一个风和日丽的周末,小A和小B聚在一起聊天。
小B回到家后立马查阅了各种资料,终于弄明白了SSE,还顺带理顺了SSE和SASE的关系。
什么是安全服务边缘 (SSE)?
Gartner将安全服务边缘 (Security Service Edge,SSE)定义为一组以云为中心的集成安全功能,有助于安全访问网站、软件即服务 (SaaS) 应用程序和私有应用程序。
这看起来好像很难理解,但是下面这句话可以让你一下子就明白,什么是SSE。SSE实际上就是SASE的一半,专注于安全服务;网络则构成了 SASE 的另一半。与 SASE 一样,SSE 融合了以云为中心的安全功能,以促进对 Web、云服务和私有应用程序的安全访问。SSE 功能包括访问控制、威胁防护、数据安全和安全监控。换句话说,SSE 混合了
- 零信任网络访问 (ZTNA)
- 安全 Web 网关 (SWG)
- 云访问安全代理 (CASB)
- 防火墙即服务 (FWaaS)
- ……
并将其整合到单一供应商、以云为中心的融合服务中。
为什么安全服务边缘很重要?
SSE 的理念与 SASE 的理念大致相同。传统网络安全架构的设计将数据中心作为访问需求的焦点。随着云和用户移动性的增加,这种需求正在转变,越来越多的用户、设备和资源需要置于企业网络之外。连接和保护这些远程用户和云资源需要广泛的安全和网络功能。SSE 产品整合了安全功能,允许企业通过云服务实施安全策略。与 SASE 一样,SSE 能够帮助企业降低复杂性、成本和供应商数量。
SSE 的优势:
1)用户、应用程序和企业数据无处不在。旧的以数据中心为中心的安全架构/产品需要调整。SASE是必要的调整。
2)当组织仅希望添加基于云的网络安全,而不与网络基础设施强绑定时,那SSE会是很好的选择 (例如,组织已经部署了 SD-WAN)。
3)SSE 往往具有更成熟的安全功能,与一些SD-WAN供应商相比,SSE能够吸引寻求更深层次安全功能的买家。
4)基于身份和上下文的零信任、最低特权访问是 SSE 产品的核心能力。
5)通过整合供应商,组织可以降低复杂性、成本和用于定义安全策略的控制台数量。这也有助于消除因使用多种不同产品的不一致而产生的风险。
6)敏感数据检查和恶意软件检查可以在所有访问渠道(SaaS、互联网和私有应用程序)中实现一致和并行,且比单独执行具有更好的性能。
7)组织在分支机构和总部能够拥有完全相同的安全体验。
SSE vs. SASE,找不同
除了名称中的“A”之外,SSE 与 SASE 的区别是什么?正如我们前文所说,SSE 构成了 SASE 的安全部分。在 SASE 内部,SSE 专注于统一所有安全服务,包括安全Web网关 (SWG)、云访问安全代理 (CASB) 、零信任网络访问 (ZTNA)和防火墙即服务 (FWaaS)。SASE 平台的另一半专注于网络服务的简化和统一,包括软件定义广域网 (SD-WAN)、广域网优化、服务质量 (QoS) 以及其他改进路由到云应用程序的方法。
SSE 和 SASE 都是身份驱动的,依靠零信任模型来限制用户对允许资源的访问。
SSE 和 SASE 之间最显著的区别归结为基础设施。借助SSE,无法或不愿意捆绑其网络基础设施的企业也可以拥有融合云安全服务的产品。
SSE的四大核心原则
原则 1:必须跟踪数据现在有很多传统的网络代理或防火墙无法识别的流量,甚至无法真正看到。现在用户无处不在,应用程序在多个云中,数据可以从任何地方访问。因此必须有一个安全检查点,随时随地跟踪数据,检查点需要位于云中,这样才能将其好处传递给用户和应用程序。原则 2:必须能够解码云流量解码云流量意味着安全必须能够查看和解释 API JSON 流量,这是网络代理和防火墙无法做到的。原则 3:必须能够理解数据访问的上下文超越仅仅控制谁有权访问信息,转向持续的、实时的访问和策略控制。这些控制基于许多因素,包括用户自身、他们正在操作的设备、他们正在访问的应用程序、活动、应用程序实例(公司与个人),数据敏感性、地理位置和时间等环境信号以及存在的威胁。所有这些都是实时理解他们试图访问数据的上下文的一部分。原则 4:不能减慢网络速度用户需要快速获取数据,并且网络必须可靠。如果安全性降低了访问速度或可操作性,生产力就会受到影响,企业就会权衡安全控制以换取网络速度和可靠性。这就是专用网络发挥作用的地方,这样我们就可以确保从最终用户到他们的目的地并再次返回的顺畅和有效的路径。
SSE的发展会面临什么挑战?
1)有优势同样也会有劣势,有的组织不想捆绑自己的网络基础设施,那会觉得SSE很棒,而有的就想要统一管理自然也会觉得分开很不方便,不想依赖于两个独立的供应商。
2)大多数领先的 SD-WAN 供应商目前通过自身也好或者通过合作伙伴也好都拥有一套 SSE 服务,这给 SSE 供应商带来了竞争压力,是否要增加基本 SD-WAN 功能。
3)因为市场是由能力的融合形成的,所以大多数厂商只在单一品类上表现较好,而在其他品类上存在差距。此外,一些供应商还没有一套完整的 SSE 服务(例如,他们缺少 FWaaS 或其他安全服务)。
4)一些供应商在敏感数据识别和保护方面很薄弱,这种能力对于基于风险和上下文的访问决策至关重要。
5)由于以云为中心,SSE 通常不满足对本地(例如文件服务器)和端点 DLP 的需求。
6)并非所有供应商都会对所有服务的性能 SLA作出承诺。
总的来说,虽然 Gartner 已经定义了目前SSE的安全功能,但随着越来越多的企业将 SSE 作为一个统一平台,未来SSE 服务提供商也将推出其他附加功能和服务,以此保障SSE平台的可靠性和稳定性。此外,正如 SASE 架构所定义的那样,未来网络服务与SSE平台的整合也非常重要。
参考:https://www.zscaler.com/resources/security-terms-glossary/what-is-security-service-edgehttps://www.catonetworks.com/blog/security-service-edge-sse-its-sase-without-the-a/https://www.gartner.com/doc/reprints?id=1-27NO4RVL&ct=211015&st=sbhttps://www.netskope.com/fr/security-defined/security-service-edge-sse
【活动专栏】
【转载须知】
若转载文章为原创文章,可在相应文章下或公众号后台留言;其他非转载类文章须在文首以不小于14号字体标明转载自SDNLAB。
【投稿】
欢迎SDN、NFV、边缘计算、SD-WAN、TSN、智能网卡等网络方向的观点类、新闻类、技术类稿件。
联系人:kk__wu(微信号)投稿邮箱:pub@sdnlab.com详情请参考:SDNLAB原创文章奖励计划