解读SSE

©2023云安全联盟大中华区版权所有 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于国际云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 ©2023云安全联盟大中华区版权所有 致谢 《解读SSE》由CSA大中华区SASE工作组内专家撰写，感谢以下专家的贡献：工作组联席组长： 何国锋林冠烨贡献者名单 原创作者： 岑义涛常向青崔灏王茜张超钟施仪审核专家： 毕亲波常向青黄超吕士表袁淑美姚凯研究协调员： 崔灏司玄贡献单位： 防特网信息科技(北京)有限公司（Fortinet）新华三技术有限公司 绿盟科技集团股份有限公司奇安信科技集团股份有限公司 深信服科技股份有限公司天融信科技集团股份有限公司 网宿科技股份有限公司中国电信股份有限公司研究院 北京启明星辰信息安全技术有限公司腾讯云计算（北京）有限责任公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 序言 随着混合办公时代的到来，云服务的高速增长和用户办公场景移动性的增加导致以边界防护为主的网络安全防御体系不再适用于当今企业网络架构，用户在企业网络之外访问云服务成为普遍现象。为保护远程用户和云资源，Gartner在2019年提出安全访问服务边缘（SecureAccessServiceEdge，SASE）概念，2021年又提出安全服务边缘（SecureServiceEdge，SSE），以云原生的技术通过边缘交付安全能力，允许企业通过云服务实施安全策略以促进对Web、云服务和私有应用程序的安全访问。作为网络安全解决方案的当下热点，SSE目前仍缺乏直观深度的解析以便进行深入研究和推广，尤其需要将其与SASE区别开。 SASE工作组邀请业内专家，从技术视角客观解读SSE，明确SSE与其他理念的异同，并分析SSE的缘起、主要应用场景、关键技术与核心能力，最后展示SSE厂商图谱和市场格局。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢3 序言5 1SSE是什么7 2为什么SASE之后又提出SSE8 3SSE主要应用场景11 3.1互联网应用安全访问的服务场景11 3.2公有云私有应用安全访问的服务场景12 3.3企业数据中心应用安全访问的服务场景13 3.4物联网远程接入安全访问的服务场景13 4SSE关键技术与核心能力14 5SSE厂商图谱和市场格局15 5.1全球市场概况15 5.2海外厂商概述16 5.3国内厂商概况19 6结语20 1SSE是什么 安全服务边缘(SecurityServiceEdge，SSE)是以云原生的技术通过边缘交付安全能力，有助于安全访问网站、软件即服务(SaaS)应用程序和私有应用程序。功能包括访问控制、威胁保护、数据安全、安全监视，以及通过基于网络流量检测或应用API集成的方式实现对应用的使用控制。SSE作为云化服务，可通过本地网关类设备或软件客户端接入。 2019年，Gartner将安全访问服务边缘（SecureAccessServiceEdge，SASE）定义为一种新兴的方案，网络服务（最显著的是SD-WAN）功能与网络安全功能（如SWG、CASB、FWaaS和ZTNA）结合，支持数字化企业的动态安全访问业务和互联网的需求。 2021年，Gartner在《2021年SASE融合战略路线图》中提出了SSE，如果说SASE描述了一个架构框架，将网络和安全整合为从云提供的统一服务，那么SSE则分离了SASE框架的网络即服务部分，描述了该框架的安全即服务部分。与SASE相比较，SSE专注于统一所有安全服务，包含但不限于：安全Web网关(SecureWebGateway，SWG)、云访问安全代理(CloudAccessSecurityBroker，CASB)、零信任网络访问(ZeroTrustNetworkAccess，ZTNA)和防火墙即服务(FireWallasaService，FWaaS)等安全能力。与之对比，SASE同时还专注于网络服务的简化和统一，包括软件定义广域网(SoftwareDefinedWideAreaNetwork，SD-WAN)、广域网优化、服务质量(QoS)以及其他通过改进路由到云应用程序的技术。 有必要说明，零信任是由Forrester提出的遵循“永不信任、持续验证”原则的安全理念。ZTNA是零信任在访问接入控制方面的实现。SSE中包含ZTNA、SWG、CASB等能力，因此ZTNA是SSE中的一个核心能力。 Gartner预测，到2025年，实施基于代理的ZTNA的组织中70%将选择SSE提供商而不是独立产品，该比例远高于2021年的20%。到2025年，购买SSE相关安全服务的组织中有80%将购买整合的SSE解决方案而不是独立的云访问安全代理、安全Web网关和ZTNA产品，该比例远高于2021年的15%。 图1SSE与SASE的关系 2为什么SASE之后又提出SSE 纵然SASE作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受Gartner和业界厂商推崇，并获得了客户的高度关注，但是在落地层面仍然面临了诸多问题，比如： 具备完整SASE（包含SD-WAN和SSE）能力的供应商仍然屈指可数 客户已经建设了SD-WAN，需要避免重复投入 客户内部组织结构不同，如果是网络/基础设施和安全为独立团队，则会单独决策，高度融合的SASE不会成为该类企业的选择 由于安全事件导致客户临时发起纯安全的项目需求，比如传统VPN向ZTNA的改造项目，这类项目不涉及网络部分的新增建设需求 客户自身没有诸多分支办公室，只是租用了零散的办公场所或区域中心，核心需要解决应用安全访问及互联网安全访问等问题，没有组网需求 因此不难发现，SASE这种将网络和安全能力高度融合的“大一统”解决方案固然尤其吸引人的地方，但是不同的客户实际情况阻碍了“标准完整”的SASE项目落地。