世界的なデジタル変革の潮流の下、多国籍企業の組織、施設、人材の世界的な分散は、WAN 構築にネットワークの複雑さをもたらすだけでなく、より深刻なセキュリティ上の課題ももたらします。世界的に有名な多国籍企業は、中国におけるネットワーク セキュリティのアップグレードと変革の過程で、国内の IDC オペレーターとフォーティネットの共同ソリューションを採用しました。
フォーティネット SASE ソリューションの優れた互換性と統合機能は、多国籍企業のゼロトラスト ネットワーク アーキテクチャのスムーズなアップグレードを実現しただけでなく、中国地域をグローバル ネットワーク セキュリティの統合アーキテクチャにシームレスに統合し、迅速に構築することも可能にしました。 IDC オペレーター向けのネットワーク 迅速な配信、便利な管理、自動運用とメンテナンスを備えた SASE サービス プラットフォームが確立されており、多国籍企業により良いサービスを提供するだけでなく、将来的により多くの企業にサービスを提供するための基盤を築きます。
背景と構築の概要
ある多国籍企業は、さまざまな電化製品の製造と販売を行っており、中国と北東アジアが重要な事業の一部であり、その事業収益は世界総事業量のほぼ 4 分の 1 を占めています。世界的なクラウド化、デジタル化、サービス化の波の中で、同社のIT、ネットワーク、セキュリティなどのインフラは全面的に刷新され、OAやERPなどの基幹業務アプリケーションシステムをクラウド化する時代が本格的に到来している。サービス指向のセキュリティ ホスティング システム。
同社は、米国およびその他の地域でクラウドベースのエージェントベースのSASEソリューションの導入を完了し、広域ネットワークなどの主要インフラストラクチャをSD-WANアーキテクチャに完全にアップグレードし、ネットワーク構築、保守、運用の利便性を実現しました。とセキュリティ機能が大幅に向上しました。中国地域は同社の主要な事業分野として、世界的なネットワークセキュリティやその他の構築のペースに迅速に追いつくことが急務となっている。
歴史的な理由により、同社の中国地域の初期段階で構築されたネットワークおよびセキュリティ インフラストラクチャの一部は、依然としてクラウド、ブランチ オフィス、その他のシナリオの役割を果たすことができますが、サプライヤーのメンテナンスが失われているのが現状です。したがって、中国企業にとっては、既存のネットワーク、セキュリティなどのITインフラを可能な限り活用しながら、古いリソースの活用を実現しながら、ネットワークセキュリティアーキテクチャのスムーズな進化を実現することが最善の選択となります。
地理的分布の観点から見ると、同社の中国地域には主に北部と南部の 2 つの主要な事業エリアがあります。現在、中国地域ではクラウド化とデジタル化の過程で、さまざまな業務システムのクラウド化、複数のアベイラビリティゾーンとローカルデータセンターの共存が実現されており、同時にデータ処理の一部においては、ローカル コンピューティングとコンピューティング エッジ ノード シンクの適時性を最大限に活用します。組織と人材の面で、中国は本社オフィス、支社、モバイルオフィス、リモートオフィスの混合オフィスモデルを形成しています。
変革とアップグレードの主な課題
そのため、同社の中国におけるネットワークとセキュリティの構築は複雑な課題に直面している。オンクラウドとオフクラウドの統合によりハイブリッド ビジネス システムが形成される一方で、複数のアベイラビリティ ゾーンの展開によりビジネスとアプリケーションがユビキタス化され、ハイブリッド オフィス モデルの正規化と相まって、攻撃対象領域が広がります。無限に広がります。エッジはどこにでもあり、脅威はどこにでもあります。
新たな課題の下では、中国でもネットワークとセキュリティの構築が継続しており、クラウドやブランチ オフィスへの投資も行われていますが、これらのソリューションは依然として新しいモデルと課題に対応できていません。
1
1 つ目は安全なアクセスです。現時点では、中国はすべてのアクセス ユーザーに対して統一的なセキュリティ管理と制御を実装することはできません。分散アーキテクチャ下のビジネス アプリケーションや従業員のオフィスは、大きなセキュリティ リスクに直面しています。ユビキタスな訪問者とマルチポイントをどのように実現できるでしょうか。アクセスされたビジネス アプリケーションは安全に制御されますか?
2
2 つ目は、クラウドとネットワークの相互接続です。クラウドとローカル データ センターのマルチポイント サービス アプリケーション展開アーキテクチャの下で、クラウド ネットワークとオフクラウド ネットワークを迅速かつ安全に相互接続するにはどうすればよいでしょうか? これに対応して、各支店構造、モバイル オフィス、リモート オフィスのユーザーをクラウドやデータ センターに迅速かつ安全に相互接続するにはどうすればよいでしょうか?
3
3 つ目は、ゼロトラスト セキュリティ アーキテクチャの実装です。中国地域では、ゼロトラストの概念が現在の課題を解決するための鍵であると強く認識していますが、多地点分散ビジネス システムと制御をどのように統合して実装するかが課題です。ユビキタス端末を導入し、実現可能なシステムを確立し、ゼロトラストの基本原則を効果的に実装するにはどうすればよいでしょうか?
4
4つ目は運用・保守の問題で、支店と本社では規模やリソースが大きく異なるため、十分な人材や物的支援が得られない中で支店のネットワークやセキュリティレベルをどう確保するか、それぞれのインフラ構築コストをどう削減するかなどです。ブランチを作成し、日々の O&M の複雑さを軽減しますか? さまざまな保護間の知識の複雑さを軽減するにはどうすればよいでしょうか?
