什么是 SSE?| 安全服务边缘(SSE)
安全服务边缘(SSE)
安全服务边缘(SSE)是 Gartner 在其 报告中提出的一个新兴网络安全概念。根据 Gartner 的说法,SSE 是以云为中心的集成安全功能的集合,有助于安全访问网站、软件即服务(SaaS)应用程序和 Private 应用程序。具体来说,与 SSE 相关的安全能力包括
为什么 SSE 很重要?
全面的 SSE 解决方案可为组织提供所需的全套安全技术,让员工、可信合作伙伴和承包商安全地远程访问应用程序、数据、工具和其他企业资源,并在用户访问网络后对其行为进行监控和跟踪。随着混合工作人员队伍的扩大,如何确保这些远程和移动用户以及他们访问的数据和应用程序仍然受到保护。
SASE 和 SSE 有什么区别?
SSE 提供全面 SASE(读作 "sassy")策略的安全服务要素。特别是,SSE 将访问控制、威胁防护、数据安全、安全监控和可接受使用控制功能整合到一个单一的云交付解决方案中。SSE 与 SD-WAN 相结合,形成了一个全面的 SASE 平台,通过集成的网络控制和应用 API,以及基于端点的控制,提供监控和策略执行功能。
SASE 是 Gartner 于 2019 年提出的一个网络安全概念。SASE 是将软件定义的广域网或 SD-WAN以及 CASB、FWaaS 和 ZTNA 等网络安全服务融合为单一的云交付的安全服务模式。
根据 Gartner 的说法,"SASE 功能是根据实体身份、实时上下文、企业安全/合规性政策以及在整个会话过程中对风险/信任的持续评估,以服务的形式提供的。实体的身份可以与人、人组(分支机构)、设备、应用程序、服务、IoT 系统或边缘计算位置相关联"。
通过 SASE Framework 提供的通用架构,组织可以简化管理,获得一致的可见性,并最大限度地保护用户、设备、Application 和数据,无论其位于何处。
上交所核心能力
SSE 解决方案要求具备这四种基本安全能力。
零信任网络接入(ZTNA)
零信任网络访问 (ZTNA)是一类根据定义的访问控制策略对应用程序和服务进行 安全远程访问 的技术。 虚拟专用网络 (VPN)允许用户完全访问局域网,与之不同,ZTNA 解决方案默认为拒绝,只提供用户明确授予的服务访问权限。
纵观构成全面安全战略的全套能力, ZTNA 提供了一种多层次远程访问安全方法,特别是提供了冗余的检查和执行层:
- 集中可视性和控制:了解谁在访问你的数据、数据存储在哪里以及敏感程度,并尽可能记录网络流量。
- 基于身份的认证ZTNA 技术根据完全可定制的身份验证方法,为用户提供精确的最低权限访问。即使在授予访问权限后,网络安全专业人员仍可监控用户行为,以发现恶意活动以及凭证被盗、恶意软件和数据丢失的迹象。
- 统一安全政策:在所有企业和第三方应用程序上执行安全策略,无论数据位于何处。
- 细粒度、基于角色的访问:只允许用户访问其工作绝对需要的数据。根据设备类型和连接地点限制访问。
- 连接后威胁监控如果攻击者仍能访问组织网络,则 ZTNA 功能仍在工作,并能根据攻击者的网络活动检测到攻击者。
安全网关(SWG)
安全 Web 网关(SWG) 除了应用和执行企业可接受使用策略外,还能保护用户免受基于 Web 的威胁。用户不是直接连接到网站,而是访问 SWG,然后 SWG 负责将用户连接到所需的网站,并执行诸如 URL 过滤、网络可见性、恶意内容检查、网络访问控制和其他安全措施等功能。
SWG 是全面 SSE 策略的重要组成部分,因为当用户与 企业 VPN断开连接时,SWG 可为用户提供安全的互联网接入。此外,全部门工作组还使各组织能够
- 根据可接受的使用政策,阻止访问不适当的网站或内容
- 执行安全政策,使互联网访问更安全
- 帮助保护数据免遭未经授权的传输
云访问安全代理(CASB)
CASB 可 帮助组织发现数据在多个软件即服务 (SaaS) 应用程序中的位置,以及数据在云环境、内部数据中心或移动工作人员访问时的移动位置。CASB 还能执行组织的安全、治理和合规性政策,允许授权用户访问和使用云资源,同时使组织能够在多个地点有效、一致地保护数据。目前有两种 CASB:传统 CASB 和集成 CASB。
有效的 SSE 策略使用集成的 CASB 来帮助组织跟上 SaaS 激增的步伐。集成式 CASB 使用在线安全机制,自动发现并控制现有 SaaS 应用程序和成千上万新出现的 SaaS 应用程序的所有 SaaS 风险。它还有一个基于 API 的安全机制,可扫描 SaaS 应用程序中的敏感数据、恶意软件和政策违规情况,同时保持合规性并实时预防威胁,而无需依赖第三方工具。
防火墙即服务(FWaaS)
FWaaS 使防火墙能够作为公司云基础设施的一部分交付,以保护基于云的数据和应用。
SSE 策略使用 FWaaS 功能,使组织能够汇聚来自多个来源的流量--无论是来自现场数据中心、分支机构、移动用户还是云基础设施。它还能在所有地点和用户之间提供一致的应用和安全执行策略,同时提供完整的网络可视性和控制,而无需部署物理设备。
SSE 使用案例和优势
安全访问
有了 SSE,无论用户身在何处,访问何种数据或应用程序,利用 SWG 都有助于执行互联网访问策略控制。SWG 是全面 SSE 策略的重要组成部分,因为当用户与 企业 VPN断开连接时,SWG 可为用户提供安全的互联网接入。此外,全部门工作组还使各组织能够
- 根据可接受的使用政策,阻止访问不适当的网站或内容
- 执行安全政策,使互联网访问更安全
- 帮助保护数据免遭未经授权的传输
更好的安全性
保护用户和应用程序的工作是通过 CASB 来完成的,即在造成损害之前对恶意软件进行检查、分类和隔离。有效的 SSE 策略使用集成的 CASB 来帮助组织跟上 SaaS 激增的步伐。
可见性与控制
ZTNA 2.0 提供了对用户访问内容的可视性和控制,并通过执行应用程序级访问而非网络级访问来限制风险。ZTNA 2.0 实现了这一点:
- 真正的最低权限访问
- 持续信任验证
- 持续安全检查
- 保护所有数据
- 确保所有应用程序的安全
SSE 部署与解决方案
各组织可以从两个方面着手设计和部署有效的安全电子设备。
- 组织可以针对每套所要求的安全技术评估不同的供应商,然后利用内部或第三方资源将这些功能整合在一起,形成一个综合的 SSE 解决方案。
虽然这种方法可以在各种要求中为组织提供他们最喜欢的能力或功能,但也会让组织面临大量的集成投资--无论是在部署时还是从长远来看。这种方法还要求进行大量的管理和监控,以确保所有产品和服务作为一个统一的平台持续协同工作,此外还要管理多个供应商关系及其各种服务水平协议。
- 组织可以对提供全面安全平台的供应商进行评估,这些平台已经集成了 FWaaS、CASB、SWG 和 ZTNA 等必要的 SSE 功能。这种方法可立即消除与多供应商方法相关的管理和集成问题。它还简化了整个系统生命周期内的故障排除和系统维护需求。
Prisma Access 在领先的云原生 SSE 平台中提供合并的同类最佳安全性,在单一统一平台上提供 ZTNA 2.0 和最佳用户体验。
安全服务边缘 (SSE) 常见问题解答
