Skip to content Skip to navigation Skip to footer

概述

通信服务提供商 (CSP) 在网络安全领域面临艰难挑战。电信网络遍布全球且复杂多样,涵盖内部数据中心、公有云和私有云部署以及实体零售场所等。这些场所通常包括连接到企业广域网 (WAN) 的访客无线网络和物联网 (IoT) 设备。                                 

对 CSP 而言,网络安全至关重要。所有客户流量都要经过它们的数据中心,使得这些数据中心成为了首要攻击目标。实体零售场所的销售点 (POS) 系统也经常遭到网络犯罪者攻击。CSP 不仅要根据适用标准(例如支付卡行业数据安全标准 (PCI DSS) 和即将实施的 PCI 软件安全框架 (SSF))来保护委托给他们的敏感数据,还要防范以破坏其客户服务为目的的攻击。为此,需要集中掌握与全面防护,避免对网络性能与客户体验造成负面影响。


Protecting Communications Service Providers with the Fortinet Security Fabric

Protecting Communications Service Providers with the Fortinet Security Fabric

现在读
在不牺牲客户体验的前提下遵守 PCI SSF

在不牺牲客户体验的前提下遵守 PCI SSF

现在读
Advanced Threats: The CIO’s Time Bomb

Advanced Threats: The CIO’s Time Bomb

下载

总部网络安全

通信服务供应商 (CSP) 的总部网络是其运营必不可少的,并且包含了大量敏感信息。从客户收集的支付卡和帐单信息会流经并保存在此网络上。客户的流量会通过企业数据中心进行路由和处理,为能够获取访问权限的攻击者提供了大量有价值的数据。企业必须有能力保护所有数据,并保持对适用法规的遵循。

然而,CSP 的网络威胁风险并不限于数据窃取。分布式阻断服务 (DDoS) 攻击或勒索软件感染,可能会导致关键服务中断。如此一来,已入侵企业网络的攻击者便可利用和滥用网络上的联网监控设备。

在数字创新推动下,许多 CSP 对其 WAN 进行了扩展,除现有的企业数据中心之外,还引入了公共云和私有云。保护这类异质网络环境需要一套完全集成的综合网络安全解决方案。使用 FortiManagerFortiSIEMFortiAnalyzer,安全团队可实现对网络的集中可视性和控制,并轻松完成合规性报告。FortiClient 终端防护软件和 FortiEDR(端点侦测和回应)为员工工作站和销售点 (POS) 系统,提供集成式高端端点安全解决方案。FortiWeb Web 应用防火墙和 FortiNAC 通过 FortiAuthenticator 简化身份管理,为连接到网络的物联网 (IoT) 设备提供网站安全以及自动识别和漏洞扫描功能。

Fortinet 解决方案帮助 CSP 减轻了复杂、分布式网络的防护负担,其功能包括:

  • 与主要云服务提供商和超过 250 个第三方安全解决方案进行原生集成
  • 由单一管理接口提供集中可视性、管理和原则运行
  • 现成的合规管理、监控和报告支持
  • 内置的分析解决方案可提高应用程序可用性并节省 IT 资源
FortiDeceptor 通过欺骗、暴露和消除来自内部和外部的攻击来补充企业现有的入侵保护策略,以防发生实际损害。 FortiInsight 用户和实体行为分析 (UEBA) 技术能够侦测可能代表潜在内部威胁的行为异常和不合规活动。 FortiSandbox 提供高端威胁侦测、自动缓解、可运行的透视分析和灵活部署等强大功能组合,以防止有针对性的攻击和继发的数据丢失。 FortiClient 终端防护软件通过集成可视性、控制和主动防御增强端点安全性,使组织能够即时发现、监控和评估端点风险。 FortiEDR 在提供高端端点威胁预防、侦测和回应功能的同时,能够将系统性能和可用性受到的影响降到最小。 FortiGate NGFW 采用专用网络安全处理器,可提供顶级保护、端到端可视性和集中控制,以及对纯文本和加密流量的高性能检测功能。 FortiWeb Web 应用防火墙可保护云资源和 DevOps 环境,抵御已知和未知威胁,包括 SQL 注入、跨网站脚本、缓冲区溢出和 DDoS 攻击等复杂威胁。 FortiNAC 提供整个网络的可视性以及对所有设备及用户访问的控制能力,包括动态自动回应。 FortiAuthenticator 身份识别和访问管理解决方案以及 FortiToken 令牌仅在必要时授予用户访问权。 FortiSIEM 通过单一解决方案提供可视性、自动回应和快速修复功能,简化了安全信息和事件管理工作。 FortiGate Secure SD-WAN 结合下一代防火墙 (NGFW) 的安全性、高端路由和 WAN 优化功能,通过统一供应项目提供高性能和安全性。
总部网络安全 欺骗 insiderthreatmap securitysandbox 端点 FortiEDR FortiGate WAF FortiNAC 验证 SIEM SD-WAN
点击图表中的特定区段获取更多详细数据

