能的全方位 SD-WAN 解決方案。內建新一代防火牆 (NGFW) 為第 3 層至第 7 層提供安全控制,並透過單一設備提供業界領先的效能,該設備使用的是專門為其打造的業界首款 SD-WAN 應用程式專用積體電路 (ASIC) 晶片。Fortinet Secure SD-WAN 設備還包含一套整合入侵防護系統 (IPS),可對分支機構進行全面的流量檢測。因此,流量可以直接路由到目的地,從而在不犧牲安全性的情況下提高網路效能,尤其是雲端流量。

Fortinet Secure SD-Branch 為利用 Fortinet SD-Branch 提升分支機構的安全性奠定了基礎。Fortinet SD-Branch 為從網際網路到交換層的分支機構安全基礎設施提供集中可視性和管理,以此提高安全營運的效率,簡化合規性活動的安全控制實施和資料收集,並提升企業 WAN 的可視性和安全性,使 CSP 得以減少額外開銷並最佳化 OpEx。作為 Fortinet SD-Branch 的一部分,FortiAP 無線存取點可為企業和訪客網路提供高效能、安全的網路連線,而 FortiNAC 可為連線到網路的所有裝置提供自動識別和存取控制。

透過 Fortinet Secure SD-WAN 提供的可靠且安全的網路連線,分支機構還可以部署 IP 語音 (VoIP) 來代替單獨的電話服務,而無需擔心頻寬消耗、可用性或體驗品質。在這裡,FortiVoice 提供了易於設定且靈活的 VoIP 解決方案,使用 Fortinet SD-Branch 內建的交換和存取控制功能可以将該解決方案與其他企業和公共 Wi-Fi 網路隔離。為確保網路中斷時的連線能力,FortiExtender 提供 3G/4G/LTE/5G 備份解決方案。

在選擇網路解決方案時,CSP 需要的是能夠滿足其效能和安全性基準並提供以下功能的解決方案:

  • 超過 5,000 個簽名,可實現應用程式流量的自動識別和最佳路由
  • FortiGuard Labs 為應用程式資料庫提供的惡意軟體簽名更新
  • 整合式新一代防火牆 (NGFW)、防毒、入侵防護系统 (IPS) 及應用程式控制,提供全面威脅防護
  • 針對安全通訊端層 (SSL) 和傳輸層安全性 (TLS) 流量進行高吞吐量檢測,以實現高效能、全面的威脅防護
  • 整合式網站篩選功能,讓獨立的安全網路閘道 (SWG) 成為多餘
  • 可擴展的高吞吐量覆蓋虛擬私人網路 (VPN) 通道,確保對機密流量進行加密

Fortinet SD-Branch 使 CSP 能夠透過以下功能將集中式安全可視性和管理擴展到分支機構位置:

  • 使用 FortiGate NGFW 和 FortiNAC 實現連網物聯網 (IoT) 裝置的自動發現和安全保護
  • 有線和無線網路的全面安全整合
  • 零接觸裝置配置,透過單一管理介面實現可視性和管理
  • 從單一位置管理防火牆、乙太網路交換器和 WLAN 介面
FortiGate Secure SD-WAN 結合新一代防火牆 (NGFW) 的安全、進階路由和 WAN 最佳化功能,透過統一產品提供高效能和安全性。 Fortinet SD-Branch 使客戶能夠融合安全性和網路存取,將 Fortinet Security Fabric 的優勢擴展到分散的分支機構。它包括交換、無線存取和網路存取控制元件。
安全網路 SD-WAN SD-Branch
按一下圖表中的特定部分,獲取更多詳細資料

進階威脅防護

通訊服務提供商 (CSP) 是惡意軟體攻擊的常見目標。CSP 網路上的一個據點透過利用其信任的關係,將惡意軟體傳播給客戶。CSP 需要能夠偵測和封鎖在其網路上運作的惡意軟體。但是,根據 FortiGuard Labs 進行的分析,每天偵測到的惡意軟體中有 40% 是零時差或以前未知的威脅。                                                          

