2019 年,Gartner 定义了安全访问服务边缘 (SASE) 的概念,SASE将全面的网络即服务功能(尤其是 SD-WAN)与全面的网络安全功能(如 SWG、CASB、FWaaS 和 ZTNA)相结合,以支持数字化企业的动态安全访问需求。
2021年,Gartner又定义了一个新的术语SSE(Security Service Edge,安全服务边缘)。简单来说,SSE就是SASE中的安全部分,Gartner指出,SWG、CASB和ZTNA是完整的SSE产品的必要组成部分。
据 Gartner 统计,2020 财年 SSE 市场的收入在 24 亿至 26 亿美元之间,同比增长 19% - 21%。预计到 2025 年,70% 部署ZTNA的组织将选择SSE(2021 年这一比例为 20%)。同时,相较于独立的CASB、SWG和 ZTNA 产品,80% 的组织将选择购买 SSE 整体解决方案(2021 年这一比例为15%)。到 2026 年,50% 的组织将优先考虑用于检查静态和动态数据的高级数据安全功能作为 SSE 的选择标准(2021 年这一比例为15%)。
以下是2022年Gartner SSE魔力象限:
Magic Quadrant for Security Service Edge
领导者
Zscaler
Zscaler 是这个魔力象限的领导者。其主要的 SSE 服务包括 Zscaler Internet Access (ZIA)、Zscaler Private Access (ZPA) 和 Zscaler Digital Experience (ZDX) 服务。它还提供 CSPM 和Zscaler Cloud Protection。
2021 年年中,Zscaler 收购了 Trustdome(一家CIEM供应商)和 Smokescreen。在过去的一年中,Zscaler 通过引入更多 SaaS 应用的 API 集成,提高了数据安全特性,并集成了RBI,改进了CASB产品。
优势:
Zscaler 吸引了许多寻求云原生安全提供商的企业,并占据了很大的市场份额。Zscaler 致力于在SSE 市场提供创新。例如,它是第一个引入 DEM 的公司。
Zscaler提供一个代理来引导流量到Zscaler云,以保证安全性,同时提供强大的SWG功能和易于使用的ZTNA产品。它还提供了一个集成的管理控制台,用于跨SSE功能的管理和报告。此外,与其他供应商相比,它有更强大的SD-WAN伙伴关系(更紧密的集成)。
挑战:
Zscaler定价比较高。此外,Zscaler在高级数据安全能力和云安全能力方面落后于其他厂商。以 DLP 为例,它不使用图像分类器等人工智能手段来检测敏感数据,也不直接在 ZPA 中启用 DLP。
有客户反馈表明,Zscaler 的仪表板和报告功能可能会遇到性能问题,并且在涉及大型数据集和高级报告需求时会受到限制。因此,客户依靠 Zscaler 的 Nanolog Streaming Service 将日志发送到安全信息和事件管理 (SIEM) 产品以进行更高级的分析。
McAfee Enterprise
2022 年 3 月 22 日,McAfee Enterprise 的 SSE 业务更名为 Skyhigh Security。
McAfee Enterprise是这个魔力象限中的领导者。其 SSE 产品是Skyhigh Security(原 MVISION 统一云边缘 (UCE) 服务)。它还提供其他安全产品,例如 XDR 。McAfee Enterprise 总部位于美国加利福尼亚州圣何塞。
2021 年 7 月,Symphony Technology Group (STG) 收购了 McAfee 的企业业务,并成立了McAfee enterprise,一家私营公司。2021年10月,STG完成对FireEye的收购,将两笔收购合并为一家公司。2022 年 1 月,STG 为其 XDR 产品推出了一个新的业务部门 Trellix,该产品独立于其 McAfee Enterprise SSE 产品组合。
优势:
McAfee Enterprise 提供了一个完整的、紧密集成的 SSE 服务,其中包括集成的 RBI 和跨 SWG、 CASB 和 ZTNA 产品的高级数据安全能力。它还提供 CSPM 和 SaaS 安全态势管理(SSPM)功能、数字体验监控(DEM)以及通过通用端点代理与其企业 DLP 技术的本地集成。
