2024安全服务边缘SSE概述.docx

安全服务边缘SSE概述2024目录序言5ISSE是什么72为什么SASE之后又提出SSE83 SSE主要应用场景113.1 互联网应用安全访问的服务场景113.2 公有云私有应用安全访问的服务场景123.3 企业数据中心应用安全访问的服务场景133.4 物联网远程接入安全访问的服务场景134 SSE关键技术与核心能力145 SSE厂商图谱和市场格局155.1 全球市场概况155.2 海外厂商概述165.3 国内厂商概况196结语20安全服务边缘(SeCUritySerViCeEdge,SSE)是以云原生的技术通过边缘交付安全能力，有助于安全访问网站、软件即服务(SaaS)应用程序和私有应用程序。功能包括访问控制、威胁保护、数据安全、安全监视，以及通过基于网络流量检测或应用API集成的方式实现对应用的使用控制。SSE作为云化服务，可通过本地网关类设备或软件客户端接入。2019年，Gartner将安全访问服务边缘(SecureAccessServiceEdge,SASE)定义为一种新兴的方案，网络服务(最显著的是SD-WAN)功能与网络安全功能(如SWG、CASB、FWaaS和ZTNA)结合，支持数字化企业的动态安全访问业务和互联网的需求。2021年，Gartner在2021年SASE融合战略路线图中提出了SSE,如果说SASE描述了一个架构框架，将网络和安全整合为从云提供的统一服务，那么SSE则分离了SASE框架的网络即服务部分，描述了该框架的安全即服务部分。与SASE相比较，SSE专注于统一所有安全服务，包含但不限于：安全Web网关(SeCUreWebGateWay,SWG)、云访问安全代理(CIoUdAccessSecurityBroker,CASB)、零信任网络访问亿eroTrustNetworkAccess,ZTNA)和防火墙即服务(FireWallaSaSerVice,FWaaS)等安全能力。与之对比，SASE同时还专注于网络服务的简化和统一，包括软件定义广域网(SoftWareDefinedWideAreaNetwork,SD-WAN)、广域网优化、服务质量(QOS)以及其他通过改进路由到云应用程序的技术。有必要说明，零信任是由Forrester提出的遵循“永不信任、持续验证原则的安全理念。ZTNA是零信任在访问接入控制方面的实现。SSE中包含ZTNA、SWG.CASB等能力，因此ZTNA是SSE中的一个核心能力。Gartner预测，到2025年，实施基于代理的ZTNA的组织中70%将选择SSE提供商而不是独立产品，该比例远高于2021年的20%。到2025年，购买SSE相关安全服务的组织中有80%将购买整合的SSE解决方案而不是独立的云访问安全代理、安全Web网关和ZTNA产品，该比例远高于2021年的15%oSASEAgure I: SSt Ml wrted t a und½n m*rhet m Grm< Umt c>图ISSE与SASE的关系2为什么SASE之后又提出SSE纵然SASE作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受Gartner和业界厂商推崇，并获得了客户的高度关注，但是在落地层面仍然面临了诸多问题，比如： 具备完整SASE（包含SD-WAN和SSE）能力的供应商仍然屈指可数 客户已经建设了SD-WAN,需要避免重复投入 客户内部组织结构不同，如果是网络/基础设施和安全为独立团队，则会单独决策，高度融合的SASE不会成为该类企业的选择 由于安全事件导致客户临时发起纯安全的项目需求，比如传统VPN向ZTNA的改造项目，这类项目不涉及网络部分的新增建设需求 客户自身没有诸多分支办公室，只是租用了零散的办公场所或区域中心，核心需要解决应用安全访问及互联网安全访问等问题，没有组网需求因此不难发现，SASE这种将网络和安全能力高度融合的“大一统”解决方案固然尤其吸引人的地方，但是不同的客户实际情况阻碍了“标准完整的SASE项目落地。