什么是安全服务边缘（Security Service Edge, SSE）？

安全访问服务边缘（SASE）分为两个部分：安全性和网络性。而安全服务边缘则负责处理与安全性相关的问题。

SSE提供了适用于保护云资产以及动态网络边界的工具。它与Secure Access Service Edge等网络功能相配合，共同发挥保护作用。

SSE提供了一种实现方式。安全的软件即服务（SaaS）和基础设施即服务（IaaS）资源配置方式因网络架构的不同而有所差异。不过，一般的解决方案通常包含几个共同的组成部分。这些组成部分构成了灵活云安全的基础。

它整合了多种安全措施，包括安全网络网关、云访问安全代理以及零信任网络访问等工具，从而确保云中的数据和用户的安全。 SSE帮助企业为所有用户设定相同的安全规则，从而确保无论用户身处何地，都能得到数据保护。

安全服务边缘的定义

Security Service Edge（SSE）是一种网络安全框架，旨在为Web服务和应用程序提供安全的访问方式。它整合了多种安全措施，如安全Web网关、云访问安全代理以及零信任网络访问技术等，从而确保云中的数据和用户的安全。SSE帮助企业为所有用户设定相同的安全规则，从而确保无论用户身处何地，都能得到有效的数据保护。

可以将其视为一支专门负责安全保障的团队。他们不仅会验证用户的身份，还会确保建筑物的每个部分都处于安全状态。这一点在云环境中尤为重要，因为传统的安保措施已经不再适用了。在云环境中，数据和应用程序可以从任何地方访问，因此，必须确保在人们能够接触到这些数据和应用程序的所有环节都得到保护。

主要要点/关键信息

• Security Service Edge（SSE）是一种网络安全框架，旨在确保用户能够安全地访问基于网络的各项服务和应用。
• 其主要的优势在于零信任原则、对云服务交互的监管，以及针对互联网流量的过滤机制，这些机制有助于提升安全性和访问控制能力。
• SSE能够降低风险，提升威胁监控能力，提供全球范围内的安全访问方式，保护数据安全，同时还能降低成本、便于扩展，并有效管理数字化转型带来的风险。这对于那些正在向云计算转型或需要远程管理的公司来说，具有很大的优势。
• SSE所面临的挑战包括：与现有的安全工具进行集成、更新安全政策、管理团队之间的互动关系，以及确保与各种通信工具的兼容性。
• SSE非常适合用于基本的云访问和Web界面安全需求。而SASE则更适合那些高度依赖软件即服务（SaaS）或基础设施即服务（IaaS）的场合。
• 与那些结合了安全性和网络功能的、用于云迁移的SASE相比，SSE则专注于安全性方面。
• SSE的灵活性使得它可以轻松地融入现有的网络系统中，而无需完全实施SASE技术。这种简单的解决方案能够提升系统的安全性。

SSE核心功能

SSE已经开启了网络安全的崭新篇章。它为用户、设备以及云服务之间的交互提供了更安全且更灵活的方式。与过去那种需要一种解决方案适用于所有人的方式相比，SSE引入了个性化的安全措施。在这里，我们将探讨SSE的核心功能如何对提升数字安全起到至关重要的作用。

零信任网络访问（Zero Trust Network Access, ZTNA）

零信任网络访问是一种基于“永远不要信任，始终要验证”理念的安全策略。零信任网络访问系统通过基于上下文和身份的访问控制机制来保护云端和本地资源。这些控制措施能够阻止未经授权的用户访问，同时允许具有权限的用户访问必要的资源。

在SSE的框架下，零信任机制能够创建出一个动态的网络边界。系统可以检测到所有连接的设备和用户。SSE软件能够监控所有的访问请求，并在每个端点上一致地执行安全策略。只有经过适当身份验证的流量才能通过网络或相关的云服务。

2. 云访问安全代理（CASB）

云访问安全代理调节基于云的服务型软件应用程序与其他资源之间的交互关系。这包括企业内部网络、远程设备以及更广泛的互联网环境。

云访问安全代理能够检测SaaS应用程序。安全团队可以通过集中式控制台来管理这些应用程序。CASB还能让数据在所有SaaS应用程序之间实现即时共享。这有助于加强数据的保护。此外，这些产品还可能包含用户实体和行为分析工具。这些工具可以更深入地监控网络流量。

