Security Fabric架构防御云端威胁

赵明

为了在竞争中脱颖而出，企业需要采用新的方式将用户、设备、数据、应用程序和服务连接起来。为此，这些企业采用各种基于云计算的架构和服务。这些架构和服务可以使企业更灵活地适应市场需求。同时，这些架构和服务可以更快速地响应用户的需求并且与用户保持互动。

现在的网络实际上是被同步到一起的不同联网生态系统（传统云、私有云，WAN和SD-WAN、物联网、公共云，包括IaaS、SaaS，以及高度移动化的终端用户）的集合。在这个由各级网络组成的大网络中，数据需要在不同环境之间自由移动、被反复处理和关联，并且能够通过各种应用程序和服务自动传送给员工、合作伙伴和客户。

为有效利用云的规模、弹性和效率优势，所有环境范围内的数据和安全要素必须进行集成以实现可见性，并且能够共享威胁情报以实施自动化的防护。但是因为这些数据中有一部分是本地管理的，一部分是散布各地的，还有一些驻留在第三方服务供应商拥有的网络上并由其进行维护，因此，问题在于以什么样的方式将这些数据连接起来并进行管理和保护，从而实现统一的可见性和控制力。

事实上，ESGResearch最近的一次调查显示：62%的网络安全专家认为，难以在基于云计算的工作负载中获得与其物理网络上水平相同的可见性；而56%的专家声称，其所属组织的当前网络安全操作和流程缺乏云端所需的自动化和编排程度。

为应对该挑战，Fortinet（防御网）将Fortinet Security Fabric的性能、自动化、可见性和管理延伸到所有类型的云环境中，涵盖私有和公共云生态系统。这些增强型功能包括增加的可扩展性、新的公共云特性，以及通过新的CASB（云访问安全代理）服务将可见性延伸到软件即服务（SaaS）中。所有这些新功能的设计目的都是提供云级别的最佳安全性能。

Fortinet已经扩展了Security Fabric架构核心功能的覆盖范围，以确保企业能够在云环境中拥有与其在物理网络上水平相同的网络安全和威胁情报服务。其最新的增强措施（包括最新发布的FortiOS 5.6）为企业和服务供应商提供了灵活的端到端云安全服务。

这些云服务具备以下特征：

第一，无与伦比的私有和公共云安全性能。提高云环境中安全装置的性能很具挑战性，因为这些装置的性能受限于安装它们的虚拟机CPU功率和容量。鉴于组织需要处理的数据量非常之多，云端安全有可能变得成本更高或成为瓶颈。

为解决这一难题，Fortinet对FortiGate安全设备进行了重大优化，使设备的单核处理速度比之前的基准值快3倍，增加了在单一虚拟机中选择16、32或更多CPU核心的容量选项。这就使私有和公共云的云级别安全性能具有较高的性价比优势。

第二，通过请求式和自动扩展功能实现面向Azure和AWS的自动化公共云安全。企业正加速将IT基础设施向云端迁移，云端的按需消费模式可以帮助他们从CapEx转向OpEx。这样做有很多好处，其中包括使IT员工再度关注业务关键型流程（无需再构建基础设施以满足高峰需求），重新增加对业务的战略再投资。

安全需要通过类似自动扩展和请求式防护的服务来适应这些云环境需求，同时还要在分布式企业网络生态系统范围内维持一致的安全配置文件、集中式策略和情报编排，以及可见性服务。

Fortinet Security Fabric虚拟解决方案如今可以根据需求通过Azure云市場提供完整的内容和网络防护服务。自动扩展和编排功能已实现升级的Fortinet解决方案现在同样可用于按需服务式AWS和BYOL，使弹性工作负载和安全防护能够随着网络对流量和数据需求的动态适应而自动增减。

第三，按需服务式虚拟机为云供应商提供即付即用计量服务。服务提供商和MSSP（安全管理服务提供商）云端业务模型必须具备对客户消费的云端资源准确计费的能力。这种能力对于安全服务来说尤其难以掌握，因为许多基于云计算的安全工具仅是企业型设备的虚拟版本。这意味着，以前，它们不能提供所需的工具对安全消费进行计量和追踪。这不仅是服务提供商的问题。许多提供集中式计费IT服务的大型企业都在努力根据业务领域（LOB）对需要的安全服务施行适当收费。

Fortinet新的按需服务式虚拟机目前为云供应商、安全管理服务提供商，以及具有大量私有云资源的企业提供交钥匙式虚拟机许可和供应平台。计量功能允许他们使用其他云服务提供的定价模式为终端用户或业务领域提供按需定价和自动化。按需服务式虚拟机安全平台支持基于消费的即付即用计费，为MSSP提供基于小时或数量的计量选项，以及NFV编排兼容性。按需服务式虚拟机与FortiHypervisor共同为云供应商和企业提供物理、虚拟和混合用户端设备（CPE）等选择，以便提供可管理的安全服务和SD-WAN服务。

第四， FortiCASB保障云端应用安全。通过SaaS应用程序在云端进行存储、处理和访问的数据量急剧增加。当前，几乎每个组织都使用某种基于云的应用程序，范围包括从简单的数据存储到客户和库存数据库管理，再到转向基于云的办公工具以加强协作和提高生产力。

近期，很多企业一直在勉力应对一些安全挑战，包括：

1.无法了解云端存储了哪些数据。

2.谁在访问这些数据。

3.如何通过恶意软件入侵检测和防护确保数据的完整性。虽然某些组织现在能够在用户通过网络进行连接的情况下监控SaaS应用程序流量，其面向离线设备和用户的安全选项却受到限制。

Fortinet基于API的FortiCASB（云访问安全代理）服务使IT团队能够维持对某些应用最为广泛的SaaS应用程序（包括Office 365）的安全可见性，无论用户是在线或者离线。FortiCASB是用户和应用程序之间的云端安全代理，可以进行身份验证和访问控制，保护数据免受云端威胁和恶意软件的侵害，控制哪些数据可以离线存储。同时，Fortinet运用合规和审计工具对SaaS应用程序进行更精细的优质控制，并且将可见性延伸到这一日益增长的网络领域。endprint