Gartner零信任网络访问市场指南（2020版）(4)

在许多情况下，用户和设备的行为会被持续监控，以防出现异常行为，正如Gartner的持续自适应风险和信任评估（CARTA）框架所述。
从某种意义上说，ZTNA创建了个性化的“虚拟边界”，该边界仅包含用户、设备和应用程序。ZTNA还规范了用户体验，消除了在与不在企业网络中所存在的访问差异。
03
ZTNA价值主张
尽管ZTNA产品在技术方法上有所不同，但它们提供的基本价值主张大体相同：
将应用程序和服务，从公共互联网上的直接可见性中移除。针对命名用户对指定应用程序的访问，启用精确性（“刚好及时”和“刚好足够”）和最小权限，即只有在对用户身份、设备的身份和卫生状况（高度建议）、上下文进行评估之后。启用独立于用户物理位置或设备IP地址的访问，除非策略禁止（例如，针对世界特定地区）。访问策略主要基于用户、设备、应用程序的身份。只允许访问特定的应用程序，而非底层网络。这限制了对所有端口和协议或所有应用程序的过度访问，因为其中有些可能是用户无权访问的。最关键的是，它还将横向移动的能力降到最低，因为这是困扰许多企业的有害威胁。提供网络通信的端到端加密。针对敏感数据处理和恶意软件形式的过度风险，提供了可选的对通信流量的检查。启用可选的会话监视，以指示异常行为，如用户活动、会话持续时间、带宽消耗。
为访问应用程序（无代理或通过ZTNA代理）提供一致的用户体验，无论网络位置如何。
三、市场方向
随着越来越多的组织向远程工作过渡，ZTNA激起了这些组织的兴趣，以寻求比VPN更灵活的替代方案，并对位于本地和云中的应用程序进行更精确的访问和会话控制。
ZTNA供应商继续吸引风险投资资金。这反过来又鼓励新的创业公司进入一个日益拥挤的市场，并寻求差异化的方式。这一市场的并购活动正在进行中，目前已有多家初创企业被大型网络、电信和安全供应商收购。
Gartner已经识别出ZTNA供应商在为市场开发产品和服务时采用的两种不同方法：一种是端点启动的ZTNA，另一种是服务启动的ZTNA。
01
端点启动的ZTNA
这类产品更接近于最初的云安全联盟（CSA）软件定义边界（SDP）规范。安装在被授权的最终用户设备上的代理，将其安全上下文的信息发送到控制器。控制器提示设备上的用户进行身份验证，并返回允许的应用系统列表。在对用户和设备进行身份验证之后，控制器通过一个网关提供设备的连接性，该网关屏蔽了服务免受Internet的直接访问。该屏蔽作用可保护应用程序免受拒绝服务（DoS）攻击和其他威胁，而如果将它们放在传统的DMZ中，它们则将承受这些威胁。一旦控制器建立连接性，一些产品将保留在数据路径中；而其他产品则自行从数据路径中删除。