云安全聯(lián)盟《解讀SSE》

目錄致謝 3序言 5SSE是什么 7為什么SASE之后又提出SSE 8SSE主要應(yīng)用場景 11互網(wǎng)應(yīng)安全問的務(wù)場景 11公云私應(yīng)用全訪的服場景 12企數(shù)據(jù)心應(yīng)安全問的務(wù)場景 13物網(wǎng)遠(yuǎn)接入全訪的服場景 13SSE關(guān)鍵技術(shù)與核心能力 14SSE廠商圖譜和市場格局 15全市場況 15海廠商述 16國廠商況 196結(jié)語 20SSE是什么安全服務(wù)邊緣(SecurityService(SaaS)APISSE2019年，Gartner（SecureAccessServiceEdge，SASE）CASB、FWaaS和ZTNA）2021年，Gartner2021年SASESSE，如果說SASESSESASE專網(wǎng)關(guān)(Secure、云訪問安全代理(CloudAccessSecurityBroker，CASB、零信任網(wǎng)絡(luò)訪問(ZeroNetworkAccess，ZTNA)和防火墻即服務(wù)(FireWallasaService，F(xiàn)WaaS)E(oeDdWideArea、廣域網(wǎng)優(yōu)化、服務(wù)質(zhì)量(QoS)Forrester“”ZTNASSE中包含ZTNACASB因此ZTNA是SSEGartner2025ZTNA70%SSE202120%2025年，購買SSE80%SSE網(wǎng)關(guān)和ZTNA202115%。圖1SSE與SASE的關(guān)系為什么SASESSE縱然SASE作為在混合辦公時(shí)代下解決分支辦公和遠(yuǎn)程訪問的網(wǎng)絡(luò)及安全融合型解決方案備受Gartner和業(yè)界廠商推崇，并獲得了客戶的高度關(guān)注，但是在落地層面仍然面臨了諸多問題，比如：具備完整SASE（包含和SSE）/SASEVPN向ZTNA的“”的SASE項(xiàng)目落地。SASE能SASE比較適合中型規(guī)模且具有較為分散的分支型企業(yè)，因?yàn)樗麄冐?fù)責(zé)IT和基礎(chǔ)設(shè)施的人員通常較少，且技術(shù)棧的廣度和深度都有所欠缺?！癝ASE方案，SSEIT如何能夠讓隨時(shí)隨地辦公的員工始終符合企業(yè)安全管理要求以及所在國家的安全法規(guī)““上網(wǎng)”SaaS無疑是“上網(wǎng)安全云”的最佳實(shí)SSE和SSE但是能夠同時(shí)滿足法支持業(yè)務(wù)驅(qū)動(dòng)的動(dòng)態(tài)組網(wǎng)場景。與此同時(shí)，當(dāng)下混合辦公、應(yīng)用訪問的關(guān)鍵技術(shù)——ZTNA更是橫跨SASESaaS。這種場景下企業(yè)無點(diǎn)對點(diǎn)的組網(wǎng)需求，需要的是通過部署在邊緣POP的ZTNA，SWG，CASB等SSESASEtrG和）合并為SSESingle-VendorSASE（SASE）市場指南中明確指出了交付SASESASE、由顯而SASEManaged（托管型）SASE，其中ManagedSASESASESASESSESASESASE能力。雖然Gartner視SASEGartner對SASESASESASE“化身”的SSESSE合客戶已有的SSE主要應(yīng)用場景基于SSESSE互聯(lián)網(wǎng)應(yīng)用安全訪問的服務(wù)場景POP點(diǎn)，通過CASBSWG等（互聯(lián)網(wǎng)應(yīng)用或是企業(yè)SaaS包括根據(jù)URL于接入到私有化SSEPOP點(diǎn)。