SASE能够为客户提供更简便的交付与使用，不论是从技术、财务、流程等诸多方面均无需考虑多种硬件，多种服务和多供应商的结合问题。SASE比较适合中型规模且具有较为分散的分支型企业，因为他们负责IT和基础设施的人员通常较少，且技术栈的广度和深度都有所欠缺。一旦客户是大型企业，有独立的网络和安全团队，就要在预算、策略管理、事故责任认定等方面需要“分清，则势必会出现网络和安全能力分开建设的情况。尤其是当网络在早几年已经完成了SD-WAN改造，此类客户就更无必要选择融合型的SASE方案，这时纯粹的云安全服务SSE则是客户的最佳选择。另一方面，随着企业混合办公趋势的常态化，企业IT和安全合规团队需要更多考虑如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规要求。在这种情况下，只有终端安全显然是不够的，需要为员工提供一个永远在线、按需扩展、不影响应用访问体验的“上网安全云，让员工能够随时随地，安全、合规的“上网访问互联网、部署在公有云或私有云基础设施的企业业务系统，及在SaaS服务运行的业务系统。在这样的情况下，无节点间组网需求，SSE无疑是“上网安全云的最佳实践，选择供应商提供的SSE安全服务边缘实现弹性可扩展，多点接入的完善互联网访问安全栈。在供应商和产品技术层面，虽然在SD-WAN和SSE魔力象限中列席的厂商都很多，但是能够同时满足SD-WAN,ZTNA,SWG,CASB等关键能力且都具备业界领先水平的厂商少之又少。擅长网络产品的厂商在安全能力方面较弱，且无法提供云原生安全服务交付；而安全能力擅长的厂商又始终难以提供完善的高级路由、应用感知的路由，进而无法支持业务驱动的动态组网场景。与此同时，当下混合办公、应用访问的关键技术一一ZTNA更是横跨SASE中网络和安全两大组件的重要技术能力，想实现较好的产品化、工程化支持多环境，多终端类型，多应用类型，不论对上述那种厂商都是不小的挑战。随着云化普及，客户应用从数据中心转移到云上，从自建系统到逐步采用第三方SaaS。这种场景下企业无点对点的组网需求，需要的是通过部署在边缘PoP的ZTNA,SWG,CASB等SSE能力。综合客户需求和方案能力成熟度两方面看，完整SASE方案的落地都具有明显挑战，在这样的情况下，Gartner将用户互联网访问的两大关键安全产品魔力象限（SWG和CASB）合并为SSE魔力象限，并在此之后发布的Single-VendorSASE（单供应商SASE）市场指南中明确指出了交付SASE的三种方式：完全由一家供应商提供的单供应商SASE、由显而易见的多供应商提供的SASE、由服务商打包提供的Managed（托管型）SASE,其中ManagedSASE某种意义上也认为是单供应商SASEo此上均表明了SASE的落地任重而道远，且需要充分考虑不同客户的实际情况。SSE应运而生，以云服务的形式仅交付关键安全能力，将SASE能力解耦，更灵活的实现落地，为用户提供简单易用、灵活付费、弹性扩容的安全云服务，当客户产生了SD-WAN需求时，则可以与之结合，实现完整SASE能力。虽然Gartner视SASE为网络安全的未来，也必须要面对客户需求多样化以及供应商产品与技术成熟度的事实。Gartner对SASE是未来这一判断有一些值得大家注意的基本假设，即：遍及全球或大洲的分布式企业、业务高度上云、员工无处不在办公、企业追求效率而不是成本等等。因此不难发现，如果客户不符合上述的全部条件，或者在当期及未来项目中不涉及更多需求，那么确实是不需要SASE这一融合了网络和安全全部能力的架构。安全厂商也不需要在自己不熟悉的网络能力方面增加投入，只需要专注自身最擅长的安全能力，并以云原生的方式实现能力融合与交付即可。因此，作为SASE在安全能力“化身”的SSE,必将在实际项目中扮演更重要的角色，毕竟技术成熟度高且落地快、客户需求明确且内部权责划分清晰。在SSE落地之后，结合客户已有的SD-WAN,SASE就是一件水到渠成的事情了。