什麼是安全性服務邊緣?

Gartner 在 2021 年的 Hype Cycle for Cloud Security 中,將安全性服務邊緣 (Security Service Edge,簡稱 SSE) 定義為 SASE 的安全性元件,可保護連向 Web、SaaS 應用程式和私人應用程式的存取權。它採納了安全 Web 閘道 (SWG)、雲端存取安全性代理程式 (CASB)、零信任網路存取 (ZTNA) 和防火牆即服務 (FWaaS) 等各種進階安全性功能。

安全性服務邊緣 (SSE) 釋義

隨著混合網路環境的興起,使用者開始會從任何地點和裝置連線,直接在雲端存取業務應用程式和敏感資料。由於傳統的安全性邊界持續消解,安全性功能也必須轉移到雲端。SSE 讓組織得以套用與雲端一致的安全性,為遍及多個雲端、資料中心和軟體即服務應用程式的應用程式存取提供保護。SSE 解決方案在與進階 SD-WAN 結合後,即形成安全存取服務邊緣 (SASE) 架構,大幅為雲端代管應用程式的使用者提升體驗品質。

SSE 如何運作?

SSE 解決方案可為連向 Web、雲端服務和私人應用程式的遠端存取提供保護。

傳統來說,企業會在資料中心集中託管應用程式,以便執行防火牆和 IDS/IPS 等各種安全性檢查。隨著應用程式轉移到雲端,且遠端辦公開始盛行,如今企業必須在傳統安全性邊界之外的分散環境運作,因此防範應用程式承受外部威脅也變得困難重重。舊式網路基礎架構無法讓 IT 部門監控使用者和 SaaS 應用程式之間的所有連線。此外,將連向雲端的流量導向資料中心進行安全性檢查,也會對應用程式和使用者體驗造成顯著的負面影響。

安全性服務邊緣這種雲端傳遞服務可讓組織在更靠近端點 (包含使用者和裝置) 的位置執行進階安全性檢查。它創造的動態安全性邊界,可提供威脅防護、資料安全、安全性監控,以及存取控制,不必受使用者的連線位置所限。

SSE 的元件

安全性服務邊緣 (SSE) 包含四種核心安全性元件:

  • ZTNA
    ZTNA 會預設任何使用者皆不可信任,必須證實安全才能存取任何項目。相較於 VPN 會向連線的使用者提供公司網路的廣泛存取權,ZTNA 則會透過信任代理程式限制使用者只能存取特定應用程式,或提供已核准使用者存取的微分割。
  • CASB
    CASB 會識別並偵測雲端應用程式中的敏感資料,包括雲端對雲端的存取,然後執行安全性原則,例如驗證和單一登入 (SSO)。它會防止使用者登入與使用未經組織的 IT 和安全性原則授權的雲端應用程式,讓組織得以減少會導致安全性和合規性問題的影子 IT。
  • SWG
    SWG 運用多種防禦技術來保護組織免於 Web 型威脅。它會阻擋在使用者和網站之間,因此使用者流量會連向 SWG 解決方案接受各種安全性檢查,包括 URL 篩選、惡意程式碼偵測和 Web 存取控制,然後再重新導向到網站。
  • FWaaS
    FWaaS 是一種可對多個來源的流量進行分析的雲端型防火牆。FWaaS 可為組織所營運的多個據點 (包括公司總部、遠端分公司和行動使用者) 鞏固流量。FWaaS 經常用於支援關鍵存取控制功能,例如 IDS/IPS、進階威脅防範、URL 篩選和 DNS 安全性。
  • 其他安全性服務,例如資料外洩防護 (DLP)、遠端瀏覽器隔離 (RBI) 和沙箱,也是除了上述核心功能以外可取得的元件。

SSE 和 SASE 的差別是什麼?

2019 年,Gartner 發明了 SASE (Secure Access Service Edge,安全存取服務邊緣) 這個詞來囊括 SD-WAN 功能和雲端傳遞安全性服務。儘管網路和安全性彼此緊密牽連,兩者卻各自迥異,且都是相當複雜的專業領域。雖然廣域網路理當提供快速、穩定且彈性的連線,但隨著網路安全風險的日新月異,安全性也成為發展迅速的領域了。此外,安全性和網路通常會交由不同團隊來管理。

2022 年初,Gartner 發表了「SSE 魔力象限」這個全新的分類來概括 SASE 的雲端傳遞安全性元件。SSE 採納了一套明確的安全性服務組合來兌現 SASE 的安全性理想,而 SD-WAN 則決定了 SASE 的 WAN 邊緣網路功能需求。

從縮寫來看,SASE = SD-WAN + SSE

SASE = SD-WAN + SSE

為何我該考慮使用 SSE?

  • SSE 提供安全的遠端存取
    由於混合辦公已經是新常態,企業必須保護遠端工作者,讓他們可以安心從任何位置連線。SSE 的零信任功能預設即不信任任何使用者,因此使用者只能根據身分識別來存取網路中的特定部分,查看與自己在組織中的角色相關的雲端應用程式,以免他們存取並侵犯敏感公司資料。
  • SSE 可保護雲端優先的組織免於外部威脅
    隨著數位化的加速,網路犯罪也以相同腳步跟著成長。由於多數應用程式都已轉移到雲端,如今組織必須找出更有效率的方法來保護自家的數位資產。SSE 具備防火牆功能,可運用 URL 篩選和惡意程式碼偵測等多種技術來保護組織免於 Web 型威脅。由於它有 CASB 功能,可藉由執行安全性原則來保護託管在雲端的敏感資料。此外還有遠端瀏覽器隔離 (RBI) 這類其他安全性功能,可重建不受惡意程式碼侵犯的網頁,藉此將 Web 使用者隔離在網際網路之外。
  • SSE 可結合 SD‑WAN 打造出業界最佳的 SASE
    由於與多家 SSE 廠商緊密整合,進階 SD-WAN 解決方案可讓組織打造出業界最佳的 SASE 架構,無損任何效能或安全性。它讓組織可從各種最佳的 SSE 解決方案中自由挑選。在與 SSE 解決方案整合的過程中,進階 SD-WAN 可在分支和現有 SSE 據點之間將安全通道的組態自動化,在第一個封包即識別應用程式,接著向特定應用程式指派流量原則,然後根據組織設定的安全性原則,將流量自動路由到 SSE 服務。

SSE 有哪些優勢?

  • 提高安全性
    SSE 在距離使用者更近的位置打造安全性,並實現一套更有彈性的方法來與企業以外的世界連線。由於託管在雲端,SSE 可輕易更新,以便應對最新的安全性威脅,而原則變更也能自動立即推送到遠端使用者,帶來一致的安全性措施。
  • 操作更簡單
    SSE 將多種安全性服務整合為單一平台,藉由刪除重複的安全性原則並加以協調,消除了重疊並讓單一平台發揮優勢。它讓使用者更容易從中央位置瞭解安全性事件,且有助於簡化作業與降低成本。
  • 業界最佳的 SASE
    有了 SD-WAN 和 SSE 這兩種截然不同的功能,企業界就能根據自家需求來挑選最合適的網路和安全性功能,打造出業界最佳的 SASE 架構。此外,進階 SD-WAN 解決方案還可讓組織整合新一代防火牆功能,根據角色和身分識別對網路進行動態分割,進一步增強 SASE 並保護 IoT 裝置。

準備好開始了嗎?