什么是安全服务边缘(SSE)?
安全服务边缘SSE(Security Service Edge)是SASE的安全服务部分,包括零信任网络访问(ZTNA)、防火墙即服务(FWaaS)、安全网络网关(SWG)、云访问安全代理(CASB)等功能组件。这些组件为企业带来诸多功能,例如访问控制、上网安全、威胁检测、云应用访问代理及数据安全等。同时,SSE还能够提供一致的业务体验、统一的安全防护以及集中的运维能力。这使得任何人,包括员工、客户、合作方和承包商等,无论身处何地,包括机场、家、分支等,在任何时间都能够便捷、安全地访问企业的私有程序、软件即服务(SaaS)应用以及互联网应用,进行远程办公或者移动办公。
为什么需要SSE?
在当今的企业运营环境中,数字化转型不断深入,远程办公、移动办公以及云SaaS服务的广泛应用成为了显著的趋势。这一趋势对企业的网络架构和安全管理带来了前所未有的挑战。
传统的分支和总部边界访问部署模式在这种新形势下暴露出诸多局限。例如,在传统模式下,分支若通过专线或者SD-WAN绕行总部访问Internet,总部的出口带宽很容易成为瓶颈。随着业务量的增长,尤其是在多个分支同时进行数据交互时,总部出口的压力会急剧增大,导致网络拥堵,影响办公效率。并且,这种绕行方式的费用也随着使用量的增加而越来越高。这时,就需要分支能直接访问互联网,来提升办公效率和降低带宽费用,但同时又不能牺牲网络安全性,传统模式很难做到两全其美。
另外,对于远程用户和移动用户来说,如果他们距离总部较远,在访问云SaaS服务时就会面临诸多限制。比如在数据隐私方面,由于传统模式下数据传输路径可能较为复杂,经过多个节点,增加了数据泄露的风险;在体验保证上,远距离传输可能会导致延迟较高,影响用户操作的实时响应,降低工作效率。
新形势下的网络安全需求如此复杂,需要多个技术组合来应对这些挑战。而在众多应对方案中,Gartner定义的SSE逐渐崭露头角。SSE将多种安全功能集成到一个统一的云原生服务中,涵盖了ZTNA、FWaaS、SWG、CASB等关键安全技术。这种集成式的服务能够有效应对传统模式的局限,为企业在数字化转型、远程和移动办公以及云SaaS服务广泛应用的背景下提供全面、灵活且高效的网络安全解决方案。它能够根据用户的身份、设备状态、应用程序上下文等多维度信息进行动态的访问控制,确保在满足安全需求的同时,保障用户体验,适应现代企业复杂多变的网络安全需求。
SSE有哪些好处?
与传统网络安全架构相比, SSE带来的主要好处有:
1. 更好地降低风险
SSE能够在不依赖传统网络安全设备的情况下实现网络安全交付。安全服务由云平台提供,该平台可依据用户到应用的连接进行操作,不受地理位置的限制。以统一的方式提供所有安全服务,提供一致性的安全防护能力,同时可以消除单点产品常见的漏洞,在云中自动进行安全更新,有效降低风险。
2. 零信任访问
ZTNA(SSE一个组件)基于用户、设备、应用和内容等因素持续的进行访问策略控制和风险评估,允许用户以最低权限访问云或私有应用。任何用户都不应被默认信任,而应基于身份和策略来授予访问权限。通过应用发布,应用程序不会无限制的暴露在互联网上,减少了攻击面,一步将业务风险降至最低。
3. 用户体验
按照Gartner的定义,SSE必须完全分布于全球范围的数据中心。最佳的SSE架构专为在每个数据中心进行检测而构建,就近提供安全服务,而非由供应商将其SSE平台托管在IaaS基础设施中。这种分布式架构能够为远程办公用户和移动用户提供就近接入服务,保证最优体验。他们不再需要使用速度缓慢的VPN,并且能够快速、无缝地访问公有云和私有云中的应用程序。
4. 整合优势
通过统一所有关键安全服务,能够降低成本和复杂性。SSE能够提供诸多关键安全服务,如ZTNA、FWaaS、SWG、CASB等,所有这些服务都集成在一个平台上,可以按需部署和启用。通过将所有访问的安全保护统一到一个策略之下,整合多个安全防护能力,可最大化的保证组织的数字安全。
SSE的核心组件有哪些?
SSE的四大核心组件是:
- ZTNA:基于“永不信任,始终验证”的原则,要求对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制,确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA通常与身份和访问管理(IAM)系统集成,以实现动态和上下文感知的访问控制。用户先认证后访问,访问行为实时监测,杜绝用户越权访问,对安全威胁及时处置。
- FWaaS:将防火墙功能提供为云服务的模式。它将传统的基于硬件的防火墙功能移至云端,通过云服务提供商来提供和管理防火墙服务,以保护企业的网络和应用程序安全。
- SWG:用于保护用户在互联网上的Web访问安全。它通过集成多种功能和技术来实现对Web流量的控制、监测和保护,以防止恶意软件、恶意网站和不良内容的传播。
- CASB:一种用于保护企业在使用云服务时的安全性和合规性的解决方案。它充当企业内部网络与云提供商之间的中间代理,为企业提供了对云环境中的数据和应用程序的可见性、控制和保护。
SSE与SASE有什么不同?
Gartner于2019年提出了SASE概念,随后在2021年又提出了SSE概念。SSE是对SASE架构中安全功能的细化并独立成类,二者在概念涵盖范围上有着明确的不同界定。SASE是一个将网络功能(SD-WAN)与安全功能(SSE)融合的整体架构,为企业提供从网络连接优化到安全防护的全方位统一网络与安全解决方案。而SSE更专注于安全功能的集合,是构成SASE安全部分的关键要素,为企业在云环境、网络访问等方面提供特定的安全功能保障。简而言之,SASE = SD-WAN + SSE,SSE = ZTNA + FWaaS + SWG + CASB,如下图所示。
SSE vs. SASE
SSE在华为星河AI融合SASE解决方案中的应用
华为星河AI融合SASE解决方案遵从MEF的SASE模型标准,将SD-WAN组网、安全性和远程访问融合到统一的网安融合解决方案中,并从逻辑功能上将SASE解决方案划分为管控层、SSE层、网络层和终端层。 其中,SSE层通过模块化灵活组合,为用户提供多种安全服务,包括ZTNA、FWaaS、SWG、CASB等流量型安全能力或非流量型安全能力。更多解决方案介绍请参见:华为星河AI融合SASE解决方案,解决方案部署和维护请参见:华为星河AI融合SASE解决方案产品文档。
