通信服务供应商的网络安全
高性能网络流量
通信服务提供商 (CSP) 在网络安全领域面临艰难挑战。电信网络遍布全球且复杂多样,涵盖内部数据中心、公有云和私有云部署以及实体零售场所等。这些场所通常包括连接到企业广域网 (WAN) 的访客无线网络和物联网 (IoT) 设备。
对 CSP 而言,网络安全至关重要。所有客户流量都要经过它们的数据中心,使得这些数据中心成为了首要攻击目标。实体零售场所的销售点 (POS) 系统也经常遭到网络犯罪者攻击。CSP 不仅要根据适用标准(例如支付卡行业数据安全标准 (PCI DSS) 和即将实施的 PCI 软件安全框架 (SSF))来保护委托给他们的敏感数据,还要防范以破坏其客户服务为目的的攻击。为此,需要集中掌握与全面防护,避免对网络性能与客户体验造成负面影响。
通信服务供应商 (CSP) 的总部网络是其运营必不可少的,并且包含了大量敏感信息。从客户收集的支付卡和帐单信息会流经并保存在此网络上。客户的流量会通过企业数据中心进行路由和处理,为能够获取访问权限的攻击者提供了大量有价值的数据。企业必须有能力保护所有数据,并保持对适用法规的遵循。
然而,CSP 的网络威胁风险并不限于数据窃取。分布式阻断服务 (DDoS) 攻击或勒索软件感染,可能会导致关键服务中断。如此一来,已入侵企业网络的攻击者便可利用和滥用网络上的联网监控设备。
在数字创新推动下,许多 CSP 对其 WAN 进行了扩展,除现有的企业数据中心之外,还引入了公共云和私有云。保护这类异质网络环境需要一套完全集成的综合网络安全解决方案。使用 FortiManager、FortiSIEM和 FortiAnalyzer,安全团队可实现对网络的集中可视性和控制,并轻松完成合规性报告。FortiClient 终端防护软件和 FortiEDR(端点侦测和回应)为员工工作站和销售点 (POS) 系统,提供集成式高端端点安全解决方案。FortiWeb Web 应用防火墙和 FortiNAC 通过 FortiAuthenticator 简化身份管理,为连接到网络的物联网 (IoT) 设备提供网站安全以及自动识别和漏洞扫描功能。
Fortinet 解决方案帮助 CSP 减轻了复杂、分布式网络的防护负担,其功能包括:
Fortinet Secure SD-WAN Gives the Performance of a Lifetime, Recommended by NSS Labs FortiGate Intrusion Prevention Continues to Excel in NSS Labs’ NGIPS Testing Results How Fortinet Connects with Communications Service Providers (CSPs) MSSPs: Disrupting the SD-WAN Market for Fun and Profit Enabling Security-Driven Networking Across Industries With Secure SD-WAN Accelerate Security Operations Leveraging Fortinet’s Security Fabric + SOAR
支付卡行业数据安全标准 (PCI DSS) 是通信服务提供商 (CSP) 关注的主要问题。由于零售商店遍布全国各地,消费者支付卡数据的追踪和保护非常复杂。在即将发布的 PCI 软件安全框架 (SSF) 发布后,这些要求将会更强力实施,实现并保持合规性也会变得越来越难。
要实现并保持合规性,需要一种集成且有目的性的合规方法。许多组织为了达到法规要求专门采取了安全控制措施。结果往往是采用了一堆没有底层结构的点安全解决方案,但实际安全效益却很少或根本没有。
随着公司零售场所网络不断扩展,PCI 要求日益复杂,保持和展示监管合规性所需的网络可视性和集中管理变得越来越难实现。随着新设备加入网络,公司的数字足迹扩展到云,数字创新计划增加了 IT 和安全团队的负担。随着云计算的发展,在云基础架构上处理与保存的受保护数据,企业必须提供适当的访问保护和控制,而他们并未完全掌控这些数据。
