讲解过的安全服务边缘 (SSE)
随着混合工作环境的出现,用户可以从任何地方,通过任何设备进行连接,直接在云中访问业务应用程序和敏感数据。随着传统安全边界的不断消失,安全功能也必须迁移到云端。组织可以通过 SSE 从云端应用一致的安全性,并可对访问多个云、数据中心和软件即服务应用程序中的应用程序访问进行保护。将 SSE 解决方案与高级 SD-WAN 结合使用可创建安全访问服务边缘 (SASE) 架构,显著提高最终用户对云托管应用程序的体验质量。
SSE 的工作原理是什么?
SSE 解决方案可保护对 Web、云服务和私有应用程序的远程访问。
之前,企业会将其应用程序集中托管在数据中心,便于进行各种安全检查,例如防火墙和 IDS/IPS。随着应用程序迁移到云端和远程工作计划,现在企业都在努力防止其应用程序受到外部威胁,因为它们在传统安全边界之外的分布式环境中运行。IT 部门无法通过传统网络基础设施监控用户和 SaaS 应用程序之间的所有连接。此外,将以云为目标地址的流量引导至数据中心进行安全检查会对应用程序性能和用户体验产生明显的不利影响。
安全服务边缘解决方案是云交付的服务,组织可以通过这些服务在更接近端点(包括用户和设备)的位置执行高级安全检查。它可以创建一个动态安全边界,无论用户从何处连接,都可以提供威胁保护、数据安全、安全监控和访问控制。
SSE 的组件
安全服务边缘 (SSE) 包括四个核心安全组件:
- ZTNA
ZTNA 假定,默认情况下任何用户都不可信,不能让他们访问任何内容,除非有证据证明这是另一种情况。与允许连接的用户广泛访问公司网络的 VPN 不同,ZTNA 会通过可信的代理将用户访问限制为仅限允许用户访问的特定应用程序或微分段。 - CASB
CASB 可识别和检测云应用程序中的敏感数据,包括云到云的访问,还可以实施安全策略,例如身份验证和单点登录 (SSO)。它可以防止用户注册和使用未经组织 IT 和安全策略授权的云应用程序。组织可以通过这一功能减少会导致安全和合规问题的影子 IT。 - SWG
SWG 可使用多种防御技术防止组织受到基于 Web 的威胁。它位于用户和网站之间,以便用户连接到 SWG 解决方案,这样可以执行多项安全检查,包括 URL 过滤、恶意代码检测和 Web 访问控制,然后将流量重定向到网站。 - FWaaS
FWaaS 是一种基于云的防火墙,可以对来自多个来源的流量进行分析。FWaaS 可以整合来自组织运营的多个位置的流量,包括公司总部、远程分支机构和移动用户。 FWaaS 通常支持 IDS/IPS、高级威胁预防、URL 过滤和 DNS 安全等重要的访问控制功能。 - 除了上述核心功能之外,还可以提供其他安全服务,例如数据防丢失 (DLP)、远程浏览器隔离 (RBI) 和沙盒。
SSE 和 SASE 有什么区别?
2019 年,Gartner 创造了 SASE(安全访问服务边缘)一词,将 SD-WAN 功能与云交付的安全服务相结合。尽管网络和安全密切相关,但它们仍然是两个不同且非常复杂的专业领域。安全领域发展迅速,以确保防范不断变化的网络安全风险,而广域网旨在提供快速、稳健和灵活的连接。此外,安全和网络通常由不同的团队管理。
2022 年初,Gartner 发布了 SSE 魔力象限报告,作为 SASE 云交付安全组件的一个新类别。SSE 可以定义有助于实现 SASE 安全愿景的成套安全服务,而 SD-WAN 则可以定义 SASE 的 WAN 边缘网络功能要求。
简言之,SASE = SD-WAN + SSE
为什么要考虑 SSE?
- SSE 可以提供安全的远程访问
由于混合工作模式成为一种新常态,企业必须保护远程工作人员的安全,以便他们可以从任何地方进行连接。SSE 可提供零信任功能,假定默认情况下所有用户都是不可信的。用户可以根据身份识别访问网络的某些部分并查看仅与他们在组织中的角色相关的云应用程序,从而防止他们访问和利用敏感的公司数据。 - SSE 可以防止云优先的组织受到外部威胁
随着数字化进程的加速,网络犯罪也在以同样的速度增加。由于大多数应用程序已迁移到云端,组织现在必须找到有效的方法来保护其数字资产。SSE 可提供防火墙功能,并使用 URL 过滤和恶意代码检测等多种技术方案防止组织受到基于 Web 的威胁。它可以凭借其 CASB 功能实施安全策略,以保护托管在云端的敏感数据。远程浏览器隔离 (RBI) 等其他安全功能可通过重建没有恶意代码的网页将 Web 用户与互联网隔离。 - SSE 有助于通过高级 SD-WAN 构建同类最佳的组合式 SASE
通过与多个 SSE 供应商紧密集成,组织可以通过高级 SD-WAN 解决方案构建同类最佳的组合式 SASE 架构,同时不会影响性能或安全性。组织可以可以通过它自由选择最佳的 SSE 解决方案。为了与 SSE 解决方案集成,高级 SD-WAN 可以自动配置分支机构和 SSE 服务站点之间的安全隧道,识别第一个数据包上的应用程序,为来自特定应用程序的流量分配策略,并根据组织设置的安全策略自动将流量路由到 SSE 服务。
SSE 有什么好处?
- 改进的安全性
SSE 可以让用户更加安全,还可以为企业外部的连接提供更灵活的方式。SSE 托管在云中,可轻松实现更新,以应对最新的安全威胁,并且可以立即自动将策略更改推送给远程用户,从而提供一致的安全方法。 - 简化运营
SSE 可将多种安全服务统一到一个平台中,并可通过删除重复数据和协调安全策略来避免叠加并利用单一平台的优势。它可以从中央位置提供对安全事件的更大的可见性,并有助于简化运维操作并降低成本。 - 同类最佳的组合式 SASE
借助 SD-WAN 和 SSE 这两种不同的功能,企业可以选择适合其需求的最佳网络和安全功能,以构建同类最佳的组合式 SASE 架构。此外,组织可以集成可根据角色和身份进行动态网络分段的下一代防火墙功能,进而通过高级 SD-WAN 解决方案超越 SASE,并保护物联网设备的安全。