“零信任”這一概念已經(jīng)被安全行業(yè)廣泛應(yīng)用，因為很多安全廠商都希望能從零信任的市場發(fā)展中獲得收益。Gartner分析師認(rèn)為，零信任架構(gòu)（ZTA）是一種方法論或途徑，而不是某個單獨的產(chǎn)品或解決方案，因此，不能將任何單一產(chǎn)品或服務(wù)標(biāo)記為完整的零信任安全解決方案，企業(yè)需要根據(jù)業(yè)務(wù)發(fā)展需要及當(dāng)前安全防護的優(yōu)先級，來選擇適合自己的零信任架構(gòu)。

　　當(dāng)前，市場上有許多安全廠商都宣稱可以提供零信任產(chǎn)品或方案，但這些產(chǎn)品或方案常常功能各異，在一定程度上影響了市場的有序發(fā)展。為了更好了解當(dāng)前零信任技術(shù)的產(chǎn)品化狀況，本文對全球網(wǎng)絡(luò)安全市場中的八家主流零信任方案廠商進行了分析。

　　1. Akamai：基于云的安全遠(yuǎn)程訪問

　　Akamai的零信任產(chǎn)品直接源于這家廠商為其7000多名員工實施的零信任遠(yuǎn)程訪問解決方案。Akamai的兩款核心ZTNA產(chǎn)品是Enterprise Application Access（EAA）和Enterprise Threat Protector（ETP）。Akamai EAA旨在支持隨時隨地安全地遠(yuǎn)程訪問企業(yè)內(nèi)部資源。它是一種可識別身份的代理，面向希望替換或增強VPN及其他傳統(tǒng)遠(yuǎn)程訪問技術(shù)的企業(yè)。EAA使企業(yè)能夠為合適的用戶提供這種服務(wù)——需要時可以從任何地方安全地訪問合適的應(yīng)用程序。Akamai ETP則是一種安全Web網(wǎng)關(guān)（SWG），用于保護云端應(yīng)用程序免受網(wǎng)絡(luò)釣魚、惡意軟件、零日漏洞攻擊及其他威脅。

　　Gartner將Akamai列為ZTNA市場收入排名前五的廠商。Forrester則認(rèn)為它適合需要零信任安全托管服務(wù)的企業(yè)。但Akamai被認(rèn)為在整體方案集成方面的能力有待改進。

　　2. Zscaler：基于云的應(yīng)用程序隔離和保護

　　Zscaler致力于將應(yīng)用程序訪問與網(wǎng)絡(luò)訪問隔離開來，降低因設(shè)備中招和感染而對網(wǎng)絡(luò)造成的風(fēng)險。Zscaler Private Access是該公司基于安全服務(wù)邊緣框架的云原生服務(wù)，旨在為在本地或公共云端運行的企業(yè)應(yīng)用程序提供直接連接。通過該服務(wù)，確保只有獲得授權(quán)、通過身份驗證的用戶才能訪問企業(yè)的特定應(yīng)用程序或服務(wù)，防止未經(jīng)授權(quán)的訪問和橫向移動。

　　Forrester認(rèn)為Zscaler的服務(wù)具有較高的可擴展性，適合已經(jīng)使用其安全技術(shù)確保網(wǎng)絡(luò)訪問安全的企業(yè)。未來，Zscaler可能會針對服務(wù)器上的應(yīng)用系統(tǒng)（如VoIP和SIP）加大支持力度。

　　3. 思科：可基于使用場景提供三種ZTNA方案

　　思科有三種不同的零信任產(chǎn)品，分別是：面向員工隊伍的Cisco Zero Trust、面向工作負(fù)載的Cisco Zero Trust以及面向工作場所的Cisco Zero Trust。