POS 的 PCI 合规性

支付卡行业数据安全标准 (PCI DSS) 是通信服务提供商 (CSP) 关注的主要问题。由于零售商店遍布全国各地,消费者支付卡数据的追踪和保护非常复杂。在即将发布的 PCI 软件安全框架 (SSF) 发布后,这些要求将会更强力实施,实现并保持合规性也会变得越来越难。

要实现并保持合规性,需要一种集成且有目的性的合规方法。许多组织为了达到法规要求专门采取了安全控制措施。结果往往是采用了一堆没有底层结构的点安全解决方案,但实际安全效益却很少或根本没有。              

随着公司零售场所网络不断扩展,PCI 要求日益复杂,保持和展示监管合规性所需的网络可视性和集中管理变得越来越难实现。随着新设备加入网络,公司的数字足迹扩展到云,数字创新计划增加了 IT 和安全团队的负担。随着云计算的发展,在云基础架构上处理与保存的受保护数据,企业必须提供适当的访问保护和控制,而他们并未完全掌控这些数据。

使用 Fortinet SecurityFabric,CSP 可以实现 PCI DSS/SSF 和其他合规领域所需的集中可视性和控制。Security Fabric 包括 12 个 Fabric Connector 和超过 135 个 Fabric 应用程序开发接口 (API),可立即与第三方解决方案集成。开放式 API 生态系统,与 30 多家威胁情报共享组织合作,以及与 100 多种第三方供应商产品的集成,通过这些可以实现任何安全解决方案的轻松集成与集中管理。

Fortinet Security Fabric 的安全集成功能为 CSP 提供了各种以合规性为中心的解决方案,例如:

  • 针对 PCI DSS 和其他主要法规的现成报告范本
  • 能够集中管理和运行整个网络的安全性原则
  • 自动设备识别可实现全网络拓扑映射
  • Fortinet 产品和 Fabric-Ready 合作伙伴解决方案可提供即时遥测数据
  • 自动化威胁侦测及回应,包括自动化拼接

 

FortiAnalyzer 提供分析驱动的网络安全和日志管理功能,能够更好地侦测入侵。 FortiManager 支持集中管理、最佳实务合规性和工作流程自动化的网络运营使用案例,能够更好地防止入侵。 FortiGate Secure SD-WAN 结合下一代防火墙 (NGFW) 的安全性、高端路由和 WAN 优化功能,通过统一供应项目提供高性能和安全性。
数字创新图表 FortiAnalyzer FortiManager SD-WAN
点击图表中的特定区段获取更多详细数据

分支机构的安全网络

通信服务提供商 (CSP) 分支机构需要快速、可靠和可扩展的网络连接。通常,零售场所必须为客户进行疑难排解和维修,因此他们必须能够快速访问客户数据,并能运行需要稳定、可靠网络连接的诊断测试。