使用 Fortinet SecurityFabric,CSP 可以实现 PCI DSS/SSF 和其他合规领域所需的集中可视性和控制。Security Fabric 包括 12 个 Fabric Connector 和超过 135 个 Fabric 应用程序开发接口 (API),可立即与第三方解决方案集成。开放式 API 生态系统,与 30 多家威胁情报共享组织合作,以及与 100 多种第三方供应商产品的集成,通过这些可以实现任何安全解决方案的轻松集成与集中管理。
Fortinet Security Fabric 的安全集成功能为 CSP 提供了各种以合规性为中心的解决方案,例如:
通信服务提供商 (CSP) 分支机构需要快速、可靠和可扩展的网络连接。通常,零售场所必须为客户进行疑难排解和维修,因此他们必须能够快速访问客户数据,并能运行需要稳定、可靠网络连接的诊断测试。
通过传统的多协定标签交换 (MPLS) 线路部署这种连接解决方案不仅成本高昂,还缺少灵活性。相比之下,软件定义广域网 (SD-WAN) 可提供 MPLS 的可靠性保证,但要通过宽带连接运作。通过多个传输媒体的使用优化,SD-WAN 提高了连接速度,并降低了总体拥有成本 (TCO)。网络基础架构优化可改善网络性能,并减少企业数据中心的负载,进而提升运营效率。这使 CSP 能够满足其服务层级协议 (SLA),同时最大限度地减少运营支出 (OpEx)。
部署 SD-WAN 时要考虑的一个问题是,它需要附加安全规定。为了充分利用 SD-WAN 的功能,必须在网络边缘进行安全部署,进而产生多个点产品。Fortinet Secure SD-WAN 则不需要。与市场上其他 SD-WAN 解决方案不同,Fortinet Secure SD-WAN 的全方位 SD-WAN 解决方案包含强大的 SD-WAN 威胁防护功能。内置下一代防火墙 (NGFW) 为第 3 层至第 7 层提供安全控制,并通过单一设备提供业界领先的性能,该设备使用的是专门为其打造的业界首款 SD-WAN 应用程序专用集成电路 (ASIC) 芯片。Fortinet Secure SD-WAN 设备还包含一套集成入侵防护系统 (IPS),可对分支机构进行全面的流量检测。因此,流量可以直接路由到目的地,从而在不牺牲安全性的情况下提高网络性能,尤其是云流量。
Fortinet Secure SD-Branch 为利用 Fortinet SD-Branch 提升分支机构的安全性奠定了基础。Fortinet SD-Branch 为从互联网到交换层的分支机构安全基础架构提供集中可视性和管理,以此提高安全运营的效率,简化合规性活动的安全控制实施和数据收集,并提升企业 WAN 的可视性和安全性,使 CSP 得以减少额外开销并优化运营成本。作为 Fortinet SD-Branch 的一部分,FortiAP 无线接入端可为企业和访客网络提供高性能、安全的网络连接,而 FortiNAC 可为连接到网络的所有设备提供自动识别和访问控制。
通过 Fortinet Secure SD-WAN 提供的可靠且安全的网络连接,分支机构还可以部署 IP 语音 (VoIP) 来代替单独的电话服务,而无需担心带宽消耗、可用性或体验品质。在这里,FortiVoice 提供了易于设置且灵活的 VoIP 解决方案,使用 Fortinet SD-Branch 内置的交换和访问控制功能可以将该解决方案与其他企业和公共 Wi-Fi 网络隔离。为确保网络中断时的连接能力,FortiExtender 提供 3G/4G/LTE/5G 备份解决方案。
在选择网络解决方案时,CSP 需要的是能够满足其性能和安全性基准并提供以下功能的的解决方案:
Fortinet SD-Branch 使 CSP 能够通过以下功能,将集中式安全可视性和管理扩展到分支机构位置:
通信服务提供商 (CSP) 是恶意软件攻击的常见目标。CSP 网络上的一个据点通过利用其信任的关系,将恶意软件传播给客户。CSP 需要能够侦测和封锁在其网络上运行的恶意软件。但是,根据 FortiGuard Labs 进行的分析,每天侦测到的恶意软件中有 40% 是零时差或以前未知的威胁。
高端威胁防护需要多层防御,包括以下功能:
FortiGuard Labs 利用每天分析超过 100 亿个安全事件所得的数据,以极高的准确度快速收集、分析威胁情报并进行分类。它利用 AI 和 ML 编写恶意软件签名并将其发布到整个 Fortinet Security Fabric 中。通过 Fortinet Security Fabric 在整个组织网络中提供的集成,安全团队还可以利用最新的安全协调、自动化和回应功能 (SOAR)。
