SSE 与 SASE哪个云原生安全框架更加适合

近年来，随着云计算和网络技术的不断发展，出现了一种新的网络安全解决方案——SASE（安全访问服务边缘）。SASE是一种将网络和安全功能融合到单个基于云的服务中的框架，旨在提供更加安全、高效和便捷的网络访问体验。SASE的出现可以帮助企业更好地应对网络安全挑战，同时简化网络管理和提高用户体验。

SASE的核心优势在于将网络和安全功能集成到单个基于云的服务中，从而避免了传统网络安全解决方案中存在的多个系统之间的协调和管理问题。SASE通过使用云计算技术，可以实现快速部署、弹性扩展和自动化管理，大大提高了网络安全的效率和可靠性，保证关键业务应用的稳定运行。

然而，伴随着SASE的不断实践和落地，Gartner顺势提出了一种新兴的云原生安全框架——安全服务边缘（SSE），与SASE解决方案相比，SSE更加注重安全性，可以满足一些IT领导者只需要SASE功能子集的需求。

什么是SASE安全访问服务边缘框架？

安全访问服务边缘（SASE）是一种新兴的网络安全架构，由Gartner在2019年首次提出。这种架构旨在满足现代企业的需求，使员工能够从任何地方安全地访问工作资源。随着员工在地理上的分散，IT领导者需要一种新的方法来保护他们的网络和数据安全。

SASE架构将网络和安全功能融合到单个基于云的服务中，使企业能够更加灵活和高效地管理网络和安全。这种架构可以提供多种安全服务，如身份验证、访问控制、数据加密等，从而保护企业的网络和数据安全。此外，SASE还支持零信任网络访问（ZTNA）和服务质量（QoS）等先进技术，可以更好地保护企业的网络和数据安全。

SASE架构的优势在于可以提供高效、灵活和安全的网络访问体验。它可以通过使用云计算技术，实现快速部署、弹性扩展和自动化管理，大大提高了网络安全的效率和可靠性。此外，SASE还可以根据网络流量的重要性和敏感性，动态调整带宽和延迟，保证关键业务应用的稳定运行。

该框架使用以下五个组件将网络访问与云原生安全性融合在一起：

1.软件定义的广域网 (SD-WAN)

一种根据策略、条件和监控指标在多个路径上动态路由流量来优化广域网连接和性能的服务。

2.防火墙即服务 (FWaaS)

一种纯粹基于云的防火墙，用于检查“作为服务”而不是作为本地硬件设备提供的入站和出站网络流量。

3.云访问安全代理 (CASB)

一种网络安全服务，位于用户和云提供商之间的网络上，强制执行基于云的数据访问策略。

4.安全 Web 网关 (SWG)

一种基于云的服务，专注于 Web 浏览流量，可根据特定 IT 策略阻止不需要的和恶意的 Internet 流量。

5.零信任网络访问 (ZTNA)

一种根据身份、上下文和策略向授权用户和设备授予细粒度和有条件的访问权限的服务。

对于希望提升远程访问安全性并过度到云原生环境的首席信息官和首席安全官来说，SASE 框架是一个非常适合的解决方案。它提供了一种以云为中心的方法来执行安全策略，以便数据和设备受到保护，并与核心网络功能相结合，例如：

服务质量 (QoS)：一种根据网络流量的重要性和敏感性确定其优先级的服务。

WAN 优化：一种通过压缩、缓存和重复数据删除来减少带宽消耗和延迟的服务。

VPN（虚拟专用网络）：一种在远程用户和网络资源之间创建安全隧道的服务。

但必须说明的是，SASE 并不是一个“产品”，它在更多意义上是一个架构框架,以满足分布式企业的网络和安全需求。

什么是SSE安全服务边缘框架？

安全服务边缘（SSE）框架是Gartner在2021年提出的一个新兴的云原生安全框架。与SASE相比，SSE更加专注于不需要SD-WAN的IT环境，因此它更适合那些没有多个路径到达目的地且无需基于应用程序的路由决策的网络。SSE负责安全网络、云服务和应用程序访问，最有效的业务案例场景是远程员工的VPN替代。通过SSE解决方案，企业可以减少网络负载并简化通过物理防火墙设备或集中式数据中心的IP流量的复杂路由。

SSE通常需要一个纯粹基于云的安全平台，该平台在网络边缘提供一系列安全功能。与SASE一样，领先的网络和安全供应商也有SSE选项。然而，SSE的云原生性质意味着它通常作为可以轻松部署、管理和扩展的单一平台进行销售。因此，SSE可能会受到那些希望简化和扩展远程工作人员的安全性并过渡到云原生环境的组织的欢迎。

SSE和SASE之间应该如何选择？

SSE 和 SASE 之间的选择很大程度上取决于组织的特定需求、目标和预算。通常可以参考以下问题去评估自身组织的适合哪一个网络安全解决方案：

当前的网络和安全基础设施的痛点和挑战是什么？

网络和安全策略的短期和长期目标是什么？

用户、设备、应用程序和数据的分布和多样性如何？

如何确保远程工作人员的安全？

如何将最低权限访问框架应用于网络访问？

产生和消耗多少网络流量，性能和可靠性要求是什么？

面临多少安全风险，合规和治理义务是什么？

需要多少预算和资源来投资新的解决方案？

一般来说，如果满足以下条件，SSE可能是一个不错的选择：

拥有相对简单且稳定的网络基础设施，不需要太多优化或灵活性；

对安全服务有很高的要求，但对安全漏洞或数据丢失的容忍度较低；

实施完整 SASE 解决方案的预算或资源有限。

另一方面，如果满足以下条件，SASE 可能是更好的选择：

拥有复杂且动态的网络基础设施，需要不断优化和适应；

已准备好冗余网络路径或 ISP 电路，希望进行负载平衡或以主动/主动状态使用；

对网络和安全服务有很高的要求，但对性能下降或用户不满意的容忍度较低；

拥有足够的预算和资源来实施全面的 SASE 解决方案。

因此，正如上文所述，SSE 和 SASE 都是基于云的融合安全功能的框架。然而，SASE还包括网络功能，而SSE只关注安全性。SASE可以视为将网络和安全作为统一服务提供的综合蓝图，而 SSE 是 SASE 的子集，涵盖与安全相关的组件。而提到安全性就不得不提到WAAP全站防护了，全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于：

1.全周期风险管理

基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环

2.全方位防护

聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

3.简化安全运营

统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

4.防护效果卓越

多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

体系化防护架构：引擎融合+风险闭环，并且拥有四大功能：云端部署、风险管理、全站防护以及安全运营。

一、云端部署

一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

二、风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

1.漏洞扫描

通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.渗透测试

派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

3.智能化防护策略

平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

4.API资产盘点

基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

5.互联网暴露面资产发现

通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

三、全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

1.DDoS防护

秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

2.CC防护

基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

3.业务安全

针对业务层面，提供轻量化的信息防爬和场景化风控能力；

4.API安全

针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

5.Web攻击防护

覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

6.全站隔离

基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

7.协同防护

通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

四、安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

1.全面的安全态势

聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

2.持续优化的托管策略

结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

3.安全专家运营

资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

总之，SSE和SASE之间的选择取决于组织的特定需求、目标和预算。如果组织拥有相对简单且稳定的网络基础设施，对安全服务有很高的要求，但对安全漏洞或数据丢失的容忍度较低，那么SSE可能是一个不错的选择。如果组织拥有复杂且动态的网络基础设施，需要不断优化和适应，对网络和安全服务有很高的要求，但对性能下降或用户不满意的容忍度较低，那么SASE可能是更好的选择。