SSE（安全服务边缘）

什么是 SSE（安全服务边缘）？

SSE 解决方案用于保护对网络、云服务和私有应用的远程访问。

过去，企业通过数据中心集中托管应用，以便于执行各项安全检查，如防火墙和 IDS/IPS。如今，随着企业将应用迁移到云以及实施远程办公计划，保护应用免受外部威胁越来越困难，因为这些应用在传统安全边界之外的分布式环境中运行。受老旧网络基础设施限制，IT 部门无法监控用户和 SaaS 应用之间的所有连接。此外，将云端流量引导至数据中心进行安全检查，会对应用性能和用户体验产生重大负面影响。

安全服务边缘解决方案是通过云交付的服务，使组织能够在更靠近端点（包括用户和设备）的位置执行高级安全检查。该解决方案建立了动态安全边界，无论用户从何处连接，都可以提供威胁保护、数据安全、安全监控和访问控制。

安全服务边缘 (SSE) 包括四个核心安全组件：

• ZTNA 秉持这样的安全原则：在未经证明之前，默认任何用户都不能访问任何内容。与普遍支持连接用户访问公司网络的 VPN 不同，ZTNA 通过信任代理，仅限用户访问获得批准的特定应用或微分段。
• CASB 识别和检测云应用中的敏感数据，包括云到云访问，并强制执行身份验证和单一登录 (SSO) 等安全策略。防止用户注册和使用未经组织 IT 和安全策略授权的云应用。这使组织能够减少导致安全和合规性问题的影子 IT。
• SWG 使用多种防御技术保护组织免受 Web 威胁。它位于用户和网站之间，以便用户连接到 SWG 解决方案。该解决方案执行多项安全检查，包括 URL 过滤、恶意代码检测和网络访问控制，然后将流量重定向到网站。
• FWaaS 是基于云的防火墙，可以分析来自多个来源的流量。FWaaS 整合来自组织多个运营地点的流量，包括公司总部、远程分支办公室和移动用户。FWaaS 通常支持关键访问控制，如 IDS/IPS、高级威胁预防、URL 过滤和 DNS 安全。
• 除了上述核心功能之外，还提供其他安全服务，如数据丢失防护 (DLP)、远程浏览器隔离 (RBI) 和沙盒。

SSE 主要关注通过云交付的安全服务。确保用户能够安全访问应用、互联网和数据。SASE 则兼顾了网络功能和安全功能。可将管理流量的 SD-WAN 与 SSE 集成为一个一致架构，不论用户或设备位于何处，都能提供连接和安全保障，确保在边缘的安全访问和网络性能。

网络和安全虽然密切相关，但却是两个截然不同且非常复杂的专业领域。安全技术需要迅速发展以确保抵御不断变化的网络安全风险，而广域网 (WAN) 的宗旨则是提供快速、可靠且灵活的连接。SASE 可以提供一致的安全保障措施、经过优化的性能、可扩展性和灵活性，能够协助简化和集成这些传统且彼此孤立的领域。SASE 可将这两个复杂的领域合并为完整服务，不仅无须具备这两个领域的专业知识，同时还能提供更好的安全保障措施和更高性能。

• SSE 提供安全的远程访问。鉴于混合办公已成为新常态，企业必须确保远程员工的安全，以便他们能够随时随地进行连接。SSE 提供零信任功能，其默认不信任任何用户。用户可以基于身份识别访问网络的某些部分，并查看仅与其在组织中的角色相关云应用，从而防止他们访问和利用敏感的公司数据。
• SSE 保护云优先组织免受外部威胁的影响。随着数字化进程加快，网络犯罪也以同样的速度增长。随着大多数应用转移到云，组织如今必须找到有效的方法来保护数字资产。SSE 为组织提供防火墙功能，且采用 URL 过滤和恶意代码检测等多种技术防范各类 Web 威胁。得益于 CASB 功能，SSE 通过强制执行安全策略来保护云中托管的敏感数据。诸如远程浏览器隔离 (RBI) 的其他安全功能通过重建杜绝恶意代码的网页，将网络用户与互联网隔离。
• SSE 和 SD-WAN 合力打造面面俱到的 SASE。组织应全力保障安全性，这就是为什么他们应结合各自的安全要求在以下两个可选方案之间自由选择。第一种方案是由单个供应商提供统一的 SASE 平台。该解决方案将高级 SD-WAN 功能与 SSE 功能相结合。它提供了统一的集成方法，支持快速部署且简化了管理。第二种方案是多供应商解决方案，其支持企业选择高级 SD-WAN 平台，该平台与多个云安全供应商紧密集成，简化了 SD-WAN 平台的连接，让企业可以灵活选择云安全供应商来满足特定需求。

• 提高安全性。SSE 提供更贴近用户的安全保护和更灵活的企业边界外连接方式。SSE 托管在云中，可以轻松更新以应对最新安全威胁，并且可以立即自动将策略变更推送给远程用户，从而提供一致的安全方法。
• 简化运营。SSE 将多个安全服务统一归入单一平台中，通过消除重复和协调安全策略来避免重叠并发挥单一平台的优势。用户可以从中心位置全面查看安全事件，有助于简化操作和降低成本。
• 安全访问。SSE 基于最小权限访问原则，确保从任何地方和任何设备安全访问应用，使混合办公得以实现。此外，SSE 保护员工免受恶意网络流量的影响，并确保公司敏感数据受到保护。当与 SD-WAN 配对时，分支机构办公室的员工可以无缝、安全地连接到企业网络或云。

SSE 在帮助组织实施零信任安全模型方面发挥着关键作用。通过实施严格的访问控制并持续验证用户的身份和上下文，SSE 确保只有授权用户和设备才能访问特定的应用或资源。不同于与传统、基于边界的安全模型（假设网络内部的所有事物都是可信的），SSE 强制执行最低权限访问，以减少攻击面并最大限度地降低网络内横向移动的风险。对于那些希望在日益严重的网络威胁和混合工作环境中实现安全态势现代化的组织来说，SSE 是实现这一目标的重要基石。

随着越来越多的企业采用云优先战略，并将关键工作负载迁移到 SaaS 平台和多云环境，对一致的云交付安全性的需求变得至关重要。SSE 通过保护对互联网、私人应用和云服务的访问来提供这种保护 — 无论用户身在何处。通过将 SWG、CASB 和 FWaaS 等功能集成到统一平台，SSE 简化了安全管理并确保在分布式环境中一致地实施策略。得益于威胁防护增强、复杂性降低和可见性提高，组织 让 SSE 成为保护现代企业安全的重要组成部分。 

HPE Aruba Networking SSE 通过完全集成的云原生解决方案简化了零信任实施，为保护现代企业安全树立了新的标杆。不同于零散的安全工具，HPE Aruba Networking SSE 将 ZTNA、SWG、CASB 和 DLP 整合到单一平台中，并提供统一的管理界面。

通过基于代理和无代理的 ZTNA，用户和第三方可以从任何地方安全地访问私有资源和云资源。SWG 通过 URL 过滤和 SSL 检查来防御基于 Web 的威胁，而 CASB 和 DLP 则可防止 SaaS 应用之间的数据丢失。

HPE Aruba Networking SSE 以 AWS、Microsoft Azure 和 Google Cloud 的全球云主干网为后盾，可在全球范围内提供一致、高性能的访问和安全性。无论是保护远程用户、承包商还是分支机构，HPE Aruba Networking SSE 都能使组织在任何地方应用零信任原则 — 通过单个统一的解决方案简化访问、保护数据并改善用户体验。