千呼万唤始出来，Microsoft Security Service Edge现已正式发布

近日，微软公司宣布正式推出 Microsoft Entra 套件，该套件将标识和网络访问控制结合在一起，以保护从任何位置访问任何云或本地应用程序或资源。它始终如一地强制实施最低权限访问，以实现您的治理要求，同时改善您的员工体验。

今天的公司有充分的理由关注安全性。一方面，我们正在获得可扩展性、效率提高和成本降低的优势，包括从生成式人工智能的大型语言模型中获得的所有好处。然而，这些优势也使恶意行为者有可能利用先进技术来创建恶意软件、针对网络漏洞并生成网络钓鱼攻击，从而使组织的数据和声誉面临更高的风险。

当标识和网络访问解决方案单独运行而不是协同运行时，它们可能会导致复杂性增加、策略不一致以及独立解决方案之间缺乏统一的上下文。这可能会无意中导致安全态势分散，并恶意行为者可以利用漏洞，从而可能破坏业务连续性并损害用户体验。

仅靠身份和网络安全控制都无法保护所有访问方案，因此无论用户和资源位于何处，都需要采用整体策略来应对不断变化的威胁并保护关键资产。

1 统一安全案例：战略要务

除了 Microsoft Entra Suite 正式发布外，微软公司还宣布了 Microsoft 的安全服务边缘 （SSE） 解决方案正式发布、Microsoft Entra Private Access 和 Microsoft Entra Internet Access。这两款产品与以 SaaS 安全为重点的 CASB（Microsoft Defender for Cloud 应用）相结合，构成了 Microsoft 的安全服务边缘解决方案，这是一种云交付的、以身份为中心的网络模型，可改变您的安全访问方式。

Microsoft 的 SSE 解决方案旨在帮助你消除防御中的安全漏洞，将条件访问和持续访问评估扩展到所有应用程序和资源，无论它们是本地还是任何云中。

这里更详细地介绍了 Microsoft 的 SSE 解决方案对组织的主要优势。

消除身份和网络访问孤岛导致的安全漏洞

Microsoft 的 SSE 解决方案可确保您的身份和网络访问解决方案协同工作。通过统一这些单独的元素，您的安全团队可以在面对新出现的威胁时加强组织的安全立场。无需再决定哪种工具适用于每个应用，也无需决定如何桥接您的身份和网络团队创建的策略。现在，您可以通过易于管理、统一、以身份为中心的方法对任何应用程序、资源或目标进行访问，而不会因复杂、脱节的安全控制而牺牲用户的工作效率。

在全球范围内简化访问并改善最终用户体验

Microsoft 的 SSE 解决方案由全球最大的专用网络之一提供：Microsoft 的全球广域网。该网络将 61 个 Azure 区域的 Microsoft 数据中心与超过 185 个全球网络 POP 和大量不断增长的 SSE 边缘位置连接起来，这些位置战略性地分布在世界各地。这有助于你以最佳方式无缝、安全地将用户和设备连接到公共和私有资源，通过为员工提供快速、一致的混合工作体验来提高性能和生产力。

与其他 SSE 和网络解决方案并行激活灵活的部署选项

Microsoft Entra Private Access 和 Microsoft Entra Internet Access 可以独立部署，也可以与其他 SSE 解决方案并行部署。全局安全访问客户端允许控制用户终结点设备上的网络流量，使您能够通过 Microsoft 的 SSE 解决方案路由特定的流量配置文件。适用于 Windows 和 Android 操作系统的客户端现已正式发布，适用于 iOS 和 Mac 操作系统的客户端现已正式发布。借助灵活的部署选项，全局安全访问客户端可以根据为专用访问、Internet 访问和 Microsoft 流量配置的流量转发配置文件获取流量。

例如，您可以使用以身份为中心的零信任网络访问 （ZTNA） 解决方案替换第三方传统 VPN 的任何地方配置专用访问配置文件。您还可以配置 Microsoft 配置文件，以提高 Microsoft 应用程序的性能，同时使用所选的 SSE 解决方案保护专用和 Internet 流量。

2 深入了解 Microsoft Entra Private Access

Microsoft Entra Private Access 是一种以身份为中心的 ZTNA 解决方案，可帮助你保护用户对所有专用应用和资源的访问 – 位于任何位置。Private Access 允许您将旧版 VPN 替换为 ZTNA，以安全地将用户连接到任何私有资源和应用程序，而无需提供对所有私有资源的完全网络访问。此解决方案采用零信任原则，可防范网络威胁并缓解横向移动，同时实施高级应用分段和自适应最低权限访问策略。使用 Microsoft 的全球专用网络，你可以为用户提供快速、无缝的访问体验，从而在安全性和生产力之间取得平衡。

