平安方面的最大挑战之一是正确构建深度进攻。将云增加到组合中,如果不应用正确的工具,就会遭逢失败。
这就是框架能够发挥作用的中央。任何有助于咱们改良云服务安全策略的探讨和资源都是非常重要的。
这就是 SASE(以及 SSE)帮忙咱们实现的指标。
1、挑战
这里的挑战是爱护对云的拜访,但什么是云?云计算有很多模型,本文将专一于企业无法控制的模型,即 SaaS。
有许多技术能够搁置在用户和这些服务之间。
2、定义
首先对 SASE 和 SSE进行定义,而后咱们能够深刻理解它们相互交织的中央。
1)平安拜访服务边缘
这是由Gartner 定义的框架和术语,它代表了爱护用户、零碎和任何地位的终端的技术,当然,是在云上而非数据中心。
早在 2019 年,当供应商开始意识到如何应用他们的 SD-WAN 解决方案时,SASE 就在业界身败名裂:他们都宣称,这是通往 SASE 的路线。
依据SASE 供应商的说法:
平安拜访服务边缘 (SASE),是 Gartner 确定的一种框架,可将用户、零碎和终端设备等实体平安地连贯到可能位于任何中央的应用程序和服务。至关重要的是,SASE 不是一种技术。
Gartner 在其 2019 年报告“云端网络安全的将来”中将 SASE 框架定义为基于云的网络安全解决方案,它提供“具备全面网络安全性能(如 SWG、CASB、FWaaS 和 ZTNA)的全面广域网性能以反对数字企业的动静平安拜访需要。”
回顾SaaS 图表,SASE看起来是这样的,能够有更多的层和服务来爱护这种拜访。
2)平安服务边缘
这是Gartner 发明的另一个术语。它首先是在一份 Gartner 文档中提到的,它为 SASE 制订了路线图,因而可知SSE 是副产品,或者在某种程度上与 SASE 框架无关。
用他们本人的话来说:
平安服务边缘 (SSE) 爱护对 Web、云服务和公有应用程序的拜访。性能包含访问控制、威逼爱护、数据安全、安全监控以及通过基于网络和基于 API 的集成施行的可承受应用管制。SSE 次要作为基于云的服务提供,可能包含本地或基于代理的组件。
Palo Alto 也以稍微不同的形式解释了这一点:
依据 Gartner 的说法,SSE 是一组以云为核心的集成平安性能,有助于平安拜访网站、软件即服务 (SaaS) 应用程序和公有应用程序。具体而言,与 SSE 相干的平安性能包含零信赖网络拜访 (ZTNA)、云平安 Web 网关 (SWG)、云拜访平安代理 (CASB) 和防火墙即服务 (FWaaS) 技术。
SSE 是 SASE 的一个子集,没有 Access 组件,它在图表中看起来是这样的:
3)SASE 与 SSE
它们之间存在一些差别,实质上 SSE 侧重于云平安的服务局部。当初,供应商可能对他们本人的定义有偏见,这是Zscaler 对 SSE 的定义:
SSE 能够被认为是平安拜访服务边缘 (SASE) 框架的子集,其架构齐全专一于平安服务。平安服务边缘包含三个外围服务:
- 通过平安 Web 网关 (SWG )平安拜访互联网和 Web
- 通过云拜访平安代理 (CASB )平安拜访 SaaS 和云应用程序
- 通过零信赖网络拜访 (ZTNA )爱护对公有应用程序的近程拜访
4)云服务
这些框架能够爱护哪些云服务?其实,它们实用于任何云模型:IaaS、Paas 或 SaaS服务。
而 CASB 和 SWG 等管制尤其关注 SaaS 或互联网流量查看。这与用户对云的拜访非常相干。
SD-WAN 服务也有利于云服务的用户体验,而不是基础设施自身,只管基础设施能够从 WAN 优化和 SaaS 减速内容中受害。
请留神 SASE 提到的一些控件,例如 ZTNA,当然与 SaaS 之上的任何云模型(包含 IaaS 和 PaaS)都极为相干。然而,SASE 脱漏了一些引人注目的 IaaS 和 PaaS——这些平台须要其余管制集,正如本文之前探讨过的。IaaS 和 PaaS 的附加管制是 CSPM、信息管理、存档、CWPP 以及其余可能的管制。
例如,微软具备对 SaaS 的信息安全、合规性、数据分类、标签等具备多项控制措施——此外,对于 IaaS 和 PaaS 平安,他们的工作负载爱护和 CSPM(云防御者)意味着他们提供针对这些挑战的宽泛而深刻的管制。
3、论断
SASE 是一个全方位的框架,用于从拜访层开始爱护对云服务的拜访。SSE 专一于这种平安机制的服务组件。
两者都是能够领导企业保持无效的纵深进攻策略和云计算,尤其是 SaaS 应用程序的框架。
不过,它们并不是爱护企业云工作负载所需的全部内容,而是爱护企业环境所有措施中的一部分。