SASE正在迎来新的发展方向。
据Versa CEO Kelly Ahuja表示,安全服务边缘(SSE)平台历来专注于单一方向:从用户和设备到互联网的出站流量。保护面向互联网的应用程序免受入站威胁,需要在每个应用环境前部署专用防火墙基础设施,无论是在数据中心、分支机构还是云实例中。随着企业应用程序足迹的增长和AI工作负载引入新的流量模式,这种模式变得越来越难以维持。
为此,Versa正在为其VersaONE通用SASE平台添加两项新功能:浏览器原生安全层,直接在浏览器会话中执行访问和数据保护策略;以及入站SSE,通过Versa的云网关路由互联网流量,在威胁到达企业应用程序之前进行检查和过滤。
"到目前为止,所有的流量都是你我与云中应用程序的对话,"Ahuja告诉Network World。"但现在云中的应用程序想要与本地应用程序对话。"
入站SSE改变传统防护模式
VersaONE的SSE一直专注于出站流量。用户和设备通过Versa的云网关连接以访问互联网、SaaS应用程序和私有资源。入站流量——源自互联网并发往企业应用程序的连接——一直处于该框架之外。保护这些应用程序意味着在每个环境前部署单独的防火墙和负载均衡器基础设施。
入站SSE通过将入站连接引入同一检查路径来改变这一状况。流量不再直接到达应用程序,而是首先路由到最近的Versa云网关,在那里应用策略执行,涵盖基于IP和位置的访问控制、拒绝服务缓解、机器人过滤、入侵检测和预防以及恶意软件阻止。只有通过这些检查的流量才能到达应用程序。
Versa的平台在同一软件堆栈中结合了网络和安全功能,这使得它能够吸引并检查双向流量。该实现正在申请专利。
"您不需要在这些位置部署防火墙,"Ahuja说。"您实际上可以将防火墙直接提升到SSE中,并查看双向流量。"
入站SSE包含在Versa的标准SASE许可中,按覆盖双向流量的容量定价。现有VersaONE客户无需进行部署更改。瑞士电信已经在生产中运行该功能,在自己的SSE存在点检查入站流量,而不是在客户场所部署防火墙。
智能体AI改变流量模式
智能体AI也在改变入站流量格局。外部MCP服务器调用企业环境正在产生面向出站的SSE从未构建来处理的连接模式。
Versa已经在生产中拥有一个零信任MCP服务器,在允许智能体命令之前需要人工验证,以及一个用于控制哪些用户和智能体可以访问模型的生成式AI防火墙。Ahuja表示还会有更多功能推出。
他描述了对集中策略执行点的需求,所有MCP流量都汇聚到这里,控制定义每个服务器被允许做什么。该层还将包括沙箱功能和类似WAF的功能,以保护托管模型免受用户、智能体或外部MCP服务器的未授权访问。
"将需要更多的功能,这实际上变得更加关键和重要,因为您不能将这些发夹式路由到云基础设施然后再返回,"Ahuja说。"您必须内联地执行它们。"
安全企业浏览器填补空白
入站流量并不是Versa正在解决的唯一盲点。随着更多企业工作转向基于浏览器的应用程序,浏览器会话本身已成为安全覆盖的空白。
Versa已经在VersaONE中提供了两种控制基于浏览器的应用程序访问的方法:应用程序门户和远程浏览器隔离。新的安全企业浏览器是第三个选项,基于Chromium构建,通过同一平台进行集中管理,将现有的VersaONE策略控制扩展到浏览器会话本身。
当用户通过原生应用而不是浏览器访问SaaS应用程序时,证书固定和HTTP代理行为可能会限制企业对这些会话的可见性。将用户转移到受控浏览器可以将该活动保持在可检查路径内,并在VersaONE中已运行的相同策略框架下。
组织部署三种方法中的哪一种取决于其监管环境和所涉及的应用程序。Ahuja指出金融服务作为向企业浏览器迁移的早期垂直行业。
总体而言,入站SSE和安全企业浏览器公告都属于Versa的更广泛模式。该公司一直在构建一个从单一软件堆栈处理安全和网络的平台,Ahuja将入站SSE和安全企业浏览器定义为该进程中的下一步,而不是独立的附加功能。
"基于平台的方法绝对是根本,"Ahuja说。"无论是SASE、SSE、SD-WAN、路由器还是防火墙,它们都来自相同的软件堆栈,相同的原则。"
Q&A
Q1:Versa的入站SSE功能是什么?能解决什么问题?
A:入站SSE是Versa新推出的功能,将源自互联网的入站连接路由到Versa云网关进行安全检查,包括IP和位置访问控制、DoS缓解、机器人过滤、入侵检测等,解决了传统SSE只关注出站流量而忽视入站威胁防护的问题。
Q2:安全企业浏览器与普通浏览器有什么区别?
A:安全企业浏览器基于Chromium构建,通过VersaONE平台集中管理,将企业安全策略直接扩展到浏览器会话中。它能保持用户活动在可检查路径内,解决原生应用访问SaaS时企业可见性受限的问题。
Q3:智能体AI如何影响企业网络安全?
A:智能体AI通过外部MCP服务器调用企业环境,产生了传统出站SSE无法处理的新连接模式。Versa提供零信任MCP服务器和生成式AI防火墙来应对,需要人工验证和集中策略控制来管理智能体权限和模型访问。