广泛分布的 CSP 网络为未知威胁提供了许多潜在访问途径,包括公共 Wi-Fi、移动设备和联网的物联网 (IoT) 设备。FortiGate 下一代防火墙 (NGFW) 侦测到的任何可疑内容,在到达网络前都会转送到 FortiSandbox 进行隔离和检测(包括 SSL/TLS 内容解密)。FortiSandbox 生成的威胁情报随后会通过 Fortinet SecurityFabric 与其他安全组件共享。FortiEDR(端点侦测和回应)高端端点保护以较小的占用空间提供高端端点保护,并且具有高可用性保证,能够保护企业关键系统。
当然,网络威胁并不限于外部攻击者。企业组织可以使用 FortiDeceptor 来识别获得网络访问权的内部恶意人员或攻击者。FortiInsight 的用户和实体行为分析 (UEBA) 功能有助于识别端点或用户可能对企业造成威胁的异常行为、不合规行为或可疑行为。
Advanced Threats: The CIO’s Time Bomb Advanced Threats: Keeping CISOs on Their Toes Proactive, Actionable Risk Management with the Fortinet Security Rating Service A Network Operations Guide for Intent-based Segmentation Navigating Network Complexity: Unraveling the Inefficiency and Risks of Digital Transformation
越来越多的企业开始采用面向企业关键数据保存和应用程序的云服务,而这些资源都需要强大的安全防护。虽然大多数云服务供应商都提供内置的安全设置,但企业经常设置错误,使得敏感数据容易外泄。常见的原因是对云共享责任模型的误解,该模型概述了分配给云服务提供商和客户的安全责任以及他们的共同责任。
在云实现集中可视性和一致的安全组态管理也很复杂,每个云供应商提供的内置安全控制和接口都不一样。保护云安全需要集中掌握内部部署、云部署以及安全解决方案的可视性,这些解决方案专为多云环境的云应用程序提供一致的安全与原则管理。
要保护多云网络安全,首先需要实现全网络的可视性和集中组态管理。Fortinet Security Fabric 与主要云服务提供商和超过 250 个第三方安全解决方案原生集成,能够集中控制整个网络中的可视性和安全性原则运行,从而打破不同云部署之间的孤岛。通过这种集中式控制,安全团队无须手动设置每个云服务提供商提供的安全设置。
企业实现云部署的全面可视性后,下一步就是要保护云应用程序。支付卡行业数据安全标准 (PCI DSS) 等许多法规都要求网站应用程序防火墙 (WAF)。PCI DSS 第 6.6.条规定,DevOps 环境必须要有 WAF,除非企业每次修改应用程序时都会运行完整的代码查看。
因此,WAF 是公司云安全部署的重要组成部分。FortiWeb Web 应用防火墙 WAF 以实体设备、虚拟机 (VM) 或软件即服务 (SaaS) 的形式提供,能够为企业网站、支付入口和 Web 应用程序开发接口 (API) 提供云原生保护。
企业也必须对云部署的访问权进行整体管理。FortiCASB 和 FortiCWP 可提供云原生访问控制和工作负载保护,简化了多云部署的可视性和安全管理工作。最后,FortiGate 下一代防火墙 (NGFW) 以云原生基础架构即服务 (IaaS) 的形式提供,可为任何部署环境提供可扩充的安全性。
应用程序和数据储存并非企业唯一需要保护的云资产。越来越多的企业开始利用云 SaaS 电子邮件解决方案,例如 Google Mail 或 Microsoft Office 365。FortiMail 邮件安全网关使企业能够使用同一个电子邮件网关来保护 SaaS 和内部电子邮件部署。
总之,Fortinet 自适应云安全解决方案包含多云环境安全防护所需的各种功能,例如:
客户无论是在零售场所使用店内无线接入,还是等待其流量通过企业数据中心路由,都希望 CSP 能够提供高性能网络。如果安全技术导致网络性能降低,将对客户体验产生负面影响。
