Gartner零信任网络访问市场指南（2020版）(12)

支持那些无需在防火墙中打开监听服务（入站连接）的供应商，因为这是典型的ZTNA即服务风格。当安全需求要求在现场安装ZTNA产品时，应选择能够尽可能减少防火墙开口数量的供应商。如果命名用户要使用非受管设备，则计划部署基于反向代理的ZTNA产品或服务，以避免安装代理。确保供应商支持组织和合作伙伴现在使用的身份验证协议，包括企业的标准身份存储，以及将来预期使用的任何身份验证协议。可用范围越广越好，包括云SSO提供商和SaaS化交付的访问管理提供商。不要期望合作伙伴使用你的身份存储。需要对SAML、OAuth、OIDC和类似身份联合功能的支持。评估供应商查询其他类型设备代理（如UEM、EDR、移动威胁防御（MTD））的能力的有效性，以获得用于改进自适应访问决策的更多上下文。攻击者将瞄准ZTNA信任代理。
对于基于云的产品，请评估其DoS和故障转移架构。要求供应商支持管理员帐户的高级别安全性和监视。对于本地ZTNA产品，使用支持本地部署的云工作负载保护平台（CWPP）工具，加固主机操作系统（请参阅“云工作负载保护平台市场指南”）。主要依赖默认拒绝的策略，仅通过允许列表来显式定义允许在系统上执行的代码。不要仅仅依靠补丁来保持系统的坚固性。如果你选择一家规模较小的供应商，应考虑在合同中加入适当条款并在需要时列出备选供应商名单，准备潜在的购置。否则，考虑到云基础设施、SWG、FWaaS、CASB和SASE架构中包含的其他产品的优势，应通过支持提供ZTNA作为强大SASE产品基础的一部分的供应商，来限制供应商风险。
（本篇完）