云安全联盟《解读SSE》.pdf
《云安全联盟《解读SSE》.pdf》由会员分享,可在线阅读,更多相关《云安全联盟《解读SSE》.pdf(19页珍藏版)》请在咨信网上搜索。
1、 2023 云安全联盟大中华区版权所有 2023 云安全联盟大中华区版权所有 2023 云安全联盟大中华区版权所有致谢致谢解读 SSE由 CSA 大中华区 SASE 工作组内专家撰写,感谢以下专家的贡献:工作工作组组联席联席组长:组长:何国锋林冠烨贡献者名单贡献者名单原创作者:原创作者:岑义涛常向青崔灏王茜张超钟施仪审核审核专家:专家:毕亲波常向青黄超吕士表袁淑美姚凯研究协调员:研究协调员:崔灏司玄贡献单位:贡献单位:关于研究工作组的更多介绍,请在 CSA 大中华区官网(https:/c- CSA GCR 秘书处给予雅正!联系邮箱 researchc-;国际云安全联盟 CSA 公众号。防特网信
2、息科技(北京)有限公司(Fortinet)新华三技术有限公司绿盟科技集团股份有限公司奇安信科技集团股份有限公司深信服科技股份有限公司天融信科技集团股份有限公司网宿科技股份有限公司中国电信股份有限公司研究院北京启明星辰信息安全技术有限公司腾讯云计算(北京)有限责任公司(以上排名不分先后)2023 云安全联盟大中华区版权所有序序言言随着混合办公时代的到来,云服务的高速增长和用户办公场景移动性的增加导致以边界防护为主的网络安全防御体系不再适用于当今企业网络架构,用户在企业网络之外访问云服务成为普遍现象。为保护远程用户和云资源,Gartner 在 2019 年提出安全访问服务边缘(Secure Acc
3、ess Service Edge,SASE)概念,2021 年又提出安全服务边缘(SecureService Edge,SSE),以云原生的技术通过边缘交付安全能力,允许企业通过云服务实施安全策略以促进对 Web、云服务和私有应用程序的安全访问。作为网络安全解决方案的当下热点,SSE 目前仍缺乏直观深度的解析以便进行深入研究和推广,尤其需要将其与 SASE 区别开。SASE 工作组邀请业内专家,从技术视角客观解读 SSE,明确 SSE 与其他理念的异同,并分析 SSE 的缘起、主要应用场景、关键技术与核心能力,最后展示 SSE 厂商图谱和市场格局。李雨航 Yale LiCSA 大中华区主席兼研
4、究院院长 2023 云安全联盟大中华区版权所有目录目录致谢致谢.3序序言言.51 SSE 是什么是什么.72 为什么为什么 SASE 之后又提出之后又提出 SSE.83 SSE 主要应用场景主要应用场景.113.1 互联网应用安全访问的服务场景.113.2 公有云私有应用安全访问的服务场景.123.3 企业数据中心应用安全访问的服务场景.133.4 物联网远程接入安全访问的服务场景.134 SSE 关键技术与核心能力关键技术与核心能力.145 SSE 厂商图谱和市场格局厂商图谱和市场格局.155.1 全球市场概况.155.2 海外厂商概述.165.3 国内厂商概况.196 结语结语.20 20
5、23 云安全联盟大中华区版权所有1 SSE 是什么是什么安全服务边缘(Security Service Edge,SSE)是以云原生的技术通过边缘交付安全能力,有助于安全访问网站、软件即服务(SaaS)应用程序和私有应用程序。功能包括访问控制、威胁保护、数据安全、安全监视,以及通过基于网络流量检测或应用 API 集成的方式实现对应用的使用控制。SSE 作为云化服务,可通过本地网关类设备或软件客户端接入。2019 年,Gartner 将安全访问服务边缘(Secure Access Service Edge,SASE)定义为一种新兴的方案,网络服务(最显著的是 SD-WAN)功能与网络安全功能(如
6、 SWG、CASB、FWaaS 和 ZTNA)结合,支持数字化企业的动态安全访问业务和互联网的需求。2021 年,Gartner 在2021 年 SASE 融合战略路线图中提出了 SSE,如果说 SASE描述了一个架构框架,将网络和安全整合为从云提供的统一服务,那么 SSE 则分离了SASE 框架的网络即服务部分,描述了该框架的安全即服务部分。与 SASE 相比较,SSE 专注于统一所有安全服务,包含但不限于:安全 Web 网关(Secure Web Gateway,SWG)、云访问安全代理(Cloud Access Security Broker,CASB)、零信任网络访问(Zero Tru
7、stNetwork Access,ZTNA)和防火墙即服务(FireWall as a Service,FWaaS)等安全能力。与之对比,SASE同时还专注于网络服务的简化和统一,包括软件定义广域网(Software DefinedWide Area Network,SD-WAN)、广域网优化、服务质量(QoS)以及其他通过改进路由到云应用程序的技术。有必要说明,零信任是由 Forrester 提出的遵循“永不信任、持续验证”原则的安全理念。ZTNA 是零信任在访问接入控制方面的实现。SSE 中包含 ZTNA、SWG、CASB 等能力,因此 ZTNA 是 SSE 中的一个核心能力。Gartne
