“零信任”這一概念已經被安全行業(yè)廣泛應用，因為很多安全廠商都希望能從零信任的市場發(fā)展中獲得收益。Gartner分析師認為，零信任架構（ZTA）是一種方法論或途徑，而不是某個單獨的產品或解決方案，因此，不能將任何單一產品或服務標記為完整的零信任安全解決方案，企業(yè)需要根據(jù)業(yè)務發(fā)展需要及當前安全防護的優(yōu)先級，來選擇適合自己的零信任架構。

　　當前，市場上有許多安全廠商都宣稱可以提供零信任產品或方案，但這些產品或方案常常功能各異，在一定程度上影響了市場的有序發(fā)展。為了更好了解當前零信任技術的產品化狀況，本文對全球網絡安全市場中的八家主流零信任方案廠商進行了分析。

　　1. Akamai：基于云的安全遠程訪問

　　Akamai的零信任產品直接源于這家廠商為其7000多名員工實施的零信任遠程訪問解決方案。Akamai的兩款核心ZTNA產品是Enterprise Application Access（EAA）和Enterprise Threat Protector（ETP）。Akamai EAA旨在支持隨時隨地安全地遠程訪問企業(yè)內部資源。它是一種可識別身份的代理，面向希望替換或增強VPN及其他傳統(tǒng)遠程訪問技術的企業(yè)。EAA使企業(yè)能夠為合適的用戶提供這種服務——需要時可以從任何地方安全地訪問合適的應用程序。Akamai ETP則是一種安全Web網關（SWG），用于保護云端應用程序免受網絡釣魚、惡意軟件、零日漏洞攻擊及其他威脅。

　　Gartner將Akamai列為ZTNA市場收入排名前五的廠商。Forrester則認為它適合需要零信任安全托管服務的企業(yè)。但Akamai被認為在整體方案集成方面的能力有待改進。

　　2. Zscaler：基于云的應用程序隔離和保護

　　Zscaler致力于將應用程序訪問與網絡訪問隔離開來，降低因設備中招和感染而對網絡造成的風險。Zscaler Private Access是該公司基于安全服務邊緣框架的云原生服務，旨在為在本地或公共云端運行的企業(yè)應用程序提供直接連接。通過該服務，確保只有獲得授權、通過身份驗證的用戶才能訪問企業(yè)的特定應用程序或服務，防止未經授權的訪問和橫向移動。

　　Forrester認為Zscaler的服務具有較高的可擴展性，適合已經使用其安全技術確保網絡訪問安全的企業(yè)。未來，Zscaler可能會針對服務器上的應用系統(tǒng)（如VoIP和SIP）加大支持力度。

　　3. 思科：可基于使用場景提供三種ZTNA方案

　　思科有三種不同的零信任產品，分別是：面向員工隊伍的Cisco Zero Trust、面向工作負載的Cisco Zero Trust以及面向工作場所的Cisco Zero Trust。

　　第一類產品為設法確保只有受信任用戶和設備才能訪問應用程序的企業(yè)而設計，支持任何位置的訪問請求；第二類產品適用于希望為所有API、微服務和容器實施零信任模型的企業(yè)；第三類產品適用于為IT端點客戶端/服務器、物聯(lián)網和OT設備以及工業(yè)控制系統(tǒng)實施ZTNA策略的企業(yè)。

　　第一類產品很接近其他廠商的ZTNA 產品，它面向希望讓員工和其他第三方能夠安全地訪問應用程序的企業(yè)。該產品使安全管理員能夠針對每個訪問請求驗證用戶身份、識別有風險的設備，并實施上下文策略。

　　Gartner將思科列為ZTNA市場收入排名前五的廠商。Forrester聲稱，思科零信任產品基于從Duo Security收購而來的技術，因此非常適合已經采用Duo技術的企業(yè)。

　　4. 思杰：實現(xiàn)應用層的訪問控制

　　思杰的Secure Private Access是通過云交付的ZTNA產品，適用于需要替代VPN方案，并讓用戶能夠安全地訪問應用程序的組織。思杰將其服務定位于讓企業(yè)可以實施自適應身份驗證和訪問策略，這些策略根據(jù)位置、行為和設備狀態(tài)等因素控制用戶可以訪問的內容。

　　Citrix Secure Private Access僅在應用層對用戶進行身份驗證，防止可能已闖入環(huán)境的攻擊者在網絡上橫向移動。與其他ZTNA產品一樣，Citrix Secure Private Access持續(xù)監(jiān)控所有應用程序訪問，以發(fā)現(xiàn)可疑活動或設備狀態(tài)/行為的意外變化。Forrester認為，作為一家傳統(tǒng)的虛擬桌面和遠程訪問提供商，思杰擁有成熟的網關技術以保護用戶對本地應用程序的訪問。已經通過思杰搭建本地基礎設施的企業(yè)可以很好地利用其ZTNA產品。