通过传统的多协定标签交换 (MPLS) 线路部署这种连接解决方案不仅成本高昂,还缺少灵活性。相比之下,软件定义广域网 (SD-WAN) 可提供 MPLS 的可靠性保证,但要通过宽带连接运作。通过多个传输媒体的使用优化,SD-WAN 提高了连接速度,并降低了总体拥有成本 (TCO)。网络基础架构优化可改善网络性能,并减少企业数据中心的负载,进而提升运营效率。这使 CSP 能够满足其服务层级协议 (SLA),同时最大限度地减少运营支出 (OpEx)。

部署 SD-WAN 时要考虑的一个问题是,它需要附加安全规定。为了充分利用 SD-WAN 的功能,必须在网络边缘进行安全部署,进而产生多个点产品。Fortinet Secure SD-WAN 则不需要。与市场上其他 SD-WAN 解决方案不同,Fortinet Secure SD-WAN 的全方位 SD-WAN 解决方案包含强大的 SD-WAN 威胁防护功能。内置下一代防火墙 (NGFW) 为第 3 层至第 7 层提供安全控制,并通过单一设备提供业界领先的性能,该设备使用的是专门为其打造的业界首款 SD-WAN 应用程序专用集成电路 (ASIC) 芯片。Fortinet Secure SD-WAN 设备还包含一套集成入侵防护系统 (IPS),可对分支机构进行全面的流量检测。因此,流量可以直接路由到目的地,从而在不牺牲安全性的情况下提高网络性能,尤其是云流量。

Fortinet Secure SD-Branch 为利用 Fortinet SD-Branch 提升分支机构的安全性奠定了基础。Fortinet SD-Branch 为从互联网到交换层的分支机构安全基础架构提供集中可视性和管理,以此提高安全运营的效率,简化合规性活动的安全控制实施和数据收集,并提升企业 WAN 的可视性和安全性,使 CSP 得以减少额外开销并优化运营成本。作为 Fortinet SD-Branch 的一部分,FortiAP 无线接入端可为企业和访客网络提供高性能、安全的网络连接,而 FortiNAC 可为连接到网络的所有设备提供自动识别和访问控制。

通过 Fortinet Secure SD-WAN 提供的可靠且安全的网络连接,分支机构还可以部署 IP 语音 (VoIP) 来代替单独的电话服务,而无需担心带宽消耗、可用性或体验品质。在这里,FortiVoice 提供了易于设置且灵活的 VoIP 解决方案,使用 Fortinet SD-Branch 内置的交换和访问控制功能可以将该解决方案与其他企业和公共 Wi-Fi 网络隔离。为确保网络中断时的连接能力,FortiExtender 提供 3G/4G/LTE/5G 备份解决方案。

在选择网络解决方案时,CSP 需要的是能够满足其性能和安全性基准并提供以下功能的的解决方案:

  • 超过 5,000 个签名,可实现应用程序流量的自动识别和最佳路由
  • FortiGuard Labs 为应用程序数据库提供的恶意软件签名更新
  • 集成式下一代防火墙 (NGFW)、杀毒、入侵防护系统 (IPS) 及应用程序控制,提供全面威胁防护
  • 针对 SSL 和 TLS 流量进行高通量检测,以实现高性能、全面的威胁防护
  • 集成式网络筛选功能,让独立的安全网络网关 (SWG) 成为多余
  • 可扩充的高吞吐量覆盖虚拟专用网络 (VPN) 信道,可对机密流量进行加密

Fortinet SD-Branch 使 CSP 能够通过以下功能,将集中式安全可视性和管理扩展到分支机构位置:

  • 使用 FortiGate NGFW 和 FortiNAC 实现连网物联网 (IoT) 设备的自动发现和安全保护
  • 有线和无线网络的全面安全集成
  • 零接触设备提供,通过单一管理接口实现可视性和管理
  • 从单一位置管理防火墙、以太网络交换机和 WLAN 接口
FortiGate Secure SD-WAN 结合下一代防火墙 (NGFW) 的安全、高端路由和 WAN 优化功能,通过统一供应项目提供高性能和安全性。 Fortinet SD-Branch 使客户能够融合安全性和网络访问,将 Fortinet Security Fabric 的优势扩展到分散的分支机构。它包括交换、无线接入和网络访问控件。
安全网络 SD-WAN SD-Branch
点击图表中的特定区段获取更多详细数据

