史上最全零信任市场玩家大盘点

2019 年 4 月，Gartner 首次推出零信任网络访问（ZTNA）的概念。研究发现，ZTNA是网络安全中增长最快的部分，预计到 2023 年将增长31%。Gartner 预测，到 2025 年，至少 70% 的远程访问部署将依赖 ZTNA 而不是 V**。

ZTNA 可根据已定义的访问控制策略对应用程序和服务进行远程安全访问。与V**不同，ZTNA 默认拒绝对LAN的完全访问，仅提供对用户明确授予服务的访问权限。简单来说，ZTNA 不相信任何内容，认为没有网络分段是生来安全的，其通过基于身份的验证来建立信任并提供访问，同时保持IP地址的隐藏。

ZTNA 是如何工作的？

ZTNA 架构包含几个组件：

SDP 代理：仅允许出站连接，以确保网络和应用程序对未授权用户不可见，代理可以是设备或云服务。

云网关：云部署的全球分布式网关安全连接至企业网络和云/SaaS 目的地。

客户端：用于最终用户设备的 SASE 客户端软件，还提供无客户端部署。

身份验证服务：与企业的现有用户、设备凭据管理和身份验证服务进行互动。

自我管理门户：提供对用户和应用程序的管理可见性和控制权。

传输：有线、无线、移动数据互联网或内部网连接。

与以网络为中心的解决方案不同，ZTNA 技术提供对特定应用程序的安全访问。这些安全解决方案基于四个核心原则工作：

#

最低权限原则

每个用户都拥有执行任务所需的最低权限级别，防止未经授权的用户访问敏感数据。

#

微分段

将网络划分为多个区域，为不同的区域定义不同的安全策略。

#

多因素身份验证

需要用户使用两种不同的方法来验证其身份。

#

监控

持续监控是 ZTNA 的另一个关键部分。零信任网络访问使用高级分析来监控网络和应用程序中的用户行为，当检测到异常行为时，会拒绝访问。

ZTNA 通过多种方法应用这些原则：

将应用程序与公共互联网隔离： ZTNA 的特点之一是将应用程序访问与网络访问隔离，并且仅授予经过验证的用户对特定应用程序的访问权限。

对未授权用户隐藏应用基础设施： ZTNA 确保对未授权用户隐藏网络和应用基础设施，不会将 IP 暴露给公共互联网。

在应用层代理的访问：与其他解决方案不同，ZTNA 访问发生在应用层。这意味着可以仅根据需要授予用户对应用程序的访问权限。

持续监控和自适应执行：当用户获得访问权限时，访问控制不会停止。ZTNA 解决方案将提供自适应身份验证，在整个会话期间都会检查用户的授权。

ZTNA vs. VPN vs. SDP vs. SASE/SSE

ZTNA 与 VPN

VPN 控制对网络的访问，而不是网络上的单个资源。VPN 是基于设备的，这意味着通过 VPN 控制器的访问后，也将被允许访问其背后受保护网络上的所有资源。传统上，如果要实现多个隔离环境，需要为每个环境配备一个 VPN 控制器，彼此分开管理。

相比之下，ZTNA 将通过一个策略引擎管理对所有资源集的访问，并通过同一组策略执行集合执行这些策略。

ZTNA 与 SDP

ZTNA与SDP ( 软件定义边界 ) 都有相同的目标：只有当策略明确允许数据包流动时，才允许数据包在网络实体之间流动。它们之间的区别很小，因此可以将 ZTNA 视为 SDP 2.0。

ZTNA 与 SASE/SSE

SASE 是一个更广泛的概念，ZTNA 只是SASE和SSE（安全服务边缘）相关的主要功能支柱之一。SASE 还包括云访问安全代理功能、安全 Web 网关功能、防火墙即服务功能和 SD-WAN 功能。

ZTNA厂商

国内外，从零信任政策及标准逐步落地，到互联网科技巨头厂商积极布局，市场逐渐开始内卷，收购兼并成为目前市场的主旋律。以下是一些零信任市场的玩家盘点（排名不分先后）：

