SSE 與 SASE哪個云原生安全框架更加適合

近年來，隨著云計算和網絡技術的不斷發展，出現了一種新的網絡安全解決方案——SASE（安全訪問服務邊緣）。SASE是一種將網絡和安全功能融合到單個基于云的服務中的框架，旨在提供更加安全、高效和便捷的網絡訪問體驗。SASE的出現可以幫助企業更好地應對網絡安全挑戰，同時簡化網絡管理和提高用戶體驗。

SASE的核心優勢在于將網絡和安全功能集成到單個基于云的服務中，從而避免了傳統網絡安全解決方案中存在的多個系統之間的協調和管理問題。SASE通過使用云計算技術，可以實現快速部署、彈性擴展和自動化管理，大大提高了網絡安全的效率和可靠性，保證關鍵業務應用的穩定運行。

然而，伴隨著SASE的不斷實踐和落地，Gartner順勢提出了一種新興的云原生安全框架——安全服務邊緣（SSE），與SASE解決方案相比，SSE更加注重安全性，可以滿足一些IT領導者只需要SASE功能子集的需求。

什么是SASE安全訪問服務邊緣框架？

安全訪問服務邊緣（SASE）是一種新興的網絡安全架構，由Gartner在2019年首次提出。這種架構旨在滿足現代企業的需求，使員工能夠從任何地方安全地訪問工作資源。隨著員工在地理上的分散，IT領導者需要一種新的方法來保護他們的網絡和數據安全。

SASE架構將網絡和安全功能融合到單個基于云的服務中，使企業能夠更加靈活和高效地管理網絡和安全。這種架構可以提供多種安全服務，如身份驗證、訪問控制、數據加密等，從而保護企業的網絡和數據安全。此外，SASE還支持零信任網絡訪問（ZTNA）和服務質量（QoS）等先進技術，可以更好地保護企業的網絡和數據安全。

SASE架構的優勢在于可以提供高效、靈活和安全的網絡訪問體驗。它可以通過使用云計算技術，實現快速部署、彈性擴展和自動化管理，大大提高了網絡安全的效率和可靠性。此外，SASE還可以根據網絡流量的重要性和敏感性，動態調整帶寬和延遲，保證關鍵業務應用的穩定運行。

該框架使用以下五個組件將網絡訪問與云原生安全性融合在一起：

1.軟件定義的廣域網 (SD-WAN)

一種根據策略、條件和監控指標在多個路徑上動態路由流量來優化廣域網連接和性能的服務。

2.防火墻即服務 (FWaaS)

一種純粹基于云的防火墻，用于檢查“作為服務”而不是作為本地硬件設備提供的入站和出站網絡流量。

3.云訪問安全代理 (CASB)

一種網絡安全服務，位于用戶和云提供商之間的網絡上，強制執行基于云的數據訪問策略。

4.安全 Web 網關 (SWG)

一種基于云的服務，專注于 Web 瀏覽流量，可根據特定 IT 策略阻止不需要的和惡意的 Internet 流量。

5.零信任網絡訪問 (ZTNA)

一種根據身份、上下文和策略向授權用戶和設備授予細粒度和有條件的訪問權限的服務。

對于希望提升遠程訪問安全性并過度到云原生環境的首席信息官和首席安全官來說，SASE 框架是一個非常適合的解決方案。它提供了一種以云為中心的方法來執行安全策略，以便數據和設備受到保護，并與核心網絡功能相結合，例如：

服務質量 (QoS)：一種根據網絡流量的重要性和敏感性確定其優先級的服務。

WAN 優化：一種通過壓縮、緩存和重復數據刪除來減少帶寬消耗和延遲的服務。

VPN（虛擬專用網絡）：一種在遠程用戶和網絡資源之間創建安全隧道的服務。

但必須說明的是，SASE 并不是一個“產品”，它在更多意義上是一個架構框架,以滿足分布式企業的網絡和安全需求。

什么是SSE安全服務邊緣框架？

安全服務邊緣（SSE）框架是Gartner在2021年提出的一個新興的云原生安全框架。與SASE相比，SSE更加專注于不需要SD-WAN的IT環境，因此它更適合那些沒有多個路徑到達目的地且無需基于應用程序的路由決策的網絡。SSE負責安全網絡、云服務和應用程序訪問，最有效的業務案例場景是遠程員工的VPN替代。通過SSE解決方案，企業可以減少網絡負載并簡化通過物理防火墻設備或集中式數據中心的IP流量的復雜路由。

SSE通常需要一個純粹基于云的安全平臺，該平臺在網絡邊緣提供一系列安全功能。與SASE一樣，領先的網絡和安全供應商也有SSE選項。然而，SSE的云原生性質意味著它通常作為可以輕松部署、管理和擴展的單一平臺進行銷售。因此，SSE可能會受到那些希望簡化和擴展遠程工作人員的安全性并過渡到云原生環境的組織的歡迎。