高级威胁防护 (ATP)

通信服务提供商 (CSP) 是恶意软件攻击的常见目标。CSP 网络上的一个据点通过利用其信任的关系,将恶意软件传播给客户。CSP 需要能够侦测和封锁在其网络上运行的恶意软件。但是,根据 FortiGuard Labs 进行的分析,每天侦测到的恶意软件中有 40% 是零时差或以前未知的威胁。                                                          

高端威胁防护需要多层防御,包括以下功能:

  • 识别及防范已知及未知威胁
  • 侦测并补救内部威胁
  • 自动隔离并分析沙箱内的可疑内容
  • 利用欺骗技巧来识别内部威胁
  • 人工智能 (AI) 和机器学习 (MI) 驱动的即时威胁情报
  • 持续更新威胁情报和恶意软件签名

FortiGuard Labs 利用每天分析超过 100 亿个安全事件所得的数据,以极高的准确度快速收集、分析威胁情报并进行分类。它利用 AI 和 ML 编写恶意软件签名并将其发布到整个 Fortinet Security Fabric 中。通过 Fortinet Security Fabric 在整个组织网络中提供的集成,安全团队还可以利用最新的安全协调、自动化和回应功能 (SOAR)。

广泛分布的 CSP 网络为未知威胁提供了许多潜在访问途径,包括公共 Wi-Fi、移动设备和联网的物联网 (IoT) 设备。FortiGate 下一代防火墙 (NGFW) 侦测到的任何可疑内容,在到达网络前都会转送到 FortiSandbox 进行隔离和检测(包括 SSL/TLS 内容解密)。FortiSandbox 生成的威胁情报随后会通过 Fortinet SecurityFabric 与其他安全组件共享。FortiEDR(端点侦测和回应)高端端点保护以较小的占用空间提供高端端点保护,并且具有高可用性保证,能够保护企业关键系统。

当然,网络威胁并不限于外部攻击者。企业组织可以使用 FortiDeceptor 来识别获得网络访问权的内部恶意人员或攻击者。FortiInsight 的用户和实体行为分析 (UEBA) 功能有助于识别端点或用户可能对企业造成威胁的异常行为、不合规行为或可疑行为。

FortiGate NGFW 采用专用网络安全处理器,可提供顶级保护、端到端可视性和集中控制,以及对纯文本和加密流量的高性能检测功能。 FortiMail 邮件安全网关能够防范云或内部电子邮件系统中的常见威胁。 FortiSandbox 提供高端威胁侦测、自动缓解、可运行的透视分析和灵活部署等强大功能组合,以防止有针对性的攻击和继发的数据丢失。 FortiDeceptor 通过欺骗、暴露和消除来自内部和外部的攻击来补充企业现有的入侵保护策略,以防发生实际损害。 FortiNAC 提供整个网络的可视性以及对所有设备和用户访问的控制能力,包括动态自动回应。 FortiIsolator 可从远程容器中访问网站中的内容和文件,然后向用户提供无风险内容。
高级威胁防护 (ATP) NGFW mail 沙箱 欺骗 nac FortiIsolator
点击图表中的特定区段获取更多详细数据

自适应云安全

越来越多的企业开始采用面向企业关键数据保存和应用程序的云服务,而这些资源都需要强大的安全防护。虽然大多数云服务供应商都提供内置的安全设置,但企业经常设置错误,使得敏感数据容易外泄。常见的原因是对云共享责任模型的误解,该模型概述了分配给云服务提供商和客户的安全责任以及他们的共同责任。

在云实现集中可视性和一致的安全组态管理也很复杂,每个云供应商提供的内置安全控制和接口都不一样。保护云安全需要集中掌握内部部署、云部署以及安全解决方案的可视性,这些解决方案专为多云环境的云应用程序提供一致的安全与原则管理。