圖2互聯(lián)網(wǎng)應(yīng)用安全訪問場景公有云私有應(yīng)用安全訪問的服務(wù)場景SSE的邊緣安全防護(hù)POPSOHO過零信任方式接入SSE的邊緣安全防護(hù)POPCASBZTNA圖3云應(yīng)用安全訪問場景企業(yè)數(shù)據(jù)中心應(yīng)用安全訪問的服務(wù)場景SSE的邊緣安全防護(hù)POPSOHO過零信任方式接入SSE的邊緣安全防護(hù)POPCASBZTNA圖4企業(yè)數(shù)據(jù)中心安全訪問場景物聯(lián)網(wǎng)遠(yuǎn)程接入安全訪問的服務(wù)場景物聯(lián)網(wǎng)智能終端遠(yuǎn)程接入場景，使用固定邊緣接入設(shè)備或直接通過運(yùn)營商物聯(lián)網(wǎng)卡/SIM卡/eSIMPOPSSE的邊緣安全防護(hù)POP、ZTNADDOS圖5物聯(lián)網(wǎng)遠(yuǎn)程接入安全訪問場景基于SSE架構(gòu)還可擴(kuò)展到其它應(yīng)用場景，例如企業(yè)的多云訪問的安全防護(hù)場景，企業(yè)的應(yīng)用等保安全服務(wù)場景等。SSE關(guān)鍵技術(shù)與核心能力SSE支持多種安全訪問場景，不同的安全場景所需的核心能力不同，上網(wǎng)安全場景所需的核心能力包括SWG、FWaaS；訪問SaaS應(yīng)用場景需要加載ZTNA、CASB等能力；物聯(lián)網(wǎng)IoT場景需要ZTNA、FWaaS等能力。SSE核心能力主要包括：ZTNANetworkVPN允許用戶基于IPZTNA相較于VPNSWG，安全受來自網(wǎng)站的威脅，它位于用戶和問的流量，并在流經(jīng)SWGURL返還給用戶。好的SWGFWaaSas通常支持IDS/IPSDNSCASBCASB（CloudAccessSecurity（SSO）用戶注冊和使用未經(jīng)企業(yè)IT除上述核心能力以外，還可以提供其他安全服務(wù)，例如數(shù)據(jù)防泄漏（DLP）、遠(yuǎn)程瀏覽器隔離（RBI）、云沙箱等等。SSE的關(guān)鍵技術(shù)和SASE是一致的。1SSE廠商圖譜和市場格局全球市場概況參考Gartner2022年2月15日發(fā)布的《MagicQuadrantforSecurityServiceEdge》，SSE市場現(xiàn)狀如下：2020財(cái)年SSE2.4261921%場的供應(yīng)商改進(jìn)了CASB產(chǎn)品，更直接地與SWG和CASBSSE各供應(yīng)商主要方案差異：1參見SASE的白皮書:https:///research/results-detail/i-1753/架構(gòu)差異：一些廠商提供統(tǒng)一的SSE的方案。（DigitalExperienceMonitoring）海外廠商概述2022年GartnerSSE2：圖6Gartner2022年SSE魔力象限2參考Gartner2022年2月15日發(fā)布的《MagicQuadrantforSecurityServiceEdge》象限廠商概述優(yōu)勢象限廠商概述優(yōu)勢劣勢Zscaler其主要的SSE產(chǎn)品包括ZscalerInternetAccess(ZIA)、ZscalerPrivateAccess和Zscaler DigitalExperience(ZDX)服務(wù)它還提供CSPM和Zscaler云保護(hù)。客戶為各行業(yè)的中大1DEM2、市場投入大，收入和新客戶數(shù)量迅速增長。3SWG功能和易于使用的ZTNA產(chǎn)品。4SD-WAN合作伙伴生態(tài)。123要購買額外的SIEM模塊處理。型組織。領(lǐng)導(dǎo)者NetsopeSSE產(chǎn)品作為Netskope安全云平臺的一部分提供，包括SWGCASB和Netskope私有應(yīng)用訪問?？蛻魹楸姸嘈袠I(yè)的中型到超大型組織。1Newedge2、提供高級數(shù)據(jù)安全功能。