通信服务供应商的网络安全

通信服务提供商 (CSP) 分支机构需要快速、可靠和可扩展的网络连接。通常，零售场所必须为客户进行疑难排解和维修，因此他们必须能够快速访问客户数据，并能运行需要稳定、可靠网络连接的诊断测试。

通过传统的多协定标签交换 (MPLS) 线路部署这种连接解决方案不仅成本高昂，还缺少灵活性。相比之下，软件定义广域网 (SD-WAN) 可提供 MPLS 的可靠性保证，但要通过宽带连接运作。通过多个传输媒体的使用优化，SD-WAN 提高了连接速度，并降低了总体拥有成本 (TCO)。网络基础架构优化可改善网络性能，并减少企业数据中心的负载，进而提升运营效率。这使 CSP 能够满足其服务层级协议 (SLA)，同时最大限度地减少运营支出 (OpEx)。

部署 SD-WAN 时要考虑的一个问题是，它需要附加安全规定。为了充分利用 SD-WAN 的功能，必须在网络边缘进行安全部署，进而产生多个点产品。Fortinet Secure SD-WAN 则不需要。与市场上其他 SD-WAN 解决方案不同，Fortinet Secure SD-WAN 的全方位 SD-WAN 解决方案包含强大的 SD-WAN 威胁防护功能。内置下一代防火墙 (NGFW) 为第 3 层至第 7 层提供安全控制，并通过单一设备提供业界领先的性能，该设备使用的是专门为其打造的业界首款 SD-WAN 应用程序专用集成电路 (ASIC) 芯片。Fortinet Secure SD-WAN 设备还包含一套集成入侵防护系统 (IPS)，可对分支机构进行全面的流量检测。因此，流量可以直接路由到目的地，从而在不牺牲安全性的情况下提高网络性能，尤其是云流量。

Fortinet Secure SD-Branch 为利用 Fortinet SD-Branch 提升分支机构的安全性奠定了基础。Fortinet SD-Branch 为从互联网到交换层的分支机构安全基础架构提供集中可视性和管理，以此提高安全运营的效率，简化合规性活动的安全控制实施和数据收集，并提升企业 WAN 的可视性和安全性，使 CSP 得以减少额外开销并优化运营成本。作为 Fortinet SD-Branch 的一部分，FortiAP 无线接入端可为企业和访客网络提供高性能、安全的网络连接，而 FortiNAC 可为连接到网络的所有设备提供自动识别和访问控制。

通过 Fortinet Secure SD-WAN 提供的可靠且安全的网络连接，分支机构还可以部署 IP 语音 (VoIP) 来代替单独的电话服务，而无需担心带宽消耗、可用性或体验品质。在这里，FortiVoice 提供了易于设置且灵活的 VoIP 解决方案，使用 Fortinet SD-Branch 内置的交换和访问控制功能可以将该解决方案与其他企业和公共 Wi-Fi 网络隔离。为确保网络中断时的连接能力，FortiExtender 提供 3G/4G/LTE/5G 备份解决方案。

在选择网络解决方案时，CSP 需要的是能够满足其性能和安全性基准并提供以下功能的的解决方案：

• 超过 5,000 个签名，可实现应用程序流量的自动识别和最佳路由
• FortiGuard Labs 为应用程序数据库提供的恶意软件签名更新
• 集成式下一代防火墙 (NGFW)、杀毒、入侵防护系统 (IPS) 及应用程序控制，提供全面威胁防护
• 针对 SSL 和 TLS 流量进行高通量检测，以实现高性能、全面的威胁防护
• 集成式网络筛选功能，让独立的安全网络网关 (SWG) 成为多余
• 可扩充的高吞吐量覆盖虚拟专用网络 (VPN) 信道，可对机密流量进行加密

Fortinet SD-Branch 使 CSP 能够通过以下功能，将集中式安全可视性和管理扩展到分支机构位置：

• 使用 FortiGate NGFW 和 FortiNAC 实现连网物联网 (IoT) 设备的自动发现和安全保护
• 有线和无线网络的全面安全集成
• 零接触设备提供，通过单一管理接口实现可视性和管理
• 从单一位置管理防火墙、以太网络交换机和 WLAN 接口

通信服务提供商 (CSP) 是恶意软件攻击的常见目标。CSP 网络上的一个据点通过利用其信任的关系，将恶意软件传播给客户。CSP 需要能够侦测和封锁在其网络上运行的恶意软件。但是，根据 FortiGuard Labs 进行的分析，每天侦测到的恶意软件中有 40% 是零时差或以前未知的威胁。                                                          

