一個(gè)風(fēng)和日麗的周末，小A和小B聚在一起聊天。

小B回到家后立馬查閱了各種資料，終于弄明白了SSE，還順帶理順了SSE和SASE的關(guān)系。

什么是安全服務(wù)邊緣 (SSE)?

Gartner將安全服務(wù)邊緣 (Security Service Edge，SSE)定義為一組以云為中心的集成安全功能，有助于安全訪問(wèn)網(wǎng)站、軟件即服務(wù) (SaaS) 應(yīng)用程序和私有應(yīng)用程序。

這看起來(lái)好像很難理解，但是下面這句話可以讓你一下子就明白，什么是SSE。

SSE實(shí)際上就是SASE的一半，專注于安全服務(wù);網(wǎng)絡(luò)則構(gòu)成了 SASE 的另一半。

與 SASE 一樣，SSE 融合了以云為中心的安全功能，以促進(jìn)對(duì) Web、云服務(wù)和私有應(yīng)用程序的安全訪問(wèn)。SSE 功能包括訪問(wèn)控制、威脅防護(hù)、數(shù)據(jù)安全和安全監(jiān)控。換句話說(shuō)，SSE 混合了：

• 零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)
• 安全 Web 網(wǎng)關(guān) (SWG)
• 云訪問(wèn)安全代理 (CASB)
• 防火墻即服務(wù) (FWaaS)
• ……

并將其整合到單一供應(yīng)商、以云為中心的融合服務(wù)中。

為什么安全服務(wù)邊緣很重要?

SSE 的理念與 SASE 的理念大致相同。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的設(shè)計(jì)將數(shù)據(jù)中心作為訪問(wèn)需求的焦點(diǎn)。隨著云和用戶移動(dòng)性的增加，這種需求正在轉(zhuǎn)變，越來(lái)越多的用戶、設(shè)備和資源需要置于企業(yè)網(wǎng)絡(luò)之外。連接和保護(hù)這些遠(yuǎn)程用戶和云資源需要廣泛的安全和網(wǎng)絡(luò)功能。SSE 產(chǎn)品整合了安全功能，允許企業(yè)通過(guò)云服務(wù)實(shí)施安全策略。與 SASE 一樣，SSE 能夠幫助企業(yè)降低復(fù)雜性、成本和供應(yīng)商數(shù)量。

SSE 的優(yōu)勢(shì)：

1)用戶、應(yīng)用程序和企業(yè)數(shù)據(jù)無(wú)處不在。舊的以數(shù)據(jù)中心為中心的安全架構(gòu)/產(chǎn)品需要調(diào)整。SASE是必要的調(diào)整。

2)當(dāng)組織僅希望添加基于云的網(wǎng)絡(luò)安全，而不與網(wǎng)絡(luò)基礎(chǔ)設(shè)施強(qiáng)綁定時(shí)，那SSE會(huì)是很好的選擇 (例如，組織已經(jīng)部署了 SD-WAN)。

3)SSE 往往具有更成熟的安全功能，與一些SD-WAN供應(yīng)商相比，SSE能夠吸引尋求更深層次安全功能的買(mǎi)家。

4)基于身份和上下文的零信任、最低特權(quán)訪問(wèn)是 SSE 產(chǎn)品的核心能力。

5)通過(guò)整合供應(yīng)商，組織可以降低復(fù)雜性、成本和用于定義安全策略的控制臺(tái)數(shù)量。這也有助于消除因使用多種不同產(chǎn)品的不一致而產(chǎn)生的風(fēng)險(xiǎn)。

6)敏感數(shù)據(jù)檢查和惡意軟件檢查可以在所有訪問(wèn)渠道(SaaS、互聯(lián)網(wǎng)和私有應(yīng)用程序)中實(shí)現(xiàn)一致和并行，且比單獨(dú)執(zhí)行具有更好的性能。

7)組織在分支機(jī)構(gòu)和總部能夠擁有完全相同的安全體驗(yàn)。

SSE vs. SASE，找不同

除了名稱中的“A”之外，SSE 與 SASE 的區(qū)別是什么?

正如我們前文所說(shuō)，SSE 構(gòu)成了 SASE 的安全部分。在 SASE 內(nèi)部，SSE 專注于統(tǒng)一所有安全服務(wù)，包括安全Web網(wǎng)關(guān) (SWG)、云訪問(wèn)安全代理 (CASB) 、零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)和防火墻即服務(wù) (FWaaS)。SASE 平臺(tái)的另一半專注于網(wǎng)絡(luò)服務(wù)的簡(jiǎn)化和統(tǒng)一，包括軟件定義廣域網(wǎng) (SD-WAN)、廣域網(wǎng)優(yōu)化、服務(wù)質(zhì)量 (QoS) 以及其他改進(jìn)路由到云應(yīng)用程序的方法。

