Security Service Edge (SSE), được Gartner giới thiệu lần đầu vào đầu năm 2021, là một bộ giải pháp hợp nhất trên nền tảng đám mây từ một nhà cung cấp duy nhất, giúp tăng tốc quá trình chuyển đổi kỹ thuật số bằng cách bảo vệ quyền truy cập của doanh nghiệp vào web, dịch vụ đám mây, phần mềm dưới dạng dịch vụ (SaaS) và ứng dụng riêng. Đây được coi là yếu tố cần thiết trong việc xây dựng an ninh mạng trên đám mây, có khả năng thích nghi với hiệu suất và giúp mở rộng tốt hơn. Theo Gartner, SSE chủ yếu được cung cấp dưới dạng dịch vụ dựa trên nền tảng đám mây và có thể bao gồm cả sự kết hợp giữa các thành phần trên nền tảng nội bộ và thành phần điểm cuối.
Các thành phần và khả năng dựa trên đám mây của SSE bao gồm:
- Kiểm soát quyền truy cập
- Bảo vệ khỏi các mối đe dọa
- Bảo mật dữ liệu
- Giám sát bảo mật
- Kiểm soát việc sử dụng được chấp nhận thực thi bởi tích hợp dựa trên mạng và API
Sự khác biệt giữa SASE và SSE
Secure Access Service Edge (SASE), được Gartner giới thiệu vào năm 2019, là sự hợp nhất của các công nghệ mạng và bảo mật vào một nền tảng đám mây duy nhất nhằm đảm bảo chuyển đổi đám mây an toàn và nhanh chóng. Trong việc tiến hóa tiếp theo của SASE, Gartner giới thiệu một cách tiếp cận hai mặt của nhà cung cấp, kết hợp một nền tảng cơ sở hạ tầng Wide Area Network (WAN) cùng với một nền tảng bảo mật – được gọi là Security Service Edge (SSE).
Security Service Edge (SSE) là thành phần bảo mật của SASE, hợp nhất tất cả các dịch vụ bảo mật, bao gồm Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) và Zero Trust Network Access (ZTNA), để đảm bảo truy cập an toàn vào web, dịch vụ đám mây và các ứng dụng riêng. Cơ sở hạ tầng WAN Edge, thành phần mạng trong khung SASE, tập trung vào yếu tố kết nối mạng bằng cách biến đổi kiến trúc mạng để cho phép kết nối trực tiếp đến đám mây hiệu quả hơn.
Trong khuôn khổ SASE, cả mạng và bảo mật được sử dụng theo cách thống nhất và được phân phối dưới dạng dịch vụ đám mây. SSE hợp nhất với cơ sở hạ tầng WAN Edge để đạt được một nền tảng SASE hoàn chỉnh.
Các dịch vụ bảo mật SSE bao gồm:
-
Trình thực thi chính sách bảo mật truy cập đám mây (CASB)
CASB đóng vai trò trung gian giữa tổ chức/doanh nghiệp và hạ tầng đám mây của các nhà cung cấp dịch vụ đám mây (như Google Drive, Microsoft 365, Salesforce, Dropbox,…). CASB được tích hợp trong mô hình SSE tự động khám phá và kiểm soát các rủi ro của dịch vụ phần mềm dưới dạng dịch vụ (SaaS) và phục vụ quá trình bảo mật dựa trên API để quét các dữ liệu, malware trên các ứng dụng SaaS và việc vi phạm chính sách trong thời gian thực, đồng thời trong khi đó tận dụng các tính năng khả dĩ về phân tích hành vi người dùng và thực – User and Entity Behavior Analytics (UEBA) và trí tuệ nhân tạo (AI) để ngăn chặn mối đe dọa trong thời gian thực.
Đọc thêm: CASB là gì?
-
Cổng bảo mật web (Secure Web Gateway – SWG)
SWG là một rào cản công nghệ cao hoạt động như một trạm kiểm soát ngăn chặn lưu lượng truy cập trái phép xâm nhập vào mạng của doanh nghiệp. SWG cho phép người dùng truy cập vào các trang web được phê duyệt, bảo mật và bảo vệ người dùng khỏi các mối đe dọa trên nền tảng web bằng cách kết nối người dùng với các trang web trong khi vẫn thực thi chủ động các chức năng bảo vệ như lọc URL, quan sát web, kiểm tra nội dung độc hại và kiểm soát truy cập web.
