คืออะไร Security Service Edge (เอสเอสอี)?

ความแตกต่างระหว่าง SASE และ SSE คืออะไร?

Secure Access Service Edge (SASE) ซึ่งเปิดตัวโดย Gartner ในปี 2019 เป็นการบรรจบกันของเทคโนโลยีเครือข่ายและความปลอดภัยเป็นแพลตฟอร์มเดียวที่ส่งมอบบนคลาวด์เพื่อเปิดใช้งานการเปลี่ยนแปลงระบบคลาวด์ที่ปลอดภัยและรวดเร็ว ในวิวัฒนาการต่อไปของ SASE นี้ Gartner ได้แนะนําแนวทางผู้ขายแบบสองแง่สองง่ามที่นําแพลตฟอร์ม Edge Infrastructure เครือข่ายบริเวณกว้าง (WAN) ที่มีการหลอมรวมสูงมารวมกันสูงควบคู่ไปกับแพลตฟอร์มการรักษาความปลอดภัยที่มีการหลอมรวมสูงหรือที่เรียกว่า Security Service Edge (เอสเอสอี).

Security Service Edge (SSE) เป็นองค์ประกอบด้านความปลอดภัยของ SASE ที่รวมบริการรักษาความปลอดภัยทั้งหมดรวมถึง Secure Web Gateway (สวพ.), Cloud Access Security Broker (CASB) และ Zero Trust Network Access (ZTNA) เพื่อรักษาความปลอดภัยในการเข้าถึงเว็บบริการคลาวด์และแอปพลิเคชันส่วนตัว WAN Edge Infrastructure ซึ่งเป็นส่วนประกอบเครือข่ายในเฟรมเวิร์ก SASE มุ่งเน้นไปที่องค์ประกอบการเชื่อมต่อเครือข่ายโดยการเปลี่ยนสถาปัตยกรรมเครือข่ายเพื่อเปิดใช้งานการเชื่อมต่อโดยตรงไปยังคลาวด์ที่มีประสิทธิภาพมากขึ้น

ภายในเฟรมเวิร์ก SASE ทั้งระบบเครือข่ายและความปลอดภัยจะถูกใช้ในลักษณะที่เป็นหนึ่งเดียวและส่งมอบเป็นบริการคลาวด์ SSE บรรจบกับ WAN Edge Infrastructure เพื่อให้ได้แพลตฟอร์ม SASE ที่สมบูรณ์ บริการรักษาความปลอดภัย SSE ประกอบด้วย:

1. Cloud Access Security Broker (แคสบี)
   CASB ทําหน้าที่เป็นตัวกลางระหว่างผู้ใช้และผู้ให้บริการระบบคลาวด์ เนื่องจากองค์กรต่างๆ ย้ายสินทรัพย์ที่ละเอียดอ่อนไปยังระบบคลาวด์ ช่วยแก้ไขช่องว่างในการมองเห็นข้อมูล ความปลอดภัย และการปฏิบัติตามข้อกําหนด ขยายนโยบายความปลอดภัยจากโครงสร้างพื้นฐานภายในองค์กรที่มีอยู่ และสร้างนโยบายใหม่สําหรับเนื้อหาเฉพาะระบบคลาวด์ CASB ในตัวในโมเดล SSE จะค้นหาและควบคุมความเสี่ยงของซอฟต์แวร์ในฐานะบริการ (SaaS) โดยอัตโนมัติ และทําหน้าที่เป็นกระบวนการรักษาความปลอดภัยที่ใช้ API สําหรับการสแกนแอปพลิเคชัน SaaS เพื่อหาข้อมูล มัลแวร์ และการละเมิดนโยบาย ในขณะที่ใช้ประโยชน์จากความสามารถการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) และปัญญาประดิษฐ์ (AI) สําหรับการป้องกันภัยคุกคามแบบเรียลไทม์
2. Secure Web Gateway (สวพ.)
   SWG เป็นอุปสรรคทางไซเบอร์ที่ทําหน้าที่เป็นจุดตรวจป้องกันการรับส่งข้อมูลที่ไม่ได้รับอนุญาตไม่ให้เข้าสู่เครือข่ายขององค์กร SWG ช่วยให้ผู้ใช้สามารถเข้าถึงเว็บไซต์ที่ได้รับอนุมัติและปลอดภัยและปกป้องผู้ใช้จากภัยคุกคามบนเว็บโดยการเชื่อมต่อผู้ใช้และเว็บไซต์ในขณะที่เรียกใช้ฟังก์ชันการป้องกันเช่นการกรอง URL การมองเห็นเว็บการตรวจสอบเนื้อหาที่เป็นอันตรายและการควบคุมการเข้าถึงเว็บ
3. Zero Trust Network Access (ZTNA)
   ZTNA บังคับใช้นโยบายแบบละเอียด ปรับเปลี่ยนได้ และคํานึงถึงบริบทเพื่อให้การเข้าถึง Zero Trust ที่ปลอดภัยสําหรับแอปพลิเคชันส่วนตัวที่โฮสต์ข้ามระบบคลาวด์และศูนย์ข้อมูลขององค์กรจากตําแหน่งและอุปกรณ์ระยะไกลใดๆ ZTNA ทําหน้าที่เป็นตัวเปิดใช้งานหลักสําหรับ SASE โดยเปลี่ยนขอบเขตความปลอดภัยให้เป็น Edge แบบไดนามิกตามนโยบายและส่งมอบบนคลาวด์เพื่อรองรับข้อกําหนดการเข้าถึงของการเปลี่ยนแปลงทางดิจิทัล
4. Data Loss Prevention (ดีแอลพี)
   DLP ช่วยให้สามารถจัดประเภทเนื้อหาข้อมูลภายในออบเจ็กต์ตามนโยบาย ซึ่งโดยทั่วไปจะเป็นไฟล์ ขณะจัดเก็บ ใช้งาน หรือเคลื่อนไหวทั่วทั้งเครือข่าย เครื่องมือ DLP ใช้เพื่อนํานโยบายเหล่านี้ไปใช้แบบเรียลไทม์เพื่อขยายการป้องกันที่จําเป็นไปยังองค์ประกอบข้อมูลที่ละเอียดอ่อน และเพื่อจํากัดการเข้าถึงและการไหลของข้อมูลนี้ โดยเฉพาะอย่างยิ่งภายนอกองค์กร ตามที่กําหนดโดยนโยบายขององค์กร
5. Remote Browser Isolation (อาร์บีไอ)
   RBI เป็นรูปแบบที่มีประสิทธิภาพของการป้องกันภัยคุกคามทางเว็บซึ่งมีกิจกรรมการท่องเว็บภายในสภาพแวดล้อมคลาวด์ที่แยกออกมา RBI ปกป้องผู้ใช้จากมัลแวร์หรือรหัสที่เป็นอันตรายที่อาจซ่อนอยู่ในเว็บไซต์ และขจัดโอกาสที่โค้ดที่เป็นอันตรายจะสัมผัสอุปกรณ์ของผู้ใช้ปลายทาง
6. ไฟร์วอลล์เป็นบริการ (FWaaS)
   FWaaS เป็นโซลูชันไฟร์วอลล์บนคลาวด์ที่รักษาความปลอดภัยข้อมูลและแอปพลิเคชันบนอินเทอร์เน็ต SSE ใช้ FWaaS เพื่อรวมทราฟฟิกจากแหล่งต่างๆ รวมถึงศูนย์ข้อมูลในสถานที่ โครงสร้างพื้นฐานระบบคลาวด์ สํานักงานสาขา และผู้ใช้มือถือ FWaaS ยังมอบแอปพลิเคชันและการบังคับใช้นโยบายด้านความปลอดภัยที่สอดคล้องกันในทุกสถานที่และผู้ใช้ ในขณะที่ให้การมองเห็นและการควบคุมเครือข่ายที่สมบูรณ์

จะปรับใช้และจัดการ SASE ได้อย่างไร?

มีสองทิศทางที่องค์กรสามารถทําได้เพื่อสร้างโซลูชัน SASE ที่มีประสิทธิภาพ:

1. แนวทางผู้ขายรายเดียว ประเมินและมีส่วนร่วมกับข้อเสนอของผู้จําหน่ายรายเดียวซึ่งรวมโครงสร้างพื้นฐาน WAN Edge และโซลูชัน SSE แม้ว่าวิธีการนี้จะสามารถตอบสนองความต้องการของ SASE สําหรับองค์กรโดยทําให้การดําเนินงานง่ายขึ้น แต่ก็อาจรวมถึงการละทิ้งคุณลักษณะด้านความปลอดภัยขั้นสูงที่มีเพียงผู้จําหน่าย SSE เท่านั้นที่สามารถให้ได้ ในระยะยาวการขาดคุณสมบัติความปลอดภัยขั้นสูงอาจมีค่าใช้จ่ายสูงกว่าหากจําเป็นต้องซื้อโซลูชันผู้จําหน่ายความปลอดภัยเพิ่มเติมเพื่อเติมเต็มช่องว่าง
2. แนวทางผู้ขายสองคน ประเมินและมีส่วนร่วมกับโซลูชันผู้ขายสองรายที่ให้โซลูชัน WAN Edge Infrastructure ที่ดีที่สุดและโซลูชันการรักษาความปลอดภัย SSE ที่รวมส่วนประกอบ CASB, SWG, ZTNA, RBI และ FWaaS เข้าด้วยกันภายในข้อเสนอแบบบูรณาการ แนวทางผู้ขายสองรายนี้ช่วยลดความยุ่งยากและปรับปรุงการปรับใช้ระบบ การจัดการ และการบํารุงรักษาในระยะยาว

ประโยชน์ของ SSE คืออะไร?

เนื่องจากความต้องการของพนักงานระยะไกลและฐานลูกค้าเพิ่มขึ้นองค์กรต่างๆจึงต่อสู้กับความท้าทายในการลดความซับซ้อนของกลยุทธ์การรักษาความปลอดภัยในขณะที่ปรับปรุงความปลอดภัยและประสบการณ์ของผู้ใช้ Security Service Edge เทคโนโลยีแบบรวม (SSE) ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในการลดความซับซ้อนของการป้องกันปลายทางในขณะที่เพิ่มความปลอดภัยของบริการคลาวด์ทั่วทั้งองค์กร

กลยุทธ์ SSE ที่สมบูรณ์ช่วยให้องค์กรมีชุดเทคโนโลยีความปลอดภัยที่ครอบคลุมซึ่งให้ประโยชน์แก่พนักงานและผู้มีส่วนได้ส่วนเสีย - ในสถานที่และระยะไกล:

• การเข้าถึงอินเทอร์เน็ตโดยตรงและปลอดภัยไปยังแอปพลิเคชันเครื่องมือข้อมูลและทรัพยากรจากทุกที่ในโลกในขณะที่ลดการรับส่งข้อมูลการประมวลผลสําหรับการเข้าถึงข้อมูลความเสี่ยงและภัยคุกคามโดยไม่ได้รับอนุญาตปรับปรุงการรับส่งข้อมูลการประมวลผลสําหรับการเข้าถึงโดยไม่ได้รับอนุญาตความเสี่ยงด้านข้อมูลและภัยคุกคามโดยไม่จําเป็นต้องกําหนดเส้นทางการรับส่งข้อมูลกลับผ่านศูนย์ข้อมูล
• การเชื่อมต่อที่รวดเร็ว ปลอดภัย และมีประสิทธิภาพมากขึ้นกับเว็บ คลาวด์ และแอปส่วนตัวเมื่อเข้าถึงทรัพยากรแอปพลิเคชันจากผู้ใช้ ทุกอุปกรณ์ ทุกที่
• การตรวจสอบและติดตามพฤติกรรมของผู้ใช้ที่เข้าถึงเครือข่าย
• การป้องกันภัยคุกคามภายในระบบคลาวด์และจากปลายทางเว็บใด ๆ ตรวจจับทั้งการโจมตีบนคลาวด์และมัลแวร์ขั้นสูง
• การปกป้องข้อมูลผ่านอินเทอร์เน็ต ภายในระบบคลาวด์ และการย้ายจากคลาวด์ไปยังคลาวด์
• เปิดใช้งานการเข้าถึงข้อมูลและแอปพลิเคชันแบบ Zero Trust อย่างปลอดภัยตามข้อมูลประจําตัวของผู้ใช้บริบทและการเข้าถึงที่มีสิทธิพิเศษน้อยที่สุด

ความท้าทายอันดับต้น ๆ ที่ SSE กล่าวถึงคืออะไร?