保护 CSP 庞大的网络需要用到许多不同的安全元素。如果这些安全解决方案没有进行集成,则必须手动管理安全工作流程。这些运营低效的情况会延迟威胁侦测、防范和回应,导致冗余并增加运营成本 (OpEx)。
CSP 拥有各种不同的网络,包括内部部署的数据中心、云部署,以及采用联网销售点 (POS) 系统的零售场所。保护这些异质网络需要全网络的可视性。然而,为防范复杂的多面攻击而部署的端点防护产品会造成孤岛现象,进而降低可视性。
在零售场所部署的 CSP 数据中心和 POS 设备成为了网络犯罪者的攻击目标。他们窃取这些设备上的数据,或是拒绝通过分布式阻断服务 (DDoS) 访问重要服务,或是发起勒索软件攻击,这些都会导致重要系统访问被拒,可能损害 CSP 达成服务层级协议 (SLA) 的能力。而且,数字创新带来了新的攻击媒介,包括零售场所的客用无线网络和物联网设备的部署,从而使得威胁防护工作变得越来越困难。
CSP 会收集客户的支付卡和其他敏感数据,包括实体零售地点和在线门户网站。这些敏感数据在企业网络中保存和处理,包括内部部署数据中心、私有云和公有云,包括软件即服务 (SaaS) 应用程序。按照 PCI DSS 等监管标准保护这些数据,随着组织的网络日益复杂,其挑战性也随之增加。
CSP 有许多远程办公室,能够在引导客户和疑难排解时处理敏感的用户数据。这些分支机构可能成为攻击者的目标,他们试图访问敏感数据或将分支机构作为访问总部网络的跳板。
Fortinet Security Fabric 可即时集成超过 250 个第三方安全解决方案,使 CSP 能够实现整个网络的安全元素集中可视性和组态管理。即使在云环境中,也能一致运行安全性原则,同时加快威胁侦测与回应速度。通过紧密集成,使得 CSP 在符合 SLA 的同时,能将运营成本 (OpEx) 降至最低。
Fortinet 解决方案支持最新的安全协调、自动化和回应 (SOAR) 功能。这些新功能可帮助 CSP 提升整个公司内的安全性,使企业能够最大限度发挥可用技术人员的作用,以达到扩张并解决资源限制的目的。通过集中安全管理,监管机构、高层主管和董事会能够在整个网络中运行策略并自动生成报告。
FortiGuard Labs 利用人工智能 (AI) 和机器学习 (ML) 生成的威胁情报,可通过 Fortinet Security Fabric 即时传达给各个安全设备。提供针对全网络已知和未知威胁的全面防护,从企业的 POS 系统到云基础架构,无所不包。
FortiGate 下一代防火墙 (NGFW) 已通过 NSS Labs 的性能测试,其延迟可达到业界最低水平。Fortinet 结合高效的自订 FortiGate 应用程序专用集成电路 (ASIC) 和全球首款软件定义广域网 (SD-WAN) ASIC,能够在 WAN 边缘和整个网络中提供高性能安全性。此外,激活 SSL/TLS 加密检测等高端功能不会影响网络速度或吞吐量。另外,FortiGate VM 系列支持数据平面开发套件 (DPDK)、单根输入/输出虚拟化 (SR-IOV) 和 Intel QuickAssist Technology (QAT) 等数据包加速技术,以及 Fortinet 虚拟安全处理器 (vSPU) 技术,无论是在内部部署还是在私有云或公有云中,都能为 CSP 数据中心提供所需的最佳性能。
Fortinet Secure SD-WAN Gives the Performance of a Lifetime, Recommended by NSS Labs FortiGate Intrusion Prevention Continues to Excel in NSS Labs’ NGIPS Testing Results How Fortinet Connects with Communications Service Providers (CSPs) MSSPs: Disrupting the SD-WAN Market for Fun and Profit Enabling Security-Driven Networking Across Industries With Secure SD-WAN Accelerate Security Operations Leveraging Fortinet’s Security Fabric + SOAR