進階威脅防護需要多層防禦,包括以下功能:

  • 識別及防範已知及未知威脅
  • 偵測並補救內部威脅
  • 自動隔離並分析沙箱內的可疑內容
  • 利用欺騙技巧來識別內部威脅
  • 人工智慧 (AI) 和機器學習 (MI) 驅動的即時威脅情報
  • 持續更新威脅情報和惡意軟體簽名

FortiGuard Labs 利用每天分析超過 100 億個安全事件所得的資料,以極高的準確度快速收集、分析威脅情報並進行分類。它利用 AI 和 ML 編寫惡意軟體簽名並將其發佈到整個 Fortinet Security Fabric 中。透過 Fortinet Security Fabric 在整個組織網路中提供的整合,安全團隊還可以利用最新的安全協調、自動化和回應功能 (SOAR)。

廣泛分散的 CSP 網路為未知威脅提供了許多潛在存取途徑,包括公共 Wi-Fi、行動裝置和聯網的物聯網 (IoT) 裝置。FortiGate 新一代防火牆 (NGFW) 偵測到的任何可疑內容,在到達網路前都會轉送到 FortiSandbox 進行隔離和檢測(包括 SSL/TLS 內容解密)。FortiSandbox 生成的威脅情報隨後會透過 Fortinet Security Fabric 與其他安全元件共用。FortiEDR(端點偵測和回應)進階端點保護以較小的佔地面積提供進階端點保護,且具有高可用性保證,能夠保護企業關鍵系統。

當然,網路威脅並不限於外部攻擊者。組織可以使用 FortiDeceptor 來識別獲得網路存取權的惡意內應或攻擊者。FortiInsight 的使用者和實體行為分析 (UEBA) 功能有助於識別端點或使用者可能對企業造成威脅的異常行為、不合規行為或可疑行為。

FortiGate NGFW 採用專用網路安全處理器,可提供頂級保護、端到端可視性和集中控制,以及對純文字和加密流量的高效能檢測功能 FortiMail 能夠防範雲端或內部電子郵件系統中的常見威脅。 FortiSandbox 提供進階威脅偵測、自動緩解、可執行的透視分析和靈活部署等強大功能組合,以防止有針對性的攻擊和繼發的資料丟失。 FortiDeceptor 透過欺騙、暴露和消除來自內部和外部的攻擊來補充企業現有的入侵保護策略,以防發生實際損害。 FortiNAC 提供整個網路的可視性以及對所有裝置及使用者存取的控制能力,包括動態自動回應。 FortiIsolator 可從遠端容器中存取網站中的內容和檔案,然後向使用者提供無風險內容。
進階威脅防護 NGFW 郵件 沙箱 欺騙 nac FortiIsolator
按一下圖表中的特定部分,獲取更多詳細資料

自適應雲端安全性

越來越多的組織開始採用面向企業關鍵資料儲存和應用程式的雲端服務,而這些資源都需要強大的安全防護。雖然大多數雲端服務提供商都提供內建的安全設定,但組織經常設定錯誤,使得敏感資料容易外洩。常見的原因是對雲端共享責任模型的誤解,該模型概述了分配給雲端服務提供商和客戶的安全責任以及他們的共同責任。

在雲端實現集中可視性和一致的安全組態管理也很複雜,每個雲端供應商提供的內建安全控制和介面都不一樣。保護雲端安全需要集中掌握內部部署、雲端部署以及安全解決方案的可視性,這些解決方案專為多雲端環境的雲端應用程式提供一致的安全與策略管理。

要保護多雲端網路安全,首先需要實現全網路的可視性和集中組態管理。Fortinet Security Fabric 與主要雲端提供商和超過 250 個第三方安全解決方案原生整合,能夠集中控制整個網路中的可視性和安全策略執行,從而打破不同雲端部署之間的孤島。透過這種集中式控制,安全團隊無須手動設定每個雲端服務提供商提供的安全設定。