高端威胁防护需要多层防御，包括以下功能：

• 识别及防范已知及未知威胁
• 侦测并补救内部威胁
• 自动隔离并分析沙箱内的可疑内容
• 利用欺骗技巧来识别内部威胁
• 人工智能 (AI) 和机器学习 (MI) 驱动的即时威胁情报
• 持续更新威胁情报和恶意软件签名

FortiGuard Labs 利用每天分析超过 100 亿个安全事件所得的数据，以极高的准确度快速收集、分析威胁情报并进行分类。它利用 AI 和 ML 编写恶意软件签名并将其发布到整个 Fortinet Security Fabric 中。通过 Fortinet Security Fabric 在整个组织网络中提供的集成，安全团队还可以利用最新的安全协调、自动化和回应功能 (SOAR)。

广泛分布的 CSP 网络为未知威胁提供了许多潜在访问途径，包括公共 Wi-Fi、移动设备和联网的物联网 (IoT) 设备。FortiGate 下一代防火墙 (NGFW) 侦测到的任何可疑内容，在到达网络前都会转送到 FortiSandbox 进行隔离和检测（包括 SSL/TLS 内容解密）。FortiSandbox 生成的威胁情报随后会通过 Fortinet SecurityFabric 与其他安全组件共享。FortiEDR（端点侦测和回应）高端端点保护以较小的占用空间提供高端端点保护，并且具有高可用性保证，能够保护企业关键系统。

当然，网络威胁并不限于外部攻击者。企业组织可以使用 FortiDeceptor 来识别获得网络访问权的内部恶意人员或攻击者。FortiInsight 的用户和实体行为分析 (UEBA) 功能有助于识别端点或用户可能对企业造成威胁的异常行为、不合规行为或可疑行为。

越来越多的企业开始采用面向企业关键数据保存和应用程序的云服务，而这些资源都需要强大的安全防护。虽然大多数云服务供应商都提供内置的安全设置，但企业经常设置错误，使得敏感数据容易外泄。常见的原因是对云共享责任模型的误解，该模型概述了分配给云服务提供商和客户的安全责任以及他们的共同责任。

在云实现集中可视性和一致的安全组态管理也很复杂，每个云供应商提供的内置安全控制和接口都不一样。保护云安全需要集中掌握内部部署、云部署以及安全解决方案的可视性，这些解决方案专为多云环境的云应用程序提供一致的安全与原则管理。

要保护多云网络安全，首先需要实现全网络的可视性和集中组态管理。Fortinet Security Fabric 与主要云服务提供商和超过 250 个第三方安全解决方案原生集成，能够集中控制整个网络中的可视性和安全性原则运行，从而打破不同云部署之间的孤岛。通过这种集中式控制，安全团队无须手动设置每个云服务提供商提供的安全设置。

企业实现云部署的全面可视性后，下一步就是要保护云应用程序。支付卡行业数据安全标准 (PCI DSS) 等许多法规都要求网站应用程序防火墙 (WAF)。PCI DSS 第 6.6.条规定，DevOps 环境必须要有 WAF，除非企业每次修改应用程序时都会运行完整的代码查看。

因此，WAF 是公司云安全部署的重要组成部分。FortiWeb Web 应用防火墙 WAF 以实体设备、虚拟机 (VM) 或软件即服务 (SaaS) 的形式提供，能够为企业网站、支付入口和 Web 应用程序开发接口 (API) 提供云原生保护。

企业也必须对云部署的访问权进行整体管理。FortiCASB 和 FortiCWP 可提供云原生访问控制和工作负载保护，简化了多云部署的可视性和安全管理工作。最后，FortiGate 下一代防火墙 (NGFW) 以云原生基础架构即服务 (IaaS) 的形式提供，可为任何部署环境提供可扩充的安全性。

应用程序和数据储存并非企业唯一需要保护的云资产。越来越多的企业开始利用云 SaaS 电子邮件解决方案，例如 Google Mail 或 Microsoft Office 365。FortiMail 邮件安全网关使企业能够使用同一个电子邮件网关来保护 SaaS 和内部电子邮件部署。

总之，Fortinet 自适应云安全解决方案包含多云环境安全防护所需的各种功能，例如：

• 与各大主要云服务提供商的安全功能原生集成
• 从单一管理接口实现多云环境的全网络可视性和管理
• 云原生网站防护、电子邮件及防火墙解决方案
• 整个资安基础架构中共享人工智能 (AI) 驱动的即时威胁情报
• 自动识别 5000 种应用程序流量，包括加密云应用程序数据
• 使用 Secure SD-WAN 实现安全、高性能的云资源连接