フォーティネットのソリューションの概要
中国における企業のネットワーク セキュリティ構築の課題とニーズを十分に考慮した上で、フォーティネットと IDC オペレーターはそれぞれの利点を組み合わせてマネージド SASE ソリューションを構築しました。IDC オペレーターは基盤となるコンピューティング リソースとネットワーク/インターネット リソースを提供し、フォーティネットは技術リソースと機能リソースを提供します。さまざまな側面を一元的に統合することで、顧客が自社で管理する、または運用および保守サービスによってホストされる一連の安全なアクセス サービス エッジを確立できるように支援します。
以下は、実際の顧客のクラウド マネージド SASE 全体のアーキテクチャ図です。
顧客は、IDC オペレーターのパブリック クラウド プラットフォームを通じて 2 つの地域アクセス センターを設立し、それぞれ中国北部と南部のブランチ構造へのアクセスを担当しました。フォーティネットの SD-WAN ソリューションは、顧客がブランチとクラウド、ブランチ、およびブランチを迅速に相互接続するのに役立ちます。データセンター、クラウド、データセンター。
アクセス センターは、オープンで自由な作業環境で端末顧客の迅速な相互接続を促進するために、(端末エージェントの導入による) 直接端末アクセスもサポートします。攻撃対象領域を保護するため、端末エージェントが自らの環境を自動識別し、端末が物理オフィスにいない場合には自動的にセンターに接続し、シームレスなセキュリティ保護を実現します。
同時に、端末エージェントは環境を監視するだけでなく、ベースライン プログラム (EPP、EDR) をインストールするかどうか、GPO ポリシーを実装するかどうか、ベースライン端末に準拠するかどうかなど、独自の状態検出も実行します。バージョンやその他の情報。これらの端末のステータスを監視することで、端末のセキュリティを効果的に理解および認識し、端末がセキュリティ ベースラインを満たしているかどうかを識別できます。さらに、これらの状態はリアルタイムで監視され、端末がベースライン セキュリティに準拠していないことが判明すると、その端末のサービス アクセスは直接ブロックされ、環境全体のセキュリティに対する感度が高まります。
この環境では、フォーティネットの FortiGuard インテリジェンス ライブラリもローカルに展開され、最新のインテリジェンスをすべての監視コンポーネントに迅速に配布して、既知の脅威に対する全体的なセキュリティ保護の一貫性を実現します。未知の脅威の場合、クラウド アクセス センターはサンドボックス機能コンポーネントを展開します。これにより、未知のファイルと URL をシミュレートして分析し、関連するリスクをチェックして、未知のものを既知のリスクに変換します。お客様の毎日の超大量のファイル検出ニーズに基づいて、サンドボックス コンポーネントを NDR と効果的に統合することができます。これにより、高い検出率を維持しながらファイル検出効率が大幅に向上し、業界で最も包括的な未知の脅威検出機能が提供されます。
サービス全体は、全体的な運用と保守を IDC オペレーターによって提供されます。顧客は要件を提供するだけで済みます。特定の基礎となる構成とデバッグは IDC オペレーターによって実行されるため、顧客自身の運用と保守と知識に対するプレッシャーが大幅に軽減されます予約。同時に、SD-WAN テクノロジーを使用して専用線リソースをインターネット リソースに部分的に置き換えることにより、後の段階での顧客のコスト圧力も大幅に軽減されます。
顧客価値とプログラムの結果
このソリューションは、IDC オペレーターが提供する信頼性の高いインフラストラクチャに基づいており、顧客独自の利用可能なドメインに組み込まれており、顧客はシステムを完全に制御できます。これは、システムの制御可能、監査可能、および法的コンプライアンスの要件を満たします。
同時に、サービス全体は、マルチポイント構成を必要とせずに、一貫したポリシー アーキテクチャを提供します。全体的なアクセスでは、ビジネス アプリケーション機器とユーザー ID に対して複数の検証が実行されます。端末の状態を継続的に確認し、端末のアクセスやセキュリティ感度を自動かつ動的に調整します。端末が自動的にアクセストンネルを確立し、企業内外の訪問者のアクセス行動は全く同じになります。
このサービスは、企業のアクセスセキュリティ監視を包括的に改善し、 IDCオペレーターが顧客の運用保守問題を解決するためのフルマネージドサービスを提供するフォーティネットとIDCオペレーターが共同運営するマネージドSASEにより、企業が直面する実際の困難やさまざまな問題を効果的に解決します。お客様のリスク。
このソリューションには、優れた統合機能、便利なアクセスおよび展開機能、自動化された操作および処理機能が備わっています。これにより、企業はセキュリティ ソリューションの最速かつ最も便利なアップグレードを実現できると同時に、IDC オペレータにとっては、このソリューションにより高度なセキュリティ サービス機能を利用できるようになり、将来的に顧客が増えても、さらに多くの顧客が利用できるようになります。さまざまなセキュリティおよびネットワーク要件に対応するため、このソリューションを使用すると、管理および運用機能を便利に使用し、セキュリティ機能を迅速に構成およびデバッグし、オンラインで配信することができます。エンド カスタマーによるネットワーク セキュリティ機能の取得を加速すると同時に、セキュリティ機能も大幅に向上します。プラットフォーム運営者のサービス品質と自社のセキュリティ運用コスト、運用保守コスト、時間コスト。