-
Truy cập mạng không tin cậy (Zero Trust Network Access – ZTNA)
ZTNA thực thi các chính sách chi tiết, linh hoạt theo ngữ cảnh để cung cấp quyền truy cập không tin cậy (Zero Trust) an toàn cho các ứng dụng riêng tư được lưu trữ trên các đám mây và trung tâm dữ liệu của tổ chức/doanh nghiệp từ bất kỳ vị trí và thiết bị từ xa nào. ZTNA đóng vai trò là một yếu tố quan trọng trong SASE, chuyển đổi vành đai bảo mật thành một ranh giới đám mây cung cấp dựa trên chính sách linh hoạt, nhằm hỗ trợ các yêu cầu truy cập của quá trình chuyển đổi kỹ thuật số.
-
Chống thất thoát dữ liệu (Data Loss Prevention – DLP)
DLP cho phép phân loại dựa trên chính sách của nội dung thông tin chứa trong một đối tượng, thường là một tệp tin, trong quá trình lưu trữ, sử dụng hoặc truyền qua mạng. Các công cụ DLP được sử dụng để áp dụng các chính sách này theo thời gian thực để mở rộng khả năng bảo vệ cần thiết cho các thành phần dữ liệu nhạy cảm, giới hạn quyền truy cập luồng thông tin này, đặc biệt là ra bên ngoài tổ chức, theo yêu cầu trong chính sách của tổ chức.
-
Điều khiển trình duyệt từ xa (Remote Browser Isolation – RBI)
RBI là một hình thức bảo vệ mối đe dọa web mạnh mẽ mà ở đó các hoạt động truy cập web đặt trong một môi trường được cách ly. RBI bảo vệ người dùng khỏi Malware hoặc mã độc hại có thể ẩn trên trang web và loại bỏ cơ hội mã độc có thể tấn công thiết bị của người dùng cuối.
-
Tường lửa dưới dạng dịch vụ (Firewall as a Service – FWaaS)
FWaaS là một giải pháp tường lửa dựa trên đám mây giúp bảo vệ dữ liệu và ứng dụng trên internet. SSE sử dụng FWaaS để tổng hợp lưu lượng truy cập từ nhiều nguồn khác nhau bao gồm trung tâm dữ liệu tại chỗ, cơ sở hạ tầng đám mây, các văn phòng chi nhánh và người dùng di động. FWaaS cung cấp việc thực thi chính sách ứng dụng và bảo mật nhất quán trên tất cả các vị trí và người dùng, đồng thời cung cấp khả năng hiển thị và kiểm soát mạng hoàn chỉnh.
Lợi ích của SSE
Khi nhu cầu về làm việc từ xa từ khách hàng và các đội ngũ khác ngày càng tăng, các doanh nghiệp đã và đang vật lộn với thách thức giảm bớt sự phức tạp trong chiến lược bảo mật, đồng thời cải thiện bảo mật và trải nghiệm người dùng. Các công nghệ hợp nhất trong Security Service Edge (SSE) đã chứng minh có sự hiệu quả khi giảm độ phức tạp của việc bảo vệ điểm cuối đồng thời tăng cường bảo mật dịch vụ đám mây trong toàn bộ doanh nghiệp.
Một chiến lược SSE hoàn chỉnh cung cấp cho các doanh nghiệp một bộ công cụ bảo mật toàn diện mang lại lợi ích cho nhân viên và các bên liên quan – cả trong nội bộ và nhân viên làm việc từ xa. Một số lợi ích phải kể đến như:
- Truy cập internet trực tiếp, an toàn vào các ứng dụng, công cụ, dữ liệu và tài nguyên từ mọi nơi trên thế giới. Đồng thời giảm thiểu lưu lượng xử lý các truy cập trái phép, rủi ro dữ liệu và các mối đe dọa, cải thiện lưu lượng xử lý cho việc truy cập trái phép.
- Kết nối nhanh hơn, bảo mật hơn và hiệu quả hơn đến các ứng dụng web, đám mây và riêng tư khi truy cập tài nguyên ứng dụng từ bất kỳ người dùng, thiết bị nào, ở bất kỳ đâu.
- Giám sát và theo dõi hành vi của người dùng truy cập vào mạng.