8、r 预测,到 2025 年,实施基于代理的 ZTNA 的组织中 70%将选择 SSE 提供商而不是独立产品,该比例远高于 2021 年的 20%。到 2025 年,购买 SSE 相关安全服务的组织中有 80%将购买整合的 SSE 解决方案而不是独立的云访问安全代理、安全 Web 网关和 ZTNA 产品,该比例远高于 2021 年的 15%。2023 云安全联盟大中华区版权所有图 1 SSE 与 SASE 的关系2 为什么为什么 SASE 之后又提出之后又提出 SSE纵然 SASE 作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受 Gartner 和业界厂商推崇,并获得了
9、客户的高度关注,但是在落地层面仍然面临了诸多问题,比如:具备完整 SASE(包含 SD-WAN 和 SSE)能力的供应商仍然屈指可数客户已经建设了 SD-WAN,需要避免重复投入客户内部组织结构不同,如果是网络/基础设施和安全为独立团队,则会单独决策,高度融合的 SASE 不会成为该类企业的选择由于安全事件导致客户临时发起纯安全的项目需求,比如传统 VPN 向 ZTNA 的改造项目,这类项目不涉及网络部分的新增建设需求客户自身没有诸多分支办公室,只是租用了零散的办公场所或区域中心,核心需要解决应用安全访问及互联网安全访问等问题,没有组网需求因此不难发现,SASE 这种将网络和安全能力高度融合的
10、“大一统”解决方案固然尤其吸引人的地方,但是不同的客户实际情况阻碍了“标准完整”的 SASE 项目落地。SASE 能够为客户提供更简便的交付与使用,不论是从技术、财务、流程等诸多方面均无需考虑多种硬件,多种服务和多供应商的结合问题。SASE 比较适合中型规模且具有较为分散的分支型企业,因为他们负责 IT 和基础设 2023 云安全联盟大中华区版权所有施的人员通常较少,且技术栈的广度和深度都有所欠缺。一旦客户是大型企业,有独立的网络和安全团队,就要在预算、策略管理、事故责任认定等方面需要“分清”,则势必会出现网络和安全能力分开建设的情况。尤其是当网络在早几年已经完成了 SD-WAN 改造,此类客
11、户就更无必要选择融合型的 SASE 方案,这时纯粹的云安全服务 SSE 则是客户的最佳选择。另一方面,随着企业混合办公趋势的常态化,企业 IT 和安全合规团队需要更多考虑如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规要求。在这种情况下,只有终端安全显然是不够的,需要为员工提供一个永远在线、按需扩展、不影响应用访问体验的“上网安全云”,让员工能够随时随地,安全、合规的“上网”访问互联网、部署在公有云或私有云基础设施的企业业务系统,及在 SaaS 服务运行的业务系统。在这样的情况下,无节点间组网需求,SSE 无疑是“上网安全云”的最佳实践,选择供应商提供的 SSE 安全
12、服务边缘实现弹性可扩展,多点接入的完善互联网访问安全栈。在供应商和产品技术层面,虽然在 SD-WAN 和 SSE 魔力象限中列席的厂商都很多,但是能够同时满足 SD-WAN,ZTNA,SWG,CASB 等关键能力且都具备业界领先水平的厂商少之又少。擅长网络产品的厂商在安全能力方面较弱,且无法提供云原生安全服务交付;而安全能力擅长的厂商又始终难以提供完善的高级路由、应用感知的路由,进而无法支持业务驱动的动态组网场景。与此同时,当下混合办公、应用访问的关键技术ZTNA 更是横跨 SASE 中网络和安全两大组件的重要技术能力,想实现较好的产品化、工程化支持多环境,多终端类型,多应用类型,不论对上述那
13、种厂商都是不小的挑战。随着云化普及,客户应用从数据中心转移到云上,从自建系统到逐步采用第三方 SaaS。这种场景下企业无点对点的组网需求,需要的是通过部署在边缘 POP 的 ZTNA,SWG,CASB 等 SSE 能力。综合客户需求和方案能力成熟度两方面看,完整 SASE 方案的落地都具有明显挑战,在这样的情况下,Gartner将用户互联网访问的两大关键安全产品魔力象限(SWG和CASB)合并为 SSE 魔力象限,并在此之后发布的 Single-Vendor SASE(单供应商 SASE)市场指南中明确指出了交付 SASE 的三种方式:完全由一家供应商提供的单供应商 SASE、由显而易见的多供
14、应商提供的 SASE、由服务商打包提供的 Managed(托管型)SASE,其中Managed SASE 某种意义上也认为是单供应商 SASE。此上均表明了 SASE 的落地任重而道远,且需要充分考虑不同客户的实际情况。SSE 应运而生,以云服务的形式仅交付关键安全能力,将 SASE 能力解耦,更灵活的实现落地,为用户提供简单易用、灵活付费、弹性扩容的安全云服务,当客户产生了 SD-WAN 需求时,则可以与之结合,实现完整 SASE 2023 云安全联盟大中华区版权所有能力。虽然 Gartner 视 SASE 为网络安全的未来,也必须要面对客户需求多样化以及供应商产品与技术成熟度的事实。Gar
