全球主流零信任厂商的产品化实践与观察

“零信任”的概念在安全行业得到了广泛的应用，因为很多安全厂商都希望从零信任市场的发展中获益。Gartner分析师认为，零信任架构(ZTA)是一种方法或途径，而不是单一的产品或解决方案。因此，没有一个单一的产品或服务可以被标记为完整的零信任安全解决方案。企业需要根据自己的业务发展需求和当前安全防护的优先级，选择适合自己的零信任架构。

目前市场上很多安全厂商都宣称可以提供零信任的产品或解决方案，但这些产品或解决方案往往功能不一，一定程度上影响了市场的有序发展。为了更好地了解当前零信任技术的产品化，本文对全球网络安全市场的八家主流零信任解决方案厂商进行了分析。

1.Akamai:基于云的安全远程访问

Akamai的零信任产品直接来源于这家制造商为其7000多名员工实施的零信任远程访问解决方案。Akamai的两个核心ZTNA产品是企业应用访问(EAA)和企业威胁保护器(ETP)。Akamai EAA旨在支持随时随地安全远程访问内部资源。它是一个可识别的代理，针对的是希望替代或增强VPN等传统远程访问技术的企业。EAA使企业能够向适当的用户提供这种服务——在需要时可以从任何地方安全地访问适当的应用程序。Akamai ETP是一个安全的网络网关(SWG)，用于保护云应用程序免受网络钓鱼、恶意软件、零日攻击和其他威胁。

Gartner Akamai被列为ZTNA市场收入的前五大制造商。Forrester认为它适合需要零信任安全托管服务的企业。但Akamai在整体解决方案整合方面的能力还有待提高。

2.Zscaler:基于云的应用隔离和保护

Zscaler致力于将应用程序访问与网络访问隔离开来，降低设备攻击和感染给网络带来的风险。Zscaler Private Access是公司基于安全服务edge框架的云原生服务，旨在为运行在本地或公有云中的企业应用提供直连。通过这种服务，可以确保只有经过授权和认证的用户才能访问企业的特定应用程序或服务，并防止未经授权的访问和横向移动。

Forrester认为，Zscaler的服务具有很高的可扩展性，适合已经使用其安全技术来保证网络访问安全的企业。在未来，Zscaler可能会增加对服务器上的应用系统的支持，如VoIP和SIP。

3.Cisco:根据使用场景，可以提供三种ZTNA方案。

思科有三种不同的零信任产品:面向员工的思科零信任、面向工作负载的思科零信任和面向工作场所的思科零信任。

第一个产品是为那些试图确保只有受信任的用户和设备才能访问应用程序的企业设计的，并且支持来自任何位置的访问请求；第二类产品适合希望对所有API、微服务和容器实现零信任模型的企业；第三类产品适用于对IT端点客户端/服务器、物联网和OT设备、工业控制系统实施ZTNA战略的企业。

第一类产品与其他厂商的ZTNA产品非常接近，针对的是希望员工和其他第三方安全访问应用的企业。该产品使安全管理员能够验证用户身份，识别有风险的设备，并为每个访问请求实施上下文策略。

Gartner将思科列为ZTNA市场收入的前五大制造商。Forrester声称，思科的零信任产品基于从Duo Security获得的技术，因此非常适合已经采用Duo技术的企业。

4.Citrix:在应用层实现访问控制。

Citrix的安全私有访问是通过云交付的ZTNA产品，适用于需要替换VPN方案并使用户能够安全访问应用的组织。Citrix定位其服务，以便企业可以实施自适应身份验证和访问策略，这些策略根据位置、行为和设备状态等因素控制用户可以访问的内容。

Citrix private access仅在应用程序层对用户进行身份验证，防止可能已经闯入环境的攻击者在网络上横向移动。与其他ZTNA产品一样，Citrix Secure Private Access持续监控所有应用程序访问，以发现可疑活动或设备状态/行为的意外变化。Forrester认为，作为传统的虚拟桌面和远程访问提供商，Citrix拥有成熟的网关技术来保护用户对本地应用的访问。通过Citrix构建了本地基础设施的企业可以很好地利用他们的ZTNA产品。