SSE 和 SASE 都是身份驅(qū)動(dòng)的，依靠零信任模型來(lái)限制用戶對(duì)允許資源的訪問(wèn)。

SSE 和 SASE 之間最顯著的區(qū)別歸結(jié)為基礎(chǔ)設(shè)施。借助SSE，無(wú)法或不愿意捆綁其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的企業(yè)也可以擁有融合云安全服務(wù)的產(chǎn)品。

SSE的四大核心原則

原則 1：必須跟蹤數(shù)據(jù)

現(xiàn)在有很多傳統(tǒng)的網(wǎng)絡(luò)代理或防火墻無(wú)法識(shí)別的流量，甚至無(wú)法真正看到?，F(xiàn)在用戶無(wú)處不在，應(yīng)用程序在多個(gè)云中，數(shù)據(jù)可以從任何地方訪問(wèn)。因此必須有一個(gè)安全檢查點(diǎn)，隨時(shí)隨地跟蹤數(shù)據(jù)，檢查點(diǎn)需要位于云中，這樣才能將其好處傳遞給用戶和應(yīng)用程序。

原則 2：必須能夠解碼云流量

解碼云流量意味著安全必須能夠查看和解釋 API JSON 流量，這是網(wǎng)絡(luò)代理和防火墻無(wú)法做到的。

原則 3：必須能夠理解數(shù)據(jù)訪問(wèn)的上下文

超越僅僅控制誰(shuí)有權(quán)訪問(wèn)信息，轉(zhuǎn)向持續(xù)的、實(shí)時(shí)的訪問(wèn)和策略控制。這些控制基于許多因素，包括用戶自身、他們正在操作的設(shè)備、他們正在訪問(wèn)的應(yīng)用程序、活動(dòng)、應(yīng)用程序?qū)嵗?公司與個(gè)人)，數(shù)據(jù)敏感性、地理位置和時(shí)間等環(huán)境信號(hào)以及存在的威脅。所有這些都是實(shí)時(shí)理解他們?cè)噲D訪問(wèn)數(shù)據(jù)的上下文的一部分。

原則 4：不能減慢網(wǎng)絡(luò)速度

用戶需要快速獲取數(shù)據(jù)，并且網(wǎng)絡(luò)必須可靠。如果安全性降低了訪問(wèn)速度或可操作性，生產(chǎn)力就會(huì)受到影響，企業(yè)就會(huì)權(quán)衡安全控制以換取網(wǎng)絡(luò)速度和可靠性。這就是專用網(wǎng)絡(luò)發(fā)揮作用的地方，這樣我們就可以確保從最終用戶到他們的目的地并再次返回的順暢和有效的路徑。

SSE的發(fā)展會(huì)面臨什么挑戰(zhàn)?

1)有優(yōu)勢(shì)同樣也會(huì)有劣勢(shì)，有的組織不想捆綁自己的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，那會(huì)覺(jué)得SSE很棒，而有的就想要統(tǒng)一管理自然也會(huì)覺(jué)得分開(kāi)很不方便，不想依賴于兩個(gè)獨(dú)立的供應(yīng)商。

2)大多數(shù)領(lǐng)先的 SD-WAN 供應(yīng)商目前通過(guò)自身也好或者通過(guò)合作伙伴也好都擁有一套 SSE 服務(wù)，這給 SSE 供應(yīng)商帶來(lái)了競(jìng)爭(zhēng)壓力，是否要增加基本 SD-WAN 功能。

3)因?yàn)槭袌?chǎng)是由能力的融合形成的，所以大多數(shù)廠商只在單一品類上表現(xiàn)較好，而在其他品類上存在差距。此外，一些供應(yīng)商還沒(méi)有一套完整的 SSE 服務(wù)(例如，他們?nèi)鄙?FWaaS 或其他安全服務(wù))。

4)一些供應(yīng)商在敏感數(shù)據(jù)識(shí)別和保護(hù)方面很薄弱，這種能力對(duì)于基于風(fēng)險(xiǎn)和上下文的訪問(wèn)決策至關(guān)重要。

5)由于以云為中心，SSE 通常不滿足對(duì)本地(例如文件服務(wù)器)和端點(diǎn) DLP 的需求。

6)并非所有供應(yīng)商都會(huì)對(duì)所有服務(wù)的性能 SLA作出承諾。

總的來(lái)說(shuō)，雖然 Gartner 已經(jīng)定義了目前SSE的安全功能，但隨著越來(lái)越多的企業(yè)將 SSE 作為一個(gè)統(tǒng)一平臺(tái)，未來(lái)SSE 服務(wù)提供商也將推出其他附加功能和服務(wù)，以此保障SSE平臺(tái)的可靠性和穩(wěn)定性。此外，正如 SASE 架構(gòu)所定義的那樣，未來(lái)網(wǎng)絡(luò)服務(wù)與SSE平臺(tái)的整合也非常重要。