SSE提供三種與SASE相同的主要安全技術(shù):
云訪問安全代理(CASB)
安全網(wǎng)絡(luò)網(wǎng)關(guān)(SWG)
零信任網(wǎng)絡(luò)訪問(ZTNA)
SSE縮減了SASE的其他功能,尤其是其與WAN相關(guān)的服務(wù)。通過部署SSE而不是SASE,企業(yè)可以實現(xiàn)很多相同的安全優(yōu)勢,同時更輕松、更快速地遷移。
考慮以下三個開始使用SSE的實用技巧。
1.分階段SSE遷移
部署SSE需要先部署CASB、SWG和ZTNA技術(shù),每種技術(shù)都涉及其自身的重大規(guī)劃和遷移工作。企業(yè)應(yīng)計劃分階段將用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序遷移到SSE,對于任何重大技術(shù)更新,都可以采用分階段做法。首先設(shè)計和部署一個小型試點,以識別和解決任何重大問題。然后,逐步擴展該試點,以涵蓋更多用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序。
需要注意的一點:通常,企業(yè)需要先遷移其用戶的本地和基于云的服務(wù)和應(yīng)用程序,然后才能享受SSE的全部安全優(yōu)勢。SSE的主要好處之一是用戶無法直接訪問服務(wù)和應(yīng)用程序。相反,用戶通過SWG訪問它們,SWG充當應(yīng)用安全策略和監(jiān)控威脅活動的中介。CASB和ZTNA提供了進一步的安全優(yōu)勢,例如身份驗證、訪問控制和行為分析。
然而,在所有用戶都遷移到SSE之前,他們訪問的服務(wù)和應(yīng)用程序?qū)⒏颖┞?,并且面臨更高的泄露風險。因此,如果可能的話,保持遷移周期相對較短以更快地實現(xiàn)更強的安全性非常重要。
2.先監(jiān)控后執(zhí)行政策
SSE組件(尤其是ZTNA)往往比它們所取代的傳統(tǒng)安全技術(shù)更具限制性。例如,SSE可能會頻繁檢查設(shè)備健康狀況、用戶行為和其他使用特征??偟膩碚f,這對企業(yè)的安全態(tài)勢非常有利,盡管起初它可能會導致一些令人不快的意外和運營中斷。
在可行的情況下,尤其是在初始試點中,以僅監(jiān)控模式運行SSE,無需強制執(zhí)行,以查看該技術(shù)會阻止什么以及原因。這通常會發(fā)現(xiàn)現(xiàn)有的安全策略違規(guī)行為,并且在某些情況下會指出可能需要放松SSE策略的地方(至少是暫時的)以解決現(xiàn)實世界的行為。
3.確定要添加到SSE的控制
根據(jù)其包含的CASB、SWG和ZTNA技術(shù),SSE在其安全控制中可能存在一個或多個漏洞。幸運的是,企業(yè)通常可以相對容易地通過獲取額外的網(wǎng)絡(luò)安全服務(wù)來修復這些漏洞。任何尚不屬于SSE的SASE安全控制,例如防火墻即服務(wù)或數(shù)據(jù)丟失防護,都是值得考慮的候選對象。
如果企業(yè)的SSE需要多個額外的控制,最好退后一步,考慮完整的SASE部署是否會更好。單個SASE平臺而不是集成幾個不同的SSE和SASE組件肯定有優(yōu)勢。但是,如果SASE太大或太昂貴,向SSE添加單獨的控制通常仍然是一種更可取的方法。
