“零信任”的概念在安全行业已经被广泛应用,因为很多安全厂商都希望从零信任市场的发展中获益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是单一产品或解决方案。因此,没有任何一种产品或服务可以称为完整的零信任安全解决方案。企业需要根据业务发展的需要和当前安全防护的优先级,选择适合自己的零信任架构。目前市场上有不少安全厂商声称提供零信任产品或解决方案,但这些产品或解决方案往往功能各异,一定程度上影响了市场的有序发展。为了更好地了解当前零信任技术的产品化现状,本文对全球网络安全市场中的八家主流零信任解决方案厂商进行了分析。1.Akamai:基于云的安全远程访问Akamai的零信任产品直接源于供应商为其7,000多名员工实施的零信任远程访问解决方案。Akamai的两个核心ZTNA产品是EnterpriseApplicationAccess(EAA)和EnterpriseThreatProtector(ETP)。AkamaiEAA旨在实现随时随地对内部企业资源的安全远程访问。它是一种身份感知代理,旨在为希望替换或增强VPN和其他传统远程访问技术的企业服务。EAA使企业能够向正确的用户提供此服务——在他们需要时从任何地方安全地访问正确的应用程序。AkamaiETP是一种安全Web网关(SWG),可保护基于云的应用程序免受网络钓鱼、恶意软件、零日攻击和其他威胁的侵害。Gartner将Akamai列为ZTNA市场收入排名前五的供应商。Forrester认为它适合需要零信任安全管理服务的企业。不过,Akamai被认为在集成整体解决方案的能力上还有提升空间。2.Zscaler:基于云的应用隔离防护Zscaler致力于将应用访问与网络访问隔离,降低设备招募和感染对网络造成的风险。ZscalerPrivateAccess是该公司基于安全服务边缘框架的云原生服务,旨在为在本地或公共云中运行的企业应用程序提供直接连接。通过这项服务,只有经过授权和认证的用户才能访问特定的企业应用程序或服务,防止未经授权的访问和横向移动。Forrester认为Zscaler的服务具有很高的可扩展性,适合已经使用其安全技术保障网络访问安全的企业。未来,Zscaler可能会增加对服务器上的应用系统(如VoIP和SIP)的支持。3、思科:可根据使用场景提供三种ZTNA解决方案思科拥有三种不同的零信任产品,分别是:面向劳动力的思科零信任、面向工作负载的思科零信任和面向工作场所的思科零信任。第一类产品专为寻求确保只有受信任的用户和设备才能访问应用程序的企业而设计,支持来自任何位置的访问请求;第二类产品适用于希望为所有API、微服务和容器实施零信任模型的企业;第三类产品适用于为IT端点客户端/服务器、IoT和OT设备以及工业控制系统实施ZTNA策略的企业。第一类产品与其他供应商的ZTNA产品接近,面向希望为员工和其他第三方提供安全访问应用程序的企业。该产品使安全管理员能够对用户进行身份验证,识别有风险的设备,并为每个访问请求实施上下文策略。Gartner将思科列为ZTNA市场收入排名前五的供应商。Forrester声称思科的零信任产品基于其从DuoSecurity获得的技术,使其非常适合已经采用Duo技术的企业。4.Citrix:在应用层实施访问控制Citrix的SecurePrivateAccess是一款通过云交付的ZTNA产品,适用于需要替代VPN解决方案并允许用户安全访问应用程序的组织。Citrix将其服务定位为允许企业实施自适应身份验证和访问策略,以根据位置、行为和设备状态等因素控制用户可以访问的内容。CitrixSecurePrivateAccess仅在应用程序层对用户进行身份验证,防止可能闯入环境的攻击者在网络中横向移动。与其他ZTNA产品一样,CitrixSecurePrivateAccess持续监控所有应用程序访问是否存在可疑活动或设备状态/行为的意外变化。据Forrester称,作为传统的虚拟桌面和远程访问提供商,Citrix拥有成熟的网关技术来保护用户对本地应用程序的访问。已经使用Citrix构建本地基础设施的企业可以利用其ZTNA产品。5.Forcepoint:ZTNA集成到更全面的SASE平台Forcepoint的ZTNA产品是其ForcepointONE平台的一部分,该平台还包括Forcepoint的云访问安全代理(CASB)技术和安全Web网关(SWG)服务。