在全球数字化转型大潮下,跨国公司的机构、设施、人员等全球分布式特性,不但带来了广域网建设的网络复杂性,也带来了更加严峻的安全挑战。某全球知名跨国公司,在中国区进行网络安全升级改造的过程中,采用国内某IDC运营商与 Fortinet 的联合解决方案。
Fortinet SASE 方案的优异兼容性和集成能力,不但实现了该跨国公司零信任网络架构的平滑升级,使其中国区能够无缝融入其全球网络安全统一体系架构中,也为某IDC运营商快速构建起了快速交付、便捷管理和自动运维的 SASE 服务平台,在更好的服务该跨国公司的同时,也为未来服务更多的企业打下了基础。
背景及建设概况
某跨国公司从事各种电器生产销售等活动,中国及东北亚地区是其重要的业务组成部分,业务营收几乎占据其全球总业务量的1/4。在全球云化、数字化、服务化的大潮之下,该公司IT、网络、安全等基础设施全面升级,在OA、ERP等核心业务应用系统云化的基础上全面走向服务型安全托管体系时代。
该公司在美国等地区已经完成了基于云端代理的 SASE 解决方案落地,并将广域网等关键基础设施全面升级至 SD-WAN 架构,实现了网络建设、维护和运营的便利性,以及安全能力等的显著提升。作为该公司的业务重点区域,中国区亟待快速跟上全球网络安全等建设的步伐。
由于历史原因,该公司中国区前期建设的部分网络和安全基础设施仍然能够发挥云端、分支机构等场景的作用,但存在失去供应商维保的现状。因此,对于该公司中国区来说,在尽可能利用已有的网络、安全以及其他IT基础设施的前提下,实现资源利旧的同时,完成网络安全架构等的平滑演进是最佳选择。
从地理分布上来看,该公司中国区主要有南北两大业务区域。目前,在云化、数字化的进程中,中国区已经实现了多种业务系统的云化,多可用区与本地数据中心等形式共存,同时,为了充分发挥本地计算的时效性实现了一些数据处理和计算的边缘节点下沉。而在机构和人员方面,中国区正在形成总部办公、分支机构办公、移动办公、远程办公等多种形式混合的办公模式。
转型升级的主要挑战
因此,该公司中国区的网络和安全建设面临着复杂的挑战。一方面是云上和云下的融合形成了混合业务体系,同时,多可用区的部署让业务和应用变得无处不在,再加上混合办公模式的常态化,使得攻击平面无限扩大。边缘无处不在,威胁也无所不在。
新挑战之下,中国区网络和安全虽然也在持续建设,云端和分支机构都做了部分投入,但在这种新的模式和挑战之下这些方案仍然力不从心。
1
首先是安全接入访问,当前中国区无法实现对所有接入用户的统一安全管控,分布式架构下业务应用以及员工办公都面临着巨大的安全风险,如何让无处不在的访问者和多点部署的被访问业务应用都能安全掌控?
2
第二是云网互联,云端和本地数据中心的多点业务应用部署架构下,如何让云端网络快速安全的与云下网络进行互联?相应的如何使各个分支结构、移动办公、远程办公用户与云端和数据中心快速安全互联?
3
第三是零信任安全架构的落地,中国区非常认可零信任理念是解决其当前挑战的关键,但如何对多点分布的业务系统和无处不在的终端进行统一管控,建立可落地的零信任体系,以及如何有效执行零信任的基本原则?
4
第四是运维难题,分支机构与总部规模和资源相差很大,如何在没有足够人力、物力支持的情况下,保证分支机构的网络和安全水平,如何降低各个分支基础设施建设成本,降低日常运维复杂性?如何降低各个不同防护之间的知识化的复杂性?
Fortinet解决方案一览
在充分考虑该企业中国区网络安全建设挑战与需求的基础上,Fortinet 与某IDC运营商集合各自的优势构建了Managed SASE解决方案。由某IDC运营商提供底层的计算资源和网络/互联资源,由Fortinet提供技术资源和功能资源。通过各方面的集中整合可以帮助客户建立一套由自己管理或者运维服务代管的安全访问服务边缘。
如下就是一个真实客户整体云端Managed SASE的架构图。
该客户通过某IDC运营商公有云平台建立两个区域的接入中心,分别负责接入华北和华南的分支结构,通过Fortinet的SD-WAN解决方案可以帮助客户快速互联分支与云端,分支与数据中心,云端与数据中心。
该接入中心还支持直接的终端接入(通过部署终端Agent的形式),以方便终端客户在开放、自由工作环境中快速互联。为了防护攻击面,终端Agent自动识别自身环境,当终端不在实体办公室时,自动接入中心,进行无缝的安全防护。
同时终端Agent不仅仅只是监控环境,还会进行自身状态检测,比如是否安装基线程序(EPP、EDR),是否执行GPO策略、是否符合基线终端版本等等信息。通过这些监控终端的状态就可以有效的了解感知终端安全,识别终端是否符合安全基线。而且这些状态都是实时监控的,一旦发现终端没有符合基线安全,将直接阻断该终端的业务访问,提高整体环境对安全的敏感度。
该环境还在本地部署Fortinet的FortiGuard情报库,将最新的情报快速的分发到所有监控组件,实现整体已知威胁安全防护一致性。针对未知威胁,云端接入中心部署Sandbox功能组件,通过该组件可以针对未知文件和URL进行模拟运行分析并检查相关风险,将未知转化为已知风险。基于客户每天超大量的文件检测需要,Sandbox组件可与NDR有效集成,在保持高检测率的前提下极大地提升文件的检测效率,提供业界最全的未知威胁检测能力。
整体服务都是某IDC运营商提供整体运营和维护,客户只需要提供需求,具体底层的配置和调试均有某IDC运营商进行,大大减少客户自己的运维压力和知识储备压力。同时由于使用SD-WAN技术用互联网资源部分替代专线资源,也大大减少客户后期的成本压力。
客户价值与方案成果
该方案在某IDC运营商提供的可靠的基础设施之上,搭建在客户自己可用域中,客户对系统具有绝对的控制权。这样满足了系统可控、可审计并合规合法的合规要求。
同时,整体服务提供一致的策略体系架构,无需多点配置。整体接入对业务应用设备和用户身份进行多重验证。持续对终端状态进行检查,自动的动态调整终端访问性和安全敏感度。终端自动建立访问Tunnel,访问者在企业内部和企业外部访问行为完全一致。
该服务全面提升了企业访问安全性监控,通过某IDC运营商提供全托管服务,解决客户运维问题,通过Fortinet与某IDC运营商共同运营的Managed SASE,可以有效解决客户面临的实际困难和各种风险。
方案具有良好的集成能力以及便捷的接入部署能力,以及自动化的运营和处理能力。这使得该企业能够最快最便捷的获得安全方案的升级,同时对于该IDC运营商来说,这种解决方案使其具备了先进的安全服务能力,未来即便有更多的客户,提出更多样的安全和网络需求,其都能够通过该方案便捷的使用管理和运营能力,进行快速的安全功能的配置调试、上线交付,在加速最终客户获得网络安全能力的同时,也大大的提升该平台运营商的服务质量以及自身的安全运营成本、运维成本、时间成本。