什麼是 SSE?| 安全服務邊緣 (SSE)
安全服務邊緣 (SSE)
安全服務邊緣 (SSE) 是 Gartner 在其 報告中提出的新興網路安全概念。根據 Gartner 的說法,SSE 是以雲端為中心的整合式安全功能集合,有助於安全存取網站、軟體即服務 (SaaS) 應用程式和私人雲端應用程式。具體而言,SSE 相關的安全能力包括
SSE 為何重要?
全面的 SSE 解決方案可為組織提供所需的全套安全性技術,讓員工、可信賴的合作夥伴和承包商安全地遠端存取應用程式、資料、工具和其他企業資源,並在使用者存取網路後監控和追蹤行為。隨著混合型員工隊伍的擴大,如何保護這些遠端和行動使用者,以及他們存取的資料和應用程式仍然受到保護。
SASE 與 SSE 有何差異?
SSE 提供全面的 SASE(讀作「sassy」)策略的安全性服務要素。特別是,SSE 將存取控制、威脅防護、資料安全、安全監控和可接受使用控制功能整合到單一的雲端解決方案中。SSE 與 SD-WAN 結合形成全面的 SASE 平台,透過整合式網路控制和應用程式 API,提供監控和政策執行,並透過端點控制加以強化。
SASE 是 Gartner 在 2019 年提出的網路安全概念。SASE 是軟體定義廣域網路或 SD-WAN,以及 CASB、FWaaS 和 ZTNA 等網路安全性服務匯流為單一雲端交付的服務模式。
Gartner 指出:「SASE 功能是根據實體的身分、即時情境、企業安全性/合規性政策,以及在整個階段中不斷地評估風險/信任度,以服務的方式提供。實體的身分可以與人、服務群組(分公司)、裝置、應用程式、服務、物聯網系統或邊緣運算位置相關聯。"
有了 SASE 架構所提供的共同框架,組織就能簡化管理,獲得一致的可見性,並最大化使用者、裝置、應用程式和資料的保護,無論他們身在何處。
SSE 核心能力
SSE 解決方案需要這四項基本安全能力。
零信任網路存取 (ZTNA)
零信任網路存取 (Zero Trust Network Access , ZTNA) 是根據已定義的存取控制政策,提供 安全遠端存取 應用程式和服務的技術類別。 虛擬私人網路 (VPN) 授權使用者完全存取區域 網路,與此不同的是,ZTNA 解決方案預設為拒絕,只提供使用者明確授權的服務存取權。
從全面的安全性策略所包含的全套能力來看, ZTNA 提供多層次、遠端存取的安全性方法,可提供冗餘的檢查和執行層級,特別是
- 集中的可見性與控制:瞭解誰在存取您的資料、資料儲存的位置和敏感度,並在可能的情況下記錄網路流量。
- 以身分為基礎的驗證:ZTNA 技術根據完全自訂的驗證方法,為使用者提供精確的最低權限存覈。即使在存取權已被允許之後,網路安全性專業人員仍可監控使用者行為,以找出惡意活動以及憑證盜用、惡意軟體和資料遺失的跡象。
- 統一安全政策:在所有企業擁有的應用程式和第三方應用程式上強制執行安全政策,無論資料位於何處。
- 細緻、基於角色的存取:只讓使用者存取其工作絕對需要的資料。根據裝置類型和連線位置限制存取。
- 連線後的威脅監控:如果攻擊者仍能存取組織網路,則 ZTNA 功能仍在運作,並能根據攻擊者的網路活動偵測到攻擊者。
安全網路閘道 (SWG)
安全網路閘道 (SWG) 除了應用和執行企業可接受的使用政策外,還可保護使用者免受網路威脅。使用者不會直接連線到網站,而是存取 SWG,然後由 SWG 負責將使用者連線到所需的網站,並執行如 URL 過濾、網頁可見性、惡意內容檢查、網頁存取控制及其他安全措施等功能。