这里更详细地介绍了Microsoft Entra Private Access的关键用例。

用以身份为中心的 ZTNA 解决方案取代传统 VPN

借助 Microsoft Entra Private Access，您可以轻松开始停用旧版 VPN，并升级到以身份为中心的 ZTNA 解决方案，帮助您减少攻击面、缓解横向威胁移动，并为 IT 团队消除不必要的操作复杂性。与传统 VPN 不同，Microsoft Entra Private Access 通过为所有混合用户（无论是远程用户还是本地用户）授予对网络的最低权限访问权限来保护访问，并访问本地或任何云上的任何旧版、自定义、新式或专用应用。

在所有专用资源中强制实施条件访问

若要增强安全态势并最大程度地减少攻击面，必须实施可靠的条件访问控制，而无需对专用应用程序和资源（如多重身份验证 （MFA））进行任何更改。您还可以在所有私有资源和应用程序（包括可能不支持新式授权的旧版或专有应用程序）上无缝启用单点登录 （SSO）。

在全球范围内提供快速简便的访问

通过利用 Microsoft 庞大的全球边缘业务，快速轻松地访问私有应用和资源，无论是在本地还是在私有数据中心以及任何云中，都可以提高员工的工作效率。用户受益于通过最近的全球接入点 （POP） 优化的流量路由，从而减少延迟，从而获得始终如一的快速混合工作体验。

3 仔细看看Microsoft Entra Internet Access

Microsoft Entra Internet Access 是用于 SaaS 应用和互联网流量的以身份为中心的安全 Web 网关 （SWG）。它是业界第一个真正以身份为中心的 SWG 解决方案，能够将所有企业访问控制融合到一个地方。这一优势消除了使用多种安全解决方案造成的安全漏洞，同时还可以保护您的企业免受恶意 Internet 流量、不安全或不合规内容以及来自开放 Internet 的其他威胁。它与 Microsoft Entra Private Access 和 Microsoft Entra 标识堆栈的其余部分协同工作，统一了所有 Internet 资源和 SaaS 应用的访问策略。

保护您的组织免受 Internet 威胁

Microsoft Entra Internet Access 提供强大的 Web 内容筛选选项，以限制企业用户访问不需要的联机内容。通过 Web 类别过滤，您可以根据预先填充的 Web 类别轻松允许或阻止各种 Internet 目标，其中包括责任、高带宽、生产力损失、常规浏览和安全威胁（恶意软件、受感染网站、垃圾邮件网站等）网站。为了实现更精细的控制，可以使用完全限定的域名 （FQDN） 筛选来建立允许或阻止特定终结点的策略，或者毫不费力地覆盖常规 Web 类别策略。

将条件访问上下文丰富性扩展到 Internet 安全性

现代企业需要能够适应不同方案的通用筛选策略。Microsoft Entra Internet Access 使你能够将条件访问控制应用于 SWG 策略，利用用户、设备、风险和位置信号来允许或阻止对相关 Internet 目标的访问。Internet 访问将网络和标识访问控制整合到一个策略引擎中，并允许你扩展条件访问（以及将来的持续访问评估）以涵盖所有外部目标和云服务，甚至那些未与 Microsoft Entra ID 联合的目标和云服务。 此外，我们与 Entra ID 的深度集成包括有价值的功能，如令牌盗窃保护、源 IP 恢复、 以及通过通用租户限制提供数据外泄保护措施。

在全球范围内提供快速、一致的访问

通过全球网络边缘提供快速流畅的访问，将 POP 位于用户和专用 WAN 附近，从而提高用户的工作效率。利用与互联网提供商的大量对等协议来提供最佳性能和可靠性。最大程度地减少额外的跃点并简化所有 Microsoft 服务的流量路由。结合使用并行访问模型的第三方 SSE 提供商的解决方案，为 Microsoft 应用程序实现最佳流量管理。

4 结论

组织需要一种更简单、更敏捷的方法来保护对其所有应用程序和资源的访问。此操作可保护您的关键资产，无论它们位于何处。今天，微软公司的 Microsoft Entra Internet 和 Private Access 产品（ Microsoft 的 SSE 解决方案）的正式发布就是这样做的。通过将身份安全控制和访问治理扩展到您的网络，它使不良行为者更难访问您的敏感数据（即使他们成功渗透到您的网络）。

现在，您可以从简化的安全环境中获益，在该环境中，您的用户只能访问必要的资源，从而简化他们的工作。借助条件访问，粒度标识和网络访问策略现已统一，从而弥补了关键的安全漏洞并降低了操作复杂性。Microsoft 提供的全球专用广域网可确保无缝、高效的混合工作体验。与 Microsoft 广泛的安全产品组合和合作伙伴生态系统集成，支持在整个安全环境中实施零信任原则，从而增强整体保护。