解读SSE

©2023云安全联盟大中华区版权所有 ©2023云安全联盟大中华区版权所有@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于国际云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 ©2023云安全联盟大中华区版权所有致谢《解读SSE》由CSA大中华区SASE工作组内专家撰写，感谢以下专家的贡献：工作组联席组长：何国锋林冠烨贡献者名单原创作者：岑义涛常向青崔灏王茜张超钟施仪审核专家：毕亲波常向青黄超吕士表袁淑美姚凯研究协调员：崔灏司玄贡献单位：关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。防特网信息科技(北京)有限公司（Fortinet）新华三技术有限公司绿盟科技集团股份有限公司奇安信科技集团股份有限公司深信服科技股份有限公司天融信科技集团股份有限公司网宿科技股份有限公司中国电信股份有限公司研究院北京启明星辰信息安全技术有限公司腾讯云计算（北京）有限责任公司（以上排名不分先后） ©2023云安全联盟大中华区版权所有序言随着混合办公时代的到来，云服务的高速增长和用户办公场景移动性的增加导致以边界防护为主的网络安全防御体系不再适用于当今企业网络架构，用户在企业网络之外访问云服务成为普遍现象。为保护远程用户和云资源，Gartner在2019年提出安全访问服务边缘（SecureAccessServiceEdge，SASE）概念，2021年又提出安全服务边缘（SecureServiceEdge，SSE），以云原生的技术通过边缘交付安全能力，允许企业通过云服务实施安全策略以促进对Web、云服务和私有应用程序的安全访问。作为网络安全解决方案的当下热点，SSE目前仍缺乏直观深度的解析以便进行深入研究和推广，尤其需要将其与SASE区别开。SASE工作组邀请业内专家，从技术视角客观解读SSE，明确SSE与其他理念的异同，并分析SSE的缘起、主要应用场景、关键技术与核心能力，最后展示SSE厂商图谱和市场格局。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有目录致谢................................................................................................................................3序言................................................................................................................................51SSE是什么....................................................................................................................72为什么SASE之后又提出SSE........................................................................................83SSE主要应用场景.......................................................................................................113.1互联网应用安全访问的服务场景............................................................................113.2公有云私有应用安全访问的服务场景....................................................................123.3企业数据中心应用安全访问的服务场景................................................................133.4物联网远程接入安全访问的服务场景....................................................................134SSE关键技术与核心能力...........................................................................................145SSE厂商图谱和市场格局............................................................................................155.1全球市场概况............................................................................................................155.2海外厂商概述............................................................................................................165.3国内厂商概况............................................................................................................196结语...........................................................................................................................20 ©2023云安全联盟大中华区版权所有1SSE是什么安全服务边缘(SecurityServiceEdge，SSE)是以云原生的技术通过边缘交付安全能力，有助于安全访问网站、软件即服务(SaaS)应用程序和私有应用程序。