一個風和日麗的周末，小A和小B聚在一起聊天。

小B回到家后立馬查閱了各種資料，終于弄明白了SSE，還順帶理順了SSE和SASE的關(guān)系。

什么是安全服務邊緣 (SSE)?

Gartner將安全服務邊緣 (Security Service Edge，SSE)定義為一組以云為中心的集成安全功能，有助于安全訪問網(wǎng)站、軟件即服務 (SaaS) 應用程序和私有應用程序。

這看起來好像很難理解，但是下面這句話可以讓你一下子就明白，什么是SSE。

SSE實際上就是SASE的一半，專注于安全服務;網(wǎng)絡則構(gòu)成了 SASE 的另一半。

與 SASE 一樣，SSE 融合了以云為中心的安全功能，以促進對 Web、云服務和私有應用程序的安全訪問。SSE 功能包括訪問控制、威脅防護、數(shù)據(jù)安全和安全監(jiān)控。換句話說，SSE 混合了：

• 零信任網(wǎng)絡訪問 (ZTNA)
• 安全 Web 網(wǎng)關(guān) (SWG)
• 云訪問安全代理 (CASB)
• 防火墻即服務 (FWaaS)
• ……

并將其整合到單一供應商、以云為中心的融合服務中。

為什么安全服務邊緣很重要?

SSE 的理念與 SASE 的理念大致相同。傳統(tǒng)網(wǎng)絡安全架構(gòu)的設計將數(shù)據(jù)中心作為訪問需求的焦點。隨著云和用戶移動性的增加，這種需求正在轉(zhuǎn)變，越來越多的用戶、設備和資源需要置于企業(yè)網(wǎng)絡之外。連接和保護這些遠程用戶和云資源需要廣泛的安全和網(wǎng)絡功能。SSE 產(chǎn)品整合了安全功能，允許企業(yè)通過云服務實施安全策略。與 SASE 一樣，SSE 能夠幫助企業(yè)降低復雜性、成本和供應商數(shù)量。

SSE 的優(yōu)勢：

1)用戶、應用程序和企業(yè)數(shù)據(jù)無處不在。舊的以數(shù)據(jù)中心為中心的安全架構(gòu)/產(chǎn)品需要調(diào)整。SASE是必要的調(diào)整。

2)當組織僅希望添加基于云的網(wǎng)絡安全，而不與網(wǎng)絡基礎設施強綁定時，那SSE會是很好的選擇 (例如，組織已經(jīng)部署了 SD-WAN)。

3)SSE 往往具有更成熟的安全功能，與一些SD-WAN供應商相比，SSE能夠吸引尋求更深層次安全功能的買家。

4)基于身份和上下文的零信任、最低特權(quán)訪問是 SSE 產(chǎn)品的核心能力。

5)通過整合供應商，組織可以降低復雜性、成本和用于定義安全策略的控制臺數(shù)量。這也有助于消除因使用多種不同產(chǎn)品的不一致而產(chǎn)生的風險。

6)敏感數(shù)據(jù)檢查和惡意軟件檢查可以在所有訪問渠道(SaaS、互聯(lián)網(wǎng)和私有應用程序)中實現(xiàn)一致和并行，且比單獨執(zhí)行具有更好的性能。

7)組織在分支機構(gòu)和總部能夠擁有完全相同的安全體驗。

SSE vs. SASE，找不同

除了名稱中的“A”之外，SSE 與 SASE 的區(qū)別是什么?

