ما هو Security Service Edge (SSE)؟

ما الفرق بين SASE و SSE؟

تعد ميزة Secure Access Service Edge (SASE) ، التي قدمتها Gartner في عام 2019 ، بمثابة تقارب بين تقنيات الشبكات والأمان في نظام أساسي واحد يتم تسليمه عبر السحابة لتمكين التحول السحابي الآمن والسريع. في هذا التطور التالي ل SASE ، تقدم Gartner نهج بائع ذو شقين يجمع بين منصة البنية التحتية الطرفية لشبكة المنطقة الواسعة (WAN) المتقاربة للغاية جنبا إلى جنب مع منصة أمان متقاربة للغاية - تعرف باسم Security Service Edge (SSE).

Security Service Edge (SSE) ، هو المكون الأمني ل SASE الذي يوحد جميع الخدمات الأمنية ، بما في ذلك Secure Web Gateway (SWG) ، Cloud Access Security Broker (CASB) ، و Zero Trust Network Access (ZTNA) ، لتأمين الوصول إلى الويب والخدمات السحابية والتطبيقات الخاصة. تركز البنية التحتية لحافة WAN ، وهي مكون الشبكات في إطار عمل SASE ، على عنصر اتصال الشبكة من خلال تحويل معماريات الشبكة لتمكين اتصال مباشر إلى السحابة أكثر كفاءة.

ضمن إطار SASE ، يتم استهلاك كل من الشبكات والأمان بطريقة موحدة ويتم تقديمها كخدمة سحابية. تتقارب SSE مع البنية التحتية لحافة WAN لتحقيق منصة SASE كاملة. تشمل خدمات أمن SSE ما يلي:

1. Cloud Access Security Broker (كاسب)
   يعمل CASB كوسيط بين المستخدمين ومقدمي الخدمات السحابية حيث تقوم المؤسسات بنقل أصولها الحساسة إلى السحابة ، مما يساعد على معالجة الثغرات في رؤية البيانات والأمان والامتثال ، وتوسيع سياسات الأمان من البنية التحتية المحلية الحالية ، وإنشاء سياسات جديدة للمحتوى الخاص بالسحابة. يكتشف CASB المدمج في نموذج SSE تلقائيا مخاطر البرامج كخدمة (SaaS) ويتحكم فيها ويعمل كعملية أمان قائمة على واجهة برمجة التطبيقات لفحص تطبيقات SaaS بحثا عن البيانات والبرامج الضارة وانتهاكات السياسة مع الاستفادة من تحليلات سلوك المستخدم والكيانات (UEBA) وقدرات الذكاء الاصطناعي (الذكاء الاصطناعي) لمنع التهديدات في الوقت الفعلي.
2. Secure Web Gateway (سوغ)
   SWG هو حاجز إلكتروني يعمل كنقطة تفتيش تمنع حركة المرور غير المصرح بها من دخول شبكة المؤسسة. يسمح SWG للمستخدمين بالوصول إلى مواقع الويب المعتمدة والآمنة ويحمي المستخدمين من التهديدات المستندة إلى الويب من خلال ربط المستخدم وموقع الويب أثناء تشغيل وظائف الحماية مثل تصفية عناوين URL ورؤية الويب وفحص المحتوى الضار وعناصر التحكم في الوصول إلى الويب.
3. Zero Trust Network Access (زتنا)
   تفرض ZTNA سياسات دقيقة وقابلة للتكيف وواعية بالسياق لتوفير وصول آمن إلى Zero Trust إلى التطبيقات الخاصة المستضافة عبر السحابة ومراكز بيانات الشركات من أي موقع وجهاز بعيد. تعمل ZTNA كعامل تمكين رئيسي ل SASE ، حيث تقوم بتحويل محيط الأمان إلى حافة ديناميكية قائمة على السياسات ومقدمة من السحابة ، لدعم متطلبات الوصول للتحول الرقمي.
4. Data Loss Prevention (دلب)
   يتيح DLP التصنيف المستند إلى السياسة لمحتوى المعلومات الموجود داخل كائن ، عادة ما يكون ملفا ، أثناء التخزين أو الاستخدام أو أثناء الحركة عبر الشبكة. تستخدم أدوات DLP لتطبيق هذه السياسات في الوقت الفعلي لتوسيع الحماية اللازمة لعناصر البيانات الحساسة ، وللحد من الوصول إلى هذه المعلومات وتدفقاتها ، خاصة خارج المؤسسة ، كما هو مطلوب بموجب سياسات المؤسسة.
5. Remote Browser Isolation (RBI)
   RBI هو شكل قوي من أشكال الحماية من تهديدات الويب التي تحتوي على نشاط تصفح الويب داخل بيئة سحابية معزولة. يحمي RBI المستخدمين من أي برامج ضارة أو تعليمات برمجية ضارة قد تكون مخفية على موقع ويب ويزيل فرصة التعليمات البرمجية الضارة للمس جهاز المستخدم النهائي.
6. جدار الحماية كخدمة (FWaaS)
   FWaaS هو حل جدار حماية قائم على السحابة يؤمن البيانات والتطبيقات على الإنترنت. تستخدم SSE FWaaS لتجميع حركة المرور من مجموعة متنوعة من المصادر بما في ذلك مراكز البيانات في الموقع والبنية التحتية السحابية والمكاتب الفرعية ومستخدمي الأجهزة المحمولة. توفر FWaaS أيضا تطبيقا متسقا وإنفاذا أمنيا للسياسات عبر جميع المواقع والمستخدمين ، مع توفير رؤية كاملة للشبكة والتحكم فيها.

