《2024安全服务边缘SSE概述.docx》由会员分享,可在线阅读,更多相关《2024安全服务边缘SSE概述.docx(17页珍藏版)》请在优知文库上搜索。
1、安全服务边缘SSE概述2024目录序言5ISSE是什么72为什么SASE之后又提出SSE83 SSE主要应用场景113.1 互联网应用安全访问的服务场景113.2 公有云私有应用安全访问的服务场景123.3 企业数据中心应用安全访问的服务场景133.4 物联网远程接入安全访问的服务场景134 SSE关键技术与核心能力145 SSE厂商图谱和市场格局155.1 全球市场概况155.2 海外厂商概述165.3 国内厂商概况196结语20安全服务边缘(SeCUritySerViCeEdge,SSE)是以云原生的技术通过边缘交付安全能力,有助于安全访问网站、软件即服务(SaaS)应用程序和私有应用程序
2、。功能包括访问控制、威胁保护、数据安全、安全监视,以及通过基于网络流量检测或应用API集成的方式实现对应用的使用控制。SSE作为云化服务,可通过本地网关类设备或软件客户端接入。2019年,Gartner将安全访问服务边缘(SecureAccessServiceEdge,SASE)定义为一种新兴的方案,网络服务(最显著的是SD-WAN)功能与网络安全功能(如SWG、CASB、FWaaS和ZTNA)结合,支持数字化企业的动态安全访问业务和互联网的需求。2021年,Gartner在2021年SASE融合战略路线图中提出了SSE,如果说SASE描述了一个架构框架,将网络和安全整合为从云提供的统一服务,
3、那么SSE则分离了SASE框架的网络即服务部分,描述了该框架的安全即服务部分。与SASE相比较,SSE专注于统一所有安全服务,包含但不限于:安全Web网关(SeCUreWebGateWay,SWG)、云访问安全代理(CIoUdAccessSecurityBroker,CASB)、零信任网络访问亿eroTrustNetworkAccess,ZTNA)和防火墙即服务(FireWallaSaSerVice,FWaaS)等安全能力。与之对比,SASE同时还专注于网络服务的简化和统一,包括软件定义广域网(SoftWareDefinedWideAreaNetwork,SD-WAN)、广域网优化、服务质量(
4、QOS)以及其他通过改进路由到云应用程序的技术。有必要说明,零信任是由Forrester提出的遵循“永不信任、持续验证原则的安全理念。ZTNA是零信任在访问接入控制方面的实现。SSE中包含ZTNA、SWG.CASB等能力,因此ZTNA是SSE中的一个核心能力。Gartner预测,到2025年,实施基于代理的ZTNA的组织中70%将选择SSE提供商而不是独立产品,该比例远高于2021年的20%。到2025年,购买SSE相关安全服务的组织中有80%将购买整合的SSE解决方案而不是独立的云访问安全代理、安全Web网关和ZTNA产品,该比例远高于2021年的15%oSASEAgure I: SSt M
5、l wrted t a undn m*rhet m Grm图ISSE与SASE的关系2为什么SASE之后又提出SSE纵然SASE作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受Gartner和业界厂商推崇,并获得了客户的高度关注,但是在落地层面仍然面临了诸多问题,比如: 具备完整SASE(包含SD-WAN和SSE)能力的供应商仍然屈指可数 客户已经建设了SD-WAN,需要避免重复投入 客户内部组织结构不同,如果是网络/基础设施和安全为独立团队,则会单独决策,高度融合的SASE不会成为该类企业的选择 由于安全事件导致客户临时发起纯安全的项目需求,比如传统VPN向ZTNA的