組織實現雲端部署的全面可視性後,下一步就是要保護雲端應用程式。支付卡行業資料安全標準 (PCI DSS) 等許多法規都需要網站應用程式防火牆 (WAF)。PCI DSS 第 6.6. 条規定,DevOps 環境必須要有 WAF,除非組織每次修改應用程式時都會執行完整的程式碼檢閱。

因此,WAF 是公司雲端安全部署的重要組成部分。FortiWeb WAF 以實體設備、虛擬機器 (VM) 或軟體即服務 (SaaS) 的形式提供,能夠為組織網站、支付入口網站和網站應用程式開發介面 (API) 提供雲端原生保護。

組織也必須對雲端部署的存取權進行整體管理。FortiCASBFortiCWP 可提供雲端原生存取控制和工作負載保護,簡化了多雲端部署的可視性和安全管理工作。最後,FortiGate 新一代防火牆 (NGFW) 以雲端原生基礎設施即服務 (IaaS) 的形式提供,可為任何部署環境提供可擴展的安全性。

應用程式和資料儲存並非組織唯一需要保護的雲端資產。越來越多的組織開始利用雲端 SaaS 電子郵件解決方案,例如 Google Mail 或 Microsoft Office 365。FortiMail 使組織能夠使用同一個電子郵件閘道來保護 SaaS 和內部電子郵件部署。

總之,Fortinet 自適應雲端安全解決方案包含多雲端環境安全防護所需的各種功能,例如:

  • 與各大主要雲端服務提供商的安全功能原生整合
  • 從單一管理介面實現多雲端環境的全網路可視性和管理
  • 雲端原生網站防護、電子郵件及防火牆解決方案
  • 分散在整個安全基礎設施中的即時、人工智慧 (AI) 驅動的威脅情報
  • 自動識別 5,000 種應用程式流量,包括加密雲端應用程式資料
  • 使用 Secure SD-WAN 實現安全、高效能的雲端資源連線

 

FortiCASB 管理對多雲端部署中有價值的雲端應用程式和資料的存取。 FortiCWP 可評估和監控雲端設定、精確定位錯誤設定,並分析跨雲端資源流量。 FortiGate VM 和 SaaS 產品能夠檢測雲端的輸入和輸出流量,包括 SSL/TLS 加密流量。 FortiMail 可抵禦雲端和內部電子郵件系統中的常見威脅。 FortiWeb 網站應用程式防火牆可保護雲端資源和 DevOps 環境,抵禦已知和未知威脅,包括 SQL 注入、跨網站指令碼 (XSS)、緩衝區溢位和 DDoS 攻擊等複雜威脅。
自適應雲端安全性 CASB CWP NGFW 郵件 WAF
按一下圖表中的特定部分,獲取更多詳細資料

CSP 面臨的主要網路安全挑戰

web icon vertical high performance

網路效能

客戶無論是在零售場所使用店內無線存取,還是等待其流量通過企業資料中心路由,都希望 CSP 能夠提供高效能網路。如果安全技術導致網路效能降低,將對客戶體驗產生負面影響。

Operational Efficiency

營運效率

保護 CSP 龐大的網路需要用到許多不同的安全元素。如果這些安全解決方案沒有進行整合,則必須手動管理安全工作流程。這些營運效率低下的情況會延遲威脅偵測、防範和回應,導致冗餘,並增加營運成本 (OpEx)。

web icon vertical visibility

端對端可視性

CSP 擁有各種不同的網路,包括內部資料中心、雲端部署,以及採用聯網銷售點 (POS) 系統的零售場所。保護這些異質網路需要全網路的可視性。然而,為防範複雜的多面攻擊而部署的端點防護產品會造成孤島現象,進而降低可視性。

