云安全联盟《解读SSE》

目录致谢 3序言 5SSE是什么 7为什么SASE之后又提出SSE 8SSE主要应用场景 11互网应安全问的务场景 11公云私应用全访的服场景 12企数据心应安全问的务场景 13物网远接入全访的服场景 13SSE关键技术与核心能力 14SSE厂商图谱和市场格局 15全市场况 15海厂商述 16国厂商况 196结语 20SSE是什么安全服务边缘(SecurityService(SaaS)APISSE2019年，Gartner（SecureAccessServiceEdge，SASE）CASB、FWaaS和ZTNA）2021年，Gartner2021年SASESSE，如果说SASESSESASE专网关(Secure、云访问安全代理(CloudAccessSecurityBroker，CASB、零信任网络访问(ZeroNetworkAccess，ZTNA)和防火墙即服务(FireWallasaService，FWaaS)E(oeDdWideArea、广域网优化、服务质量(QoS)Forrester“”ZTNASSE中包含ZTNACASB因此ZTNA是SSEGartner2025ZTNA70%SSE202120%2025年，购买SSE80%SSE网关和ZTNA202115%。图1SSE与SASE的关系为什么SASESSE纵然SASE作为在混合办公时代下解决分支办公和远程访问的网络及安全融合型解决方案备受Gartner和业界厂商推崇，并获得了客户的高度关注，但是在落地层面仍然面临了诸多问题，比如：具备完整SASE（包含和SSE）/SASEVPN向ZTNA的“”的SASE项目落地。SASE能SASE比较适合中型规模且具有较为分散的分支型企业，因为他们负责IT和基础设施的人员通常较少，且技术栈的广度和深度都有所欠缺。“SASE方案，SSEIT如何能够让随时随地办公的员工始终符合企业安全管理要求以及所在国家的安全法规““上网”SaaS无疑是“上网安全云”的最佳实SSE和SSE但是能够同时满足法支持业务驱动的动态组网场景。与此同时，当下混合办公、应用访问的关键技术——ZTNA更是横跨SASESaaS。这种场景下企业无点对点的组网需求，需要的是通过部署在边缘POP的ZTNA，SWG，CASB等SSESASEtrG和）合并为SSESingle-VendorSASE（SASE）市场指南中明确指出了交付SASESASE、由显而SASEManaged（托管型）SASE，其中ManagedSASESASESASESSESASESASE能力。虽然Gartner视SASEGartner对SASESASESASE“化身”的SSESSE合客户已有的SSE主要应用场景基于SSESSE互联网应用安全访问的服务场景POP点，通过CASBSWG等（互联网应用或是企业SaaS包括根据URL于接入到私有化SSEPOP点。图2互联网应用安全访问场景公有云私有应用安全访问的服务场景SSE的边缘安全防护POPSOHO过零信任方式接入SSE的边缘安全防护POPCASBZTNA图3云应用安全访问场景企业数据中心应用安全访问的服务场景SSE的边缘安全防护POPSOHO过零信任方式接入SSE的边缘安全防护POPCASBZTNA图4企业数据中心安全访问场景物联网远程接入安全访问的服务场景物联网智能终端远程接入场景，使用固定边缘接入设备或直接通过运营商物联网卡/SIM卡/eSIMPOPSSE的边缘安全防护POP、ZTNADDOS图5物联网远程接入安全访问场景基于SSE架构还可扩展到其它应用场景，例如企业的多云访问的安全防护场景，企业的应用等保安全服务场景等。SSE关键技术与核心能力SSE支持多种安全访问场景，不同的安全场景所需的核心能力不同，上网安全场景所需的核心能力包括SWG、FWaaS；访问SaaS应用场景需要加载ZTNA、CASB等能力；物联网IoT场景需要ZTNA、FWaaS等能力。SSE核心能力主要包括：ZTNANetworkVPN允许用户基于IPZTNA相较于VPNSWG，安全受来自网站的威胁，它位于用户和问的流量，并在流经SWGURL返还给用户。好的SWGFWaaSas通常支持IDS/IPSDNSCASBCASB（CloudAccessSecurity（SSO）用户注册和使用未经企业IT除上述核心能力以外，还可以提供其他安全服务，例如数据防泄漏（DLP）、远程浏览器隔离（RBI）、云沙箱等等。SSE的关键技术和SASE是一致的。1SSE厂商图谱和市场格局全球市场概况参考Gartner2022年2月15日发布的《MagicQuadrantforSecurityServiceEdge》，SSE市场现状如下：2020财年SSE2.4261921%场的供应商改进了CASB产品，更直接地与SWG和CASBSSE各供应商主要方案差异：1参见SASE的白皮书:https:///research/results-detail/i-1753/架构差异：一些厂商提供统一的SSE的方案。（DigitalExperienceMonitoring）海外厂商概述2022年GartnerSSE2：图6Gartner2022年SSE魔力象限2参考Gartner2022年2月15日发布的《MagicQuadrantforSecurityServiceEdge》象限厂商概述优势象限厂商概述优势劣势Zscaler其主要的SSE产品包括ZscalerInternetAccess(ZIA)、ZscalerPrivateAccess和Zscaler DigitalExperience(ZDX)服务它还提供CSPM和Zscaler云保护。客户为各行业的中大1DEM2、市场投入大，收入和新客户数量迅速增长。3SWG功能和易于使用的ZTNA产品。4SD-WAN合作伙伴生态。123要购买额外的SIEM模块处理。型组织。