McAfee Enterprise 的定价模式简单且极具竞争力。McAfee Enterprise 以多种独特的方式获取并集成了 RBI 技术,以提高其 SSE 服务的效率。McAfee Enterprise 在全球范围内拥有强大的影响力,提供按地域划分的差异化定价,并且在相对较小但快速增长的 SSE 产品市场(例如中东和拉丁美洲市场)占据领先地位。
挑战:
McAfee Enterprise 为其 SSE 产品开发和发布 ZTNA 和 FWaaS 功能的时间比市场上的其他供应商晚。尽管功能齐全,但由于产品比较新,客户反馈的有限。
McAfee Enterprise 缺乏与SD-WAN提供商的紧密集成,仅提供基本的集成和设置。
McAfee Enterprise 拥有庞大的客户基础,但Gartner预计其在 SSE 市场和新客户方面的增长要慢于其他领导者。
Netskope
Netskope 是这个魔力象限的领导者。其主要的 SSE 产品作为 Netskope 安全云平台的一部分提供,包括下一代安全 Web 网关、CASB 和 Netskope 私有访问 (NPA)。Netskope 总部位于美国加利福尼亚州圣克拉拉市,其业务在地域上分布广泛,客户范围覆盖中型到超大型企业。
2021 年,Netskope 获得了由 ICONIQ Growth 领投的新一轮3亿美元融资。同样在 2021 年,Netskope 宣布收购了 Randed(用于 RBI)并将其集成到其 SSE 产品中,并发布了 FWaaS 产品作为其平台的一部分。Netskope 还收购了 Kloudless,以便在 Netskope 的 CSPM 功能之外提供 SSPM 功能。
优势:
Netskope 将其 SSE 定位为托管在其内部 NewEdge 云基础架构上的模块化云原生平台。Netskope 提供高级数据安全功能。例如机器学习。
Netskope 为正常运行时间和延迟提供强大的 SLA,可用性 99.999%,并保证未加密 Web 流量的延迟小于 10 毫秒,加密流量的延迟小于 50 毫秒。
挑战:
与一些竞争对手不同,Netskope 的云防火墙不支持 HTTP 和 HTTPS 应用之外的第 7 层防火墙控制。此外,Netskope 与其 SD-WAN 合作伙伴仅提供基本的 VPN 隧道配置。
Netskope在发布新功能之前通常依赖于冗长的 beta 测试。它发布本地 RBI 和 FWaaS 产品的过程十分漫长。此外, Netskope 在定价方面的竞争力低于其他供应商。
挑战者
Palo Alto Networks
Palo Alto Networks 是这个魔力象限的挑战者。其 SSE 产品主要由 Prisma Access 和 SaaS 安全服务组成。它还提供一系列其他网络和云安全产品。
2021 年 2 月,Palo Alto Networks 发布了 Prisma Access 2.0,其中包括更新的云管理功能、DEM、SWG 显式代理和 CloudBlades,以支持 API 与 RBI 等第三方技术的集成。
优势:
Palo Alto Networks拥有庞大的安全产品组合,它成功地将 Prisma Access 定位为其他 SSE 产品的可行替代方案,为客户提供混合(本地和云)优势。
Palo Alto Networks为ZTNA提供终端和应用之间的通信,并将其基于对象的规则应用于细分用户和应用。因此,Prisma Access可以为内外部用户应用一致的ZTNA访问规则。
挑战:
Palo Alto Networks 的 SSE 产品没有很好地集成。它需要多个模块来实现完整的 SSE 功能。此外,RBI 不是使用 OEM 技术,而是依赖于合作伙伴,并且依赖于其 CloudBlades 架构进行集成。此外,Prisma Access 的设置和管理相对复杂。
Palo Alto Networks 的 SSE 产品战略建立在获得的功能和防火墙规则的使用之上。这种方式主要吸引 Palo Alto Networks 的现有客户群,对其他客户的吸引力有限。
来自Gartner的客户反馈显示,Palo Alto Networks 的完整SSE功能价格昂贵且许多要求让人难以理解。
思科
思科是这个魔力象限的挑战者。思科 SSE 的主要产品是其云安全产品线的一部分,包括 Cisco Umbrella、Cloudlock 和 Duo Beyond,还包括大量的基础设施、网络和安全产品。