3 SSE主要应用场景基于SSE的架构和基础安全能力，SSE的典型应用场景主要包括四个方面：互联网应用安全访问的服务场景、公有云私有应用安全访问的服务场景、企业数据中心应用安全访问的服务场景、物联网远程接入安全访问的服务场景。3.1 互联网应用安全访问的服务场景企业分支通过互联网以网络设备接入到边缘安全防护POP点，通过CASB、SWG等安全功能，对访问互联网的各类应用（互联网应用或是企业SaaS应用）进行安全防护，包括根据URL分类库和流量内容识别对互联网应用网站的允许或拒绝访问，采用白名单或黑名单策略对发现与识别的应用程序进行访问管理，扫描Web内容中的垃圾邮件、恶意软件和病毒并进行相应的过滤，并能够有效应对勒索软件、凭证盗窃、网络钓鱼等基于Web的网络攻击威胁。在私有化场景可通过组网方式（如专网或者SD-WAN）接入到私有化SSE的边缘安全防护POP点。youcu*aniaa胺务蕾理西SSEisW*SSE POPNY' UI rr 1 . Uid 03 QMLJ图2互联网应用安全访问场景3.2 公有云私有应用安全访问的服务场景企业分支通过互联网接入到SSE的边缘安全防护PC）P点，或者SOHO办公的终端通过零信任方式接入SSE的边缘安全防护PoP点，通过FWaaS>CASB.ZTNA等安全功能，针对访问多种公有云（如运营商公有云、阿里腾讯公有云、华为云）的私有应用进行安全防护，包括针对应用数据加密、威胁检测、数据管理、风险评估等功能，防止或减轻网络钓鱼、帐户接管和恶意软件等安全威胁，并帮助企业识别影子IT,保护连接的设备和数据免受未授权终端或者恶意软件的威胁，监控用户行为，将其与基准模式进行比较以及标记异常活动，最终保护用户和云服务商之间的安全访问连接。采用零信任接入方式，针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时认证，结合数据上下文制定应用的访问策略、识别风险并根据风险优先级动态调整应用访问策略。名相户Wal身份和权限管理图3云应用安全访问场景3.3 企业数据中心应用安全访问的服务场景企业分支通过互联网接入到SSE的边缘安全防护PoP点，或者SOHe）办公的终端通过零信任方式接入SSE的边缘安全防护PoP点，通过FWaaS>CASB.ZTNA等安全功能，针对访问企业数据中心的私有企业应用程序进行安全防护，针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时的认证，结合数据上下文制定应用的访问策略、识别风险并根据风险优先级动态调整应用访问策略。图4企业数据中心安全访问场景服务订阅态势重询3.4 物联网远程接入安全访问的服务场景物联网智能终端远程接入场景，使用固定边缘接入设备或直接通过运营商物联网卡/SlM卡eSIM卡接入互联网，并通过物联网终端安全套件或代理边缘接入设备登录POP点的零信任访问网关，进行数据安全采集回传。SSE的边缘安全防护POP点，通过FWaaS、ZTNA等安全功能对不同接入的物联网终端进行在网状态检测及非法接入进行检测，对恶意终端发起的DDOS攻击及非法访问进行及时拦截并告警。多租户管理 身份和权PR管理图5物联网远程接入安全访问场景根制i,间和»:«:珈基于SSE架构还可扩展到其它应用场景，例如企业的多云访问的安全防护场景，企业的应用等保安全服务场景等。4 SSE关键技术与核心能力SSE支持多种安全访问场景，不同的安全场景所需的核心能力不同，上网安全场景所需的核心能力包括SWG、FWaaS；访问SaaS应用场景需要加载ZTNACASB等能力；物联网IoT场景需要ZTNA、FWaaS等能力。SSE核心能力主要包括：1） ZTNAZTNA（ZeroTrustNetworkAccess,零信任网络访问）默认假定任何用户都是不可信任的，不可访问任意内容，仅当用户身份、终端设备环境、上下文行为均被判定为可信的情况下，该用户才能访问授权可访问应用和数据。与VPN不同，VPN允许用户基于IP授权访问内网，ZTNA相较于VPN可以做到更精细化的访问控制。