كيفية نشر وإدارة SASE؟

هناك اتجاهان يمكن للمؤسسة اتخاذهما لإنشاء حل SASE فعال:

1. نهج بائع واحد. قم بتقييم وإشراك عرض بائع واحد يجمع بين البنية التحتية لحافة WAN وحل SSE. على الرغم من أن هذا النهج يمكن أن يفي بمتطلبات SASE للمؤسسة من خلال تبسيط العمليات ، إلا أنه قد يتضمن التخلي عن ميزات الأمان المتقدمة التي لا يمكن إلا لبائع SSE توفيرها. على المدى الطويل ، قد ينتهي الأمر بنقص ميزات الأمان المتقدمة إلى أن يكون أكثر تكلفة إذا كانت هناك حاجة إلى الحصول على حلول إضافية لبائعي الأمان لسد الثغرات.
2. نهج اثنين من البائعين. قم بتقييم وإشراك حل من بائعين يوفر أفضل حل للبنية التحتية لحافة WAN وحل أمان SSE يتقارب بين مكونات CASB و SWG و ZTNA و RBI و FWaaS ضمن عرض متكامل. يعمل هذا النهج المكون من بائعين على تبسيط وتبسيط نشر النظام وإدارته وصيانته على المدى الطويل.

ما هي فوائد SSE؟

مع زيادة متطلبات القوى العاملة عن بعد وقاعدة العملاء ، كافحت الشركات مع التحدي المتمثل في تقليل تعقيد استراتيجيتها الأمنية مع تحسين الأمان وتجربة المستخدم. Security Service Edge أثبتت التقنيات الموحدة (SSE) فعاليتها في تقليل تعقيد حماية نقطة النهاية مع زيادة أمان الخدمات السحابية في جميع أنحاء المؤسسة.

توفر استراتيجية SSE الكاملة للمؤسسات مجموعة شاملة من تقنيات الأمان التي توفر فوائد للموظفين وأصحاب المصلحة - في الموقع وعن بعد:

• الوصول المباشر والآمن إلى الإنترنت إلى التطبيقات والأدوات والبيانات والموارد من أي مكان في العالم ، مع تقليل حركة مرور المعالجة للوصول غير المصرح به والبيانات والمخاطر والتهديدات ، وتحسين حركة مرور المعالجة للوصول غير المصرح به ومخاطر البيانات والتهديدات ، مما يلغي الحاجة إلى توجيه حركة المرور مرة أخرى عبر مركز البيانات
• اتصال أسرع وآمن وأكثر كفاءة بالويب والسحابة والتطبيقات الخاصة عند الوصول إلى موارد التطبيق من أي مستخدم وأي جهاز وفي أي مكان
• مراقبة وتتبع سلوك المستخدمين الذين يصلون إلى الشبكة
• الدفاع ضد التهديدات داخل السحابة ومن أي وجهة ويب ، واكتشاف كل من الهجمات السحابية الأصلية والبرامج الضارة المتقدمة
• حماية البيانات من خلال الإنترنت وداخل السحابة والانتقال من سحابة إلى سحابة
• تمكين الوصول الآمن إلى الثقة المعدومة إلى البيانات والتطبيقات استنادا إلى هوية المستخدم والسياق والوصول الأقل امتيازا