领导者NetsopeSSE产品作为Netskope安全云平台的一部分提供，包括SWGCASB和Netskope私有应用访问。客户为众多行业的中型到超大型组织。1Newedge2、提供高级数据安全功能。支持3SLASLA提供标准59可用性，并保证未加密Web1050毫秒。17层协议只HTTPHTTPS。2VPN隧道配置依赖SD-WAN合作厂商32020年发布ZTNA服、2021年支持无客户端访问，发布时间晚。4、价格竞争力弱。McAfeeEnterpriseSSE产品是统一云边缘(UCE)服务。还提供例如XDR和端点安全等产品。它的客户规模从小到大，来自各个行业。1、SSE方案完整且紧密集成，包SWGCASBZTNARBI2、提供CSPM和SaaS安全状态管理(SSPM)功能、数字体验监控(DEM)、DLP。3、定价模式简单、具竞争力。1、开发和发布ZTNA和FWaaS功能的时间比较晚。2提供商的紧密集成。远见者Forcepoint（Bitglass）SSE产品包含SWG、CASB和ZTNA。它的客户往往是来自多个行业的大型企业。1、数据安全功能强大，可使用专FPSL（SASE）功能进行定制，并集成在SWG、CASB和ZTNA功能中；2、AJAX-VM技术可以实现无客户端访问。3300POP点。4SmartEdge代理来实现内容解密和检查，改善整体延迟1、SmartEdge依赖客户端，ZTNA不支持UDP2Forcepoint(Bitglass)对市场的反应在过去一年有所放缓。例如，它POP并FPSL功能扩展到其现有平台内的其他模块，而不是添加FWaaS。等新功能。LookoutLookout的SSE产品包括CASB、SWG和ZTNA。还提供移动端点安全产品。它主要服务于许多行业的大中型企业。1、拥有强大的数据安全能力，包2、在Web、SaaS和私有应用程序中深入集成了数据安全。1SD-WAN合作，专注于移动操作系统而非非移动设备的威胁防御。2FWaaS20218月才通过OEM引入RBI。。PaloAltoNetworksSSE产品主要由PrismaAccess和SaaS安全服务组成。提供云管理、DEM等，支持API与RBI等第三方技术的集成。服务于各个行业的各1、财力雄厚，客户基础庞大，持续投入让客户迁移安全能力到SSE。2ZTNA端点和应用程序之用户提供一致的ZTNA规则。1RBI依赖于合作伙伴。2、设置和管理相对复杂。3防火墙用户竞争力弱。种规模的客户。4、功能模块多且复杂、价格高。挑战者CiscoSSE包括：CiscoUmbrellaCloudlock和DuoBeyond。2021DLP、身份验证、RBI1SSE和思SD-WAN结合。2、入门级产品简单易用，如XDR产品SecureX集成的UmbrellaDNSSecurityEssentials和UmbrellaDNSSecurityAdvantage。并且AnyConnectVPN可以满足许多远程访问要求。3、支持情报集成。1础，缺乏自动化的高级分析。2件价格低，但整套方案昂贵。3ZTNARBI。BroadcomSSE产品包括：Symantec securityserviceCloudSOC（CASB）Symantec secureAccesscloud（ZTNA）客户类型：大企业，行业客户1、SWG具有优势地位2、有广泛客户群体，了解最终用户的风险评分。2、DLP先进，如OCR、指纹识别和矢量机器学习。3Broadcom通过仅销售基于云的SSE4SWG和ZTNA组件的公司之一。1最大的公司，其他潜在客户很难获得技术支持。2要部署多个客户端，使用多个控制台，缺乏集成导致功能混乱。利基者ibossSASERBI、CASB等客户集中在北美和欧洲，它在亚太地区的影响力较小，它的客户来自许多行业。1ZTNA279100ms3、RBI口碑好4、核心能力采用容器化架构，也可以私有化部署。1API，没有基于、APICASB、DLP方案2、ZTNA评分是不透明的3MSSP合作伙伴缺乏VersaSSE产品是 SASE，还提供广域网边缘基础设施产品。客户范围包含从许多行业的中型到超大型组织。1、数据安全方案能力强，包括对2、网络技术能力强，在现有广域能力领先于专注于SD-WAN的厂商。1、UI复杂。2SD-WAN客户。3ForcepointSSEForcepointSSE产品包括：云安全网关、CASB、私有应用访问产品客户范围从许多行业的小型组织到大型组织1支持自定义策略来评估用户风险和采取策略。2DLPRBI收费。12、缺少iOSAndroid的代理客户端。3F1E的故障排除有问题，厂家支持质量和响应能力下降。4、ZTNA只支持web应用访问，导致使用率低表1Gartner2022年SSE魔力象限厂家概述国内厂商概况厂商提供能力技术特点主打场景、主打行业绿盟FWaaS高级威胁防御Web厂商提供能力技术特点主打场景、主打行业绿盟FWaaS高级威胁防御Web网关ZTNA上网行为管理入侵防护多种代理转发模式安全防护+安全运营主打场景：远程办公、对外业务防护、多分支办公主打行业：政府、企业、教育、能源、医疗、金融奇安信FWaaS高级威胁防御Web网关数据防泄露ZTNA安全防护+安全运营（攻防实战）政府行业教育行业金融行业远程办公主打场景：多分支上网安全、组深信服SWGZTNACASB高级威胁防御基于云原生技术的POP点集成防火墙和SDWAN网安全、混合办公安全、业务安全访问主打行业场景：企业多分支、教育城域网、政务服务（税务分支、数据防泄漏公积金营业厅等）、金融营业厅等天融信ZTNASWGCASB高级威胁防御数据安全控制综合安全能力政府行业卫生行业数据防泄漏新华三FWaaSWeb应用防火墙IPS/IDSDDoSZTNA防病毒安全防护+安全运维+安全运营服务主打场景：主打行业：运营商、政府、医疗、教育、金融、能源、企业网宿安全DDoSBOTAPI安全ZTNAFWaaSSWG基于全球边缘计算POP的企业基础设施和应用安全防护、集成S