- Phòng vệ khỏi các mối đe dọa trong đám mây và từ bất kỳ trang đích nào, phát hiện cả các cuộc tấn công nguyên gốc từ đám mây và những phần mềm độc hại tiên tiến.
- Bảo vệ dữ liệu thông qua internet, trong đám mây và khi di chuyển từ đám mây này sang đám mây khác.
- Tạo điều kiện truy cập Zero Trust an toàn vào dữ liệu và ứng dụng dựa trên danh tính người dùng, ngữ cảnh và quyền truy cập ít đặc quyền nhất.
Những thách thức hàng đầu SSE phải đối mặt
SSE giải quyết những thách thức bảo mật cơ bản của công việc từ xa, khả năng thúc đẩy doanh nghiệp kỹ thuật số và chuyển đổi đám mây. Khi việc áp dụng SaaS, PaaS và IaaS ngày càng phổ biến, dữ liệu nằm ngoài trung tâm dữ liệu càng nhiều, người dùng có xu hướng làm việc từ xa ngày càng nhiều, dẫn đến VPN hoạt động chậm và thường dễ bị khai thác. Tất cả điều này khó có thể bảo mật bằng cách sử dụng kiến trúc mạng cũ.
SSE giúp các tổ chức giải quyết các trường hợp sử dụng chính sau đây:
- Đơn giản hóa việc quản lý và điều khiển các biện pháp kiểm soát an ninh
Các tổ chức cần quản lý đám mây và tại chỗ bằng một loạt các biện pháp kiểm soát bảo mật khác nhau và giữa các nhà cung cấp đám mây và cơ sở hạ tầng tại chỗ một cách đa dạng. Security Service Edge giúp giảm chi phí và độ phức tạp, cho phép đơn giản hóa việc áp dụng và triển khai các chính sách trên các môi trường làm việc tại chỗ, đám mây và từ xa.
- Thay thế VPN giúp người làm việc từ xa truy cập các ứng dụng riêng tư một cách an toàn
Các doanh nghiệp phải triển khai giải pháp an toàn hơn để bảo vệ trước sự gia tăng nhanh chóng số lượng nhân viên làm việc từ xa truy cập các ứng dụng riêng tư trong những môi trường dễ bị tổn thương. VPN tiềm ẩn rủi ro bảo mật bằng cách ngấm ngầm cấp quyền truy cập dựa trên độ tin cậy không hạn chế vào toàn bộ mạng tổ chức sau khi được xác thực. Khả năng ZTNA của Security Service Edge giúp cung cấp quyền truy cập tài nguyên chi tiết, cho phép mức độ truy cập phù hợp cho bất kỳ người dùng nào, ở bất kỳ đâu.
- Ngăn chặn phần mềm độc hại nâng cao và ransomware để bảo vệ người dùng web
Nhiều cuộc tấn công hiện đại sử dụng các kỹ thuật xã hội để khai thác tính năng của nhà cung cấp đám mây và bắt chước hành vi của người dùng với thông tin đăng nhập hợp lệ. Khả năng SWG của SSE cung cấp một rào cản an ninh nội tuyến có trách nhiệm giám sát lưu lượng truy cập web và ngăn chặn lưu lượng truy cập trái phép.
- Cung cấp khả năng hiển thị và điều khiển các ứng dụng SaaS
Các tổ chức cần có khả năng nhìn thấy và điều khiển dữ liệu được truy cập và lưu trữ trên đám mây, đồng thời bảo vệ nó và ngăn chặn các mối đe dọa trong đám mây từ một điểm thực thi cố định, phù hợp với đám mây. Khả năng CASB của Security Service Edge cung cấp hỗ trợ đa chế độ bằng cách áp dụng các chính sách chi tiết để giám sát và điều chỉnh việc truy cập vào các dịch vụ đám mây được chấp thuận và không được chấp thuận.
- Bảo vệ dữ liệu nhạy cảm ở bất kỳ vị trí nào
Các tổ chức yêu cầu bảo vệ dữ liệu nằm trong hoặc di chuyển hoàn toàn ra khỏi phạm vi bảo mật của vành đai để được sử dụng, chia sẻ và truy cập một cách an toàn. Khả năng DLP của SSE cung cấp cách tiếp cận tập trung và thống nhất để bảo vệ dữ liệu, trong đó việc phân loại dữ liệu được thiết lập một lần và được áp dụng trong các chính sách trên web, đám mây và điểm cuối.