通訊服務提供商的網路安全

通訊服務提供商 (CSP) 分支機構需要快速、可靠和可擴展的網路連線能力。通常，零售場所必須為客戶進行疑難排解和維修，因此他們必須能夠快速存取客戶資料，並能執行需要穩定、可靠網路連線的診斷測試。

透過傳統的多協定標籤交換 (MPLS) 線路部署這種連線解決方案不僅成本高昂，還缺少彈性。相比之下，軟體定義的廣域網路 (SD-WAN) 可提供 MPLS 的可靠性保證，但要透過寬頻連線運作。透過最佳化多個傳輸媒體的使用，SD-WAN 提高了連線速度，並降低了總體擁有成本 (TCO)。網路基礎設施最佳化可改善網路效能，並減少企業資料中心的負載，進而提升營運效率。這使 CSP 能夠滿足其服務等級協定 (SLA)，同時最大限度地減少營運成本 (OpEx)。

部署 SD-WAN 時要考慮的一個問題是，它需要額外的安全規定。為了充分利用 SD-WAN 的功能，必須在網路邊緣進行安全部署，進而產生多個點產品。Fortinet Secure SD-WAN 則不需要。與市場上其他 SD-WAN 解決方案不同，Fortinet Secure SD-WAN 提供包含強大 SD-WAN 威脅防護功能的全方位 SD-WAN 解決方案。內建新一代防火牆 (NGFW) 為第 3 層至第 7 層提供安全控制，並透過單一設備提供業界領先的效能，該設備使用的是專門為其打造的業界首款 SD-WAN 應用程式專用積體電路 (ASIC) 晶片。Fortinet Secure SD-WAN 設備還包含一套整合入侵防護系統 (IPS)，可對分支機構進行全面的流量檢測。因此，流量可以直接路由到目的地，從而在不犧牲安全性的情況下提高網路效能，尤其是雲端流量。

Fortinet Secure SD-Branch 為利用 Fortinet SD-Branch 提升分支機構的安全性奠定了基礎。Fortinet SD-Branch 為從網際網路到交換層的分支機構安全基礎設施提供集中可視性和管理，以此提高安全營運的效率，簡化合規性活動的安全控制實施和資料收集，並提升企業 WAN 的可視性和安全性，使 CSP 得以減少額外開銷並最佳化 OpEx。作為 Fortinet SD-Branch 的一部分，FortiAP 無線存取點可為企業和訪客網路提供高效能、安全的網路連線，而 FortiNAC 可為連線到網路的所有裝置提供自動識別和存取控制。

透過 Fortinet Secure SD-WAN 提供的可靠且安全的網路連線，分支機構還可以部署 IP 語音 (VoIP) 來代替單獨的電話服務，而無需擔心頻寬消耗、可用性或體驗品質。在這裡，FortiVoice 提供了易於設定且靈活的 VoIP 解決方案，使用 Fortinet SD-Branch 內建的交換和存取控制功能可以将該解決方案與其他企業和公共 Wi-Fi 網路隔離。為確保網路中斷時的連線能力，FortiExtender 提供 3G/4G/LTE/5G 備份解決方案。

在選擇網路解決方案時，CSP 需要的是能夠滿足其效能和安全性基準並提供以下功能的解決方案：

• 超過 5,000 個簽名，可實現應用程式流量的自動識別和最佳路由
• FortiGuard Labs 為應用程式資料庫提供的惡意軟體簽名更新
• 整合式新一代防火牆 (NGFW)、防毒、入侵防護系统 (IPS) 及應用程式控制，提供全面威脅防護
• 針對安全通訊端層 (SSL) 和傳輸層安全性 (TLS) 流量進行高吞吐量檢測，以實現高效能、全面的威脅防護
• 整合式網站篩選功能，讓獨立的安全網路閘道 (SWG) 成為多餘
• 可擴展的高吞吐量覆蓋虛擬私人網路 (VPN) 通道，確保對機密流量進行加密

Fortinet SD-Branch 使 CSP 能夠透過以下功能將集中式安全可視性和管理擴展到分支機構位置：

• 使用 FortiGate NGFW 和 FortiNAC 實現連網物聯網 (IoT) 裝置的自動發現和安全保護
• 有線和無線網路的全面安全整合
• 零接觸裝置配置，透過單一管理介面實現可視性和管理
• 從單一位置管理防火牆、乙太網路交換器和 WLAN 介面

通訊服務提供商 (CSP) 是惡意軟體攻擊的常見目標。CSP 網路上的一個據點透過利用其信任的關係，將惡意軟體傳播給客戶。CSP 需要能夠偵測和封鎖在其網路上運作的惡意軟體。但是，根據 FortiGuard Labs 進行的分析，每天偵測到的惡意軟體中有 40% 是零時差或以前未知的威脅。                                                          