Forcepoint的ZTNA产品使企业无需代理即可访问本地数据中心和云端的私有应用程序;拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过PingNetworks和Okta等单点登录门户进行连接。到企业应用。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的解决方案。企业可以选择添加Forcepoint的CASB和SWG来支持他们实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问,同时防止恶意软件攻击和敏感数据泄漏等。组织可以使用Forcepoint的SWG根据风险和可疑活动等因素监控与网站的交互。6.Cloudflare:用于身份验证和访问控制的托管服务Cloudflare的ZTNA产品是一项托管服务,旨在允许企业使用通用策略替换VPN连接方法,这些策略允许用户根据身份和上下文访问内部应用程序。该服务使企业能够通过两种方式连接到企业资源:一种是通过客户端软件访问非HTTP应用程序,路由到私有IP地址和远程桌面协议(RDP);另一种模型是无客户端的,这意味着Web浏览器用于连接到Web、SecureShell(SSH)和虚拟网络计算(VNC)应用程序。对于用户身份验证,CloudflareAccess支持多种身份和访问管理平台,包括AzureActiveDirectory、Okta、Citrix、Centrify和GoogleWorkspace。当企业根据零信任规则评估设备状态时,CloudflareAccess可以使用来自CrowdStrike、CarbonBlack、SentinelOne等端点保护技术的监控数据。Gartner将Cloudflare列为2020年ZTNA即服务类别的代表性供应商。Forrester还指出CloudflareAccess可以与多个身份和访问提供商集成的优势,但与端点安全控制的集成是Cloudflare需要的领域提升。7.Appgate:提供访问控制的托管选项Appgate的ZTNA产品是AppGateSDP。与其他零信任访问技术一样,AppGateSDP使用基于设备、身份和上下文的信息来授予用户对公司资源的最低特权访问权限。AppgateSDP架构专为混合、多云和本地企业而设计,由两个核心组件组成,可用作服务或托管设备。一个组件是AppgateSDPController,作为策略引擎和策略决策点,对访问企业资源的用户执行身份验证、访问策略和权限等任务;另一个组件AppgateSDPGateway充当策略执行点。该组件基于SDPController的Decisions来控制用户对企业资源的访问。Appgate提供额外的可选组件,例如用于物联网和分支机构需求的连接器,以及用于基于浏览器访问公司资产的Web门户。Forrester指出,Appgate是该领域为数不多的专注于ZTNA而未直接采用整个零信任边缘(ZTE/SASE)安全模型的供应商之一,其技术适用于希望托管ZTNA功能的企业。8.Netskope:快速部署和易用性是亮点Netskope的专用访问(NPA)ZTNA是该公司更广泛的安全服务边缘技术组合的一个组成部分。组织可以使用它将经过身份验证的用户连接到应用程序,将应用程序访问与网络访问分开,并确保用户只能访问他们获得授权的特定资源。它允许安全管理员根据设备状态、用户身份和用户所属的组实施细粒度的访问策略。NetskopePrivateAccess适用于希望能够安全地远程访问私有Web应用程序的企业,为他们提供无需客户端软件的无浏览器访问服务。NetskopePrivateAccess有两个部署组件:安装在设备上的轻量级客户端软件和PrivateAccessPublisher,它建立从企业到Netskope云的出站连接以降低入站访问请求的风险。Forrester表示,Netskope在设备状态安全方面表现出色,客户表示部署需要数周时间,而其他供应商则需要数月时间。供应商需要改进的一个领域是需要支持更多的身份提供者。参考链接:https://www.networkworld.com/article/3663011/who-is-selling-zero-trust-network-access-ztna-and-what-do-you-get.html