国 内

阿里云

阿里云远程办公零信任解决方案以可信、动态为核心，经过可信认证体系的IP、设备、应用，在进入办公网络进行权限获取和数据调用时，凭借可信认证获取权限，实现动态安全检测防护。

整个方案包含了三大核心模块：远程终端安全管理、云端动态决策管控、统一可信网络。

• 远程终端安全管理：对远程终端进行可信认证以及身份管理，通过认证的设备才能访问内部系统，系统同时采集分析终端安全数据，实时而非静态的判断入网设备的安全性。
• 云端动态决策管控：对访问者信息采用交叉安全认证方式进行统一的高强度安全认证。同时，系统会以智能模型分析可信验证结果，综合判断访问身份的可信等级，实现用户权限的动态分配。
• 统一可信网络：通过IDaaS产品打通了不同应用系统间的账户认证和授权体系，通过智能管理中心和多种安全管控节点，实现集中权限管理以及全面审计能力。

华为

华为HiSec零信任安全解决方案基于持续验证、动态授权和全局防御的三层架构,可以实现风险多维度精准评估、动态授权秒级响应、全局威胁自动化闭环处置。

• 在策略执行层部署安全接入代理，环境感知代理。安全接入代理作为终端用户访问企业内网的控制设备，能够与策略控制层的身份引擎联动完成用户的持续认证。环境感知代理能够接收终端违规信息，并向终端下发控制策略。
• 在策略控制层部署身份引擎、控制引擎。身份引擎负责统一人员身份管理和身份认证，包括用户管理、组织机构管理、用户身份核验、用户令牌管理、应用令牌管理等。控制引擎负责对访问数据业务的请求进行动态和精细化鉴权，当用户安全等级变更时，及时更新用户拥有的访问权限。
• 在安全管理层部署HiSec Insight作为安全大脑。HiSec Insight负责接收并分析环境感知代理发送的终端评分、身份引擎发送的认证日志、控制引擎发送的鉴权日志、从交换机汇聚的安全风险信息，对用户、终端、网络等进行全局安全评估。同时根据评估结果向控制引擎、安全接入代理下发处置策略，完成安全风险的全局防御。

腾讯

2020年6月，在中国产业互联网发展联盟标准专委会指导下，腾讯联合多家零信任机构企业联合成立“零信任产业标准工作组”。2021年5月，腾讯发布零信任安全解决方案(腾讯iOA)，分为KA版、SaaS版和轻量版三种类型。其中，KA版采用集群部署形式，满足大型企业的零信任安全体系建设需求；SaaS版特别适配企业微信安全访问内网应用场景；轻量版则聚焦于提供轻量、高效的零信任安全接入能力，主要适用于远程安全运维、移动办公等业务场景。

深信服

深信服零信任访问控制系统aTrust，是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力，满足新形势下多场景的企业应用安全访问需求。

同时，aTrust是零信任安全架构整体解决方案的核心组成部分，支持对接态势感知等多种安全设备，安全能力持续成长，助力客户网络安全体系向零信任架构迁移，帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。

核心能力：

• 可信访问：网络隐身、终端可信检测、动态业务准入。
• 智能权限：权限基线梳理、动态访问控制、第三方安全能力集成。
• 极简运维：架构轻量化易落地、WEB资源免客户端访问、自服务终端运维管理。

奇安信

奇安信零信任身份安全解决方案通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力，对所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，从而在访问主体和访问客体之间建立一种动态的信任关系。

• 以身份为基石：基于全面身份化，为用户、设备、应用程序、业务系统等物理实体，建立统一的数字身份标识和治理流程。
• 业务安全访问：在零信任架构下，所有的业务访问请求（包括用户对业务应用的访问、应用API之间的接口调用访问等等）都应该被认证、授权和加密。
• 持续信任评估：零信任架构认为一次性的身份认证无法确保身份的持续合法性，即便是采用了强度较高的多因子认证，也需要通过度量访问主体的风险，持续进行信任评估。
• 动态访问控制：在零信任架构下，主体的访问权限不是静态的，而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。

