Security Fabric架構防御云端威脅

趙明

為了在競爭中脫穎而出，企業需要采用新的方式將用戶、設備、數據、應用程序和服務連接起來。為此，這些企業采用各種基于云計算的架構和服務。這些架構和服務可以使企業更靈活地適應市場需求。同時，這些架構和服務可以更快速地響應用戶的需求并且與用戶保持互動。

現在的網絡實際上是被同步到一起的不同聯網生態系統（傳統云、私有云，WAN和SD-WAN、物聯網、公共云，包括IaaS、SaaS，以及高度移動化的終端用戶）的集合。在這個由各級網絡組成的大網絡中，數據需要在不同環境之間自由移動、被反復處理和關聯，并且能夠通過各種應用程序和服務自動傳送給員工、合作伙伴和客戶。

為有效利用云的規模、彈性和效率優勢，所有環境范圍內的數據和安全要素必須進行集成以實現可見性，并且能夠共享威脅情報以實施自動化的防護。但是因為這些數據中有一部分是本地管理的，一部分是散布各地的，還有一些駐留在第三方服務供應商擁有的網絡上并由其進行維護，因此，問題在于以什么樣的方式將這些數據連接起來并進行管理和保護，從而實現統一的可見性和控制力。

事實上，ESGResearch最近的一次調查顯示：62%的網絡安全專家認為，難以在基于云計算的工作負載中獲得與其物理網絡上水平相同的可見性；而56%的專家聲稱，其所屬組織的當前網絡安全操作和流程缺乏云端所需的自動化和編排程度。

為應對該挑戰，Fortinet（防御網）將Fortinet Security Fabric的性能、自動化、可見性和管理延伸到所有類型的云環境中，涵蓋私有和公共云生態系統。這些增強型功能包括增加的可擴展性、新的公共云特性，以及通過新的CASB（云訪問安全代理）服務將可見性延伸到軟件即服務（SaaS）中。所有這些新功能的設計目的都是提供云級別的最佳安全性能。

Fortinet已經擴展了Security Fabric架構核心功能的覆蓋范圍，以確保企業能夠在云環境中擁有與其在物理網絡上水平相同的網絡安全和威脅情報服務。其最新的增強措施（包括最新發布的FortiOS 5.6）為企業和服務供應商提供了靈活的端到端云安全服務。

這些云服務具備以下特征：

第一，無與倫比的私有和公共云安全性能。提高云環境中安全裝置的性能很具挑戰性，因為這些裝置的性能受限于安裝它們的虛擬機CPU功率和容量。鑒于組織需要處理的數據量非常之多，云端安全有可能變得成本更高或成為瓶頸。

為解決這一難題，Fortinet對FortiGate安全設備進行了重大優化，使設備的單核處理速度比之前的基準值快3倍，增加了在單一虛擬機中選擇16、32或更多CPU核心的容量選項。這就使私有和公共云的云級別安全性能具有較高的性價比優勢。

第二，通過請求式和自動擴展功能實現面向Azure和AWS的自動化公共云安全。企業正加速將IT基礎設施向云端遷移，云端的按需消費模式可以幫助他們從CapEx轉向OpEx。這樣做有很多好處，其中包括使IT員工再度關注業務關鍵型流程（無需再構建基礎設施以滿足高峰需求），重新增加對業務的戰略再投資。

安全需要通過類似自動擴展和請求式防護的服務來適應這些云環境需求，同時還要在分布式企業網絡生態系統范圍內維持一致的安全配置文件、集中式策略和情報編排，以及可見性服務。

Fortinet Security Fabric虛擬解決方案如今可以根據需求通過Azure云市場提供完整的內容和網絡防護服務。自動擴展和編排功能已實現升級的Fortinet解決方案現在同樣可用于按需服務式AWS和BYOL，使彈性工作負載和安全防護能夠隨著網絡對流量和數據需求的動態適應而自動增減。

第三，按需服務式虛擬機為云供應商提供即付即用計量服務。服務提供商和MSSP（安全管理服務提供商）云端業務模型必須具備對客戶消費的云端資源準確計費的能力。這種能力對于安全服務來說尤其難以掌握，因為許多基于云計算的安全工具僅是企業型設備的虛擬版本。這意味著，以前，它們不能提供所需的工具對安全消費進行計量和追蹤。這不僅是服務提供商的問題。許多提供集中式計費IT服務的大型企業都在努力根據業務領域（LOB）對需要的安全服務施行適當收費。

Fortinet新的按需服務式虛擬機目前為云供應商、安全管理服務提供商，以及具有大量私有云資源的企業提供交鑰匙式虛擬機許可和供應平臺。計量功能允許他們使用其他云服務提供的定價模式為終端用戶或業務領域提供按需定價和自動化。按需服務式虛擬機安全平臺支持基于消費的即付即用計費，為MSSP提供基于小時或數量的計量選項，以及NFV編排兼容性。按需服務式虛擬機與FortiHypervisor共同為云供應商和企業提供物理、虛擬和混合用戶端設備（CPE）等選擇，以便提供可管理的安全服務和SD-WAN服務。

第四， FortiCASB保障云端應用安全。通過SaaS應用程序在云端進行存儲、處理和訪問的數據量急劇增加。當前，幾乎每個組織都使用某種基于云的應用程序，范圍包括從簡單的數據存儲到客戶和庫存數據庫管理，再到轉向基于云的辦公工具以加強協作和提高生產力。

近期，很多企業一直在勉力應對一些安全挑戰，包括：

1.無法了解云端存儲了哪些數據。

2.誰在訪問這些數據。

3.如何通過惡意軟件入侵檢測和防護確保數據的完整性。雖然某些組織現在能夠在用戶通過網絡進行連接的情況下監控SaaS應用程序流量，其面向離線設備和用戶的安全選項卻受到限制。

Fortinet基于API的FortiCASB（云訪問安全代理）服務使IT團隊能夠維持對某些應用最為廣泛的SaaS應用程序（包括Office 365）的安全可見性，無論用戶是在線或者離線。FortiCASB是用戶和應用程序之間的云端安全代理，可以進行身份驗證和訪問控制，保護數據免受云端威脅和惡意軟件的侵害，控制哪些數據可以離線存儲。同時，Fortinet運用合規和審計工具對SaaS應用程序進行更精細的優質控制，并且將可見性延伸到這一日益增長的網絡領域。endprint