　　第一類產(chǎn)品為設(shè)法確保只有受信任用戶和設(shè)備才能訪問應(yīng)用程序的企業(yè)而設(shè)計，支持任何位置的訪問請求；第二類產(chǎn)品適用于希望為所有API、微服務(wù)和容器實施零信任模型的企業(yè)；第三類產(chǎn)品適用于為IT端點客戶端/服務(wù)器、物聯(lián)網(wǎng)和OT設(shè)備以及工業(yè)控制系統(tǒng)實施ZTNA策略的企業(yè)。

　　第一類產(chǎn)品很接近其他廠商的ZTNA 產(chǎn)品，它面向希望讓員工和其他第三方能夠安全地訪問應(yīng)用程序的企業(yè)。該產(chǎn)品使安全管理員能夠針對每個訪問請求驗證用戶身份、識別有風(fēng)險的設(shè)備，并實施上下文策略。

　　Gartner將思科列為ZTNA市場收入排名前五的廠商。Forrester聲稱，思科零信任產(chǎn)品基于從Duo Security收購而來的技術(shù)，因此非常適合已經(jīng)采用Duo技術(shù)的企業(yè)。

　　4. 思杰：實現(xiàn)應(yīng)用層的訪問控制

　　思杰的Secure Private Access是通過云交付的ZTNA產(chǎn)品，適用于需要替代VPN方案，并讓用戶能夠安全地訪問應(yīng)用程序的組織。思杰將其服務(wù)定位于讓企業(yè)可以實施自適應(yīng)身份驗證和訪問策略，這些策略根據(jù)位置、行為和設(shè)備狀態(tài)等因素控制用戶可以訪問的內(nèi)容。

　　Citrix Secure Private Access僅在應(yīng)用層對用戶進行身份驗證，防止可能已闖入環(huán)境的攻擊者在網(wǎng)絡(luò)上橫向移動。與其他ZTNA產(chǎn)品一樣，Citrix Secure Private Access持續(xù)監(jiān)控所有應(yīng)用程序訪問，以發(fā)現(xiàn)可疑活動或設(shè)備狀態(tài)/行為的意外變化。Forrester認(rèn)為，作為一家傳統(tǒng)的虛擬桌面和遠(yuǎn)程訪問提供商，思杰擁有成熟的網(wǎng)關(guān)技術(shù)以保護用戶對本地應(yīng)用程序的訪問。已經(jīng)通過思杰搭建本地基礎(chǔ)設(shè)施的企業(yè)可以很好地利用其ZTNA產(chǎn)品。

　　5. Forcepoint：ZTNA整合到更全面的SASE平臺

　　Forcepoint的ZTNA產(chǎn)品是其Forcepoint ONE平臺的一部分，該平臺還包括Forcepoint的云訪問安全代理（CASB）技術(shù)及安全Web網(wǎng)關(guān)（SWG）服務(wù)。

　　Forcepoint的ZTNA產(chǎn)品可以讓企業(yè)無需代理即可訪問本地數(shù)據(jù)中心和云端的私有應(yīng)用程序；擁有托管和非托管設(shè)備的用戶可以通過瀏覽器快捷方式或通過Ping Networks和Okta等單點登錄門戶網(wǎng)站，連接到企業(yè)應(yīng)用程序。Forcepoint還為使用傳統(tǒng)架構(gòu)和胖客戶端的企業(yè)提供基于代理的方案。

　　企業(yè)可以選擇添加Forcepoint的CASB和SWG以支持其實施的ZTNA。CASB組件有助于保護和簡化SaaS和IaaS租戶的訪問，同時防止惡意軟件攻擊和敏感數(shù)據(jù)泄露等。企業(yè)可以使用Forcepoint的SWG，根據(jù)風(fēng)險和可疑活動等因素來監(jiān)控與網(wǎng)站之間的交互。