天融信

天融信零信任网络访问解决方案融合零信任业务安全策略控制服务系统、零信任应用代理系统、零信任身份服务系统、零信任服务代理系统、零信任审批中心系统等产品，从控制层面提供机动灵活的安全策略控制，并不断从持续监控中获得访问主体的信息，及时动态调整数据平台的访问策略，强化访问过程的安全。

• 身份管理能力：通过对用户、设备、应用和服务等各类实体进行身份管理，生成全局唯一、防篡改、可验证的身份标识。
• 终端环境感知能力：实时监控并分析用户终端信息、运行状态和行为，可快速精准地发现安全威胁和入侵事件，主动识别系统内部资产情况，感知和度量终端的环境情况，为用户的终端提供安全检测。
• 用户行为分析能力：将用户和实体网络行为异于标准基线的可疑活动进行多维度关联，通过大数据技术进行多维度数据分析、行为建模等，结合评分机制实现用户行为异常和威胁的检测。
• 持续监控与评估能力：依据不同授权策略，动态调整访问策略，实时下发至策略执行点，通过各类风险评估结果进行信任计算、信任评级、风险告警。
• 动态访问控制能力：持续监测并评估用户身份、环境和行为的可信度，依据最小权限原则，动态调整访问策略和权限，实施精细化访问控制和安全防护。

启明星辰

启明星辰在国内外零信任架构的基础上，结合IAM、SOC、访问代理和大数据分析等领域十多年的积累，形成了其自身特点的零信任架构。架构的左边是访问主体，终端包括主机、PC、移动和物联网。在访问企业资源时，需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、策略中心和访问代理中的各种能力，授予应用资源、系统资源和数据资源客体的访问权限。

启明星辰零信任架构特征：

• 可动态拆卸裁剪的弹性、敏捷框架，极大提高投入产出比
• 支持虚拟化、分布式部署，上云快、场景适应性强
• 多维身份鉴别，验证的不只是用户还有设备和属性
• 基于SPA及默认丢包策略实现网络及应用隐身
• 多合一融合客户端
• 实时风险评估，精确审计追溯
• 精细化动态访问控制
• 控制与执行平面分离，安全且简易
• 符合等保、密评规范

绿盟

绿盟科技零信任安全解决方案，遵循零信任安全理念，组合终端安全，身份识别与管理，网络安全，应用和数据安全，安全分析协作与响应等模块，构建以用户信任和设备信任为基础，持续评估访问过程的行为可信，自适应访问控制的零信任安全架构。

特性：

• 用户可信：任何用户，在访问前先取得认证和授权才能访问资源。
• 设备可信：设备当前安全性，终端安全防护措施，以及安全基线情况。
• 行为可信：访问会话建立后，持续评估用户和终端的行为，确保没有恶意行为发生。一旦发现访问实体的异常行为就意味着信任等级的降低，零信任网络可以切断这种访问，从而降低安全风险。
• 自适应访问控制：根据用户、设备、访问行为等持续的信息收集和风险评价，自动化的决策并按照规则作出相应操作。

国 外

Akamai

Akamai 在 ZTNA 类别中的核心产品是 Enterprise Application Access (EAA) 和 Enterprise Threat Protector (ETP)。Akamai EAA旨在支持随时随地安全地远程访问内部资源，它是一种身份识别代理。EAA 使组织能够在需要时从任何地方为正确的用户提供对正确应用程序的正确访问权限。

Akamai ETP是一种安全 Web 网关 (SWG)，用于保护云中的应用程序免受网络钓鱼、恶意软件、零日攻击和其他威胁。

在Akamai的零信任安全方案里，远程访问不再需要VPN设备。通过反向代理的方法，结合身份管控模式，可以将用户在内部或在云端的应用进行反向的代理控制，把应用的访问主动推送到一个平台上，这个平台实际上就成为了终端用户访问的接口。原来用户直接向企业应用的访问被拆分成用户向平台的访问和内部connector向平台的访问两种。经此拆分，Akamai可以通过其智能边缘平台的能力化解黑客网络攻击。

