在新冠肺炎爆發(fā)期間，VPN暴露出了作為遠(yuǎn)程訪問(wèn)安全方案的不足。零信任網(wǎng)絡(luò)訪問(wèn)方案（簡(jiǎn)稱(chēng)“ZTNA”），因其秉持“持續(xù)驗(yàn)證，永不信任”的原則，默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、任何設(shè)備及系統(tǒng)，基于身份認(rèn)證和授權(quán)，重新構(gòu)建訪問(wèn)控制的信任基礎(chǔ)等特點(diǎn)，受到越來(lái)越多企業(yè)的青睞。

　　雖然零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）解決方案有很多優(yōu)點(diǎn)，但企業(yè)在采購(gòu)零信任解決方案時(shí)，仍要仔細(xì)考量在混合工作環(huán)境的適應(yīng)性、數(shù)據(jù)丟失保護(hù)（DLP）、高級(jí)威脅保護(hù)（ATP）、可見(jiàn)性等方面的性能，避免各種陷阱，確保所選方案能夠滿足企業(yè)安全的實(shí)際需求。以下是企業(yè)選型時(shí)，需要重點(diǎn)關(guān)注的5個(gè)關(guān)鍵問(wèn)題。

　　1. 能否適用混合工作環(huán)境（包括遠(yuǎn)程辦公）？

　　企業(yè)在選擇合適的零信任解決方案時(shí)，性能至關(guān)重要。新冠肺炎疫情爆發(fā)初期，許多組織投入巨資擴(kuò)展其VPN容量以適應(yīng)遠(yuǎn)程工作，但現(xiàn)在由于許多工作場(chǎng)所已過(guò)渡到混合環(huán)境，基于本地設(shè)備的VPN將配置和擴(kuò)展的負(fù)擔(dān)交給了消費(fèi)組織。為了規(guī)避風(fēng)險(xiǎn)，企業(yè)用戶應(yīng)該尋求一種ZTNA解決方案，允許運(yùn)營(yíng)所需的基礎(chǔ)設(shè)施由公共云中的解決方案提供商托管。

　　尋找一個(gè)公共的、云托管的ZTNA解決方案只是一個(gè)開(kāi)始，安全團(tuán)隊(duì)還需要仔細(xì)審查解決方案，以確保其響應(yīng)能力和可靠性符合業(yè)務(wù)需求。為此，消費(fèi)組織應(yīng)根據(jù)其典型用戶群（包括全球不同地點(diǎn)的用戶）對(duì)其進(jìn)行評(píng)估，并檢查是否存在潛在風(fēng)險(xiǎn)。優(yōu)秀的解決方案，是不管用戶身在何處，都能夠應(yīng)對(duì)流量高峰，并擁有可認(rèn)證的高可用性。

　　2. 能否實(shí)時(shí)識(shí)別和防止不需要的暴露/泄漏？

　　企業(yè)選擇ZTNA解決方案，不僅僅要求其在事件發(fā)生后提醒他們。相反，它必須提供實(shí)時(shí)執(zhí)行以避免數(shù)據(jù)丟失。在向遠(yuǎn)程工作環(huán)境轉(zhuǎn)移的過(guò)程中，由此導(dǎo)致非托管個(gè)人設(shè)備使用激增，防止敏感信息泄露成為安全團(tuán)隊(duì)面臨的眾多挑戰(zhàn)之一。

　　這也是為什么企業(yè)在選擇ZTNA解決方案時(shí)，需要重點(diǎn)考慮該技術(shù)能否成功執(zhí)行DLP（數(shù)據(jù)丟失保護(hù)）策略，以下載和上傳（如有必要）本地資產(chǎn)的關(guān)鍵所在。為了能夠在整個(gè)企業(yè)組織IT基礎(chǔ)設(shè)施中實(shí)施零信任規(guī)則，安全團(tuán)隊(duì)必須確保解決方案變得更加精細(xì)，并且可以根據(jù)位置、用戶類(lèi)型和其他身份元素等進(jìn)行恰當(dāng)配置。

　　3. 能否實(shí)時(shí)幫助高級(jí)威脅防護(hù)？

　　APT（高級(jí)威脅防護(hù)）是ZTNA解決方案的另一個(gè)重要組成部分。惡意軟件很容易在員工不知情的情況下上傳到文檔中，它可以通過(guò)下載傳播到其他設(shè)備和用戶。一旦發(fā)生這種情況，如果沒(méi)有合適的技術(shù)，威脅行為者就可以在整個(gè)組織中橫向移動(dòng)。

　　這就是為什么在ZTNA解決方案時(shí)，要重點(diǎn)考察其是否能夠?qū)崟r(shí)阻止惡意軟件上傳、下載和傳播的原因。如果在遠(yuǎn)程辦公環(huán)境中，不需要在遠(yuǎn)程用戶設(shè)備上安裝安全軟件，ZTNA解決方案就能夠?qū)崟r(shí)阻止惡意軟件的上傳和下載，實(shí)現(xiàn)高級(jí)威脅防護(hù)，對(duì)于用戶來(lái)說(shuō)，無(wú)疑是個(gè)好消息。

　　4. 是否有助于監(jiān)管合規(guī)？

　　企業(yè)組織應(yīng)考察ZTNA解決方案是否提供實(shí)時(shí)可見(jiàn)性和控制，以幫助他們證明合規(guī)性。選擇那些能夠?qū)崿F(xiàn)簡(jiǎn)單SIEM集成和可導(dǎo)出日志的解決方案，有助于擴(kuò)展對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)其他部分的可見(jiàn)性。這些功能包括完整的日志，用于觀察托管和非托管設(shè)備的所有文件、用戶和應(yīng)用程序活動(dòng)（包括設(shè)備類(lèi)型、IP地址、位置和訪問(wèn)時(shí)間）等。

　　5.能否融合到主流綜合平臺(tái)？

　　對(duì)于ZTNA解決方案的戰(zhàn)略投資，需要確保所選技術(shù)是安全綜合平臺(tái)的一部分，例如安全訪問(wèn)服務(wù)邊緣（即SASE，是Gartner在2019年首次描述的網(wǎng)絡(luò)安全概念，它整合了傳統(tǒng)上不同的網(wǎng)絡(luò)和云服務(wù)）平臺(tái)。該平臺(tái)可以在一個(gè)統(tǒng)一的、基于云的平臺(tái)中，使用各種安全技術(shù)來(lái)保護(hù)設(shè)備、應(yīng)用程序、Web目標(biāo)、本地資源和基礎(chǔ)設(shè)施之間的交互。