2） SWGSWG（SecureWebGateway,安全Web网关）可使用多种防御技术保护企业组织免受来自Web网站的威胁，它位于用户和Web网站之间，一般采用代理模式代理用户访问Web的流量，并在流经SWG服务节点时执行多项安全检查，包括URL过滤、恶意代码检测、Web访问控制等等，检查完毕后再将流量发往对应要访问的网站或将网站流量返还给用户。好的SWG服务可以对加密流量做到同样的安全检测。3） FWaaSFWaaS（FirewallasService,防火墙即服务）是一种基于云的防火墙，它可以整合来自企业组织总部、移动用户等各个位置的流量，可以对多来源的流量进行分析。FWaaS通常支持IDS/IPS、高级威胁防御、DNS安全等功能。4） CASBCASB（CloudAccessSecurityBroker,云访问安全代理）可以识别和检测云应用程序中的敏感数据，还可以下发安全策略，例如身份验证和单点登录（SS0）。它可以防止用户注册和使用未经企业IT组织授权的云应用，同时帮助企业减少影子,避免安全合规事件的发生。除上述核心能力以外，还可以提供其他安全服务，例如数据防泄漏（DLP）、远程浏览器隔离（RBI）云沙箱等等。SSE的关键技术和SASE是一致的。15SSE厂商图谱和市场格局5.1 全球市场概况参考Gartner2022年2月15日发布的MagicQuadrantforSecurityServiceEdge,SSE市场现状如下：2020财年SSE市场的收入在2.4至26亿美元之间，同比增长19%至21%。这个市场的供应商改进了SWG、CASB产品，更直接地与SWG和CASB领域的厂商竞争，一些新晋厂家也补全这两种功能，来争夺SSE机会。各供应商主要方案差异：1）架构差异：一些厂商提供统一的SSE平台，一些厂商则是将多个组件进行松散打包。部分方案必须安装客户端，而另一些同时也可以提供无客户端（依赖网络）的方案。2）安全组件成熟度差异大：各厂家在云安全组件、数据安全功能、云基础设施等方面能力成熟度差距比较大。同时各厂家普遍尝试加入数字体验监控（DigitalExperienceMonitoring）能力，以应对用户的业务访问体验问题。5.2 海外厂商概述收录到2022年GartnerSSE魔力象限的厂家如下?：图6Gartner2022<SSE魔力象限厂家概述、优劣势如表1所示。象限厂商概述优势劣势领导者Zscaler其主要的SSE产品包括ZscalerInternetAccess(ZIA)、ZscalerPrivateAccess(ZPA)和ZscalerDigitalExperience(ZDX)服务。它还提供CSPM和Zscaler云保护。客户为各行业的中大型组织。1、第一个引入DEM的公司，能够收集和分析最终用户体验。2、市场投入大，收入和新客户数量迅速增长。3、提供强大的SWG功能和易于使用的ZTNA产品。4、有更强大的SD-WAN合作伙伴生态。1、价格高，续费价格会上涨。2、数据安全等能力落后于其他厂商。3、报表功能性能差，需要购买额外的SIEM模块处理。NetsopeSSE产品作为Netskope安全云平台的一部分提供，包括下一代SWG、CASB和NetSkOPe私有应用访问(NPA)o客户为众多行业的中型到超大型组织。1、模块化部署在Newedge云，受到客户欢迎。2、提供高级数据安全功能。支持OCR,支持通过机器学习识别图像类型和文本。3、提供强大的SLAoSLA提供标准的5个9可用性，并保证未加密Web流量的延迟小于10亳秒，加密流量的延迟小于50毫秒。1、云防火墙7层协议只支持HTTP和HTTPS.2、基本的VPN隧道配置依赖SD-WAN合作厂商。3、2020年发布ZTNA服务NPAs2021年支持无客户端访问，发布时间晚。4、价格竞争力弱。McAfeeEnterpriseSSE产品是MVISI0N统一云边缘(UCE)服务。还提供例如XDR和端点安全等产品。