SSE（安全服务边缘）

什么是 SSE（安全服务边缘）？

SSE 解决方案用于保护对网络、云服务和私有应用的远程访问。

过去，企业通过数据中心集中托管应用，以便于执行各项安全检查，如防火墙和 IDS/IPS。如今，随着企业将应用迁移到云以及实施远程办公计划，保护应用免受外部威胁越来越困难，因为这些应用在传统安全边界之外的分布式环境中运行。受老旧网络基础设施限制，IT 部门无法监控用户和 SaaS 应用之间的所有连接。此外，将云端流量引导至数据中心进行安全检查，会对应用性能和用户体验产生重大负面影响。

安全服务边缘解决方案是通过云交付的服务，使组织能够在更靠近端点（包括用户和设备）的位置执行高级安全检查。该解决方案建立了动态安全边界，无论用户从何处连接，都可以提供威胁保护、数据安全、安全监控和访问控制。

安全服务边缘 (SSE) 包括四个核心安全组件：

• ZTNA 秉持这样的安全原则：在未经证明之前，默认任何用户都不能访问任何内容。与普遍支持连接用户访问公司网络的 VPN 不同，ZTNA 通过信任代理，仅限用户访问获得批准的特定应用或微分段。
• CASB 识别和检测云应用中的敏感数据，包括云到云访问，并强制执行身份验证和单一登录 (SSO) 等安全策略。防止用户注册和使用未经组织 IT 和安全策略授权的云应用。这使组织能够减少导致安全和合规性问题的影子 IT。
• SWG 使用多种防御技术保护组织免受 Web 威胁。它位于用户和网站之间，以便用户连接到 SWG 解决方案。该解决方案执行多项安全检查，包括 URL 过滤、恶意代码检测和网络访问控制，然后将流量重定向到网站。
• FWaaS 是基于云的防火墙，可以分析来自多个来源的流量。FWaaS 整合来自组织多个运营地点的流量，包括公司总部、远程分支办公室和移动用户。FWaaS 通常支持关键访问控制，如 IDS/IPS、高级威胁预防、URL 过滤和 DNS 安全。
• 除了上述核心功能之外，还提供其他安全服务，如数据丢失防护 (DLP)、远程浏览器隔离 (RBI) 和沙盒。

SSE 主要关注通过云交付的安全服务。确保用户能够安全访问应用、互联网和数据。SASE 则兼顾了网络功能和安全功能。可将管理流量的 SD-WAN 与 SSE 集成为一个一致架构，不论用户或设备位于何处，都能提供连接和安全保障，确保在边缘的安全访问和网络性能。

网络和安全虽然密切相关，但却是两个截然不同且非常复杂的专业领域。安全技术需要迅速发展以确保抵御不断变化的网络安全风险，而广域网 (WAN) 的宗旨则是提供快速、可靠且灵活的连接。SASE 可以提供一致的安全保障措施、经过优化的性能、可扩展性和灵活性，能够协助简化和集成这些传统且彼此孤立的领域。SASE 可将这两个复杂的领域合并为完整服务，不仅无须具备这两个领域的专业知识，同时还能提供更好的安全保障措施和更高性能。

• SSE 提供安全的远程访问。鉴于混合办公已成为新常态，企业必须确保远程员工的安全，以便他们能够随时随地进行连接。SSE 提供零信任功能，其默认不信任任何用户。用户可以基于身份识别访问网络的某些部分，并查看仅与其在组织中的角色相关云应用，从而防止他们访问和利用敏感的公司数据。
• SSE 保护云优先组织免受外部威胁的影响。随着数字化进程加快，网络犯罪也以同样的速度增长。随着大多数应用转移到云，组织如今必须找到有效的方法来保护数字资产。SSE 为组织提供防火墙功能，且采用 URL 过滤和恶意代码检测等多种技术防范各类 Web 威胁。得益于 CASB 功能，SSE 通过强制执行安全策略来保护云中托管的敏感数据。诸如远程浏览器隔离 (RBI) 的其他安全功能通过重建杜绝恶意代码的网页，将网络用户与互联网隔离。
• SSE 和 SD-WAN 合力打造面面俱到的 SASE。组织应全力保障安全性，这就是为什么他们应结合各自的安全要求在以下两个可选方案之间自由选择。第一种方案是由单个供应商提供统一的 SASE 平台。该解决方案将高级 SD-WAN 功能与 SSE 功能相结合。它提供了统一的集成方法，支持快速部署且简化了管理。第二种方案是多供应商解决方案，其支持企业选择高级 SD-WAN 平台，该平台与多个云安全供应商紧密集成，简化了 SD-WAN 平台的连接，让企业可以灵活选择云安全供应商来满足特定需求。