threat intelligence

精密的威脅情勢

在零售場所部署的 CSP 資料中心和 POS 裝置成為了網路犯罪者的攻擊目標。他們竊取這些裝置上的資料,或是拒絕透過分散式阻斷服務 (DDoS) 存取重要服務,或是發起勒索軟體攻擊,這些都會導致重要系統存取被拒,可能損害 CSP 達成服務等級協定 (SLA) 的能力。而且,數位創新帶來了新的攻擊媒介,包括零售場所的客用無線網路和物聯網 (IoT) 裝置的部署,從而使得威脅防護工作變得越來越困難。

compliance reporting

監管合規性

CSP 會在實體零售地點和透過線上入口網站收集客戶的支付卡和其他敏感資料。這些敏感資料在組織網路中儲存和處理,包括內部資料中心和私人雲端和公共雲端,包括軟體即服務 (SaaS) 應用程式。按照 PCI DSS 等監管標準保護這些資料,隨著組織的網路日益複雜,其挑戰性也隨之增加。

branch network

分支網路

CSP 有許多遠端辦公室,能夠在接入客戶和疑難排解時處理敏感的使用者資料。這些分支機構可能成為攻擊者的目標,他們試圖存取敏感資料或將分支機構作為存取總部網路的跳板。

在整個總部網路中實現安全營運的集中可視性和控制。

瞭解更多資訊
保護組織網路中流動的支付卡資料安全,並簡化支付卡行業資料安全標準 (PCI DSS) 的合規活動

瞭解更多資訊
為分支機構提供可靠且高速的網路,同時確保從網際網路到交換基礎設施的端到端安全性。

瞭解更多資訊
利用即時威脅情報、集中可視性和自動威脅偵測及回應來保護企業網路安全。

瞭解更多資訊
對多雲端環境的可視性、設定及控制進行整合和集中化,為服務提供商提供自適應雲端防護

瞭解更多資訊
服務提供商企業圖表 總部 PCICompliance SecureNetworking ATP 自適應雲端安全性
按一下圖表中的特定部分,獲取更多詳細資料

Fortinet 在 CSP 網路安全方面的優勢

web icon vertical visibility

可視性

Fortinet Security Fabric 可即時整合超過 250 個第三方安全解決方案,使 CSP 能夠在其整個網路中實現安全元素的單一管理介面可視性和組態管理。即使在雲端環境中,也能實現一致的安全策略實施,同時加快威脅偵測與回應速度。透過緊密整合,使得 CSP 在符合 SLA 的同時,能將營運成本 (OpEx) 降至最低。

automation

自動化

Fortinet 解決方案支援最新的安全協調、自動化和回應 (SOAR) 功能。這些新功能可幫助 CSP 提升整個公司內的安全性,使企業能夠最大限度發揮可用技術人員的作用,以達到擴張並解決資源限制的目的。透過集中安全管理,監管機構、高層主管和董事會能夠在整個網路中執行策略並自動生成報告。

threat intelligence

AI 驅動的主動威脅情報

FortiGuard Labs 利用人工智慧 (AI) 和機器學習 (ML) 生成的威脅情報,可透過 Fortinet Security Fabric 即時傳達給各個安全裝置。提供針對全網路已知和未知威脅的全面防護,從組織的 POS 系統到雲端基礎設施,無所不包。

web icon vertical high performance

高效能

FortiGate 新一代防火牆 (NGFW) 已通過 NSS Labs 的效能測試,其延遲可達到業界最低水平。Fortinet 結合高效的自訂 FortiGate 應用程式專用積體電路 (ASIC) 和全球首款軟體定義廣域網路 (SD-WAN) ASIC,能夠在 WAN 邊緣和整個網路中提供高效能安全性。此外,啟用安全通訊端層/傳輸層安全性 (SSL/TLS) 加密檢測等進階功能不會影響網路速度或吞吐量。此外,FortiGate VM 系列支援資料平面開發套件 (DPDK)、單根輸入/輸出虛擬化 (SR-IOV) 和 Intel QuickAssist Technology (QAT) 等封包加速技術,以及 Fortinet 虛擬安全處理器 (vSPU) 技術,無論是在內部還是在私人雲端或公共雲端中,都能為 CSP 資料中心提供所需的最佳效能。