ما هي أهم التحديات التي تعالجها SSE؟

تعالج SSE التحديات الأمنية الأساسية للعمل عن بعد وتمكين الأعمال الرقمية والتحول السحابي. مع نمو اعتماد SaaS و PaaS و IaaS ، هناك المزيد من البيانات خارج مركز البيانات ، ويعمل المستخدمون بشكل متزايد عن بعد ، والشبكات الافتراضية الخاصة بطيئة وغالبا ما يتم استغلالها بسهولة. كل هذا يصعب تأمينه باستخدام معماريات الشبكة القديمة.

تساعد SSE المؤسسات على معالجة حالات الاستخدام الرئيسية:

1. تبسيط إدارة وتنظيم الضوابط الأمنية.
   يجب على المؤسسات إدارة السحابة والمحلية باستخدام خليط من عناصر التحكم الأمنية المختلفة والمتباينة التي تختلف بين موفري الخدمات السحابية والبنية التحتية المحلية. تساعد SSE على تقليل التكلفة والتعقيد، مما يسمح باعتماد ونشر السياسات بشكل مبسط عبر بيئات العمل المحلية والسحابية وبيئات العمل عن بعد.
2. استبدال شبكات VPN لتأمين وصول العمال عن بعد إلى التطبيقات الخاصة.
   يجب على الشركات تنفيذ حل أكثر أمانا للحماية من الزيادة السريعة في وصول العمال عن بعد إلى التطبيقات الخاصة في البيئات شديدة الضعف. تمثل شبكات VPN خطرا أمنيا متأصلا من خلال منح وصول غير مقيد قائم على الثقة إلى شبكة الشركة بالكامل بمجرد مصادقتها. تساعد قدرة ZTNA الخاصة ب SSE على توفير الوصول الدقيق إلى الموارد ، مما يسمح بمستويات الوصول المناسبة لأي مستخدم في أي مكان.
3. منع البرامج الضارة وبرامج الفدية المتقدمة لحماية مستخدمي الويب.
   تحتاج المؤسسات إلى اكتشاف البرامج الضارة المتقدمة والتهديدات الأخرى والتخفيف من حدتها. تستخدم العديد من الهجمات الحديثة تقنيات مثل الهندسة الاجتماعية لاستغلال ميزات موفري الخدمات السحابية وتقليد سلوك المستخدم ببيانات اعتماد شرعية. تساعد قدرة SWG الخاصة ب SSE من خلال توفير حاجز إلكتروني مضمن مسؤول عن مراقبة حركة مرور الويب ومنع حركة المرور غير المصرح بها.
4. توفير الرؤية والتحكم في تطبيقات SaaS.
   تحتاج المؤسسات إلى الرؤية والتحكم في البيانات التي يتم الوصول إليها وتخزينها في السحابة، مع حمايتها وإيقاف التهديدات في السحابة من نقطة إنفاذ واحدة سحابية أصلية. توفر قدرة CASB الخاصة ب SSE دعما متعدد الأوضاع من خلال فرض سياسات دقيقة لمراقبة وتنظيم الوصول إلى الخدمات السحابية الخاضعة للعقوبات وغير المصرح بها.
5. حماية البيانات الحساسة في أي مكان.
   تتطلب المؤسسات حماية البيانات الموجودة في نطاق أمان المحيط أو التي تتحرك بالكامل خارج نطاق أمان المحيط لاستخدامها ومشاركتها والوصول إليها بطريقة آمنة. توفر قدرة DLP الخاصة ب SSE نهجا مركزيا وموحدا لحماية البيانات ، حيث يتم تعيين تصنيفات البيانات مرة واحدة وتطبيقها في السياسات عبر الويب والسحابة ونقطة النهاية.