SASE מול SSE. אותו DNA, אבל מבנה גוף שונה.
האחד הוא “אתלט מלא־סטאק”; השני – מומחה ניתוחים מדויק בתחום האבטחה. אם אתם אלו שצריכים להחליט על הארכיטקטורה העתידית של הארגון שלכם – המדריך הזה נכתב בשבילכם.
נפרק את זה לשפה פשוטה, עם מספיק עומק טכני כדי שהמהנדסים ימשיכו להנהן – ובלי לגרום ל־CFO להזיע.
TL;DR (בשביל מי שבאמת ממהר)
- SASE (Secure Access Service Edge) = רשת + אבטחה, בחבילה עננית אחת
- SSE (Security Service Edge) = חצי האבטחה של SASE (בלי SD-WAN)
- בחרו SSE אם הרשת שלכם סבירה אבל האבטחה במצב גרוע
- בחרו SASE אם גם ה־WAN וגם האבטחה דורשים רענון
מה זה בעצם SASE, ואיך זה שונה מ־SSE?
אם יצא לכם לקרוא על טרנדים ברשתות Edge, בטח נתקלתם במושג SASE ותהיתם: מה זה בדיוק – ואיך זה שונה מ־SSE?
שאלה מצוינת.
SASE, מונח שטבעה Gartner ב־2019, הוא פתרון מלא שמשלב רשת ואבטחה בענן. תחשבו על זה כ־SD-WAN + SSE שמגיעים יחד, דרך PoPs (נקודות נוכחות) מבוזרות ברחבי העולם.
SSE, שהוצג ב־2021, הוא הגרסה המצומצמת – רק שכבת האבטחה. הוא מטפל בבדיקת תעבורה, אכיפת מדיניות ובקרות גישה – אבל לא מנהל איך חבילות מנותבות.
שניהם נועדו לאבטח משתמשים ונתונים בעולם בלי גבולות רשתיים, אבל:
- SASE גם בונה ומנהל את “הכביש” שעליו התעבורה נוסעת.
- SSE הוא מחסום אבטחה מצוין – אבל לא מנהל את התשתית עצמה.
סיפור המקור: איך SASE ו־SSE נולדו
SASE נולד כפתרון ענני למודל הישן של Hub-and-Spoke. פעם היה הגיוני להחזיר את כל התעבורה לדאטה סנטר כדי להחיל מדיניות – כל עוד האפליקציות חיו שם. בעולם שבו אפליקציות, משתמשים ונתונים פזורים בענן – המודל הזה קרס.
SASE הוא התשובה: גם התעבורה וגם מערך האבטחה זזים קרוב יותר ל־Edge – איפה שהמשתמשים נמצאים.
SSE הופיע שנתיים מאוחר יותר כמודול התחלתי: כל האבטחה – בלי ניתוב.
האנלוגיה:
- SASE = מערכת דם + מערכת חיסון
- SSE = מערכת חיסון בלבד
שניהם מבוססי ענן. שניהם אוכפים עקרונות Zero Trust. אבל הם שונים בהיקף, בהשפעה ובטווח השליטה.
רכיבים עיקריים: מי מחזיק במה?
שכבה | SASE | SSE | הבדל עיקרי |
Transport Fabric | SD-WAN גלובלי, ניתוב דינמי, QoS | — | SSE לא שולטת במסלולים |
סטאק אבטחה | SWG, CASB, ZTNA, FWaaS, DLP, IPS | כמעט זהה (ללא SD-WAN) | כמעט זהה |
Policy Engine | מודע להקשר: משתמש + אפליקציה + מכשיר + נתיב | זהה | אותו מוח – טווח שונה |
Edge POPs | 100+ PoPs המשמשים כ־Hubs ו־Brokers | 100+ PoPs כ־Security Brokers | אין ניתוב WAN ב־SSE |
Experience Monitoring | DEM מלא – רשת ואבטחה | DEM ממוקד אפליקציות/SaaS | ל־SASE יש נראות End-to-End |
חיי חבילה: איפה זה באמת משנה
במודלים שניים, המשתמש/מכשיר מייצר מנהרה ל־POP הקרוב. משם:
- SASE:
התעבורה המוצפנת מנותבת דרך Fabric של SD-WAN ← מוחלת מדיניות (SWG ← CASB ← ZTNA) ← מנותבת ישירות לאפליקציה, לסניף אחר או לאתר, במסלול אופטימלי. - SSE:
התעבורה המוצפנת מגיעה ל־POP ← מוחלת מדיניות ← נמסרת חזרה ל־MPLS או לאינטרנט הציבורי.