支持3SLASLA提供標(biāo)準(zhǔn)59可用性，并保證未加密Web1050毫秒。17層協(xié)議只HTTPHTTPS。2VPN隧道配置依賴SD-WAN合作廠商32020年發(fā)布ZTNA服、2021年支持無客戶端訪問，發(fā)布時(shí)間晚。4、價(jià)格競爭力弱。McAfeeEnterpriseSSE產(chǎn)品是統(tǒng)一云邊緣(UCE)服務(wù)。還提供例如XDR和端點(diǎn)安全等產(chǎn)品。它的客戶規(guī)模從小到大，來自各個(gè)行業(yè)。1、SSE方案完整且緊密集成，包SWGCASBZTNARBI2、提供CSPM和SaaS安全狀態(tài)管理(SSPM)功能、數(shù)字體驗(yàn)監(jiān)控(DEM)、DLP。3、定價(jià)模式簡單、具競爭力。1、開發(fā)和發(fā)布ZTNA和FWaaS功能的時(shí)間比較晚。2提供商的緊密集成。遠(yuǎn)見者Forcepoint（Bitglass）SSE產(chǎn)品包含SWG、CASB和ZTNA。它的客戶往往是來自多個(gè)行業(yè)的大型企業(yè)。1、數(shù)據(jù)安全功能強(qiáng)大，可使用專FPSL（SASE）功能進(jìn)行定制，并集成在SWG、CASB和ZTNA功能中；2、AJAX-VM技術(shù)可以實(shí)現(xiàn)無客戶端訪問。3300POP點(diǎn)。4SmartEdge代理來實(shí)現(xiàn)內(nèi)容解密和檢查，改善整體延遲1、SmartEdge依賴客戶端，ZTNA不支持UDP2Forcepoint(Bitglass)對市場的反應(yīng)在過去一年有所放緩。例如，它POP并FPSL功能擴(kuò)展到其現(xiàn)有平臺內(nèi)的其他模塊，而不是添加FWaaS。等新功能。LookoutLookout的SSE產(chǎn)品包括CASB、SWG和ZTNA。還提供移動(dòng)端點(diǎn)安全產(chǎn)品。它主要服務(wù)于許多行業(yè)的大中型企業(yè)。1、擁有強(qiáng)大的數(shù)據(jù)安全能力，包2、在Web、SaaS和私有應(yīng)用程序中深入集成了數(shù)據(jù)安全。1SD-WAN合作，專注于移動(dòng)操作系統(tǒng)而非非移動(dòng)設(shè)備的威脅防御。2FWaaS20218月才通過OEM引入RBI。。PaloAltoNetworksSSE產(chǎn)品主要由PrismaAccess和SaaS安全服務(wù)組成。提供云管理、DEM等，支持API與RBI等第三方技術(shù)的集成。服務(wù)于各個(gè)行業(yè)的各1、財(cái)力雄厚，客戶基礎(chǔ)龐大，持續(xù)投入讓客戶遷移安全能力到SSE。2ZTNA端點(diǎn)和應(yīng)用程序之用戶提供一致的ZTNA規(guī)則。1RBI依賴于合作伙伴。2、設(shè)置和管理相對復(fù)雜。3防火墻用戶競爭力弱。種規(guī)模的客戶。4、功能模塊多且復(fù)雜、價(jià)格高。挑戰(zhàn)者CiscoSSE包括：CiscoUmbrellaCloudlock和DuoBeyond。2021DLP、身份驗(yàn)證、RBI1SSE和思SD-WAN結(jié)合。2、入門級產(chǎn)品簡單易用，如XDR產(chǎn)品SecureX集成的UmbrellaDNSSecurityEssentials和UmbrellaDNSSecurityAdvantage。并且AnyConnectVPN可以滿足許多遠(yuǎn)程訪問要求。3、支持情報(bào)集成。1礎(chǔ)，缺乏自動(dòng)化的高級分析。2件價(jià)格低，但整套方案昂貴。3ZTNARBI。BroadcomSSE產(chǎn)品包括：Symantec securityserviceCloudSOC（CASB）Symantec secureAccesscloud（ZTNA）客戶類型：大企業(yè)，行業(yè)客戶1、SWG具有優(yōu)勢地位2、有廣泛客戶群體，了解最終用戶的風(fēng)險(xiǎn)評分。