5.Forcepoint:ZTNA被集成到一个更全面的SASE平台中。

Force的ZTNA产品是其Forcepoint One平台的一部分，该平台还包括Forcepoint的云访问安全代理(CASB)技术和安全网络网关(SWG)服务。

Point的ZTNA产品让企业无需代理即可访问本地数据中心和云端私有应用；拥有托管和非托管设备的用户可以通过浏览器快捷方式或ping单一登录门户(如Networks和Okta)连接到企业应用程序。Force还为使用传统架构和胖客户端的企业提供基于代理的解决方案。

企业可以选择添加Forcepoint的CASB和SWG来支持其ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问，同时防止恶意软件攻击和敏感数据泄漏。企业可以根据风险和可疑活动等因素，使用Forcepoint的SWG来监控与网站的交互。

6.Cloudflare:用于身份验证和访问控制的托管服务

Cloudflare的ZTNA产品是一项托管服务，旨在使企业能够用通用策略取代VPN连接方法，这些策略可以基于身份和上下文授予用户访问内部应用程序的权限。该服务使企业可以通过两种方式连接企业资源:一种是通过客户端软件访问非HTTP应用，路由到私有IP地址和远程桌面协议(RDP)；另一种模式是无客户端软件，这意味着Web浏览器用于连接Web、安全外壳协议(SSH)和虚拟网络计算(VNC)应用程序。

Cloudflare Access支持多种身份和访问管理平台进行用户身份验证，包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。当企业根据零信任规则评估设备状态时，Cloudflare Access可以使用来自CrowdStrike、Carbon Black、SentinelOne和其他供应商的端点保护技术的监控数据。

Gartner将Cloudflare列为2020年ZTNA即服务的代表厂商。Forrester还注意到了Cloudflare Access可以与多个身份和访问提供商集成的优势，但与终端安全控制的集成是Cloudflare需要改进的一个方面。

7.Appgate:为访问控制提供托管选项。

Appgate的ZTNA产品是AppGate SDP。与其他零信任访问技术一样，AppGate SDP使用设备、身份和基于上下文的信息来授予用户访问企业资源的最低特权。App SDP架构专为混合、云和本地企业而设计，由两个核心组件组成，可用作服务或受管设备。

一个组件是Appgate SDP控制器，作为策略引擎和策略决策点，为用户访问企业资源执行认证、访问策略和权限等任务；另一个组件Appgate SDP Gateway作为策略执行点，根据SDP控制器的决策控制用户对企业资源的访问。

该应用程序提供了额外的可选组件，如满足物联网和分支机构需求的连接器，以及允许用户使用浏览器访问企业资产的门户。Forrester指出，Appgate是该领域为数不多的专注于ZTNA而不是直接采用整个零信任边缘(ZTE/SASE)安全模型的厂商，其技术适合希望托管ZTNA功能的企业。

8.Netskope:快速部署和易用性是最大的亮点。

Netskope的私有访问(NPA)ZTNA是该公司更广泛的安全服务边缘技术组合的一部分。企业可以使用它将经过身份验证的用户连接到应用程序，将应用程序访问与网络访问分开，并确保用户只能访问经过授权的特定资源。它允许安全管理员根据设备状态、用户身份和用户组实施细粒度的访问策略。Netskope Private Access适用于希望能够安全远程访问私有Web应用的企业，为他们提供无需客户端软件的浏览器访问服务。

Netskope Private Access有两个部署组件:安装在设备上的轻量级客户端软件和Private Access Publisher，后者建立从企业到NetScope云的出站连接，以降低入站访问请求带来的风险。Forrester表示，Netskope在设备状态安全性方面非常出色。客户认为它的部署只需要几周，而其他供应商需要几个月。该供应商需要改进的一个方面是它需要支持更多的身份提供者。