SWG 是全面的 SSE 策略的重要組成部分,因為當用戶與 企業 VPN 斷線時,SWG 可提供安全的網際網路存取。此外,SWG 使組織能夠:
- 根據可接受的使用政策,阻止存取不適當的網站或內容
- 執行其安全政策,使網際網路存取更安全
- 協助保護資料免於未經授權的傳輸
雲端存取安全代理 (CASB)
CASB 可協助 組織發現資料在多個軟體即服務 (SaaS) 應用程式中的位置,以及資料在雲端環境、內部資料中心或行動員工存取時的移動位置。CASB 還能強制執行組織的安全性、治理和合規性政策,允許授權使用者存取和使用雲端資源,同時使組織能夠在多個地點有效且一致地保護其資料。目前有兩種 CASB:傳統 CASB 和整合 CASB。
有效的 SSE 策略會使用整合式 CASB 來協助組織跟上 SaaS 爆發的步伐。整合式 CASB 使用線上安全機制,自動發現和控制現有 SaaS 應用程式以及數以千計新興 SaaS 應用程式的所有 SaaS 風險。它還具有基於 API 的安全機制,可掃描 SaaS 應用程式中的敏感資料、惡意軟體和違反政策的情況,同時維持合規性並即時預防威脅,而無需依賴第三方工具。
防火牆即服務 (FWaaS)
FWaaS 可讓防火牆作為公司雲端基礎架構的一部分來提供,以保護雲端資料和應用程式。
SSE 策略使用 FWaaS 功能,讓組織能夠聚合來自多種來源的流量 - 無論是現場資料中心、分公司、行動使用者或雲端基礎架構。它還能在所有地點和使用者之間提供一致的應用程式和安全性強制執行政策,同時提供完整的網路可視性和控制,而無需部署實體設備。
SSE 使用案例與效益
安全存取
有了 SSE,無論使用者身在何處、存取何種資料或應用程式,利用 SWG 都能協助強制執行網際網路存取政策控制。SWG 是全面的 SSE 策略的重要組成部分,因為當用戶與 企業 VPN 斷線時,SWG 可提供安全的網際網路存取。此外,SWG 使組織能夠:
- 根據可接受的使用政策,阻止存取不適當的網站或內容
- 強制執行其安全政策,使網際網路存取更安全
- 協助保護資料免於未經授權的傳輸
更好的安全性
保護使用者和應用程式可透過 CASB,在造成損害前進行檢測、分類和隔離惡意軟體。有效的 SSE 策略會使用整合式 CASB 來協助組織跟上 SaaS 爆發的步伐。
可見性與控制
ZTNA 2.0 提供使用者存取內容的可視性與控制,並透過強制應用程式層級 (而非網路層級) 的存取來限制曝光。ZTNA 2.0 提供:
- 真正的最低權限存苃
- 不斷地進行信任驗證
- 不斷地進行安全檢查
- 保護所有資料
- 保護所有應用程式
SSE 部署與解決方案
組織可以用兩種方式來設計和部署有效的 SSE。
- 組織可以針對每項需求的安全技術套件,評估不同的廠商,然後運用內部或第三方資源,將這些功能合併為一個整合的 SSE 解決方案。
儘管這種方式可以讓組織在各種需求中獲得他們最喜歡的能力或功能,但同時也會讓組織在部署時和長期投資大量的整合費用。除了管理多個供應商的合作關係及其各種 SLA 之外,這種方法也需要大量的管理和監控,以確保所有產品和服務都能不斷地作為統一平台一起運作。
- 組織可以評估提供全面安全性平台的廠商,這些平台已經整合了每項必要的 SSE 功能 - FWaaS、CASB、SWG 和 ZTNA。此方法可立即消除與多供應商方法相關的管理和整合問題。它也簡化了整個系統生命週期中的故障排除和系統維護需求。
Prisma Access 在領先的雲端原生 SSE 平台中提供合併的最佳安全性,在單一統一平台上提供 ZTNA 2.0 與最佳使用者體驗。
Security Service Edge (SSE) 常見問題