6、改造项目,这类项目不涉及网络部分的新增建设需求 客户自身没有诸多分支办公室,只是租用了零散的办公场所或区域中心,核心需要解决应用安全访问及互联网安全访问等问题,没有组网需求因此不难发现,SASE这种将网络和安全能力高度融合的“大一统”解决方案固然尤其吸引人的地方,但是不同的客户实际情况阻碍了“标准完整的SASE项目落地。SASE能够为客户提供更简便的交付与使用,不论是从技术、财务、流程等诸多方面均无需考虑多种硬件,多种服务和多供应商的结合问题。SASE比较适合中型规模且具有较为分散的分支型企业,因为他们负责IT和基础设施的人员通常较少,且技术栈的广度和深度都有所欠缺。一旦客户是大型企业,有独立
7、的网络和安全团队,就要在预算、策略管理、事故责任认定等方面需要“分清,则势必会出现网络和安全能力分开建设的情况。尤其是当网络在早几年已经完成了SD-WAN改造,此类客户就更无必要选择融合型的SASE方案,这时纯粹的云安全服务SSE则是客户的最佳选择。另一方面,随着企业混合办公趋势的常态化,企业IT和安全合规团队需要更多考虑如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规要求。在这种情况下,只有终端安全显然是不够的,需要为员工提供一个永远在线、按需扩展、不影响应用访问体验的“上网安全云,让员工能够随时随地,安全、合规的“上网访问互联网、部署在公有云或私有云基础设施的企业
8、业务系统,及在SaaS服务运行的业务系统。在这样的情况下,无节点间组网需求,SSE无疑是“上网安全云的最佳实践,选择供应商提供的SSE安全服务边缘实现弹性可扩展,多点接入的完善互联网访问安全栈。在供应商和产品技术层面,虽然在SD-WAN和SSE魔力象限中列席的厂商都很多,但是能够同时满足SD-WAN,ZTNA,SWG,CASB等关键能力且都具备业界领先水平的厂商少之又少。擅长网络产品的厂商在安全能力方面较弱,且无法提供云原生安全服务交付;而安全能力擅长的厂商又始终难以提供完善的高级路由、应用感知的路由,进而无法支持业务驱动的动态组网场景。与此同时,当下混合办公、应用访问的关键技术一一ZTNA更
9、是横跨SASE中网络和安全两大组件的重要技术能力,想实现较好的产品化、工程化支持多环境,多终端类型,多应用类型,不论对上述那种厂商都是不小的挑战。随着云化普及,客户应用从数据中心转移到云上,从自建系统到逐步采用第三方SaaS。这种场景下企业无点对点的组网需求,需要的是通过部署在边缘PoP的ZTNA,SWG,CASB等SSE能力。综合客户需求和方案能力成熟度两方面看,完整SASE方案的落地都具有明显挑战,在这样的情况下,Gartner将用户互联网访问的两大关键安全产品魔力象限(SWG和CASB)合并为SSE魔力象限,并在此之后发布的Single-VendorSASE(单供应商SASE)市场指南中
10、明确指出了交付SASE的三种方式:完全由一家供应商提供的单供应商SASE、由显而易见的多供应商提供的SASE、由服务商打包提供的Managed(托管型)SASE,其中ManagedSASE某种意义上也认为是单供应商SASEo此上均表明了SASE的落地任重而道远,且需要充分考虑不同客户的实际情况。SSE应运而生,以云服务的形式仅交付关键安全能力,将SASE能力解耦,更灵活的实现落地,为用户提供简单易用、灵活付费、弹性扩容的安全云服务,当客户产生了SD-WAN需求时,则可以与之结合,实现完整SASE能力。虽然Gartner视SASE为网络安全的未来,也必须要面对客户需求多样化以及供应商产品与技术成
11、熟度的事实。Gartner对SASE是未来这一判断有一些值得大家注意的基本假设,即:遍及全球或大洲的分布式企业、业务高度上云、员工无处不在办公、企业追求效率而不是成本等等。因此不难发现,如果客户不符合上述的全部条件,或者在当期及未来项目中不涉及更多需求,那么确实是不需要SASE这一融合了网络和安全全部能力的架构。安全厂商也不需要在自己不熟悉的网络能力方面增加投入,只需要专注自身最擅长的安全能力,并以云原生的方式实现能力融合与交付即可。因此,作为SASE在安全能力“化身”的SSE,必将在实际项目中扮演更重要的角色,毕竟技术成熟度高且落地快、客户需求明确且内部权责划分清晰。在SSE落地之后,结合客