　　6. Cloudflare：身份驗證和訪問控制的托管服務(wù)

　　Cloudflare的ZTNA產(chǎn)品是一項托管服務(wù)，旨在讓企業(yè)可以使用通用策略替換VPN連接方法，通用策略可基于身份和上下文授予用戶訪問內(nèi)部應(yīng)用程序的權(quán)限。該服務(wù)讓企業(yè)能夠以兩種方式連接到公司資源：一種是通過客戶軟件訪問非HTTP應(yīng)用程序，路由到私有IP地址和遠(yuǎn)程桌面協(xié)議（RDP）；另一種模型是無客戶軟件，這意味著Web瀏覽器被用于連接Web、安全外殼協(xié)議（SSH） 和虛擬網(wǎng)絡(luò)計算（VNC）應(yīng)用程序。

　　針對用戶身份驗證，Cloudflare Access支持多種身份和訪問管理平臺，包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。當(dāng)企業(yè)根據(jù)零信任規(guī)則評估設(shè)備狀態(tài)時，Cloudflare Access可以使用來自CrowdStrike、Carbon Black、SentinelOne及其他廠商端點保護技術(shù)的監(jiān)測數(shù)據(jù)。

　　Gartner在2020年將Cloudflare列為ZTNA即服務(wù)這個類別的代表性廠商。Forrester也關(guān)注到Cloudflare Access可與多家身份和訪問提供商集成這個優(yōu)點，但與終端安全控制集成是Cloudflare有待改進的一個方面。

　　7. Appgate：為訪問控制提供托管選項

　　Appgate的ZTNA產(chǎn)品為AppGate SDP。與其他零信任訪問技術(shù)一樣，AppGate SDP使用設(shè)備、身份和基于上下文的信息，授予用戶對企業(yè)資源的最低特權(quán)訪問。Appgate SDP架構(gòu)為混合、多云和本地企業(yè)設(shè)計，由兩個可以作為服務(wù)或托管設(shè)備使用的核心組件組成。

　　一個組件是Appgate SDP Controller，充當(dāng)策略引擎和策略決策點，為訪問企業(yè)資源的用戶執(zhí)行身份驗證、訪問策略和權(quán)限等任務(wù)；另一個組件Appgate SDP Gateway，充當(dāng)策略執(zhí)行點，該組件根據(jù)SDP Controller的決定來控制用戶對企業(yè)資源的訪問。

　　Appgate提供額外的可選組件，如滿足物聯(lián)網(wǎng)和分支機構(gòu)需求的Connector，以及讓用戶使用瀏覽器即可訪問企業(yè)資產(chǎn)的門戶網(wǎng)站。Forrester指出，Appgate是該領(lǐng)域為數(shù)不多的專注于ZTNA而不直接采用整個零信任邊緣（ZTE/SASE）安全模型的廠商之一，其技術(shù)適合希望托管ZTNA功能的企業(yè)。

　　8. Netskope：快速部署和易用性是最大亮點

　　Netskope的Private Access（NPA）ZTNA是該公司更廣泛的Security Service Edge技術(shù)組合的一個組件。企業(yè)可以用它將已驗證身份的用戶連接到應(yīng)用程序，將應(yīng)用程序訪問與網(wǎng)絡(luò)訪問分開，并確保用戶只能訪問已被授權(quán)的特定資源。它讓安全管理員可以根據(jù)設(shè)備狀態(tài)、用戶身份和用戶所屬組來實施細(xì)粒度的訪問策略。Netskope Private Access適用于希望能夠安全地遠(yuǎn)程訪問私有Web 應(yīng)用程序的企業(yè)，為其提供無客戶軟件的瀏覽器訪問服務(wù)。

　　Netskope Private Access有兩個部署組件：安裝在設(shè)備上的輕量級客戶軟件和Private Access Publisher，后者建立從企業(yè)到Netskope云的出站連接，以減小入站訪問請求帶來的風(fēng)險。Forrester表示，Netskope在設(shè)備狀態(tài)安全方面表現(xiàn)出色，客戶認(rèn)為其部署僅需數(shù)周，而其他廠商則需要數(shù)月。這家廠商有待改進的一個方面是需要支持更多身份提供商。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<