它的客户规模从小到大，来自各个行业。1、SSE方案完整且紧密集成，包括SWG、CASBZTNA、RBL数据安全等。2、提供CSPM和SaaS安全状态管理(SSPM)功能、数字体验监控(DEM)、DLPo3、定价模式简单、具竞争力。1、开发和发布ZTNA和FWaaS功能的时间比较晚。2、缺乏与其经过认证的SD-WAN提供商的紧密集成。远见者Forcepoint(Bitglass)SSE产品包含SWG、CASB和ZTNAo它的客户往往是来自多个行业的大型企业。1、数据安全功能强大，可使用专有的FPSL(可编程SASE)功能进行定制，并集成在SWG、CASB和ZTNA功能中；2、AJAX-VM技术可以实现无客户端访问。3、提嵋过300个基于AWS的云PoP点。4、使用其SmartEdge代理来实现内容解密和检查，改善整体延迟1、SmartEdge依赖客户端，ZTNA不支持UDP2、Forcepoint(Bitglass)对市场的反应在过去一年有所放缓。例如，它专注于扩展其云POP并将其FPSL功能扩展到其现有平台内的其他模块，而不是添加FWaaS,等新功能。LookoutLookout的SSE产品包括CASB、SWG和ZTNAo还提供移动点安全产品。它主要服务于许多行业的大中型企业。1、拥有强大的数据安全能力，包括水印、加密、标记化等高级功能等。2、在Web、SaaS和私有应用程序中深入集成了数据安全。1、几乎没有与SD-WAh合作，专注于移动操作系统而非非移动设备的威胁防御。2、缺乏FWaaS产品，百到2021年8月才通过OEM引入RBIo挑战者PaloAltoNetworksSSE产品主要由PrismaAccess和SaaS安全服务组成。提云管理、DEM等，支持APl与RBl等第三方技术的集成。服务于各个行业的各种规模的客户O1、财力雄厚，客户基础庞大，持续投入让客户迁移安全能力到SSEo2、保持ZTNA端点和应用程序之间的流量内联，可以为在网和离网用户提供一致的ZTNA规则。1、功能模块没有很好整合，如RBl依赖于合作伙伴。2、设置和管理相对复杂。3、部分功能需要基于PA的防火墙，导致对非PA防火墙用户竞争力弱。4、功能模块多且复杂、价格高。Cisco思科SSE包括：CiscoUmbrella、Cloudlock和DUOBeyond。2S.年推出DLP、身份验证、RBI1、客户接受度高，期望SSE和思科SD-WAN结合。2、入门级产品简单易用，如XDR产品SeCUreX集成的UmbreIIaDNSSecurityEssentials和UmbrellaDNSSecurityAdvantage。并AnyConnectVPN可以满足许多远程访问要求。3、支持情报集成。1、数据安全功能比较基础，缺乏自动化的高级分析。2、组件集成差，基础组件价格低，但整套方案昂贵。3、功能推出较慢，没率基于客户端代理的ZTN/方案,最近才发布RBIc利基者BroadcomSSE产品包括：SymantecWebsecurityserviceCloudSOC(CASB)SymantecsecureAccesscloud(ZTNA)客户类型：大企业，行业客户1、SWG具有优势地位2、有广泛客户群体，了解最终用户的风险评分。2、DLP先进，如OCR、指纹识别和矢量机器学习。3、Broadcom通过仅销售基于云的SSE许可证简化了定价。如果客需要本地设备，则硬件成本会额外增加。4、是市场上率先推出SWG>CASB和ZTNA组件的公司之一O1、销售战略侧重于全球最大的公司，其他潜在客户很难获得技术支持。2、没有很好地集成。要部署多个客户端，使用多个控制台，缺乏集成导致功能混乱。iboss提供SASE产品，包含RBkCASB等客户集中在北美和欧洲，它在亚太地区的影响力较小，它的客户来自许多行业。1、ZTNA功能默认提供，定价具有竞争力2、技术支持能力强、响应时间快SLA达到7个9,承诺延迟不超过100ms3、RBlrl碑好4、核心能力采用容器化架构，也可以私有化部署。