我們可以將SSE視為安全訪問(wèn)服務(wù)邊緣 (SASE) 的縮小版、純安全版本。SASE包含大量的安全和網(wǎng)絡(luò)服務(wù)，在實(shí)踐中，這些服務(wù)對(duì)很多企業(yè)來(lái)說(shuō)可能過(guò)于繁重。

SSE提供三種與SASE相同的主要安全技術(shù)：

• 云訪問(wèn)安全代理（CASB）
• 安全網(wǎng)絡(luò)網(wǎng)關(guān)（SWG）
• 零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）

SSE縮減了SASE的其他功能，尤其是其與WAN相關(guān)的服務(wù)。通過(guò)部署SSE而不是SASE，企業(yè)可以實(shí)現(xiàn)很多相同的安全優(yōu)勢(shì)，同時(shí)更輕松、更快速地遷移。

考慮以下三個(gè)開(kāi)始使用SSE的實(shí)用技巧。

1. 分階段SSE遷移

部署SSE需要先部署CASB、SWG和ZTNA技術(shù)，每種技術(shù)都涉及其自身的重大規(guī)劃和遷移工作。企業(yè)應(yīng)計(jì)劃分階段將用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序遷移到SSE，對(duì)于任何重大技術(shù)更新，都可以采用分階段做法。首先設(shè)計(jì)和部署一個(gè)小型試點(diǎn)，以識(shí)別和解決任何重大問(wèn)題。然后，逐步擴(kuò)展該試點(diǎn)，以涵蓋更多用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序。

需要注意的一點(diǎn)：通常，企業(yè)需要先遷移其用戶的本地和基于云的服務(wù)和應(yīng)用程序，然后才能享受SSE的全部安全優(yōu)勢(shì)。SSE的主要好處之一是用戶無(wú)法直接訪問(wèn)服務(wù)和應(yīng)用程序。相反，用戶通過(guò)SWG訪問(wèn)它們，SWG充當(dāng)應(yīng)用安全策略和監(jiān)控威脅活動(dòng)的中介。CASB和ZTNA提供了進(jìn)一步的安全優(yōu)勢(shì)，例如身份驗(yàn)證、訪問(wèn)控制和行為分析。

然而，在所有用戶都遷移到SSE之前，他們?cè)L問(wèn)的服務(wù)和應(yīng)用程序?qū)⒏颖┞?，并且面臨更高的泄露風(fēng)險(xiǎn)。因此，如果可能的話，保持遷移周期相對(duì)較短以更快地實(shí)現(xiàn)更強(qiáng)的安全性非常重要。

2. 先監(jiān)控后執(zhí)行政策

SSE組件（尤其是ZTNA）往往比它們所取代的傳統(tǒng)安全技術(shù)更具限制性。例如，SSE可能會(huì)頻繁檢查設(shè)備健康狀況、用戶行為和其他使用特征?？偟膩?lái)說(shuō)，這對(duì)企業(yè)的安全態(tài)勢(shì)非常有利，盡管起初它可能會(huì)導(dǎo)致一些令人不快的意外和運(yùn)營(yíng)中斷。

在可行的情況下，尤其是在初始試點(diǎn)中，以僅監(jiān)控模式運(yùn)行SSE，無(wú)需強(qiáng)制執(zhí)行，以查看該技術(shù)會(huì)阻止什么以及原因。這通常會(huì)發(fā)現(xiàn)現(xiàn)有的安全策略違規(guī)行為，并且在某些情況下會(huì)指出可能需要放松SSE策略的地方（至少是暫時(shí)的）以解決現(xiàn)實(shí)世界的行為。

3. 確定要添加到SSE的控制

根據(jù)其包含的CASB、SWG和ZTNA技術(shù)，SSE在其安全控制中可能存在一個(gè)或多個(gè)漏洞。幸運(yùn)的是，企業(yè)通?？梢韵鄬?duì)容易地通過(guò)獲取額外的網(wǎng)絡(luò)安全服務(wù)來(lái)修復(fù)這些漏洞。任何尚不屬于SSE的SASE安全控制，例如防火墻即服務(wù)或數(shù)據(jù)丟失防護(hù)，都是值得考慮的候選對(duì)象。

如果企業(yè)的SSE需要多個(gè)額外的控制，最好退后一步，考慮完整的SASE部署是否會(huì)更好。單個(gè)SASE平臺(tái)而不是集成幾個(gè)不同的SSE和SASE組件肯定有優(yōu)勢(shì)。但是，如果SASE太大或太昂貴，向SSE添加單獨(dú)的控制通常仍然是一種更可取的方法。