Gartner零信任网络访问市场指南（2020版）(5)

由于需要安装某种形式的代理或本地软件，端点启动的ZTNA很难（即便不是不可能）在非受管设备上实现。
在某些情况下，第三方统一端点安全（UES）产品（用户可能比全面设备管理更愿意接受）可以向信任代理提供态势评估。（概念模型见图1）

图1：端点启动ZTNA的概念模型
021
服务启动的ZTNA
这类产品更接近于谷歌BeyondCorp的愿景。与应用程序安装在同一网络中的连接器，建立并维护到提供者的云的出站连接（有些实现称为“由内向外”）。用户向提供者（provider）进行身份验证，以访问受保护的应用程序。反过来，提供者使用企业身份管理产品验证用户。只有验证成功后，流量才会通过提供者的云，从而将应用程序与通过代理的直接访问隔离开来。企业防火墙不需要为入站流量打开。但是，提供者的网络成为必须评估的网络安全的另一个要素。
服务启动ZTNA的优点是，终端用户的设备上不需要代理，这使得它成为非受管设备的一种有吸引力的方法。缺点是应用程序的协议必须基于HTTP/HTTPS，从而限制了通过如HTTP之上安全Shell（SSH）或远程桌面协议（RDP）访问web应用程序和协议的方式。最近，一些较新的供应商开始提供额外的协议支持。（概念模型见图2）

图2：服务启动ZTNA的概念模型
有一些供应商支持将两种方案结合起来的混合用例，包含两种风格：
一种风格，是将模型组合到单个产品中，使客户能够为某些应用程序选择端点启动的会话，为其他应用程序和具有非受管设备的用户选择服务启动的会话。另一种风格，是提供带有最终用户代理的服务启动模型，以支持遗留协议。