12、户已有的SD-WAN,SASE就是一件水到渠成的事情了。3 SSE主要应用场景基于SSE的架构和基础安全能力,SSE的典型应用场景主要包括四个方面:互联网应用安全访问的服务场景、公有云私有应用安全访问的服务场景、企业数据中心应用安全访问的服务场景、物联网远程接入安全访问的服务场景。3.1 互联网应用安全访问的服务场景企业分支通过互联网以网络设备接入到边缘安全防护POP点,通过CASB、SWG等安全功能,对访问互联网的各类应用(互联网应用或是企业SaaS应用)进行安全防护,包括根据URL分类库和流量内容识别对互联网应用网站的允许或拒绝访问,采用白名单或黑名单策略对发现与识别的应用程序进行访问管理
13、,扫描Web内容中的垃圾邮件、恶意软件和病毒并进行相应的过滤,并能够有效应对勒索软件、凭证盗窃、网络钓鱼等基于Web的网络攻击威胁。在私有化场景可通过组网方式(如专网或者SD-WAN)接入到私有化SSE的边缘安全防护POP点。youcu*aniaa胺务蕾理西SSEisW*SSE POPNY UI rr 1 . Uid 03 QMLJ图2互联网应用安全访问场景3.2 公有云私有应用安全访问的服务场景企业分支通过互联网接入到SSE的边缘安全防护PC)P点,或者SOHO办公的终端通过零信任方式接入SSE的边缘安全防护PoP点,通过FWaaSCASB.ZTNA等安全功能,针对访问多种公有云(如运营商公
14、有云、阿里腾讯公有云、华为云)的私有应用进行安全防护,包括针对应用数据加密、威胁检测、数据管理、风险评估等功能,防止或减轻网络钓鱼、帐户接管和恶意软件等安全威胁,并帮助企业识别影子IT,保护连接的设备和数据免受未授权终端或者恶意软件的威胁,监控用户行为,将其与基准模式进行比较以及标记异常活动,最终保护用户和云服务商之间的安全访问连接。采用零信任接入方式,针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时认证,结合数据上下文制定应用的访问策略、识别风险并根据风险优先级动态调整应用访问策略。名相户Wal身份和权限管理图3云应用安全访问场景3.3 企业数据中心应用安全访问的服务场景企
15、业分支通过互联网接入到SSE的边缘安全防护PoP点,或者SOHe)办公的终端通过零信任方式接入SSE的边缘安全防护PoP点,通过FWaaSCASB.ZTNA等安全功能,针对访问企业数据中心的私有企业应用程序进行安全防护,针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时的认证,结合数据上下文制定应用的访问策略、识别风险并根据风险优先级动态调整应用访问策略。图4企业数据中心安全访问场景服务订阅态势重询3.4 物联网远程接入安全访问的服务场景物联网智能终端远程接入场景,使用固定边缘接入设备或直接通过运营商物联网卡/SlM卡eSIM卡接入互联网,并通过物联网终端安全套件或代理边缘接入设备登录POP点的零信任访问网关,进行数据安全采集回传。SSE的边缘安全防护POP点,通过FWaaS、ZTNA等安全功能对不同接入的物联网终端进行在网状态检测及非法接入进行检测,对恶意终端发起的DDOS攻击及非法访问进行及时拦截并告警。多租户管理 身份和权PR管理图5物联网远程接入安全访问场景根制i,间和:珈基于SSE架构还可扩展到其它应用场景,例如企业的多云访问的安全防护场景,企业的应用等保安全服务场景等。4 SSE关键技术与核心能力SSE支持多种安全访问场景,不同的安全场景所需的核心能力不同,上网安全场景所需的核心能力包括SWG、FWaaS;访问SaaS应用场景需