SSE 与 SASE：哪一个云原生安全框架是更适合组织需求的最佳解决方案？

近年来，随着云计算和网络技术的不断发展，出现了一种新的网络安全解决方案——SASE（安全访问服务边缘）。SASE是一种将网络和安全功能融合到单个基于云的服务中的框架，旨在提供更加安全、高效和便捷的网络访问体验。SASE的出现可以帮助企业更好地应对网络安全挑战，同时简化网络管理和提高用户体验。
 
SASE的核心优势在于将网络和安全功能集成到单个基于云的服务中，从而避免了传统网络安全解决方案中存在的多个系统之间的协调和管理问题。SASE通过使用云计算技术，可以实现快速部署、弹性扩展和自动化管理，大大提高了网络安全的效率和可靠性，保证关键业务应用的稳定运行。
 
然而，伴随着SASE的不断实践和落地，Gartner顺势提出了一种新兴的云原生安全框架——安全服务边缘（SSE），与SASE解决方案相比，SSE更加注重安全性，可以满足一些IT领导者只需要SASE功能子集的需求。
 
本文的作者重点论述了SASE与SSE两种云原生安全框架之间的差异性，就如何选择适合自身企业的安全框架，给出了合理的建议。



什么是 SASE安全访问服务边缘框架？
 
安全访问服务边缘（SASE）是一种新兴的网络安全架构，由Gartner在2019年首次提出。这种架构旨在满足现代企业的需求，使员工能够从任何地方安全地访问工作资源。随着员工在地理上的分散，IT领导者需要一种新的方法来保护他们的网络和数据安全。
 
SASE架构将网络和安全功能融合到单个基于云的服务中，使企业能够更加灵活和高效地管理网络和安全。这种架构可以提供多种安全服务，如身份验证、访问控制、数据加密等，从而保护企业的网络和数据安全。此外，SASE还支持零信任网络访问（ZTNA）和服务质量（QoS）等先进技术，可以更好地保护企业的网络和数据安全。
 
SASE架构的优势在于可以提供高效、灵活和安全的网络访问体验。它可以通过使用云计算技术，实现快速部署、弹性扩展和自动化管理，大大提高了网络安全的效率和可靠性。此外，SASE还可以根据网络流量的重要性和敏感性，动态调整带宽和延迟，保证关键业务应用的稳定运行。
 
该框架使用以下五个组件将网络访问与云原生安全性融合在一起：
 
软件定义的广域网 (SD-WAN)：一种根据策略、条件和监控指标在多个路径上动态路由流量来优化广域网连接和性能的服务。

防火墙即服务 (FWaaS)：一种纯粹基于云的防火墙，用于检查“作为服务”而不是作为本地硬件设备提供的入站和出站网络流量。

云访问安全代理 (CASB)：一种网络安全服务，位于用户和云提供商之间的网络上，强制执行基于云的数据访问策略。

安全 Web 网关 (SWG)：一种基于云的服务，专注于 Web 浏览流量，可根据特定 IT 策略阻止不需要的和恶意的 Internet 流量。

零信任网络访问 (ZTNA)：一种根据身份、上下文和策略向授权用户和设备授予细粒度和有条件的访问权限的服务。
 
对于希望提升远程访问安全性并过度到云原生环境的首席信息官和首席安全官来说，SASE 框架是一个非常适合的解决方案。它提供了一种以云为中心的方法来执行安全策略，以便数据和设备受到保护，并与核心网络功能相结合，例如：
 
服务质量 (QoS)：一种根据网络流量的重要性和敏感性确定其优先级的服务。

WAN 优化：一种通过压缩、缓存和重复数据删除来减少带宽消耗和延迟的服务。

VPN（虚拟专用网络）：一种在远程用户和网络资源之间创建安全隧道的服务。
 
但必须说明的是，SASE 并不是一个“产品”，它在更多意义上是一个架构框架。包括Cisco、Fortinet、Barracuda、Palo Alto、Perimeter 81、VMware 等在内的多家网络安全提供商都正在使用 SASE 框架来提供自己的解决方案，以满足分布式企业的网络和安全需求。
 
什么是SSE安全服务边缘框架？
 
安全服务边缘（SSE）框架是Gartner在2021年提出的一个新兴的云原生安全框架。与SASE相比，SSE更加专注于不需要SD-WAN的IT环境，因此它更适合那些没有多个路径到达目的地且无需基于应用程序的路由决策的网络。SSE负责安全网络、云服务和应用程序访问，最有效的业务案例场景是远程员工的VPN替代。通过SSE解决方案，企业可以减少网络负载并简化通过物理防火墙设备或集中式数据中心的IP流量的复杂路由。
 
SSE通常需要一个纯粹基于云的安全平台，该平台在网络边缘提供一系列安全功能。与SASE一样，领先的网络和安全供应商也有SSE选项。然而，SSE的云原生性质意味着它通常作为可以轻松部署、管理和扩展的单一平台进行销售。因此，SSE可能会受到那些希望简化和扩展远程工作人员的安全性并过渡到云原生环境的组织的欢迎。



SSE和SASE之间应该如何选择？
 
SSE 和 SASE 之间的选择很大程度上取决于您组织的特定需求、目标和预算。通常可以参考以下问题去评估自身组织的适合哪一个网络安全解决方案：
 
1. 您当前的网络和安全基础设施的痛点和挑战是什么？
2. 您的网络和安全策略的短期和长期目标是什么？
3. 您的用户、设备、应用程序和数据的分布和多样性如何？
4. 您如何确保远程工作人员的安全？
5. 您如何将最低权限访问框架应用于网络访问？
6. 您产生和消耗多少网络流量，您的性能和可靠性要求是什么？
7. 您面临多少安全风险，您的合规和治理义务是什么？
8. 您需要多少预算和资源来投资新的解决方案？
 
一般来说，如果满足以下条件，SSE可能是一个不错的选择：
 
拥有相对简单且稳定的网络基础设施，不需要太多优化或灵活性；
对安全服务有很高的要求，但对安全漏洞或数据丢失的容忍度较低；
实施完整 SASE 解决方案的预算或资源有限。
 
另一方面，如果您满足以下条件，SASE 可能是更好的选择：
 
拥有复杂且动态的网络基础设施，需要不断优化和适应；
已准备好冗余网络路径或 ISP 电路，您希望进行负载平衡或以主动/主动状态使用；
对网络和安全服务有很高的要求，但对性能下降或用户不满意的容忍度较低；
拥有足够的预算和资源来实施全面的 SASE 解决方案。
 
结语：
 
因此，正如上文所述，SSE 和 SASE 都是基于云的融合安全功能的框架。然而，SASE还包括网络功能，而SSE只关注安全性。SASE可以视为将网络和安全作为统一服务提供的综合蓝图，而 SSE 是 SASE 的子集，涵盖与安全相关的组件，例如 SWG、CASB 和 ZTNA。
 
SSE和SASE之间的选择取决于组织的特定需求、目标和预算。如果组织拥有相对简单且稳定的网络基础设施，对安全服务有很高的要求，但对安全漏洞或数据丢失的容忍度较低，那么SSE可能是一个不错的选择。如果组织拥有复杂且动态的网络基础设施，需要不断优化和适应，对网络和安全服务有很高的要求，但对性能下降或用户不满意的容忍度较低，那么SASE可能是更好的选择。