将SSE视为安全访问服务边缘(SASE)的缩小版、纯安全版本。SASE包含大量安全和网络服务,在实践中,这些服务对于许多企业来说可能过于繁重。SSE提供与SASE相同的三种主要安全技术:云访问安全代理(CASB)安全网络网关(SWG)零信任网络访问(ZTNA)SSE缩减了SASE的其他功能,尤其是其WAN相关服务。通过部署SSE而不是SASE,组织可以实现许多相同的安全优势,同时更轻松、更快速地迁移。请考虑以下三个开始使用SSE的实用技巧。1.分阶段SSE迁移部署SSE需要部署CASB、SWG和ZTNA技术,其中每一项都涉及其自身重要的规划和迁移工作。组织应计划分阶段将用户、设备、数据和应用程序迁移到SSE,并且任何重大技术更新都可以采用分阶段的方法。首先设计和部署小型试点,以识别和解决任何重大问题。然后,逐步扩大试点以包括更多的用户、设备、数据和应用程序。一个警告:通常,企业需要迁移其用户的本地和基于云的服务和应用程序,然后才能享受SSE的全部安全优势。SSE的主要好处之一是用户无法直接访问服务和应用程序。相反,用户通过SWG访问它们,SWG充当应用安全策略和监控威胁活动的中介。CASB和ZTNA提供进一步的安全优势,例如身份验证、访问控制和行为分析。但是,在所有用户都迁移到SSE之前,他们访问的服务和应用程序将更加暴露,并且面临更高的危害风险。因此,如果可能的话,保持迁移周期相对较短以更快地实现更强的安全性是很重要的。2.在执行策略之前进行监控SSE组件(尤其是ZTNA)往往比它们所取代的传统安全技术更具限制性。例如,SSE可能会频繁检查设备健康状况、用户行为和其他使用特征。总的来说,这对企业的安全态势非常有益,尽管一开始它可能会导致一些令人不快的意外和运营中断。在可行的情况下,尤其是在初始试点中,以仅监控模式运行SSE而无需强制执行,以了解技术阻碍了什么以及原因。这通常会发现现有的安全策略违规行为,并在某些情况下指出可能需要(至少暂时)放宽SSE策略以解决现实世界的行为。3.确定要添加到SSE的控件根据其包含的CASB、SWG和ZTNA技术,SSE可能在其安全控件中存在一个或多个漏洞。幸运的是,组织通常可以通过获取额外的网络安全服务相对轻松地修复这些漏洞。任何尚未成为SSE一部分的SASE安全控制,例如防火墙即服务或数据丢失防护,都是需要考虑的候选对象。如果企业的SSE需要多个额外的控制,最好退后一步,考虑完整的SASE部署是否会更好。与集成多个不同的SSE和SASE组件相比,单个SASE平台绝对有优势。然而,如果SASE太大或太贵,向SSE添加一个单独的控件通常仍然是更好的方法。