SASE能够为客户提供更简便的交付与使用，不论是从技术、财务、流程等诸多方面均无需考虑多种硬件，多种服务和多供应商的结合问题。 SASE比较适合中型规模且具有较为分散的分支型企业，因为他们负责IT和基础设 施的人员通常较少，且技术栈的广度和深度都有所欠缺。 一旦客户是大型企业，有独立的网络和安全团队，就要在预算、策略管理、事故责任认定等方面需要“分清”，则势必会出现网络和安全能力分开建设的情况。尤其是当网络在早几年已经完成了SD-WAN改造，此类客户就更无必要选择融合型的SASE方案，这时纯粹的云安全服务SSE则是客户的最佳选择。 另一方面，随着企业混合办公趋势的常态化，企业IT和安全合规团队需要更多考虑如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规要求。在这种情况下，只有终端安全显然是不够的，需要为员工提供一个永远在线、按需扩展、不影响应用访问体验的“上网安全云”，让员工能够随时随地，安全、合规的“上网”访问互联网、部署在公有云或私有云基础设施的企业业务系统，及在SaaS服务运行的业务系统。在这样的情况下，无节点间组网需求，SSE无疑是“上网安全云”的最佳实践，选择供应商提供的SSE安全服务边缘实现弹性可扩展，多点接入的完善互联网访问安全栈。 在供应商和产品技术层面，虽然在SD-WAN和SSE魔力象限中列席的厂商都很多，但是能够同时满足SD-WAN，ZTNA，SWG，CASB等关键能力且都具备业界领先水平的厂商少之又少。擅长网络产品的厂商在安全能力方面较弱，且无法提供云原生安全服务交付；而安全能力擅长的厂商又始终难以提供完善的高级路由、应用感知的路由，进而无法支持业务驱动的动态组网场景。与此同时，当下混合办公、应用访问的关键技术 ——ZTNA更是横跨SASE中网络和安全两大组件的重要技术能力，想实现较好的产品化、工程化支持多环境，多终端类型，多应用类型，不论对上述那种厂商都是不小的挑战。随着云化普及，客户应用从数据中心转移到云上，从自建系统到逐步采用第三方SaaS。这种场景下企业无点对点的组网需求，需要的是通过部署在边缘POP的ZTNA，SWG，CASB等SSE能力。 综合客户需求和方案能力成熟度两方面看，完整SASE方案的落地都具有明显挑战，在这样的情况下，Gartner将用户互联网访问的两大关键安全产品魔力象限（SWG和CASB）合并为SSE魔力象限，并在此之后发布的Single-VendorSASE（单供应商SASE）市场指南中明确指出了交付SASE的三种方式：完全由一家供应商提供的单供应商SASE、由显而易见的多供应商提供的SASE、由服务商打包提供的Managed（托管型）SASE，其中ManagedSASE某种意义上也认为是单供应商SASE。此上均表明了SASE的落地任重而道远，且需要充分考虑不同客户的实际情况。SSE应运而生，以云服务的形式仅交付关键安全能力，将SASE能力解耦，更灵活的实现落地，为用户提供简单易用、灵活付费、弹性扩容的安全云服务，当客户产生了SD-WAN需求时，则可以与之结合，实现完整SASE 能力。 虽然Gartner视SASE为网络安全的未来，也必须要面对客户需求多样化以及供应商产品与技术成熟度的事实。Gartner对SASE是未来这一判断有一些值得大家注意的基本假设，即：遍及全球或大洲的分布式企业、业务高度上云、员工无处不在办公、企业追求效率而不是成本等等。因此不难发现，如果客户不符合上述的全部条件，或者在当期及未来项目中不涉及更多需求，那么确实是不需要SASE这一融合了网络和安全全部能力的架构。安全厂商也不需要在自己不熟悉的网络能力方面增加投入，只需要专注自身最擅长的安全能力，并以云原生的方式实现能力融合与交付即可。 因此，作为SASE在安全能力“化身”的SSE，必将在实际项目中扮演更重要的角色，毕竟技术成熟度高且落地快、客户需求明确且内部权责划分清晰。在SSE落地之后，结合客户已有的SD-WAN，SASE就是一件水到渠成的事情了。 3SSE主要应用场景 基于SSE的架构和基础安全能力，SSE的典型应用场景主要包括四个方面：互联网应用安全访问的服务场景、公有云私有应用安全访问的服务场景、企业数据中心应用安全访问的服务场景、物联网远程接入安全访问的服务场景。 3.1互联网应用安全访问的服务场景 企业分支通过互联网以网络设备接入到边缘安全防护POP点，通过CASB、SWG等安全功能，对访问互联网的各类应用（互联网应用或是企业SaaS应用）进行安全防护，包括根据URL分类库和流量内容识别对互联网应用网站的允许或拒绝访问，采用白名单或黑名单策略对发现与识别的应用程序进行访问管理，扫描Web内容中的垃圾邮件、恶意软件和病毒并进行相应的过滤，并能够有效应对勒索软件、凭证盗窃、网络钓鱼等基于Web的网络攻击威胁。在私有化场景可通过组网方式（如专网或者SD-WAN）接入到私有化SSE的边缘安全防护POP点。 图2互联网应用安全访问场景 3.2公有云私有应用安全访问的服务场景 企业分支通过互联网接入到SSE的边缘安全防护POP点，或者SOHO办公的终端通过零信任方式接入SSE的边缘安全防护POP点，通过FWaaS、CASB、ZTNA等安全功能，针对访问多种公有云（如运营商公有云、阿里腾讯公有云、华为云）的私有应用进行安全防护，包括针