安全方面的最大挑战之一是正确构建深度防御。将云添加到组合中,如果不使用正确的工具,就会遭遇失败。
这就是框架可以发挥作用的地方。任何有助于我们改进云服务安全策略的讨论和资源都是十分重要的。
这就是 SASE(以及 SSE)帮助我们实现的目标。
1. 挑战
这里的挑战是保护对云的访问,但什么是云?云计算有很多模型,本文将专注于企业无法控制的模型,即 SaaS。
有许多技术可以放置在用户和这些服务之间。
2. 定义
首先对 SASE 和 SSE进行定义,然后我们可以深入了解它们相互交织的地方。
(1) 安全访问服务边缘
这是由Gartner 定义的框架和术语,它代表了保护用户、系统和任何位置的终端的技术,当然,是在云上而非数据中心。
早在 2019 年,当供应商开始意识到如何使用他们的 SD-WAN 解决方案时,SASE 就在业界声名狼藉:他们都声称,这是通往 SASE 的道路。
根据SASE 供应商的说法:
安全访问服务边缘 (SASE),是 Gartner 确定的一种框架,可将用户、系统和终端设备等实体安全地连接到可能位于任何地方的应用程序和服务。至关重要的是,SASE 不是一种技术。
Gartner 在其 2019 年报告“云端网络安全的未来”中将 SASE 框架定义为基于云的网络安全解决方案,它提供“具有全面网络安全功能(如 SWG、CASB、FWaaS 和 ZTNA)的全面广域网功能以支持数字企业的动态安全访问需求。”
回顾SaaS 图表,SASE看起来是这样的,可以有更多的层和服务来保护这种访问。
(2) 安全服务边缘
这是Gartner 创造的另一个术语。它首先是在一份 Gartner 文档中提到的,它为 SASE 制定了路线图,因此可知SSE 是副产品,或者在某种程度上与 SASE 框架有关。
用他们自己的话来说:
安全服务边缘 (SSE) 保护对 Web、云服务和私有应用程序的访问。功能包括访问控制、威胁保护、数据安全、安全监控以及通过基于网络和基于 API 的集成实施的可接受使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于代理的组件。
Palo Alto 也以略微不同的方式解释了这一点:
安全服务边缘 (SSE) 保护对 Web、云服务和私有应用程序的访问。功能包括访问控制、威胁保护、数据安全、安全监控以及通过基于网络和基于 API 的集成实施的可接受使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于代理的组件。
SSE 是 SASE 的一个子集,没有 Access 组件,它在图表中看起来是这样的:
(3) SASE 与 SSE
它们之间存在一些差异,本质上 SSE 侧重于云安全的服务部分。现在,供应商可能对他们自己的定义有偏见,这是Zscaler 对 SSE 的定义:
SSE 可以被认为是安全访问服务边缘 (SASE) 框架的子集,其架构完全专注于安全服务。
安全服务边缘包括三个核心服务:
- 通过安全 Web 网关 (SWG )安全访问互联网和 Web
- 通过云访问安全代理 (CASB )安全访问 SaaS 和云应用程序
- 通过零信任网络访问 (ZTNA )保护对私有应用程序的远程访问
(4) 云服务
这些框架可以保护哪些云服务?其实,它们适用于任何云模型:IaaS、Paas 或 SaaS服务。
而 CASB 和 SWG 等控制尤其关注 SaaS 或互联网流量检查。这与用户对云的访问十分相关。
SD-WAN 服务也有利于云服务的用户体验,而不是基础设施本身,尽管基础设施可以从 WAN 优化和 SaaS 加速内容中受益。
请注意 SASE 提到的一些控件,例如 ZTNA,当然与 SaaS 之上的任何云模型(包括 IaaS 和 PaaS)都极为相关。然而,SASE 遗漏了一些引人注目的 IaaS 和 PaaS——这些平台需要其他控制集,正如本文之前讨论过的。IaaS 和 PaaS 的附加控制是 CSPM、信息管理、存档、CWPP 以及其他可能的控制。
例如,微软具有对 SaaS 的信息安全、合规性、数据分类、标签等具有多项控制措施——此外,对于 IaaS 和 PaaS 安全,他们的工作负载保护和 CSPM(云防御者)意味着他们提供针对这些挑战的广泛而深入的控制。
3. 结论
SASE 是一个全方位的框架,用于从访问层开始保护对云服务的访问。SSE 专注于这种安全机制的服务组件。
两者都是可以指导企业坚持有效的纵深防御战略和云计算,尤其是 SaaS 应用程序的框架。
不过,它们并不是保护企业云工作负载所需的全部内容,而是保护企业环境所有措施中的一部分。