進階威脅防護需要多層防禦，包括以下功能：

• 識別及防範已知及未知威脅
• 偵測並補救內部威脅
• 自動隔離並分析沙箱內的可疑內容
• 利用欺騙技巧來識別內部威脅
• 人工智慧 (AI) 和機器學習 (MI) 驅動的即時威脅情報
• 持續更新威脅情報和惡意軟體簽名

FortiGuard Labs 利用每天分析超過 100 億個安全事件所得的資料，以極高的準確度快速收集、分析威脅情報並進行分類。它利用 AI 和 ML 編寫惡意軟體簽名並將其發佈到整個 Fortinet Security Fabric 中。透過 Fortinet Security Fabric 在整個組織網路中提供的整合，安全團隊還可以利用最新的安全協調、自動化和回應功能 (SOAR)。

廣泛分散的 CSP 網路為未知威脅提供了許多潛在存取途徑，包括公共 Wi-Fi、行動裝置和聯網的物聯網 (IoT) 裝置。FortiGate 新一代防火牆 (NGFW) 偵測到的任何可疑內容，在到達網路前都會轉送到 FortiSandbox 進行隔離和檢測（包括 SSL/TLS 內容解密）。FortiSandbox 生成的威脅情報隨後會透過 Fortinet Security Fabric 與其他安全元件共用。FortiEDR（端點偵測和回應）進階端點保護以較小的佔地面積提供進階端點保護，且具有高可用性保證，能夠保護企業關鍵系統。

當然，網路威脅並不限於外部攻擊者。組織可以使用 FortiDeceptor 來識別獲得網路存取權的惡意內應或攻擊者。FortiInsight 的使用者和實體行為分析 (UEBA) 功能有助於識別端點或使用者可能對企業造成威脅的異常行為、不合規行為或可疑行為。

越來越多的組織開始採用面向企業關鍵資料儲存和應用程式的雲端服務，而這些資源都需要強大的安全防護。雖然大多數雲端服務提供商都提供內建的安全設定，但組織經常設定錯誤，使得敏感資料容易外洩。常見的原因是對雲端共享責任模型的誤解，該模型概述了分配給雲端服務提供商和客戶的安全責任以及他們的共同責任。

在雲端實現集中可視性和一致的安全組態管理也很複雜，每個雲端供應商提供的內建安全控制和介面都不一樣。保護雲端安全需要集中掌握內部部署、雲端部署以及安全解決方案的可視性，這些解決方案專為多雲端環境的雲端應用程式提供一致的安全與策略管理。

要保護多雲端網路安全，首先需要實現全網路的可視性和集中組態管理。Fortinet Security Fabric 與主要雲端提供商和超過 250 個第三方安全解決方案原生整合，能夠集中控制整個網路中的可視性和安全策略執行，從而打破不同雲端部署之間的孤島。透過這種集中式控制，安全團隊無須手動設定每個雲端服務提供商提供的安全設定。

組織實現雲端部署的全面可視性後，下一步就是要保護雲端應用程式。支付卡行業資料安全標準 (PCI DSS) 等許多法規都需要網站應用程式防火牆 (WAF)。PCI DSS 第 6.6. 条規定，DevOps 環境必須要有 WAF，除非組織每次修改應用程式時都會執行完整的程式碼檢閱。

因此，WAF 是公司雲端安全部署的重要組成部分。FortiWeb WAF 以實體設備、虛擬機器 (VM) 或軟體即服務 (SaaS) 的形式提供，能夠為組織網站、支付入口網站和網站應用程式開發介面 (API) 提供雲端原生保護。

組織也必須對雲端部署的存取權進行整體管理。FortiCASB 和 FortiCWP 可提供雲端原生存取控制和工作負載保護，簡化了多雲端部署的可視性和安全管理工作。最後，FortiGate 新一代防火牆 (NGFW) 以雲端原生基礎設施即服務 (IaaS) 的形式提供，可為任何部署環境提供可擴展的安全性。

應用程式和資料儲存並非組織唯一需要保護的雲端資產。越來越多的組織開始利用雲端 SaaS 電子郵件解決方案，例如 Google Mail 或 Microsoft Office 365。FortiMail 使組織能夠使用同一個電子郵件閘道來保護 SaaS 和內部電子郵件部署。

總之，Fortinet 自適應雲端安全解決方案包含多雲端環境安全防護所需的各種功能，例如：

• 與各大主要雲端服務提供商的安全功能原生整合
• 從單一管理介面實現多雲端環境的全網路可視性和管理
• 雲端原生網站防護、電子郵件及防火牆解決方案
• 分散在整個安全基礎設施中的即時、人工智慧 (AI) 驅動的威脅情報
• 自動識別 5,000 種應用程式流量，包括加密雲端應用程式資料
• 使用 Secure SD-WAN 實現安全、高效能的雲端資源連線