2021 年,思科在其 Umbrella 云安全服务中添加了DLP 和身份验证服务,并引入了 RBI 功能。它还推出了基于 AnyConnect VPN 技术的云安全托管远程访问服务。
优势:
思科在SSE市场占有很大的市场份额,这主要归功于它的Umbrella产品线。同时,思科还具有SD-WAN优势,选择了思科SD-WAN的客户通常也会更多的考虑思科的SSE,方便两者相结合。
思科的客户喜欢其入门级 SSE 产品的可负担性、易用性和部署方法,例如集成了 Umbrella DNS Security Essentials 和 Umbrella DNS Security Advantage的扩展检测和响应 (XDR) 产品 SecureX 。AnyConnect VPN 可以满足许多远程访问要求,并且通常通过单个代理与 Umbrella 配对。
思科利用其 SD-WAN Cloud OnRamp 功能将 Umbrella 与 Meraki 和 Viptela 集成。它提供 Talos 威胁情报,可以吸收基于结构化威胁信息表达 (STIX)/可信自动情报信息交换 (TAXII) 的威胁情报,并在其 SSE 产品中使用执行API来创建自定义威胁情报列表。
挑战:
思科为非托管设备访问企业网络之外的 SaaS 应用提供的安全选择十分有限,仅提供基本的数据安全控制,通过单独的策略应用于在线数据和静态数据。思科还缺乏自动化的高级分析功能。
思科还没有一个集成良好的、基于云的SSE服务。它通过 Umbrella 提供 SWG、防火墙即服务 (FWaaS) 和前向代理 CASB 服务;通过 Cloudlock 提供基于 API 的 CASB;Duo Beyond 提供ZTNA;AnyConnect 提供VPN 服务;Stealthwatch Cloud 提供CSPM 功能。
有客户反馈,虽然思科 SSE 产品的基础功能价格不贵,但一套完整的 SSE 功能相对还是比较昂贵的。在引入与 SSE 相关的新特性和功能时,思科通常落后于其他供应商。例如,思科尚未发布基于代理的 ZTNA 功能,而且它最近才添加了浏览器隔离功能。
远见者
Forcepoint(Bitglass)
Forcepoint (Bitglass) 主要的 SSE 产品包括SWG、CASB和 ZTNA。2021 年 8 月,Forcepoint (Bitglass) 宣布为分支机构提供云管理的 SmartEdge Secure Web Gateway (SWG) 虚拟设备,为分支机构的所有设备提供 SWG 服务。Bitglass 于 2021 年 10 月被 Forcepoint 收购。
优势:
Forcepoint (Bitglass) 提供了一套强大的数据安全控制,可使用其专有的现场可编程 SASE 逻辑 (FPSL) 功能进行定制,并集成了 SWG、CASB 和 ZTNA 功能。此外,该公司的 AJAX-VM 技术可以实现无代理访问,包括通过BYOD访问云服务。
Forcepoint (Bitglass) 在全球拥有良好的影响力,提供基于AWS的300多个云POP点。由于它使用其 SmartEdge 代理来执行内容的解密和检查,因此它较少依赖于云中的处理。这种方法改善了安装此代理的远程设备的整体延迟。
Forcepoint (Bitglass) 正在将其独特的 FPSL 功能扩展到其 SSE 产品的其他部分。
挑战:
尽管 Forcepoint (Bitglass) 发布了一个新的虚拟机来连接分支机构和其SWG,但客户对其对 SmartEdge 代理反馈显示,在无法安装代理的情况下连接端点具有挑战性。此外,Forcepoint (Bitglass) 不支持UDP应用ZTNA。
Gartner 的研究表明,Forcepoint (Bitglass) 的市场份额和客户知名度不及领先的 SSE 供应商。根据 Gartner 对收入的估计,Forcepoint (Bitglass) 是这个市场上最小的公司之一。
Forcepoint (Bitglass) 在过去一年对市场的敏感度不够。例如,它专注于扩展其云 POP 并将其 FPSL 功能扩展到其现有平台内的其他模块,而不是添加 FWaaS 等新功能。
Lookout
Lookout 的 SSE 服务包括 CASB、SWG 和 ZTNA 服务。Lookout 还提供移动端点安全产品。Lookout 总部位于美国加利福尼亚州旧金山,其业务集中在北美和欧洲、中东和非洲,在亚太地区的业务规模较小。它主要服务于大中型企业。