SSE จัดการกับความท้าทายด้านความปลอดภัยขั้นพื้นฐานของการทํางานระยะไกลการเปิดใช้งานธุรกิจดิจิทัลและการเปลี่ยนแปลงระบบคลาวด์ เมื่อการยอมรับ SaaS, PaaS และ IaaS เติบโตขึ้นมีข้อมูลมากขึ้นนอกศูนย์ข้อมูลผู้ใช้ทํางานจากระยะไกลมากขึ้นและ VPN นั้นช้าและมักถูกใช้ประโยชน์ได้ง่าย ทั้งหมดนี้ยากที่จะรักษาความปลอดภัยโดยใช้สถาปัตยกรรมเครือข่ายรุ่นเก่า

SSE ช่วยให้องค์กรจัดการกับกรณีการใช้งานที่สําคัญ:

1. ลดความซับซ้อนในการดูแลและจัดการการควบคุมความปลอดภัย
   องค์กรต้องจัดการระบบคลาวด์และในองค์กรด้วยการปะติดปะต่อกันของการควบคุมความปลอดภัยที่แตกต่างกันและแตกต่างกันซึ่งแตกต่างกันไประหว่างผู้ให้บริการระบบคลาวด์และโครงสร้างพื้นฐานในองค์กร SSE ช่วยลดต้นทุนและความซับซ้อน ช่วยให้การปรับใช้และการปรับใช้นโยบายง่ายขึ้นในสภาพแวดล้อมการทํางานในองค์กร ระบบคลาวด์ และระยะไกล
2. การเปลี่ยน VPN เพื่อรักษาความปลอดภัยให้กับพนักงานระยะไกลที่เข้าถึงแอปพลิเคชันส่วนตัว
   องค์กรต้องใช้โซลูชันที่ปลอดภัยยิ่งขึ้นเพื่อป้องกันการเพิ่มขึ้นอย่างรวดเร็วของพนักงานระยะไกลที่เข้าถึงแอปส่วนตัวในสภาพแวดล้อมที่มีความเสี่ยงสูง VPN นําเสนอความเสี่ยงด้านความปลอดภัยโดยธรรมชาติโดยให้สิทธิ์การเข้าถึงตามความไว้วางใจที่ไม่ จํากัด ไปยังเครือข่ายองค์กรทั้งหมดเมื่อตรวจสอบสิทธิ์แล้ว ความสามารถ ZTNA ของ SSE ช่วยให้เข้าถึงทรัพยากรแบบละเอียด ทําให้ผู้ใช้ทุกคนสามารถเข้าถึงระดับที่เหมาะสมได้ทุกที่
3. การป้องกันมัลแวร์และแรนซัมแวร์ขั้นสูงเพื่อปกป้องผู้ใช้เว็บ
   องค์กรต้องการการตรวจจับและบรรเทามัลแวร์ขั้นสูงและภัยคุกคามอื่นๆ การโจมตีสมัยใหม่จํานวนมากใช้เทคนิคต่างๆ เช่น วิศวกรรมสังคมเพื่อใช้ประโยชน์จากคุณสมบัติของผู้ให้บริการคลาวด์และเลียนแบบพฤติกรรมของผู้ใช้ด้วยข้อมูลประจําตัวที่ถูกต้อง ความสามารถ SWG ของ SSE ช่วยโดยการจัดหาสิ่งกีดขวางทางไซเบอร์แบบอินไลน์ที่รับผิดชอบในการตรวจสอบการเข้าชมเว็บและป้องกันการรับส่งข้อมูลที่ไม่ได้รับอนุญาต
4. ให้การมองเห็นและการควบคุมแอปพลิเคชัน SaaS
   องค์กรต้องการการมองเห็นและการควบคุมข้อมูลที่เข้าถึงและจัดเก็บไว้ในระบบคลาวด์ พร้อมทั้งปกป้องและหยุดภัยคุกคามในระบบคลาวด์จากจุดบังคับใช้ระบบคลาวด์เพียงจุดเดียว ความสามารถ CASB ของ SSE ให้การสนับสนุนหลายโหมดโดยการบังคับใช้นโยบายแบบละเอียดเพื่อตรวจสอบและควบคุมการเข้าถึงบริการคลาวด์ที่ถูกคว่ําบาตรและไม่ได้รับอนุญาต
5. ปกป้องข้อมูลที่ละเอียดอ่อนในทุกสถานที่
   องค์กรต้องการการปกป้องข้อมูลที่อยู่ในหรือย้ายออกนอกขอบเขตของความปลอดภัยของปริมณฑลอย่างสมบูรณ์เพื่อใช้แบ่งปันและเข้าถึงได้อย่างปลอดภัย ความสามารถ DLP ของ SSE มอบแนวทางแบบรวมศูนย์และเป็นหนึ่งเดียวสําหรับการปกป้องข้อมูล โดยตั้งค่าการจัดประเภทข้อมูลเพียงครั้งเดียวและนําไปใช้ในนโยบายทั่วทั้งเว็บ คลาวด์ และปลายทาง