2、DLP先進(jìn)，如OCR、指紋識別和矢量機(jī)器學(xué)習(xí)。3Broadcom通過僅銷售基于云的SSE4SWG和ZTNA組件的公司之一。1最大的公司，其他潛在客戶很難獲得技術(shù)支持。2要部署多個(gè)客戶端，使用多個(gè)控制臺，缺乏集成導(dǎo)致功能混亂。利基者ibossSASERBI、CASB等客戶集中在北美和歐洲，它在亞太地區(qū)的影響力較小，它的客戶來自許多行業(yè)。1ZTNA279100ms3、RBI口碑好4、核心能力采用容器化架構(gòu)，也可以私有化部署。1API，沒有基于、APICASB、DLP方案2、ZTNA評分是不透明的3MSSP合作伙伴缺乏VersaSSE產(chǎn)品是 SASE，還提供廣域網(wǎng)邊緣基礎(chǔ)設(shè)施產(chǎn)品?？蛻舴秶瑥脑S多行業(yè)的中型到超大型組織。1、數(shù)據(jù)安全方案能力強(qiáng)，包括對2、網(wǎng)絡(luò)技術(shù)能力強(qiáng)，在現(xiàn)有廣域能力領(lǐng)先于專注于SD-WAN的廠商。1、UI復(fù)雜。2SD-WAN客戶。3ForcepointSSEForcepointSSE產(chǎn)品包括：云安全網(wǎng)關(guān)、CASB、私有應(yīng)用訪問產(chǎn)品客戶范圍從許多行業(yè)的小型組織到大型組織1支持自定義策略來評估用戶風(fēng)險(xiǎn)和采取策略。2DLPRBI收費(fèi)。12、缺少iOSAndroid的代理客戶端。3F1E的故障排除有問題，廠家支持質(zhì)量和響應(yīng)能力下降。4、ZTNA只支持web應(yīng)用訪問，導(dǎo)致使用率低表1Gartner2022年SSE魔力象限廠家概述國內(nèi)廠商概況廠商提供能力技術(shù)特點(diǎn)主打場景、主打行業(yè)綠盟FWaaS高級威脅防御Web廠商提供能力技術(shù)特點(diǎn)主打場景、主打行業(yè)綠盟FWaaS高級威脅防御Web網(wǎng)關(guān)ZTNA上網(wǎng)行為管理入侵防護(hù)多種代理轉(zhuǎn)發(fā)模式安全防護(hù)+安全運(yùn)營主打場景：遠(yuǎn)程辦公、對外業(yè)務(wù)防護(hù)、多分支辦公主打行業(yè)：政府、企業(yè)、教育、能源、醫(yī)療、金融奇安信FWaaS高級威脅防御Web網(wǎng)關(guān)數(shù)據(jù)防泄露ZTNA安全防護(hù)+安全運(yùn)營（攻防實(shí)戰(zhàn)）政府行業(yè)教育行業(yè)金融行業(yè)遠(yuǎn)程辦公主打場景：多分支上網(wǎng)安全、組深信服SWGZTNACASB高級威脅防御基于云原生技術(shù)的POP點(diǎn)集成防火墻和SDWAN網(wǎng)安全、混合辦公安全、業(yè)務(wù)安全訪問主打行業(yè)場景：企業(yè)多分支、教育城域網(wǎng)、政務(wù)服務(wù)（稅務(wù)分支、數(shù)據(jù)防泄漏公積金營業(yè)廳等）、金融營業(yè)廳等天融信ZTNASWGCASB高級威脅防御數(shù)據(jù)安全控制綜合安全能力政府行業(yè)衛(wèi)生行業(yè)數(shù)據(jù)防泄漏新華三FWaaSWeb應(yīng)用防火墻IPS/IDSDDoSZTNA防病毒安全防護(hù)+安全運(yùn)維+安全運(yùn)營服務(wù)主打場景：主打行業(yè)：運(yùn)營商、政府、醫(yī)療、教育、金融、能源、企業(yè)網(wǎng)宿安全DDoSBOTAPI安全ZTNAFWaaSSWG基于全球邊緣計(jì)算POP的企業(yè)基礎(chǔ)設(shè)施和應(yīng)用安全防護(hù)、集成S