安全方面的最大挑戰之一是正確構建深度防御。將云添加到組合中，如果不使用正確的工具，就會遭遇失敗。

這就是框架可以發揮作用的地方。任何有助于我們改進云服務安全策略的討論和資源都是十分重要的。

這就是 SASE(以及 SSE)幫助我們實現的目標。

1. 挑戰

這里的挑戰是保護對云的訪問，但什么是云?云計算有很多模型，本文將專注于企業無法控制的模型，即 SaaS。

有許多技術可以放置在用戶和這些服務之間。

2. 定義

首先對 SASE 和 SSE進行定義，然后我們可以深入了解它們相互交織的地方。

(1) 安全訪問服務邊緣

這是由Gartner 定義的框架和術語，它代表了保護用戶、系統和任何位置的終端的技術，當然，是在云上而非數據中心。

早在 2019 年，當供應商開始意識到如何使用他們的 SD-WAN 解決方案時，SASE 就在業界聲名狼藉：他們都聲稱，這是通往 SASE 的道路。

根據SASE 供應商的說法：

安全訪問服務邊緣 (SASE)，是 Gartner 確定的一種框架，可將用戶、系統和終端設備等實體安全地連接到可能位于任何地方的應用程序和服務。至關重要的是，SASE 不是一種技術。

Gartner 在其 2019 年報告“云端網絡安全的未來”中將 SASE 框架定義為基于云的網絡安全解決方案，它提供“具有全面網絡安全功能(如 SWG、CASB、FWaaS 和 ZTNA)的全面廣域網功能以支持數字企業的動態安全訪問需求。”

回顧SaaS 圖表，SASE看起來是這樣的，可以有更多的層和服務來保護這種訪問。

(2) 安全服務邊緣

這是Gartner 創造的另一個術語。它首先是在一份 Gartner 文檔中提到的，它為 SASE 制定了路線圖，因此可知SSE 是副產品，或者在某種程度上與 SASE 框架有關。

用他們自己的話來說：

安全服務邊緣 (SSE) 保護對 Web、云服務和私有應用程序的訪問。功能包括訪問控制、威脅保護、數據安全、安全監控以及通過基于網絡和基于 API 的集成實施的可接受使用控制。SSE 主要作為基于云的服務提供，可能包括本地或基于代理的組件。

Palo Alto 也以略微不同的方式解釋了這一點：

安全服務邊緣 (SSE) 保護對 Web、云服務和私有應用程序的訪問。功能包括訪問控制、威脅保護、數據安全、安全監控以及通過基于網絡和基于 API 的集成實施的可接受使用控制。SSE 主要作為基于云的服務提供，可能包括本地或基于代理的組件。

SSE 是 SASE 的一個子集，沒有 Access 組件，它在圖表中看起來是這樣的：

(3) SASE 與 SSE

它們之間存在一些差異，本質上 SSE 側重于云安全的服務部分。現在，供應商可能對他們自己的定義有偏見，這是Zscaler 對 SSE 的定義：

SSE 可以被認為是安全訪問服務邊緣 (SASE) 框架的子集，其架構完全專注于安全服務。

安全服務邊緣包括三個核心服務：

• 通過安全 Web 網關 (SWG )安全訪問互聯網和 Web
• 通過云訪問安全代理 (CASB )安全訪問 SaaS 和云應用程序
• 通過零信任網絡訪問 (ZTNA )保護對私有應用程序的遠程訪問

(4) 云服務

這些框架可以保護哪些云服務?其實，它們適用于任何云模型：IaaS、Paas 或 SaaS服務。

而 CASB 和 SWG 等控制尤其關注 SaaS 或互聯網流量檢查。這與用戶對云的訪問十分相關。

SD-WAN 服務也有利于云服務的用戶體驗，而不是基礎設施本身，盡管基礎設施可以從 WAN 優化和 SaaS 加速內容中受益。

請注意 SASE 提到的一些控件，例如 ZTNA，當然與 SaaS 之上的任何云模型(包括 IaaS 和 PaaS)都極為相關。然而，SASE 遺漏了一些引人注目的 IaaS 和 PaaS——這些平臺需要其他控制集，正如本文之前討論過的。IaaS 和 PaaS 的附加控制是 CSPM、信息管理、存檔、CWPP 以及其他可能的控制。

例如，微軟具有對 SaaS 的信息安全、合規性、數據分類、標簽等具有多項控制措施——此外，對于 IaaS 和 PaaS 安全，他們的工作負載保護和 CSPM(云防御者)意味著他們提供針對這些挑戰的廣泛而深入的控制。

3. 結論

SASE 是一個全方位的框架，用于從訪問層開始保護對云服務的訪問。SSE 專注于這種安全機制的服務組件。

兩者都是可以指導企業堅持有效的縱深防御戰略和云計算，尤其是 SaaS 應用程序的框架。

不過，它們并不是保護企業云工作負載所需的全部內容，而是保護企業環境所有措施中的一部分。