　　5. Forcepoint：ZTNA整合到更全面的SASE平臺

　　Forcepoint的ZTNA產品是其Forcepoint ONE平臺的一部分，該平臺還包括Forcepoint的云訪問安全代理（CASB）技術及安全Web網關（SWG）服務。

　　Forcepoint的ZTNA產品可以讓企業(yè)無需代理即可訪問本地數(shù)據(jù)中心和云端的私有應用程序；擁有托管和非托管設備的用戶可以通過瀏覽器快捷方式或通過Ping Networks和Okta等單點登錄門戶網站，連接到企業(yè)應用程序。Forcepoint還為使用傳統(tǒng)架構和胖客戶端的企業(yè)提供基于代理的方案。

　　企業(yè)可以選擇添加Forcepoint的CASB和SWG以支持其實施的ZTNA。CASB組件有助于保護和簡化SaaS和IaaS租戶的訪問，同時防止惡意軟件攻擊和敏感數(shù)據(jù)泄露等。企業(yè)可以使用Forcepoint的SWG，根據(jù)風險和可疑活動等因素來監(jiān)控與網站之間的交互。

　　6. Cloudflare：身份驗證和訪問控制的托管服務

　　Cloudflare的ZTNA產品是一項托管服務，旨在讓企業(yè)可以使用通用策略替換VPN連接方法，通用策略可基于身份和上下文授予用戶訪問內部應用程序的權限。該服務讓企業(yè)能夠以兩種方式連接到公司資源：一種是通過客戶軟件訪問非HTTP應用程序，路由到私有IP地址和遠程桌面協(xié)議（RDP）；另一種模型是無客戶軟件，這意味著Web瀏覽器被用于連接Web、安全外殼協(xié)議（SSH） 和虛擬網絡計算（VNC）應用程序。

　　針對用戶身份驗證，Cloudflare Access支持多種身份和訪問管理平臺，包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。當企業(yè)根據(jù)零信任規(guī)則評估設備狀態(tài)時，Cloudflare Access可以使用來自CrowdStrike、Carbon Black、SentinelOne及其他廠商端點保護技術的監(jiān)測數(shù)據(jù)。

　　Gartner在2020年將Cloudflare列為ZTNA即服務這個類別的代表性廠商。Forrester也關注到Cloudflare Access可與多家身份和訪問提供商集成這個優(yōu)點，但與終端安全控制集成是Cloudflare有待改進的一個方面。

　　7. Appgate：為訪問控制提供托管選項

　　Appgate的ZTNA產品為AppGate SDP。與其他零信任訪問技術一樣，AppGate SDP使用設備、身份和基于上下文的信息，授予用戶對企業(yè)資源的最低特權訪問。Appgate SDP架構為混合、多云和本地企業(yè)設計，由兩個可以作為服務或托管設備使用的核心組件組成。

　　一個組件是Appgate SDP Controller，充當策略引擎和策略決策點，為訪問企業(yè)資源的用戶執(zhí)行身份驗證、訪問策略和權限等任務；另一個組件Appgate SDP Gateway，充當策略執(zhí)行點，該組件根據(jù)SDP Controller的決定來控制用戶對企業(yè)資源的訪問。

　　Appgate提供額外的可選組件，如滿足物聯(lián)網和分支機構需求的Connector，以及讓用戶使用瀏覽器即可訪問企業(yè)資產的門戶網站。Forrester指出，Appgate是該領域為數(shù)不多的專注于ZTNA而不直接采用整個零信任邊緣（ZTE/SASE）安全模型的廠商之一，其技術適合希望托管ZTNA功能的企業(yè)。

　　8. Netskope：快速部署和易用性是最大亮點

　　Netskope的Private Access（NPA）ZTNA是該公司更廣泛的Security Service Edge技術組合的一個組件。企業(yè)可以用它將已驗證身份的用戶連接到應用程序，將應用程序訪問與網絡訪問分開，并確保用戶只能訪問已被授權的特定資源。它讓安全管理員可以根據(jù)設備狀態(tài)、用戶身份和用戶所屬組來實施細粒度的訪問策略。Netskope Private Access適用于希望能夠安全地遠程訪問私有Web 應用程序的企業(yè)，為其提供無客戶軟件的瀏覽器訪問服務。

　　Netskope Private Access有兩個部署組件：安裝在設備上的輕量級客戶軟件和Private Access Publisher，后者建立從企業(yè)到Netskope云的出站連接，以減小入站訪問請求帶來的風險。Forrester表示，Netskope在設備狀態(tài)安全方面表現(xiàn)出色，客戶認為其部署僅需數(shù)周，而其他廠商則需要數(shù)月。這家廠商有待改進的一個方面是需要支持更多身份提供商。

更多信息可以來這里獲取==>>電子技術應用-AET<<