15、tner 对 SASE 是未来这一判断有一些值得大家注意的基本假设,即:遍及全球或大洲的分布式企业、业务高度上云、员工无处不在办公、企业追求效率而不是成本等等。因此不难发现,如果客户不符合上述的全部条件,或者在当期及未来项目中不涉及更多需求,那么确实是不需要 SASE 这一融合了网络和安全全部能力的架构。安全厂商也不需要在自己不熟悉的网络能力方面增加投入,只需要专注自身最擅长的安全能力,并以云原生的方式实现能力融合与交付即可。因此,作为 SASE 在安全能力“化身”的 SSE,必将在实际项目中扮演更重要的角色,毕竟技术成熟度高且落地快、客户需求明确且内部权责划分清晰。在 SSE 落地之后,结合
16、客户已有的 SD-WAN,SASE 就是一件水到渠成的事情了。2023 云安全联盟大中华区版权所有3 SSE 主要应用场景主要应用场景基于 SSE 的架构和基础安全能力,SSE 的典型应用场景主要包括四个方面:互联网应用安全访问的服务场景、公有云私有应用安全访问的服务场景、企业数据中心应用安全访问的服务场景、物联网远程接入安全访问的服务场景。3.1 互联网应用安全访问的服务场景互联网应用安全访问的服务场景企业分支通过互联网以网络设备接入到边缘安全防护 POP 点,通过 CASB、SWG 等安全功能,对访问互联网的各类应用(互联网应用或是企业 SaaS 应用)进行安全防护,包括根据 URL 分类
17、库和流量内容识别对互联网应用网站的允许或拒绝访问,采用白名单或黑名单策略对发现与识别的应用程序进行访问管理,扫描 Web 内容中的垃圾邮件、恶意软件和病毒并进行相应的过滤,并能够有效应对勒索软件、凭证盗窃、网络钓鱼等基于 Web 的网络攻击威胁。在私有化场景可通过组网方式(如专网或者 SD-WAN)接入到私有化 SSE 的边缘安全防护 POP 点。图 2 互联网应用安全访问场景 2023 云安全联盟大中华区版权所有3.2 公有云私有应用安全访问的服务场景公有云私有应用安全访问的服务场景企业分支通过互联网接入到 SSE 的边缘安全防护 POP 点,或者 SOHO 办公的终端通过零信任方式接入 S
18、SE 的边缘安全防护 POP 点,通过 FWaaS、CASB、ZTNA 等安全功能,针对访问多种公有云(如运营商公有云、阿里腾讯公有云、华为云)的私有应用进行安全防护,包括针对应用数据加密、威胁检测、数据管理、风险评估等功能,防止或减轻网络钓鱼、帐户接管和恶意软件等安全威胁,并帮助企业识别影子 IT,保护连接的设备和数据免受未授权终端或者恶意软件的威胁,监控用户行为,将其与基准模式进行比较以及标记异常活动,最终保护用户和云服务商之间的安全访问连接。采用零信任接入方式,针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时认证,结合数据上下文制定应用的访问策略、识别风险并根据风险优先
19、级动态调整应用访问策略。图 3 云应用安全访问场景 2023 云安全联盟大中华区版权所有3.3 企业数据中心应用安全访问的服务场景企业数据中心应用安全访问的服务场景企业分支通过互联网接入到 SSE 的边缘安全防护 POP 点,或者 SOHO 办公的终端通过零信任方式接入 SSE 的边缘安全防护 POP 点,通过 FWaaS、CASB、ZTNA 等安全功能,针对访问企业数据中心的私有企业应用程序进行安全防护,针对用户账号、密码、口令、终端环境基线属性等信息对用户身份进行实时的认证,结合数据上下文制定应用的访问策略、识别风险并根据风险优先级动态调整应用访问策略。图 4 企业数据中心安全访问场景3.
20、4 物联网远程接入安全访问的服务场景物联网远程接入安全访问的服务场景物联网智能终端远程接入场景,使用固定边缘接入设备或直接通过运营商物联网卡/SIM 卡/eSIM 卡接入互联网,并通过物联网终端安全套件或代理边缘接入设备登录 POP点的零信任访问网关,进行数据安全采集回传。SSE 的边缘安全防护 POP 点,通过 FWaaS、ZTNA 等安全功能对不同接入的物联网终端进行在网状态检测及非法接入进行检测,对恶意终端发起的 DDOS 攻击及非法访问进行及时拦截并告警。2023 云安全联盟大中华区版权所有图 5 物联网远程接入安全访问场景基于 SSE 架构还可扩展到其它应用场景,例如企业的多云访问的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 解读SSE 云安 联盟 解读 SSE
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。