3. 安全网络网关（SWG）

安全的Web网关实际上相当于一种“智能设备”。与外部互联网的连接/交互它们可以应用于远程工作站、办公资源以及云存储资源。SWG能够整合与访问控制和身份验证相关的安全策略。此外，它还能在源头上阻止未经授权的访问请求。

政策执行通过监控网络访问情况以及过滤URL来阻止恶意内容的传播。访问控制机制则用于限制对社交媒体平台或托管不当内容的网站的访问。此外，SWG还能跟踪网络边界上的数据传输情况，从而确保机密数据始终处于网络内部的安全范围内。

4. 基于服务的防火墙服务

防火墙即服务（FWaaS）是SSE中的关键组成部分，它能够为网络提供从云端到端点的保护。与传统的防火墙相比，FWaaS具有更强的适应性：它能够立即应对各种威胁，且不受地理位置的限制。这种灵活性在需要用户从不同地点访问网络的环境中显得尤为重要。

FWaaS遵循零信任模型，能够确保对所有连接的验证，从而提升云环境和本地环境的安全性。它与其他SSE组件（如CASB和SWG）紧密集成，从而形成一套全面且高效的安全体系。

5. 其他安全功能/措施

除了ZTNA、CASB和SWG之外，SSE还包含几项非常重要的安全功能。

• 数据丢失预防（DLP）这些工具非常重要，因为它们能够监控并保护敏感信息，从而防止未经授权的数据从网络中泄露出去。
• 远程浏览器隔离技术（Remote Browser Isolation, RBI）它发挥着至关重要的作用，为网络浏览创造了安全的环境，从而大大降低了基于网络的威胁。
• 安全电子邮件网关（SEG）过滤电子邮件，在钓鱼攻击、垃圾邮件以及恶意软件到达用户之前将其拦截。
• 身份与访问管理（IAM）这些系统通过管理谁可以访问哪些资源来提升安全性，同时要求严格的身份验证和授权机制。
  
  

这些特性共同发挥着重要作用，有助于加强SSE对各种网络威胁的防御能力。

SASE和SSE之间有什么区别呢？

SASE和SSE虽然相似，但两者并不完全相同。SASE是一套涵盖安全与网络管理的综合解决方案，由云服务器提供支持。这一概念最早由Gartner在2019年提出，目前已成为保护云资源的一种常用方法。

SASE能够实现从本地解决方案到云或混合式解决方案的无缝过渡。在网络方面，这涉及到软件定义广域网（SD-WAN）的边缘基础设施。SD-WAN使得远程工作人员能够轻松访问云资源。同时，它还能避免集中式数据路由所带来的流量瓶颈问题。

SSE指的是与SD-WAN边缘基础设施相对应的安全解决方案它提供了一定的威胁防护和访问管理功能。这些功能有助于保护SASE实施中的网络层面。

与SD-WAN类似，SSE的安全功能也是以云服务的形式实现的。中央网络节点与远程用户之间的直接连接非常少。所有数据都通过分布式网络中的PoPs进行传输，从而实现直接连接到云端的连接。

在尚未实现完整的SASE架构的情况下，企业仍然可以将SSE添加到网络结构中。为了实现对内部网络和云资源的边缘安全保护，并不需要采用SD-WAN架构。SSE能够与传统网络技术一起，有效保护云资源的安全。与SASE相比，SSE为许多具有类似安全功能的网络管理者提供了成本更低的选择。

了解 SSE 的优势及其应用场景

SSE为那些进行基于云的数字化转型的公司提供了多种好处，为企业在转向远程工作和SaaS模式时面临的诸多核心挑战提供了有效的解决方案。这些重要优势包括：

通过简化终端安全措施来降低风险。

网络变得越来越复杂。SaaS和IaaS与远程工作以及本地资源相结合，这给传统的安全解决方案带来了挑战。固定的边界、VPN以及简单的访问管理方式已经无法为云资源提供足够的安全性了。