2021 年 3 月,Lookout 收购了 CipherCloud,将其移动端点安全产品扩展到 SSE 市场。2021 年 5 月,Lookout 将 CipherCloud 的 SSE 技术集成到其产品中,并将其重新命名为 Lookout 的第一个普遍可用的集成 SSE 产品。
优势:
Lookout 在 SSE 市场拥有强大的数据安全能力,包括加密、令牌等高级功能以及自动将数据分类标签应用于内容的能力。Lookout 在 Web、SaaS 和私有应用中深入集成了策略和数据安全实施。其中包括通过其统一代理实施的托管桌面策略。
在过去一年中,Lookout 已将 CipherCloud 的相关 SSE 组件添加到其移动威胁防御产品中。Lookout 对 CipherCloud 的收购表明了其对 SSE 技术的投入。Lookout 是SSE市场资金状况较好但规模较小的私营公司之一,在9轮融资中共获得了约 2.823 亿美元。
挑战:
Lookout 的 SSE 产品的市场份额和知名度似乎不如大多数其他 SSE 供应商。Lookout 几乎没有与 SD-WAN厂商合作,企业在采用之前需要考虑到这一点并仔细测试分支机构的连通性。
Lookout 缺乏 FWaaS 产品,直到 2021 年 8 月才引入 RBI(通过 OEM 合作伙伴关系)。与其他供应商相比,RBI 并没有深度集成到其 SSE 产品中。Gartner 的研究表明,Lookout 的客户数量少于该市场的许多供应商,并且在全球大客户方面也较弱。
利基者
博通(Broadcom)
博通是这个魔力象限中的利基玩家。博通的 SSE 产品包括 Symantec Web Security Service、CloudSOC(CASB)和 Symantec Secure Access Cloud(ZTNA)。博通的客户往往是来自各行各业的大型和超大型企业。凭借其基于设备的SWG业务,博通在SSE市场上占有重要地位。
自 2019 年收购Symantec(赛门铁克)以来,博通一直专注于打造企业软件业务。2021 年 4 月,博通和谷歌云宣布了进一步的战略合作伙伴关系。同样在 2021 年,博通交付了 Symantec CloudSOC Mirror Gateway,该网关使用远程浏览器隔离 (RBI) 来保护非托管设备对软件即服务 (SaaS) 和私有应用程序的访问。
优势:
博通本身是一家资金雄厚的上市公司,拥有一系列高科技半导体和企业软件产品。博通的产品提供了最终用户风险评分以及高风险评级的原因。博通的企业数据丢失防护 (DLP) 引擎具有先进的数据安全控制,例如光学字符识别 (OCR)、指纹识别和矢量机器学习,可以扩展到SSE以外的其他渠道。
博通通过只出售基于云的SSE进一步降低了价格。如果客户需要本地设备,硬件需要额外付费。
博通是市场上首批拥有SWG、CASB和ZTNA核心组件的公司之一。它现在的战略重点在紧密集成这些组件,提高SSE服务质量。
挑战:
博通的SSE产品更多的会被一些企业作为备选方案。该公司的销售战略更多地侧重于全球的大公司,这种战略方式导致它失去了一些中小型企业客户,一些潜在的中小型企业客户普遍反馈很难从博通购买服务或者获得支持。
此外,博通的 SSE 产品没有很好地集成。想要使用完整 SSE 产品的客户必须部署多个代理,并通过不同的控制台对其进行管理,至少包括 SWG、CASB、ZTNA、DLP 和报告控制台。缺乏集成还会导致产品功能出现混乱。自博通收购Symantec以来情况有所改善,但技术支持挑战依然存在。
iboss
iboss的核心 SSE 产品是安全访问服务边缘 (SASE) 云平台。iboss 总部位于美国马萨诸塞州波士顿,是一家私人控股公司,业务遍及全球,客户集中在北美和欧洲。它在亚太地区的影响力较小。
2021年,iboss从其他SSE供应商那里聘请了一批新的高管,以加强其销售渠道和产品。2021年1月,iboss获得由NightDragon和Francisco Partners领投的新一轮1.45亿美元B轮融资。2021 年 8 月,iboss 发布了一项新的 RBI 功能,并消除了其对 Microsoft Cloud App Security (MCAS) 的高级 CASB 功能的依赖,以推出其首个集成 SSE 产品。
优势:
iboss 的SSE服务性价比极具竞争力。iboss 具有强大的技术支持能力,响应时间快,其终端代理功能可以扩展到 Linux 和 Chromebook。云安全平台的新RBI功能和数据安全功能在web、云服务和私有应用中得到了很好的集成和应用。
iboss将 SSE 功能构建到其核心云安全平台中,利用底层专有的容器化架构,提供更紧密集成的产品。客户可以在自己的数据中心部署执行节点,也可以使用iboss云服务。
挑战:
该供应商的 SSE 产品通过 API 只与少数 SaaS 应用集成。此外,其云应用程序风险评分是不透明的,无法由客户自定义。此外,iboss在SSE 功能更新时较慢。例如,在 2021 年 8 月,它提供了本地 RBI 和 CASB API 集成,其他供应商在 2021 年之前已经构建或引入了这些集成。
与其他供应商相比,iboss 的战略销售合作伙伴和托管安全服务提供商 (MSSP) 合作伙伴较少。此外,随着市场的发展,其现有的一些合作伙伴关系和技术联盟可能会面临风险,例如与 FireEye 的合作(现在是 McAfee Enterprise 的一部分)。
Versa
Versa 是这个魔力象限中的利基玩家。它的 SSE 产品是 Versa SASE。它还提供广域网边缘基础设施产品。Versa 总部位于美国加利福尼亚州圣何塞,业务遍及全球。
Versa 在 2021 年 6 月获得了 8400 万美元的D轮融资。Versa 于2020 年第四季度在 Versa 操作系统 (VOS) 上发布了其 SSE 功能,使其 Versa SASE 安全服务成为整个 SASE 框架的一部分。
优势:
Versa 拥有一组强大的数据安全控制,支持指纹识别、加密、水印、编辑等其他高级操作。Versa 在其 VOS 上构建了 SSE,这使其能够构建紧密集成的 SSE 功能,可用作其云服务的一部分或在其硬件产品范围内使用。
Versa为其强大的网络堆栈添加了云原生安全性,领先于许多其他专注于 SD-WAN 的供应商。
挑战:
Versa SASE的UI在构建安全策略和进行故障排除时很复杂。此外,Versa 的 SSE SaaS 支持是有限的。例如,它不支持导入代理日志来提供“影子 IT”SaaS 报告。
Versa作为安全供应商的市场知名度和市场份额有限,其营销手段相对滞后,Versa SASE 主要吸引现有的 Versa SD-WAN 客户。
有客户表示,Versa的售前和售后支持不够强大,客户必须精通技术才能测试、实施和操作产品。
Forcepoint
Forcepoint SSE 服务的核心包括其云安全网关、CASB和私有访问产品。Forcepoint 还提供防火墙、企业 DLP 和其他安全产品。
2021 年 1 月,Forcepoint 被 Francisco Partners 收购。2021 年 5 月,Forcepoint 收购了 RBI 供应商 Cyberinc,并将其 Isla 平台集成到其 SSE 产品中。2021 年 8 月,Forcepoint 收购了 Deep Secure ,获得了CDR 技术。它还发布了一个新的代理,即 Neo 端点代理,进一步增强了其企业 DLP 功能。2021 年 10 月,Forcepoint 完成了对 SSE 供应商 Bitglass 的收购,Bitglass在本次魔术象限中被单独评估。与其他收购一样,此次收购的效果如何还有待观察。
优势:
Forcepoint 的 SSE 产品提供了风险用户的仪表盘视图。客户可以通过灵活的策略构建器从多个遥测源获取输入来构建自定义策略以评估风险和采取行动。
Forcepoint 最近发布的 Neo 代理提供了“智能自动切换”的能力,自动实现直接连接(在云中定义并在端点上实施的策略)和代理连接(在云中定义并实施的策略)模式间的切换。
Forcepoint 的SSE集成了云 DLP 和 RBI 功能等功能,并且不对这些单独收费。
挑战:
Forcepoint 的 SSE 产品在管理和报告层组件之间缺乏强有力的集成。因此,需要多个控制台来访问服务的不同方面。此外,Forcepoint 缺少适用于 iOS 和 Android 的移动代理。
Forcepoint 的 Forcepoint One Endpoint (F1E) 端点代理的故障排除功能在实际使用中容易出现问题,过去一年的整体支持质量和响应能力有所下降。
Forcepoint的策略是建立一个只支持web应用访问的ZTNA功能,这导致了ZTNA在其客户群中的使用率很低。