Gartner零信任网络访问市场指南（2020版）(3)

选择与组织的安全访问服务边缘（SASE）架构计划一致的ZTNA产品，或展示强大的供应商安全访问服务边缘（SASE）产品路线图，以使未来的网络和安全，能从云端作为服务交付。
二、市场定义和价值主张
01
ZTNA市场定义
Gartner将零信任网络访问（ZTNA）定义为一种产品和服务，这些产品和服务创建了一个基于身份和上下文的逻辑访问边界，该边界围住了一个用户和一个应用程序或一组应用程序。
应用程序被隐藏以避免被发现，并且通过信任代理将访问限制为命名实体的集合。信任代理在允许访问之前验证指定参与者的身份、上下文和策略遵从性，并最小化网络中其他位置的横向移动。
ZTNA消除了经常伴随其他形式的应用程序访问的过度隐式信任。
02
ZTNA市场描述
打破了原有的“内部即可信”、“外部即不可信”的安全模式。当用户成为移动用户，当“外部”业务伙伴需要访问时，虚拟专用网（VPN）和非军事区（DMZ）就变得普遍起来，但它们同时给予攻击者滥用的过度隐性信任。数字业务的现实是，它需要随时随地访问任何应用程序，而不管用户及其设备的位置如何。
新模型——零信任网络（ZTN，zero-trust networking）——提出了一种抽象和集中化访问机制的方法，使得安全工程师和工作人员能够对其负责。ZTNA以零信任的默认拒绝姿态开始。它基于人员及其设备的身份以及其他属性和上下文（如时间/日期、地理位置和设备姿态）授予访问权限，并自适应地提供当时所需的适当信任。其结果是一个更具弹性的环境，具有更好的灵活性和更好的监控。ZTNA在呼唤那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、合作伙伴进行连接和协作的组织。
ZTNA提供了对资源的可控的身份感知和上下文感知的访问，减少了攻击面。ZTNA提供的隔离性，提升了连接性，消除了直接向Internet公开应用程序的需要。Internet仍然是不受信任的传输；信任代理调解应用程序和用户之间的连接。信任代理可以是由第三方提供商管理的云服务，也可以是自托管服务（以客户数据中心中的物理设备或公共IaaS云中的虚拟设备的形式）。一旦信任代理评估了用户的凭据和其设备的上下文，信任代理就与逻辑上靠近应用程序的网关功能通信。在大多数情况下，网关建立到用户的出站通信路径。在某些ZTNA产品中，代理仍保留在数据路径中；在其他产品中，只有网关保留在数据路径中。