Zscaler

Zscaler Private Access是一个基于安全服务边缘框架的云原生服务，旨在为在本地或公共云中运行的企业应用程序提供直接连接。该服务包括防止未经授权的访问，确保应用程序只能通过平台访问。对企业应用程序的访问仅限于获得授权并通过身份验证的用户，才能访问特定应用程序或服务。

特性：

• 无缝用户体验，可根据网络变化动态调整的策略驱动连接。
• 安全性增强，特定于应用程序的连接，无需让用户上网。
• 易于部署，不需要硬件或硬件升级。
• 即时部署和发现，可以自动发现应用，以便用户可以轻松地围绕它们构建策略。
• 单点登录 (SSO) ，ZPA 直接绑定到用户现有的身份验证基础架构，利用 SSO 进一步降低复杂性。
• 实时可见性，提供对用户和应用以及组织应用和服务器运行状况的可见性。

Cloudflare

Cloudflare 的 ZTNA 产品是一项托管服务，旨在为组织提供一种使用通用策略替换 VPN 连接的方法，该通用策略允许用户基于身份和上下文访问内部应用程序。该服务允许组织以两种方式连接到公司资源。一种是通过设备上的客户端模型访问非 HTTP 应用程序、路由到私有 IP 地址、 IP 地址和远程桌面协议 (RDP) 连接。

另一种模型是无客户端的，Web 浏览器用于连接到 Web、安全外壳协议 (SSH) 和虚拟网络计算 (VNC) 应用程序。

访问公司资源的请求通过 Cloudflare 的 Anycast 网络私下路由，在该网络中，使用有关用户身份、设备和其他基于上下文的数据的遥测，根据零信任规则对它们进行评估。对于用户身份验证，Cloudflare Access支持多种身份和访问管理平台，包括 Azure Active Directory、Okta、Citrix、Centrify 和 Google Workspace。

Appgate

Appgate 的 ZTNA 产品称为 AppGate SDP。与其他零信任访问技术一样，AppGate SDP 使用设备、身份和基于上下文的信息（例如访问请求可能来自何处）来提供对企业资源的最低特权访问。Appgate SDP架构专为混合、多云和本地企业而设计，由两个核心组件组成，可以作为服务或自托管设备使用。

其中核心组件之一是 Appgate SDP 控制器，它充当策略引擎和策略决策点。SDP 控制器为寻求访问企业资源的用户管理诸如用户身份验证、访问策略和权利等任务。

AppGate SDP 的特性包括：

• 以身份为中心，围绕用户而非 IP 地址设计。
• AppGate 的 Segment of One提供基于策略的细粒度网络微分段，显著减少企业的网络攻击面。
• 单包授权技术安全地隐藏了 AppGate 基础设施，以便只有经过验证的用户才能与系统通信。
• 可大规模扩展的分布式架构为所有工作负载和应用程序提供一致的安全性 - 在专用基础架构和公共云上。

思科

思科是网络领域的佼佼者，近年来通过一系列收购展现了其在安全领域的雄心壮志。尤其是2018年对Duo Security 的收购大大增强了思科安全产品的功能。此外，结合思科的网络和设备工具，针对分析和云负载的新产品以及Duo对用户和端点的关注，支持多组件、部署和易用性成为了整个产品组合的特点。

收购后的思科推出了多项先进的零信任功能，例如跨网络、用户和设备的自动安全更新。它的功能倾向于管理员的高安全性和最终用户的高可用性。思科主张因地制宜而非一刀切式地进行安全性管控，通过思科零信任安全成熟度模型制定思科零信任框架，保护企业三大关键领域，且系统性地解决安全问题：

