我们可以将SSE视为安全访问服务边缘 (SASE) 的缩小版、纯安全版本。SASE包含大量的安全和网络服务,在实践中,这些服务对很多企业来说可能过于繁重。
SSE提供三种与SASE相同的主要安全技术:
- 云访问安全代理(CASB)
- 安全网络网关(SWG)
- 零信任网络访问(ZTNA)
SSE缩减了SASE的其他功能,尤其是其与WAN相关的服务。通过部署SSE而不是SASE,企业可以实现很多相同的安全优势,同时更轻松、更快速地迁移。
考虑以下三个开始使用SSE的实用技巧。
1. 分阶段SSE迁移
部署SSE需要先部署CASB、SWG和ZTNA技术,每种技术都涉及其自身的重大规划和迁移工作。企业应计划分阶段将用户、设备、数据和应用程序迁移到SSE,对于任何重大技术更新,都可以采用分阶段做法。首先设计和部署一个小型试点,以识别和解决任何重大问题。然后,逐步扩展该试点,以涵盖更多用户、设备、数据和应用程序。
需要注意的一点:通常,企业需要先迁移其用户的本地和基于云的服务和应用程序,然后才能享受SSE的全部安全优势。SSE的主要好处之一是用户无法直接访问服务和应用程序。相反,用户通过SWG访问它们,SWG充当应用安全策略和监控威胁活动的中介。CASB和ZTNA提供了进一步的安全优势,例如身份验证、访问控制和行为分析。
然而,在所有用户都迁移到SSE之前,他们访问的服务和应用程序将更加暴露,并且面临更高的泄露风险。因此,如果可能的话,保持迁移周期相对较短以更快地实现更强的安全性非常重要。
2. 先监控后执行政策
SSE组件(尤其是ZTNA)往往比它们所取代的传统安全技术更具限制性。例如,SSE可能会频繁检查设备健康状况、用户行为和其他使用特征。总的来说,这对企业的安全态势非常有利,尽管起初它可能会导致一些令人不快的意外和运营中断。
在可行的情况下,尤其是在初始试点中,以仅监控模式运行SSE,无需强制执行,以查看该技术会阻止什么以及原因。这通常会发现现有的安全策略违规行为,并且在某些情况下会指出可能需要放松SSE策略的地方(至少是暂时的)以解决现实世界的行为。
3. 确定要添加到SSE的控制
根据其包含的CASB、SWG和ZTNA技术,SSE在其安全控制中可能存在一个或多个漏洞。幸运的是,企业通常可以相对容易地通过获取额外的网络安全服务来修复这些漏洞。任何尚不属于SSE的SASE安全控制,例如防火墙即服务或数据丢失防护,都是值得考虑的候选对象。
如果企业的SSE需要多个额外的控制,最好退后一步,考虑完整的SASE部署是否会更好。单个SASE平台而不是集成几个不同的SSE和SASE组件肯定有优势。但是,如果SASE太大或太昂贵,向SSE添加单独的控制通常仍然是一种更可取的方法。