要保护多云网络安全,首先需要实现全网络的可视性和集中组态管理。Fortinet Security Fabric 与主要云服务提供商和超过 250 个第三方安全解决方案原生集成,能够集中控制整个网络中的可视性和安全性原则运行,从而打破不同云部署之间的孤岛。通过这种集中式控制,安全团队无须手动设置每个云服务提供商提供的安全设置。

企业实现云部署的全面可视性后,下一步就是要保护云应用程序。支付卡行业数据安全标准 (PCI DSS) 等许多法规都要求网站应用程序防火墙 (WAF)。PCI DSS 第 6.6.条规定,DevOps 环境必须要有 WAF,除非企业每次修改应用程序时都会运行完整的代码查看。

因此,WAF 是公司云安全部署的重要组成部分。FortiWeb Web 应用防火墙 WAF 以实体设备、虚拟机 (VM) 或软件即服务 (SaaS) 的形式提供,能够为企业网站、支付入口和 Web 应用程序开发接口 (API) 提供云原生保护。

企业也必须对云部署的访问权进行整体管理。FortiCASBFortiCWP 可提供云原生访问控制和工作负载保护,简化了多云部署的可视性和安全管理工作。最后,FortiGate 下一代防火墙 (NGFW) 以云原生基础架构即服务 (IaaS) 的形式提供,可为任何部署环境提供可扩充的安全性。

应用程序和数据储存并非企业唯一需要保护的云资产。越来越多的企业开始利用云 SaaS 电子邮件解决方案,例如 Google Mail 或 Microsoft Office 365。FortiMail 邮件安全网关使企业能够使用同一个电子邮件网关来保护 SaaS 和内部电子邮件部署。

总之,Fortinet 自适应云安全解决方案包含多云环境安全防护所需的各种功能,例如:

  • 与各大主要云服务提供商的安全功能原生集成
  • 从单一管理接口实现多云环境的全网络可视性和管理
  • 云原生网站防护、电子邮件及防火墙解决方案
  • 整个资安基础架构中共享人工智能 (AI) 驱动的即时威胁情报
  • 自动识别 5000 种应用程序流量,包括加密云应用程序数据
  • 使用 Secure SD-WAN 实现安全、高性能的云资源连接

 

FortiCASB 管理对多云部署中有价值的云应用程序和数据的访问。 FortiCWP 可评估和监控云设置、精确定位错误设置,并分析跨云资源流量。 FortiGate VM 和 SaaS 产品能够检测云的输入和输出流量,包括 SSL/TLS 加密流量。 FortiMail 邮件安全网关可抵御云和内部电子邮件系统中的常见威胁。 FortiWeb Web 应用防火墙可保护云资源和 DevOps 环境,抵御已知和未知威胁,包括 SQL 注入、跨网站脚本、缓冲区溢出和 DDoS 攻击等复杂威胁。
自适应云安全 CASB CWP NGFW mail WAF
点击图表中的特定区段获取更多详细数据

CSP 面临的主要网络安全挑战

web icon vertical high performance

网络性能

客户无论是在零售场所使用店内无线接入,还是等待其流量通过企业数据中心路由,都希望 CSP 能够提供高性能网络。如果安全技术导致网络性能降低,将对客户体验产生负面影响。

Operational Efficiency

运营效率

保护 CSP 庞大的网络需要用到许多不同的安全元素。如果这些安全解决方案没有进行集成,则必须手动管理安全工作流程。这些运营低效的情况会延迟威胁侦测、防范和回应,导致冗余并增加运营成本 (OpEx)。

web icon vertical visibility

端对端可视性

CSP 拥有各种不同的网络,包括内部部署的数据中心、云部署,以及采用联网销售点 (POS) 系统的零售场所。保护这些异质网络需要全网络的可视性。然而,为防范复杂的多面攻击而部署的端点防护产品会造成孤岛现象,进而降低可视性。