SSE和SASE之間應該如何選擇？

SSE 和 SASE 之間的選擇很大程度上取決于組織的特定需求、目標和預算。通常可以參考以下問題去評估自身組織的適合哪一個網絡安全解決方案：

當前的網絡和安全基礎設施的痛點和挑戰是什么？

網絡和安全策略的短期和長期目標是什么？

用戶、設備、應用程序和數據的分布和多樣性如何？

如何確保遠程工作人員的安全？

如何將最低權限訪問框架應用于網絡訪問？

產生和消耗多少網絡流量，性能和可靠性要求是什么？

面臨多少安全風險，合規和治理義務是什么？

需要多少預算和資源來投資新的解決方案？

一般來說，如果滿足以下條件，SSE可能是一個不錯的選擇：

擁有相對簡單且穩定的網絡基礎設施，不需要太多優化或靈活性；

對安全服務有很高的要求，但對安全漏洞或數據丟失的容忍度較低；

實施完整 SASE 解決方案的預算或資源有限。

另一方面，如果滿足以下條件，SASE 可能是更好的選擇：

擁有復雜且動態的網絡基礎設施，需要不斷優化和適應；

已準備好冗余網絡路徑或 ISP 電路，希望進行負載平衡或以主動/主動狀態使用；

對網絡和安全服務有很高的要求，但對性能下降或用戶不滿意的容忍度較低；

擁有足夠的預算和資源來實施全面的 SASE 解決方案。

因此，正如上文所述，SSE 和 SASE 都是基于云的融合安全功能的框架。然而，SASE還包括網絡功能，而SSE只關注安全性。SASE可以視為將網絡和安全作為統一服務提供的綜合藍圖，而 SSE 是 SASE 的子集，涵蓋與安全相關的組件。而提到安全性就不得不提到WAAP全站防護了，全站防護是基于風險管理和WAAP理念打造的安全方案，以“體系化主動安全” 取代安全產品的簡單疊加，為各類Web、API業務等防御來自網絡層和應用層的攻擊，幫助企業全面提升Web安全水位和安全運營效率。全站防護的特性在于：

1.全周期風險管理

基于事前-事中-事后全流程，通過資產發現→策略布防→體系化運營，實現風險管理閉環

2.全方位防護

聚合DDoS云清洗、Web攻擊防護、業務安全、API安全、全站隔離5大模塊，實現覆蓋L3-L7層的全站防護

3.簡化安全運營

統一納管多云環境所有Web業務、一個后臺統一控制、打破數據孤島，大幅降低安全運營復雜度和人力成本

4.防護效果卓越

多模塊數據聯動，秒級識別低頻DDoS、業務欺詐等隱藏惡意行為；主動威脅情報和全站隔離技術實現主動防護、屏蔽0day漏洞威脅

體系化防護架構：引擎融合+風險閉環，并且擁有四大功能：云端部署、風險管理、全站防護以及安全運營。

一、云端部署

一鍵接入，無需改造現有架構，專家7*24小時在線支撐，實時解決問題

二、風險管理

在事前階段，結合安全專家服務，幫助企業發現并收斂Web業務安全風險

1.漏洞掃描

通過漏洞掃描器對Web應用資產進行安全掃描，發現Web應用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.滲透測試

派出安全專家，以黑客視角對目標系統進行非破壞性漏洞挖掘，清查目標系統潛在的安全隱患；

3.智能化防護策略

平臺基于客戶業務的智能化分析，可自動適配防護策略，實現開箱即用；

4.API資產盤點

基于流量分析，幫助企業從流量數據中發現尚未掌握的API業務，形成API資產清單，為后續的防護工作做好資產盤點；

5.互聯網暴露面資產發現

通過平臺和人工服務的方式，對域名、IP及關鍵字的綜合查詢及關聯分析，提供互聯網資產的發現、識別、監測、稽核等服務，幫助用戶發現和梳理互聯網資產；

三、全站防護

在事中階段，從網絡安全、應用安全、業務安全、API安全各層面，為Web應用提供全面安全防護閉環

1.DDoS防護

秒級檢測專利技術，在邊緣實時清洗網絡層DDoS攻擊；

2.CC防護

基于AI的流量行為分析技術，實現對應用層CC攻擊的秒級檢測及防御；

3.業務安全

針對業務層面，提供輕量化的信息防爬和場景化風控能力；

4.API安全

針對API應用進行精細化的管理和防護，規避API濫用行為、防止數據泄露；

5.Web攻擊防護

覆蓋OWASP Top10的各類Web攻擊防護，基于CDN的分布式算力提供彈性防護和海量IP封禁，同時支持與源站本地防護聯合決策提高防御精度；

6.全站隔離

基于遠程瀏覽器隔離技術使網站源代碼不可見，從而主動隱藏網站攻擊面，同時結合混淆訪問路徑、加密交互內容等技術，實現對0day漏洞攻擊的有效屏蔽；

7.協同防護

通過全站防護管理平臺，對網絡L3-L7層各防護模塊的安全策略進行統一管理，并通過數據聚合、情報協同，形成真正的縱深防護，簡化運營工作的同時進一步提升整體安全的防護水位。

四、安全運營

在事后階段，以降低風險為目標，全站防護管理平臺提供體系化的安全運營能力，幫助企業夯實全周期風險管理閉環

1.全面的安全態勢

聚合各防護模塊數據，以簡潔、貼近業務的形式呈現，用戶可總覽web安全態勢，主動感知和響應已知安全事件；

2.持續優化的托管策略

結合平臺實戰對抗經驗和持續的攻防研究成果，管理平臺持續提供推送更高質量的防護規則和策略建議，對業務防護策略進行優化，與黑產持續對抗；

3.安全專家運營

資深安全專家提供策略優化、應急響應、重保等專項安全服務，同時對客戶風險的持續監測與防護管理。

總之，SSE和SASE之間的選擇取決于組織的特定需求、目標和預算。如果組織擁有相對簡單且穩定的網絡基礎設施，對安全服務有很高的要求，但對安全漏洞或數據丟失的容忍度較低，那么SSE可能是一個不錯的選擇。如果組織擁有復雜且動態的網絡基礎設施，需要不斷優化和適應，對網絡和安全服務有很高的要求，但對性能下降或用戶不滿意的容忍度較低，那么SASE可能是更好的選擇。