正如我們前文所說，SSE 構(gòu)成了 SASE 的安全部分。在 SASE 內(nèi)部，SSE 專注于統(tǒng)一所有安全服務，包括安全Web網(wǎng)關(guān) (SWG)、云訪問安全代理 (CASB) 、零信任網(wǎng)絡訪問 (ZTNA)和防火墻即服務 (FWaaS)。SASE 平臺的另一半專注于網(wǎng)絡服務的簡化和統(tǒng)一，包括軟件定義廣域網(wǎng) (SD-WAN)、廣域網(wǎng)優(yōu)化、服務質(zhì)量 (QoS) 以及其他改進路由到云應用程序的方法。

SSE 和 SASE 都是身份驅(qū)動的，依靠零信任模型來限制用戶對允許資源的訪問。

SSE 和 SASE 之間最顯著的區(qū)別歸結(jié)為基礎設施。借助SSE，無法或不愿意捆綁其網(wǎng)絡基礎設施的企業(yè)也可以擁有融合云安全服務的產(chǎn)品。

SSE的四大核心原則

原則 1：必須跟蹤數(shù)據(jù)

現(xiàn)在有很多傳統(tǒng)的網(wǎng)絡代理或防火墻無法識別的流量，甚至無法真正看到?，F(xiàn)在用戶無處不在，應用程序在多個云中，數(shù)據(jù)可以從任何地方訪問。因此必須有一個安全檢查點，隨時隨地跟蹤數(shù)據(jù)，檢查點需要位于云中，這樣才能將其好處傳遞給用戶和應用程序。

原則 2：必須能夠解碼云流量

解碼云流量意味著安全必須能夠查看和解釋 API JSON 流量，這是網(wǎng)絡代理和防火墻無法做到的。

原則 3：必須能夠理解數(shù)據(jù)訪問的上下文

超越僅僅控制誰有權(quán)訪問信息，轉(zhuǎn)向持續(xù)的、實時的訪問和策略控制。這些控制基于許多因素，包括用戶自身、他們正在操作的設備、他們正在訪問的應用程序、活動、應用程序?qū)嵗?公司與個人)，數(shù)據(jù)敏感性、地理位置和時間等環(huán)境信號以及存在的威脅。所有這些都是實時理解他們試圖訪問數(shù)據(jù)的上下文的一部分。

原則 4：不能減慢網(wǎng)絡速度

用戶需要快速獲取數(shù)據(jù)，并且網(wǎng)絡必須可靠。如果安全性降低了訪問速度或可操作性，生產(chǎn)力就會受到影響，企業(yè)就會權(quán)衡安全控制以換取網(wǎng)絡速度和可靠性。這就是專用網(wǎng)絡發(fā)揮作用的地方，這樣我們就可以確保從最終用戶到他們的目的地并再次返回的順暢和有效的路徑。

SSE的發(fā)展會面臨什么挑戰(zhàn)?

1)有優(yōu)勢同樣也會有劣勢，有的組織不想捆綁自己的網(wǎng)絡基礎設施，那會覺得SSE很棒，而有的就想要統(tǒng)一管理自然也會覺得分開很不方便，不想依賴于兩個獨立的供應商。

2)大多數(shù)領先的 SD-WAN 供應商目前通過自身也好或者通過合作伙伴也好都擁有一套 SSE 服務，這給 SSE 供應商帶來了競爭壓力，是否要增加基本 SD-WAN 功能。

3)因為市場是由能力的融合形成的，所以大多數(shù)廠商只在單一品類上表現(xiàn)較好，而在其他品類上存在差距。此外，一些供應商還沒有一套完整的 SSE 服務(例如，他們?nèi)鄙?FWaaS 或其他安全服務)。

4)一些供應商在敏感數(shù)據(jù)識別和保護方面很薄弱，這種能力對于基于風險和上下文的訪問決策至關(guān)重要。

5)由于以云為中心，SSE 通常不滿足對本地(例如文件服務器)和端點 DLP 的需求。

6)并非所有供應商都會對所有服務的性能 SLA作出承諾。

總的來說，雖然 Gartner 已經(jīng)定義了目前SSE的安全功能，但隨著越來越多的企業(yè)將 SSE 作為一個統(tǒng)一平臺，未來SSE 服務提供商也將推出其他附加功能和服務，以此保障SSE平臺的可靠性和穩(wěn)定性。此外，正如 SASE 架構(gòu)所定義的那樣，未來網(wǎng)絡服務與SSE平臺的整合也非常重要。