threat intelligence

复杂的威胁情势

在零售场所部署的 CSP 数据中心和 POS 设备成为了网络犯罪者的攻击目标。他们窃取这些设备上的数据,或是拒绝通过分布式阻断服务 (DDoS) 访问重要服务,或是发起勒索软件攻击,这些都会导致重要系统访问被拒,可能损害 CSP 达成服务层级协议 (SLA) 的能力。而且,数字创新带来了新的攻击媒介,包括零售场所的客用无线网络和物联网设备的部署,从而使得威胁防护工作变得越来越困难。

compliance reporting

监管合规性

CSP 会收集客户的支付卡和其他敏感数据,包括实体零售地点和在线门户网站。这些敏感数据在企业网络中保存和处理,包括内部部署数据中心、私有云和公有云,包括软件即服务 (SaaS) 应用程序。按照 PCI DSS 等监管标准保护这些数据,随着组织的网络日益复杂,其挑战性也随之增加。

branch network

分支网络

CSP 有许多远程办公室,能够在引导客户和疑难排解时处理敏感的用户数据。这些分支机构可能成为攻击者的目标,他们试图访问敏感数据或将分支机构作为访问总部网络的跳板。

在整个总部网络中实现安全运营的集中可视性和控制。

深入了解
保护企业网络中流动的支付卡数据安全,并简化支付卡行业数据安全标准 (PCI DSS) 的合规活动

深入了解
为分支机构提供可靠且高速的网络,同时确保从互联网到交换基础架构的端对端安全性。

深入了解
利用即时威胁情报、集中可视性和自动威胁侦测及回应来保护企业网络安全。

深入了解
对多云环境的可视性、设置及控制进行集成和集中化,为服务提供商提供自适应云防护。

了解更多
服务提供商企业图表 总部 PCICompliance SecureNetworking ATP 自适应云安全
点击图表中的特定区段获取更多详细数据

Fortinet 在 CSP 网络安全方面的优势

web icon vertical visibility

可视性

Fortinet Security Fabric 可即时集成超过 250 个第三方安全解决方案,使 CSP 能够实现整个网络的安全元素集中可视性和组态管理。即使在云环境中,也能一致运行安全性原则,同时加快威胁侦测与回应速度。通过紧密集成,使得 CSP 在符合 SLA 的同时,能将运营成本 (OpEx) 降至最低。

automation

自动化

Fortinet 解决方案支持最新的安全协调、自动化和回应 (SOAR) 功能。这些新功能可帮助 CSP 提升整个公司内的安全性,使企业能够最大限度发挥可用技术人员的作用,以达到扩张并解决资源限制的目的。通过集中安全管理,监管机构、高层主管和董事会能够在整个网络中运行策略并自动生成报告。

threat intelligence

AI 驱动的主动威胁情报

FortiGuard Labs 利用人工智能 (AI) 和机器学习 (ML) 生成的威胁情报,可通过 Fortinet Security Fabric 即时传达给各个安全设备。提供针对全网络已知和未知威胁的全面防护,从企业的 POS 系统到云基础架构,无所不包。

web icon vertical high performance

高性能

FortiGate 下一代防火墙 (NGFW) 已通过 NSS Labs 的性能测试,其延迟可达到业界最低水平。Fortinet 结合高效的自订 FortiGate 应用程序专用集成电路 (ASIC) 和全球首款软件定义广域网 (SD-WAN) ASIC,能够在 WAN 边缘和整个网络中提供高性能安全性。此外,激活 SSL/TLS 加密检测等高端功能不会影响网络速度或吞吐量。另外,FortiGate VM 系列支持数据平面开发套件 (DPDK)、单根输入/输出虚拟化 (SR-IOV) 和 Intel QuickAssist Technology (QAT) 等数据包加速技术,以及 Fortinet 虚拟安全处理器 (vSPU) 技术,无论是在内部部署还是在私有云或公有云中,都能为 CSP 数据中心提供所需的最佳性能。