一個風和日麗的周末，小A和小B聚在一起聊天。

小B回到家后立馬查閱了各種資料，終于弄明白了SSE，還順帶理順了SSE和SASE的關系。

什么是安全服務邊緣 (SSE)?

Gartner將安全服務邊緣 (Security Service Edge，SSE)定義為一組以云為中心的集成安全功能，有助于安全訪問網站、軟件即服務 (SaaS) 應用程序和私有應用程序。

這看起來好像很難理解，但是下面這句話可以讓你一下子就明白，什么是SSE。

SSE實際上就是SASE的一半，專注于安全服務;網絡則構成了 SASE 的另一半。

與 SASE 一樣，SSE 融合了以云為中心的安全功能，以促進對 Web、云服務和私有應用程序的安全訪問。SSE 功能包括訪問控制、威脅防護、數據安全和安全監控。換句話說，SSE 混合了：

• 零信任網絡訪問 (ZTNA)
• 安全 Web 網關 (SWG)
• 云訪問安全代理 (CASB)
• 防火墻即服務 (FWaaS)
• ……

并將其整合到單一供應商、以云為中心的融合服務中。

為什么安全服務邊緣很重要?

SSE 的理念與 SASE 的理念大致相同。傳統網絡安全架構的設計將數據中心作為訪問需求的焦點。隨著云和用戶移動性的增加，這種需求正在轉變，越來越多的用戶、設備和資源需要置于企業網絡之外。連接和保護這些遠程用戶和云資源需要廣泛的安全和網絡功能。SSE 產品整合了安全功能，允許企業通過云服務實施安全策略。與 SASE 一樣，SSE 能夠幫助企業降低復雜性、成本和供應商數量。

SSE 的優勢：

1)用戶、應用程序和企業數據無處不在。舊的以數據中心為中心的安全架構/產品需要調整。SASE是必要的調整。

2)當組織僅希望添加基于云的網絡安全，而不與網絡基礎設施強綁定時，那SSE會是很好的選擇 (例如，組織已經部署了 SD-WAN)。

3)SSE 往往具有更成熟的安全功能，與一些SD-WAN供應商相比，SSE能夠吸引尋求更深層次安全功能的買家。

4)基于身份和上下文的零信任、最低特權訪問是 SSE 產品的核心能力。

5)通過整合供應商，組織可以降低復雜性、成本和用于定義安全策略的控制臺數量。這也有助于消除因使用多種不同產品的不一致而產生的風險。

6)敏感數據檢查和惡意軟件檢查可以在所有訪問渠道(SaaS、互聯網和私有應用程序)中實現一致和并行，且比單獨執行具有更好的性能。

7)組織在分支機構和總部能夠擁有完全相同的安全體驗。

SSE vs. SASE，找不同

除了名稱中的“A”之外，SSE 與 SASE 的區別是什么?

正如我們前文所說，SSE 構成了 SASE 的安全部分。在 SASE 內部，SSE 專注于統一所有安全服務，包括安全Web網關 (SWG)、云訪問安全代理 (CASB) 、零信任網絡訪問 (ZTNA)和防火墻即服務 (FWaaS)。SASE 平臺的另一半專注于網絡服務的簡化和統一，包括軟件定義廣域網 (SD-WAN)、廣域網優化、服務質量 (QoS) 以及其他改進路由到云應用程序的方法。

SSE 和 SASE 都是身份驅動的，依靠零信任模型來限制用戶對允許資源的訪問。

SSE 和 SASE 之間最顯著的區別歸結為基礎設施。借助SSE，無法或不愿意捆綁其網絡基礎設施的企業也可以擁有融合云安全服務的產品。

SSE的四大核心原則

原則 1：必須跟蹤數據

現在有很多傳統的網絡代理或防火墻無法識別的流量，甚至無法真正看到。現在用戶無處不在，應用程序在多個云中，數據可以從任何地方訪問。因此必須有一個安全檢查點，隨時隨地跟蹤數據，檢查點需要位于云中，這樣才能將其好處傳遞給用戶和應用程序。

原則 2：必須能夠解碼云流量

解碼云流量意味著安全必須能夠查看和解釋 API JSON 流量，這是網絡代理和防火墻無法做到的。

原則 3：必須能夠理解數據訪問的上下文

超越僅僅控制誰有權訪問信息，轉向持續的、實時的訪問和策略控制。這些控制基于許多因素，包括用戶自身、他們正在操作的設備、他們正在訪問的應用程序、活動、應用程序實例(公司與個人)，數據敏感性、地理位置和時間等環境信號以及存在的威脅。所有這些都是實時理解他們試圖訪問數據的上下文的一部分。

原則 4：不能減慢網絡速度

用戶需要快速獲取數據，并且網絡必須可靠。如果安全性降低了訪問速度或可操作性，生產力就會受到影響，企業就會權衡安全控制以換取網絡速度和可靠性。這就是專用網絡發揮作用的地方，這樣我們就可以確保從最終用戶到他們的目的地并再次返回的順暢和有效的路徑。

SSE的發展會面臨什么挑戰?

1)有優勢同樣也會有劣勢，有的組織不想捆綁自己的網絡基礎設施，那會覺得SSE很棒，而有的就想要統一管理自然也會覺得分開很不方便，不想依賴于兩個獨立的供應商。

2)大多數領先的 SD-WAN 供應商目前通過自身也好或者通過合作伙伴也好都擁有一套 SSE 服務，這給 SSE 供應商帶來了競爭壓力，是否要增加基本 SD-WAN 功能。

3)因為市場是由能力的融合形成的，所以大多數廠商只在單一品類上表現較好，而在其他品類上存在差距。此外，一些供應商還沒有一套完整的 SSE 服務(例如，他們缺少 FWaaS 或其他安全服務)。

4)一些供應商在敏感數據識別和保護方面很薄弱，這種能力對于基于風險和上下文的訪問決策至關重要。

5)由于以云為中心，SSE 通常不滿足對本地(例如文件服務器)和端點 DLP 的需求。

6)并非所有供應商都會對所有服務的性能 SLA作出承諾。

總的來說，雖然 Gartner 已經定義了目前SSE的安全功能，但隨著越來越多的企業將 SSE 作為一個統一平臺，未來SSE 服務提供商也將推出其他附加功能和服務，以此保障SSE平臺的可靠性和穩定性。此外，正如 SASE 架構所定義的那樣，未來網絡服務與SSE平臺的整合也非常重要。