זה קריטי במיוחד כש:
- יש לכם אפליקציות רגישות ל־Latency (VoIP, VDI)
- צריך להעביר תעבורה בין סניפים ואתרים
- נמאס לכם מהחזרת תעבורה ל־HQ רק כדי להגיע ל־Salesforce
SASE = שליטה מלאה. SSE = מעקף מוגבל.
עלות, ROI ומאמץ
כאן זה נהיה אמיתי – כי לכל טרנספורמציה יש מחיר.
מדד | SASE | SSE |
חיסכון בעלויות WAN | 30–50% | 0% (משתמש ב־WAN קיים) |
צמצום חומרה/Appliances | עד 60% | סביב 40% |
הפחתת עומס על NetOps/SecOps | ↓45% | ↓30% |
זמן החזר השקעה ממוצע (Payback) | פחות מ־6 חודשים | 8–12 חודשים |
אם אתם מדממים כסף על MPLS או מחזיקים “קופסאות” בכל סניף – SASE הוא הבחירה הפיננסית הברורה.
Use Cases ו־Deployment Playbooks
מתי SSE מנצח?
- פרסתם או רעננתם לאחרונה SD-WAN
- אתם צריכים שינוי אבטחה מיידי
- רוב המשתמשים SaaS ו־Remote
מתי SASE מנצח?
- ה־WAN שלכם דורש שדרוג מהותי
- מערך האבטחה מבולגן ולא עקבי
- רוצים לאחד ספקים ורישוי
הדרך ההיברידית
- להתחיל עם SSE (סוכנים + GRE Tunnels)
- להריץ פיילוט SD-WAN בסניפים מרכזיים
- לבצע Cut-Over מלא ל־SASE תוך 90–180 יום
כך מרוויחים גמישות – בלי Rip-and-Replace מיידי.
רגולציה, שליטה ונראות
מסגרת רגולציה | כיסוי SASE | כיסוי SSE | למה זה חשוב |
PCI-DSS 4.0 | Tokenization ל־WAN + SaaS | Tokenization ל־SaaS בלבד | SASE מגן טוב יותר על סניפים |
HIPAA | DLP מקצה לקצה (אתרים + ענן) | רק בענן (ePHI) | SASE מאבטח הכל, לא רק SaaS |
GDPR / NIS2 | טלמטריה ולוגים מלאים מה־Edge | חלקי (רק אינטרנט) | נראות מלאה = יתרון ל־SASE |
אם הרגולטורים מתעניינים במה שעובר בין סניפים – ולא רק במה שנכנס ל־Salesforce – אתם צריכים SASE.
ביצועים – נתונים אמיתיים, לא שיווק
מדד | Zscaler | Cisco Secure Access | Netskope |
Latency HTTP (95%) | 76ms | 68ms | 82ms |
Throughput TLS Decryption (Gbps) | 8.5 | 9.2 | 7.4 |
Threat-Block Rate | 98.7% | 99.3% | 98.5% |
ספקי SSE מספקים ביצועים גבוהים – אבל היתרון שלהם הוא באבטחה. אם הדאגה שלכם היא שליטה מלאה במסלול + QoS אפליקציות, ספקי SASE (כמו Palo Alto Prisma או Cato) מציעים נראות טובה יותר בשכבת הרשת.
KPIs שבאמת חשובים
KPI | יעד ב־SASE | יעד ב־SSE |
Latency בפרוקסי/Edge (95%) | ≤ 100ms | ≤ 100ms |
חיסכון בעלויות MPLS | –30–50% | n/a |
סגירת Trouble Tickets ב־VPN | 100% | 100% |
זמן ממוצע לשינוי מדיניות (MTTR) | פחות מ־30 דקות | פחות מ־30 דקות |
צמצום מספר Appliances | –60% | –40% |
תוכנית פריסה ל־90 יום
שבועות 0–2:
- קביעת קו בסיס: Latency, Jitter, שימוש ב־VPN ועלויות MPLS
- סנכרון עם IdP (Azure AD / Okta) והתחלת פריסות DEM
שבועות 3–4:
- ל־SASE: פיילוט SD-WAN CPE + שירותי אבטחה בסניף אחד
- ל־SSE: פיילוט ל־50 משתמשים דרך Agent או GRE Tunnel ל־PoP
שבועות 5–8:
- הרחבה לעוד סניפים; בדיקת Failback
- הפעלת שירותי אבטחה בהדרגה: SWG ← CASB ← ZTNA
שבועות 9–12:
- פרישת MPLS (ב־SASE), הסרת VPN Gateways (בשני המודלים)
- חיבור לוגים ל־SIEM, השלמת זרימות הדיווח
כלל זהב: אל תפעילו “מצב חסימה” (Block Mode) על שום מנוע לפני שאפליקציות עסקיות רצות נקי 72 שעות במצב Monitor בלבד.