SSE提供了一种解决方案。集中式的仪表板可以识别和跟踪SaaS资源。安全的Web网关则负责控制访问权限。自动化的安全策略执行机制可以确保设备和软件的更新能够顺利进行。结果就是，安全漏洞的数量大大减少了（甚至几乎没有）。同时还能实现全面的网络可视性。

2. 高级威胁监控

Security Service Edge包含多种数据保护和威胁防护工具。这些工具能够预防和消除各种严重的网络安全威胁。此外，这些工具还使得安全团队能够遵循ZTNA的安全原则来实施安全措施。

在零信任网络访问模式下，所有用户都只能在指定的网络范围内进行操作。用户的活动受到严格限制，他们几乎没有能力破坏或损害网络中的资产。加密和隐藏技术使得网络应用程序无法被外部网络所看到，从而降低了攻击者获取信息的可能性。SSE还能实时监控用户的身份和活动情况，从而生成有用的安全数据，为决策者提供有价值的参考依据。

SSE包含了一系列安全工具，比如内嵌式加密、网络过滤以及恶意软件检测功能。当这些功能被结合在一起使用时……它们提供了一套非常有效的保护措施。.

3. 能够高效且安全地访问全球范围内的资源。

SASE和SSE协同工作，以确保全球范围内的远程访问过程能够保持安全性。可以访问云资源、网站以及内部网络。安全网关可以从任何远程工作设备或位置进行访问。当收到远程访问请求时，安全策略会立即生效。这包括身份验证、设备和身份识别以及权限管理等功能。

SSE还将安全性与效率相结合。分布式架构能够确保最低的延迟。用户访问请求和流量无需经过中央数据中心，而是直接在用户与云资源连接时进行安全检查。

在 SSE 中，并不需要使用虚拟专用网络（VPN）。去除 VPN 的覆盖范围可以消除另一个导致延迟的因素。此外，也无需定期对 VPN 工具进行补丁更新。同时，员工不遵守 VPN 政策的风险也降低了。

4. 可靠且灵活的数据保护机制

DLP工具识别并分类敏感数据这涵盖了云基础设施以及传统的网络资源。个人身份信息或客户的信用信息很容易被追踪和定位，这有助于防止数据泄露。此外，企业还可以遵守诸如HIPAA和PCI-DSS等法规来保护数据安全。

5. 通过网络整合来降低成本

Security Service Edge支持基于云的服务。通过整合多个功能模块，可以减少从多个供应商处获取解决方案的需求。而集中化的控制面板则使得日常安全监控变得更加容易。

各团队可以将安全政策传播到所有连接的设备上。自动化机制可以确保安全政策的定期更新与执行。其结果是实现了深入的安全监控以及强大的防护机制。同时，不会增加资源的使用量。

6. 云安全易于扩展。

SSE使得企业能够……在不会损害边缘安全性的前提下，扩大网络覆盖范围。这展示了一种使用 SSE 的场景：管理者可以通过中央管理面板来添加新的云基础设施。该系统能够自动检测各种服务，并应用相应的安全策略。这样一来，云应用程序被忽视的风险就大大降低了。随着网络边界的变化，安全措施也会随之动态调整。

同样的情况也适用于用户群体的变化。通过SSE技术，员工可以从本地办公模式转变为在家办公或混合办公模式。新的分支机构也可以安全地与虚拟化企业资源进行连接。第三方合作伙伴也可以安全地进行协作，而新员工的入职过程则更加顺畅且安全。

7. 数字转型过程中的风险管理

“Security Service Edge”是一种过渡性的安全解决方案。它提供了灵活的网络安全性解决方案。对于那些正在部署SD-WAN或类似工具的公司来说。

通过SSE技术，企业可以管理安全风险、整合资源，并推进云化转型。

SSE挑战：你需要了解的内容

Security Service Edge是一种针对依赖云计算的组织的有效安全解决方案。它也非常适合用于管理大量远程员工构成的团队。

不过，实施Secure Service Edge技术仍然会面临一些挑战。这些挑战并不构成阻碍部署的实质性障碍。不过，在规划SSE的部署过程中，必须考虑到这些挑战。

• 有些企业依赖于数十甚至数百种现有的安全解决方案来保障自身的安全。这些工具的种类繁多。