我們可以將SSE視為安全訪問服務(wù)邊緣 (SASE) 的縮小版、純安全版本。SASE包含大量的安全和網(wǎng)絡(luò)服務(wù)，在實(shí)踐中，這些服務(wù)對很多企業(yè)來說可能過于繁重。

SSE提供三種與SASE相同的主要安全技術(shù)：

• 云訪問安全代理（CASB）
• 安全網(wǎng)絡(luò)網(wǎng)關(guān)（SWG）
• 零信任網(wǎng)絡(luò)訪問（ZTNA）

SSE縮減了SASE的其他功能，尤其是其與WAN相關(guān)的服務(wù)。通過部署SSE而不是SASE，企業(yè)可以實(shí)現(xiàn)很多相同的安全優(yōu)勢，同時更輕松、更快速地遷移。

考慮以下三個開始使用SSE的實(shí)用技巧。

1. 分階段SSE遷移

部署SSE需要先部署CASB、SWG和ZTNA技術(shù)，每種技術(shù)都涉及其自身的重大規(guī)劃和遷移工作。企業(yè)應(yīng)計劃分階段將用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序遷移到SSE，對于任何重大技術(shù)更新，都可以采用分階段做法。首先設(shè)計和部署一個小型試點(diǎn)，以識別和解決任何重大問題。然后，逐步擴(kuò)展該試點(diǎn)，以涵蓋更多用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序。

需要注意的一點(diǎn)：通常，企業(yè)需要先遷移其用戶的本地和基于云的服務(wù)和應(yīng)用程序，然后才能享受SSE的全部安全優(yōu)勢。SSE的主要好處之一是用戶無法直接訪問服務(wù)和應(yīng)用程序。相反，用戶通過SWG訪問它們，SWG充當(dāng)應(yīng)用安全策略和監(jiān)控威脅活動的中介。CASB和ZTNA提供了進(jìn)一步的安全優(yōu)勢，例如身份驗(yàn)證、訪問控制和行為分析。

然而，在所有用戶都遷移到SSE之前，他們訪問的服務(wù)和應(yīng)用程序?qū)⒏颖┞?，并且面臨更高的泄露風(fēng)險。因此，如果可能的話，保持遷移周期相對較短以更快地實(shí)現(xiàn)更強(qiáng)的安全性非常重要。

2. 先監(jiān)控后執(zhí)行政策

SSE組件（尤其是ZTNA）往往比它們所取代的傳統(tǒng)安全技術(shù)更具限制性。例如，SSE可能會頻繁檢查設(shè)備健康狀況、用戶行為和其他使用特征?？偟膩碚f，這對企業(yè)的安全態(tài)勢非常有利，盡管起初它可能會導(dǎo)致一些令人不快的意外和運(yùn)營中斷。

在可行的情況下，尤其是在初始試點(diǎn)中，以僅監(jiān)控模式運(yùn)行SSE，無需強(qiáng)制執(zhí)行，以查看該技術(shù)會阻止什么以及原因。這通常會發(fā)現(xiàn)現(xiàn)有的安全策略違規(guī)行為，并且在某些情況下會指出可能需要放松SSE策略的地方（至少是暫時的）以解決現(xiàn)實(shí)世界的行為。

3. 確定要添加到SSE的控制

根據(jù)其包含的CASB、SWG和ZTNA技術(shù)，SSE在其安全控制中可能存在一個或多個漏洞。幸運(yùn)的是，企業(yè)通?？梢韵鄬θ菀椎赝ㄟ^獲取額外的網(wǎng)絡(luò)安全服務(wù)來修復(fù)這些漏洞。任何尚不屬于SSE的SASE安全控制，例如防火墻即服務(wù)或數(shù)據(jù)丟失防護(hù)，都是值得考慮的候選對象。

如果企業(yè)的SSE需要多個額外的控制，最好退后一步，考慮完整的SASE部署是否會更好。單個SASE平臺而不是集成幾個不同的SSE和SASE組件肯定有優(yōu)勢。但是，如果SASE太大或太昂貴，向SSE添加單獨(dú)的控制通常仍然是一種更可取的方法。