המצגת למנהלים בשקף אחד
- SSE מחזק את האבטחה תוך שבועות.
- SASE משלב רשת ואבטחה יחד – לחיסכון ארוך טווח.
שלבים:
- שלב 1: להתחיל עם SSE – להתנתק מ־VPNs ולקבל נראות.
- שלב 2: כשהחוזים מסתיימים או בהתרחבות – להתפתח ל־SASE.
תוצאה:
- ROI פי 2–4 כבר בשנה הראשונה
- 40–60% פחות “קופסאות” לניהול
- משתמשים מרוצים יותר ו־SOC ישן יותר טוב
RFP & PoC: השאלות שמפרידות שיווק ממציאות
כשמגיע שלב בחינת ספקים, אל תסתפקו בהבטחות. הנה שאלות Killer שיחשפו מי בנה פלטפורמה אמיתית – ומי הדביק ברושור עם סלוטייפ:
שאלות ל־RFP
- “פרטו את כל ה־PoPs ברדיוס 250 ק"מ מהמשרדים המרכזיים שלנו. באיזה Carrier Backbones אתם משתמשים?”
- “ספקו Latency נמדד (95%) מ־ת״א ← לונדון (ינואר–מרץ 2025).”
- “איך אתם אוכפים Device Posture לפני גישת ZTNA – כולל תמיכה ב־API לאותות מותאמים?”
- “האם אתם תומכים ב־Single-Pass Inspection (SWG + CASB + ZTNA + FWaaS) בזרימה אחת?”
- “תוך כמה זמן אפשר לייצא לוגים גולמיים ל־SIEM שלנו? הציגו אינטגרציה עם Splunk/QRadar.”
- “אפשר לבצע Rollback לשינויי מדיניות בפחות מ־15 דקות אם פיילוט שובר אפליקציה קריטית?”
טריגרים ל־PoC
- בקשו פיילוט מנוטר שבו אתם בודקים VoIP + Teams תחת עומס.
- הוסיפו באמצע הבדיקה אפליקציית SaaS לא מוכרת (“Shadow IT”) – האם מזוהה? נרשמת? נחסמת? מתעלמים ממנה?
- הדגימו Identity Drift (משתמש ממכשיר מאובטח עובר ללפטופ פרטי) – תוך כמה זמן הגישה נשללת?
אתם לא קונים פיצ’רים – אתם קונים ביטחון שהפלטפורמה הזו תעמוד מאחוריכם גם ב־2 בלילה.
מגמות עתיד (2025–2027)
התעשייה הזו לא נחה – וגם האסטרטגיה שלכם לא צריכה לנוח. שימו עין על:
- SASE Peering – ספקים מתחילים להתחבר ביניהם כדי למנוע “כפל ניתוב” בין אקו־סיסטמות שונות.
- Post-Quantum Encryption – סטנדרטים כמו Kyber וחבילות היברידיות ייכנסו ל־PoPs.
- LLM-Aware DLP – סריקת Prompt/Response של מודלי שפה גדולים (LLM) לנתונים רגישים – בפחות ממילישנייה.
- ID-WAN (Identity-Defined WAN) – איחוד מלא של ZTNA ו־SD-WAN בפרוטוקול QUIC.
- קורלציית איומים מבוססת AI – סטאקים של SSE שמדרגים ומעדיפים התראות לפי כוונה + התנהגות, לא רק לפי IOC.
ודאו שהספק שלכם בונה קדימה – ולא מגיב באיחור.
צ’קליסט סופי לפני בחירה
✔ מעל 50% מהקריאות ל־IT הן על אבטחה? כנראה שתתחילו עם SSE.
✔ עדיין מחזירים תעבורה לסניפים דרך HQ? הגיע הזמן ל־SASE.
✔ חוזה MPLS פג בעוד פחות משנה? זה הרגע להשתחרר.
✔ צוותי הציות לוחצים? קבלו נראות מקצה לקצה עם SASE.
✔ צריך להראות ROI כבר ברבעון הקרוב? SSE נותן את הניצחון המהיר.
המילה האחרונה (באמת)
SASE ו־SSE אינם מתחרים – הם שלבים.
- התחילו עם SSE אם הלחץ כבד לאבטח את הענן עכשיו.
- עברו ל־SASE כשתגיע השעה לחדש את הרשת.
בכל מקרה – הפסיקו להדביק אבטחה על תשתיות WAN בנות 15 שנה. העתיד של גישה מאובטחת הוא מאוחד, הקשרי וענני – והוא כבר כאן.