• 面向企业员工的零信任安全：基于Duo的零信任员工安全策略，在无需考虑具体位置的前提下，确保只有合法的用户和安全的设备才能访问应用程序。
• 面向工作负载的零信任安全：工作负载安全是指确保企业网络中所有用户和设备连接的安全。当恶意攻击者通过横向移动来攻击各种关键系统或窃取并外泄敏感数据时，思科零信任架构可基于Tetration，与ACI数据中心架构以及Firepower结合，通过最小化攻击面，强制实施进出工作负载的最小访问特权。
• 面向办公场所的零信任安全：该项重点在于确保连接企业网络的任何设备（包括 IoT）的访问安全。思科零信任可提供基于SD-Access网络架构，与 ISE 深度结合的解决方案，在网络可控范围内建立基于信任的访问控制，且适用于包含物联网在内的所有用户和设备。

Citrix

Citrix 的Secure Private Access是一种云交付的 ZTNA 产品，该服务定位为给组织提供一种实施自适应身份验证和访问策略的方法，这些策略可以根据位置、行为和设备等因素控制用户访问的内容。

Citrix Secure Private Access利用新的自适应身份验证、访问策略以及安全控制措施（包括水印、防止剪贴板访问、防止键盘记录器、屏幕捕获恶意软件的攻击以及浏览器隔离等），使员工能够以一致、可靠的方式实现对所有应用程序和数据简单、可关联到上下文环境的访问，从而发挥出最佳工作状态。通过使用该服务，IT 部门能够：

• 基于最小权限访问的零信任原则向用户提供访问权限。
• 启用安全控制措施，以允许灵活选择用于完成工作的设备。
• 支持所有访问类型和工作场景。
• 以统一的方式确保对所有应用程序类型（包括 TCP、基于浏览器和 VDI）在多云环境中的安全访问。

Forcepoint

Forcepoint 的 ZTNA 产品是其Forcepoint ONE平台的一部分，该平台还包括 Forcepoint 的云访问安全代理 (CASB) 技术及其安全 Web 网关 (SWG) 服务。

Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序；拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站，连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。

企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问，同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG，根据风险和可疑活动等因素来监控与网站之间的交互。

Palo Alto Prisma® Access

从 2018 年到 2020 年，Palo Alto Networks收购了至少9家零信任和安全公司，并将不同公司提供的不同的安全解决方案与添加自己的内容相结合，打造了完整的零信任组合。

2021年6月，Palo Alto Networks宣布，作为The Forrester Wave 2020年第三季度零信任扩展生态系统平台供应商的领导者，Palo Alto Networks推出SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙五项创新功能，让企业能够轻松、有效地实施零信任网络安全，并获得四项重要优势：

• 安全访问正确的应用：业界首款集成的云访问安全代理（CASB），让客户主动扩展对所有SaaS应用的安全访问，包括那些前所未见的应用。
• 安全访问正确的用户：业界首款云身份引擎让客户在企业网络、云和应用中轻松验证和授权其用户，不受身份存储位置影响。
• 增强安全性：高级URL过滤服务通过本地机器学习功能提供业界首创的零日网络攻击防御。扩展的DNS安全功能可以防御其他解决方案无法防御的新兴DNS攻击。
• 全面普及安全访问：所有形式的防火墙（硬件、软件和云端）均可使用这些新功能，无论用户位于何处，均可进行安全访问。除了现有防火墙外，新型号机器学习下一代防火墙也能使用这些创新功能，以实现企业级零信任网络安全——从小型分支机构到大型园区和超大规模数据中心。

* 原文链接：

https://www.techtarget.com/searchnetworking/tip/The-basics-of-zero-trust-network-access-explained

https://www.networkworld.com/article/3663011/who-is-selling-zero-trust-network-access-ztna-and-what-do-you-get.html?page=2

【转载须知】

若转载文章为原创文章，可在相应文章下或公众号后台留言；其他非转载类文章须在文首以不小于14号字体标明转载自SDNLAB。

【投稿】

欢迎智能网卡/DPU、SDN、SD-WAN、确定性网络、TSN、5G、网络切片等网络方向的观点类、新闻类、技术类稿件。

投稿邮箱：pub@sdnlab.com

详情请参考：SDNLAB原创文章奖励