SSE提供三種與SASE相同的主要安全技術:
云訪問安全代理(CASB)
安全網絡網關(SWG)
零信任網絡訪問(ZTNA)
SSE縮減了SASE的其他功能,尤其是其與WAN相關的服務。通過部署SSE而不是SASE,企業可以實現很多相同的安全優勢,同時更輕松、更快速地遷移。
考慮以下三個開始使用SSE的實用技巧。
1.分階段SSE遷移
部署SSE需要先部署CASB、SWG和ZTNA技術,每種技術都涉及其自身的重大規劃和遷移工作。企業應計劃分階段將用戶、設備、數據和應用程序遷移到SSE,對于任何重大技術更新,都可以采用分階段做法。首先設計和部署一個小型試點,以識別和解決任何重大問題。然后,逐步擴展該試點,以涵蓋更多用戶、設備、數據和應用程序。
需要注意的一點:通常,企業需要先遷移其用戶的本地和基于云的服務和應用程序,然后才能享受SSE的全部安全優勢。SSE的主要好處之一是用戶無法直接訪問服務和應用程序。相反,用戶通過SWG訪問它們,SWG充當應用安全策略和監控威脅活動的中介。CASB和ZTNA提供了進一步的安全優勢,例如身份驗證、訪問控制和行為分析。
然而,在所有用戶都遷移到SSE之前,他們訪問的服務和應用程序將更加暴露,并且面臨更高的泄露風險。因此,如果可能的話,保持遷移周期相對較短以更快地實現更強的安全性非常重要。
2.先監控后執行政策
SSE組件(尤其是ZTNA)往往比它們所取代的傳統安全技術更具限制性。例如,SSE可能會頻繁檢查設備健康狀況、用戶行為和其他使用特征。總的來說,這對企業的安全態勢非常有利,盡管起初它可能會導致一些令人不快的意外和運營中斷。
在可行的情況下,尤其是在初始試點中,以僅監控模式運行SSE,無需強制執行,以查看該技術會阻止什么以及原因。這通常會發現現有的安全策略違規行為,并且在某些情況下會指出可能需要放松SSE策略的地方(至少是暫時的)以解決現實世界的行為。
3.確定要添加到SSE的控制
根據其包含的CASB、SWG和ZTNA技術,SSE在其安全控制中可能存在一個或多個漏洞。幸運的是,企業通常可以相對容易地通過獲取額外的網絡安全服務來修復這些漏洞。任何尚不屬于SSE的SASE安全控制,例如防火墻即服務或數據丟失防護,都是值得考慮的候選對象。
如果企業的SSE需要多個額外的控制,最好退后一步,考慮完整的SASE部署是否會更好。單個SASE平臺而不是集成幾個不同的SSE和SASE組件肯定有優勢。但是,如果SASE太大或太昂貴,向SSE添加單獨的控制通常仍然是一種更可取的方法。