功能包括访问控制、威胁保护、数据安全、安全监视，以及通过基于网络流量检测或应用API集成的方式实现对应用的使用控制。SSE作为云化服务，可通过本地网关类设备或软件客户端接入。2019年，Gartner将安全访问服务边缘（SecureAccessServiceEdge，SASE）定义为一种新兴的方案，网络服务（最显著的是SD-WAN）功能与网络安全功能（如SWG、CASB、FWaaS和ZTNA）结合，支持数字化企业的动态安全访问业务和互联网的需求。2021年，Gartner在《2021年SASE融合战略路线图》中提出了SSE，如果说SASE描述了一个架构框架，将网络和安全整合为从云提供的统一服务，那么SSE则分离了SASE框架的网络即服务部分，描述了该框架的安全即服务部分。与SASE相比较，SSE专注于统一所有安全服务，包含但不限于：安全Web网关(SecureWebGateway，SWG)、云访问安全代理(CloudAccessSecurityBroker，CASB)、零信任网络访问(ZeroTrustNetworkAccess，ZTNA)和防火墙即服务(FireWallasaService，FWaaS)等安全能力。与之对比，SASE同时还专注于网络服务的简化和统一，包括软件定义广域网(SoftwareDefinedWideAreaNetwork，SD-WAN)、广域网优化、服务质量(QoS)以及其他通过改进路由到云应用程序的技术。有必要说明，零信任是由Forrester提出的遵循“永不信任、持续验证”原则的安全理念。ZTNA是零信任在访问接入控制方面的实现。SSE中包含ZTNA、SWG、CASB等能力，因此ZTNA是SSE中的一个核心能力。Gartner预测，到2025年，实施基于代理的ZTNA的组织中70%将选择SSE提供商而不是独立产品，该比例远高于2021年的20%。到2025年，购买SSE相关安全服务的组织中有80%将购买整合的SSE解决方案而不是独立的云访问安全代理、安全Web网关和ZTNA产品，该比例远高于2021年的15%。 ©2023云安全联盟大中华区版权所有图1SSE与SASE的关系2为什么SASE之后又提出SSE纵然SASE作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受Gartner和业界厂商推崇，并获得了客户的高度关注，但是在落地层面仍然面临了诸多问题，比如：具备完整SASE（包含SD-WAN和SSE）能力的供应商仍然屈指可数客户已经建设了SD-WAN，需要避免重复投入客户内部组织结构不同，如果是网络/基础设施和安全为独立团队，则会单独决策，高度融合的SASE不会成为该类企业的选择由于安全事件导致客户临时发起纯安全的项目需求，比如传统VPN向ZTNA的改造项目，这类项目不涉及网络部分的新增建设需求客户自身没有诸多分支办公室，只是租用了零散的办公场所或区域中心，核心需要解决应用安全访问及互联网安全访问等问题，没有组网需求因此不难发现，SASE这种将网络和安全能力高度融合的“大一统”解决方案固然尤其吸引人的地方，但是不同的客户实际情况阻碍了“标准完整”的SASE项目落地。SASE能够为客户提供更简便的交付与使用，不论是从技术、财务、流程等诸多方面均无需考虑多种硬件，多种服务和多供应商的结合问题。SASE比较适合中型规模且具有较为分散的分支型企业，因为他们负责IT和基础设 ©2023云安全联盟大中华区版权所有施的人员通常较少，且技术栈的广度和深度都有所欠缺。一旦客户是大型企业，有独立的网络和安全团队，就要在预算、策略管理、事故责任认定等方面需要“分清”，则势必会出现网络和安全能力分开建设的情况。尤其是当网络在早几年已经完成了SD-WAN改造，此类客户就更无必要选择融合型的SASE方案，这时纯粹的云安全服务SSE则是客户的最佳选择。另一方面，随着企业混合办公趋势的常态化，企业IT和安全合规团队需要更多考虑如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规要求。在这种情况下，只有终端安全显然是不够的，需要为员工提供一个永远在线、按需扩展、不影响应用访问体验的“上网安全云”，让员工能够随时随地，安全、合规的“上网”访问互联网、部署在公有云或私有云基础设施的企业业务系统，及在SaaS服务运行的业务系统。在这样的情况下，无节点间组网需求，SSE无疑是“上网安全云”的最佳实践，选择供应商提供的SSE安全服务边缘实现弹性可扩展，多点接入的完善互联网访问安全栈。在供应商和产品技术层面，虽然在SD-WAN和SSE魔力象限中列席的厂商都很多，但是能够同时满足SD-WAN，ZTNA，SWG，CASB等关键能力且都具备业界领先水平的厂商少之又少。擅长网络产品的厂商在安全能力方面较弱，且无法提供云原生安全服务交付；而安全能力擅长的厂商又始终难以提供完善的高级路由、应用感知的路由，进而无法支持业务驱动的动态组网场景。与此同时，当下混合办公、应用访问的关键技术——ZTNA