1、缺少API,没有基于API的CASB、DLP方案2、ZTNA评分是不透明的3、销售合作伙伴和MSSP合作伙伴缺乏VersaSSE产品是VersaSASE,还提供广域网边缘基础设施产品。客户范围包含从许多行业的中型到超大型组织。1、数据安全方案能力强，包括对指纹识别、加密、水印、编辑和其他高级操作的支持。2、网络技术能力强，在现有广域网边缘基础设施上叠加SSE,安全能力领先于专注于SD-WAN的厂商。1、Ul狂杂。2、主要面向现有的SD-WAN客户。3、技术文档质量差，学习难度局。ForcepointSSE产品包括：/、安余网美、CASB.私有应用访问产品客户范围从许多行业的小型组织到大型组织<1Gartner1、提供了风险用户的仪表板视图支持自定义策略来评估用户风险和采取策略。2、集成DLP和RBl功能，不单独收费。2022年SSE魔力象限厂家概述1、组件集成度差，需要多个控制台。2、缺少iOS和Android的代理客户端。3、客户端FlE的故障排除有问题，厂家支持质量和响应能力下降。4、ZTNA只支持WebU底用访问，导致使用率低5.3 国内厂商概况随着SSE概念的兴起，国内有不少安全企业也积极探索SSE产品和服务。国内SSE厂商概况如表2所示。厂商提供能力技术特点主打场景、主打行业绿盟FWaaS高级威胁防御安全Web网关Web应用防火墙ZTNA上网行为管理入侵防护多种代理转发模式安全防护+安全运营主打场景：远程办公、对外业务防护、多分支办公主打行业：政府、企业、教育、能源、医疗、金融奇安信FWaaS高级威胁防御安全Web网关Web应用防火墙数据防泄露ZTNA安全防护+安全运营（攻防实战）大型央国企政府行业教育行业金融行业远程办公深信服SWGZTNACASB高级威胁防御数据防泄漏基于云原生技术的PoP点集成防火墙和SDWAN主打场景：多分支上网安全、组网安全、混合办公安全、业务安全访问主打行业场景：企业多分支、教育城域网、政务服务（税务分支、公积金营业厅等）、金融营业厅等天融信ZTNASWGCASB高级威胁防御数据安全控制数据防泄漏综合安全能力各类云化场景远程办公场景政府行业卫生行业新华三FWaaSWeb应用防火墙IPS/IDSDDoSZTNA防病毒安全防护+安全运维+安全运营服务主打场景：远程办公、分支访问主打行业：运营商、政府、医疗、教育、金融、能源、企业网宿安全DDoSWeb应用防火墙BOT和API安全ZTNAFWaaSSWG基于全球边缘计算POP的企业基础设施和应用安全防护、集成SD-WAN和零信任的企业办公安全主打场景：远程办公、多分支办公、对外业务防护主打行业：金融、政府、企业、教育、能源、互联网表2国内厂商概述36结语企业数字化转型和业务上云是SASE的重要驱动力。由Gartner在2019年提出的SASE架构预计会成为网络安全架构的一种最佳实践。而落地的过程中，我们可以看到，因相户网络基础设施的建设进程和厂商自身的技术优势和选型，SASE发展出一可独立交付的产品形态SSEo作为SASE的一个分支，独立的安全服务交付能够更好的融入用户当前的网络建设当中，提供上网安全、SaaS应用防护和移动办公安全等服务。因无需改造网络基础设施因此SSE提供用户一个过渡到SASE更优雅的选择。在中国落地发展的过程中，因为行业属性和数据合规的要求，出现了不少私有化的需求，企业通过本地化的部署实现专有的SSE服务。我们相信，如同公有云和专有云的发展，公有和专有SSE也会在中国均衡的发展，满足不同行业用户的需要。除了专有SSE的发展，我们很兴奋的看到有厂商对I。T场景的探索，进一步的扩大了SASE的应用场景。因为SASE能非常好的适应与解决广泛接入终端的安全架构，拥有更多离散接入的I。T场景无疑也是SASE未来一个非常大的发展方向，期待明年能看到有更多的厂商参与带来更多的最佳实践。最终，希望通过这份解读能够帮助用户和行业参与者，对SSE和其在全球的发展能够有更多理解。让SASE这类的技术可以在中国加速的应用和发展，以领先全球的形态和技术出现，守护各行各业的网络安全。