全球主流零信任厂商的产品化实践与观察

“零信任”这一概念已经被安全行业广泛应用，因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为，零信任架构(ZTA)是一种方法论或途径，而不是某个单独的产品或解决方案，因此，不能将任何单一产品或服务标记为完整的零信任安全解决方案，企业需要根据业务发展需要及当前安全防护的优先级，来选择适合自己的零信任架构。

当前，市场上有许多安全厂商都宣称可以提供零信任产品或方案，但这些产品或方案常常功能各异，在一定程度上影响了市场的有序发展。为了更好了解当前零信任技术的产品化状况，本文对全球网络安全市场中的八家主流零信任方案厂商进行了分析。

1、Akamai：基于云的安全远程访问

Akamai的零信任产品直接源于这家厂商为其7000多名员工实施的零信任远程访问解决方案。Akamai的两款核心ZTNA产品是Enterprise Application Access（EAA）和Enterprise Threat Protector（ETP）。Akamai EAA旨在支持随时随地安全地远程访问企业内部资源。它是一种可识别身份的代理，面向希望替换或增强VPN及其他传统远程访问技术的企业。EAA使企业能够为合适的用户提供这种服务——需要时可以从任何地方安全地访问合适的应用程序。Akamai ETP则是一种安全Web网关（SWG），用于保护云端应用程序免受网络钓鱼、恶意软件、零日漏洞攻击及其他威胁。

Gartner将Akamai列为ZTNA市场收入排名前五的厂商。Forrester则认为它适合需要零信任安全托管服务的企业。但Akamai被认为在整体方案集成方面的能力有待改进。

2、Zscaler：基于云的应用程序隔离和保护

Zscaler致力于将应用程序访问与网络访问隔离开来，降低因设备中招和感染而对网络造成的风险。Zscaler Private Access是该公司基于安全服务边缘框架的云原生服务，旨在为在本地或公共云端运行的企业应用程序提供直接连接。通过该服务，确保只有获得授权、通过身份验证的用户才能访问企业的特定应用程序或服务，防止未经授权的访问和横向移动。

Forrester认为Zscaler的服务具有较高的可扩展性，适合已经使用其安全技术确保网络访问安全的企业。未来，Zscaler可能会针对服务器上的应用系统（如VoIP和SIP）加大支持力度。

3、思科：可基于使用场景提供三种ZTNA方案 

思科有三种不同的零信任产品，分别是：面向员工队伍的Cisco Zero Trust、面向工作负载的Cisco Zero Trust以及面向工作场所的Cisco Zero Trust。

第一类产品为设法确保只有受信任用户和设备才能访问应用程序的企业而设计，支持任何位置的访问请求；第二类产品适用于希望为所有API、微服务和容器实施零信任模型的企业；第三类产品适用于为IT端点客户端/服务器、物联网和OT设备以及工业控制系统实施ZTNA策略的企业。

第一类产品很接近其他厂商的ZTNA 产品，它面向希望让员工和其他第三方能够安全地访问应用程序的企业。该产品使安全管理员能够针对每个访问请求验证用户身份、识别有风险的设备，并实施上下文策略。

Gartner将思科列为ZTNA市场收入排名前五的厂商。Forrester声称，思科零信任产品基于从Duo Security收购而来的技术，因此非常适合已经采用Duo技术的企业。

4、思杰：实现应用层的访问控制

思杰的Secure Private Access是通过云交付的ZTNA产品，适用于需要替代VPN方案，并让用户能够安全地访问应用程序的组织。思杰将其服务定位于让企业可以实施自适应身份验证和访问策略，这些策略根据位置、行为和设备状态等因素控制用户可以访问的内容。

Citrix Secure Private Access仅在应用层对用户进行身份验证，防止可能已闯入环境的攻击者在网络上横向移动。与其他ZTNA产品一样，Citrix Secure Private Access持续监控所有应用程序访问，以发现可疑活动或设备状态/行为的意外变化。Forrester认为，作为一家传统的虚拟桌面和远程访问提供商，思杰拥有成熟的网关技术以保护用户对本地应用程序的访问。已经通过思杰搭建本地基础设施的企业可以很好地利用其ZTNA产品。

5、Forcepoint：ZTNA整合到更全面的SASE平台

Forcepoint的ZTNA产品是其Forcepoint ONE平台的一部分，该平台还包括Forcepoint的云访问安全代理（CASB）技术及安全Web网关（SWG）服务。

Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序；拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站，连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。

企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问，同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG，根据风险和可疑活动等因素来监控与网站之间的交互。

6、Cloudflare：身份验证和访问控制的托管服务

Cloudflare的ZTNA产品是一项托管服务，旨在让企业可以使用通用策略替换VPN连接方法，通用策略可基于身份和上下文授予用户访问内部应用程序的权限。该服务让企业能够以两种方式连接到公司资源：一种是通过客户软件访问非HTTP应用程序，路由到私有IP地址和远程桌面协议（RDP）；另一种模型是无客户软件，这意味着Web浏览器被用于连接Web、安全外壳协议（SSH） 和虚拟网络计算（VNC）应用程序。

针对用户身份验证，Cloudflare Access支持多种身份和访问管理平台，包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。当企业根据零信任规则评估设备状态时，Cloudflare Access可以使用来自CrowdStrike、Carbon Black、SentinelOne及其他厂商端点保护技术的监测数据。

Gartner在2020年将Cloudflare列为ZTNA即服务这个类别的代表性厂商。Forrester也关注到Cloudflare Access可与多家身份和访问提供商集成这个优点，但与终端安全控制集成是Cloudflare有待改进的一个方面。

7、Appgate：为访问控制提供托管选项

Appgate的ZTNA产品为AppGate SDP。与其他零信任访问技术一样，AppGate SDP使用设备、身份和基于上下文的信息，授予用户对企业资源的最低特权访问。Appgate SDP架构为混合、多云和本地企业设计，由两个可以作为服务或托管设备使用的核心组件组成。

一个组件是Appgate SDP Controller，充当策略引擎和策略决策点，为访问企业资源的用户执行身份验证、访问策略和权限等任务；另一个组件Appgate SDP Gateway，充当策略执行点，该组件根据SDP Controller的决定来控制用户对企业资源的访问。

Appgate提供额外的可选组件，如满足物联网和分支机构需求的Connector，以及让用户使用浏览器即可访问企业资产的门户网站。Forrester指出，Appgate是该领域为数不多的专注于ZTNA而不直接采用整个零信任边缘（ZTE/SASE）安全模型的厂商之一，其技术适合希望托管ZTNA功能的企业。

8、Netskope：快速部署和易用性是最大亮点

Netskope的Private Access（NPA）ZTNA是该公司更广泛的Security Service Edge技术组合的一个组件。企业可以用它将已验证身份的用户连接到应用程序，将应用程序访问与网络访问分开，并确保用户只能访问已被授权的特定资源。它让安全管理员可以根据设备状态、用户身份和用户所属组来实施细粒度的访问策略。Netskope Private Access适用于希望能够安全地远程访问私有Web 应用程序的企业，为其提供无客户软件的浏览器访问服务。

Netskope Private Access有两个部署组件：安装在设备上的轻量级客户软件和Private Access Publisher，后者建立从企业到Netskope云的出站连接，以减小入站访问请求带来的风险。Forrester表示，Netskope在设备状态安全方面表现出色，客户认为其部署仅需数周，而其他厂商则需要数月。这家厂商有待改进的一个方面是需要支持更多身份提供商。