Gartner零信任网络访问市场指南（2020版）(6)

四、市场分析
互联网是用来连接事物而非阻止的。有了IP地址和路由，任何东西都可以与任何东西对话（默认允许）。而身份验证这个棘手的问题，是在协议栈的高层处理的。
然而，攻击者滥用了这种信任。当企业开始连接互联网时，攻击者迅速移动，依靠网络防火墙在内部创建“可信”据点；当员工开始移动时，VPN通过扩展网络将内部信任扩展到远程员工，而攻击者非法获取VPN凭据以滥用此信任；当需要外部访问时，服务又会移动到DMZ中，从而使它们暴露给攻击者。
过度的隐性网络信任，会产生过度的潜在风险，从而受到攻击。网络访问（甚至“ping”或查看服务器或应用程序的权限）不应该是给定的。它应该基于用户、设备的身份和上下文来获得。
越来越多的互联网连接服务，以及服务和用户几乎可以位于任何IP地址的越来越大的可能性，再加上向越来越多远程工作人员的转变，加剧了旧模式的弱点。
01
好处和用途
ZTNA的好处是立竿见影的。与传统的VPN类似，带入ZTNA环境的服务在公共互联网上不再可见，因此，可以抵御攻击者。此外，ZTNA在用户体验、灵活性、适应性、策略管理的易用性方面，也带来了显著的优势。对于基于云的ZTNA产品，可扩展性和易采用性是额外的好处。
总之，ZTNA使能了不适合传统访问方法的数字业务转型场景。由于数字转型的努力，大多数企业在境外拥有的应用程序、服务和数据将多于境内。基于云的ZTNA服务，将安全控制放在用户和应用程序所在的位置——即云中。一些较大的ZTNA供应商已经在全球范围内投资了很多POP点（points of presence），以满足时延敏感的要求，并满足区域性的审计和检查要求。
有一些用例适合于ZTNA：
向合作生态系统成员开放应用程序和服务，如分销渠道、供应商、承包商或零售店，而无需VPN或DMZ。访问过程与用户、应用程序、服务的耦合更紧密。规范应用程序访问的用户体验——ZTNA消除了公司网络内部和外部的区别。基于用户行为派生角色——例如，如果用户的电话在一个国家，但其PC在另一个国家，并且两者都试图登录到同一应用程序，则应允许合法访问，同时应阻止失陷的设备。在不信任本地无线热点、运营商或云提供商的情况下，将加密从端点一直携带到ZTNA网关（它可能与它正在保护的应用程序运行在同一服务器上）。为IT承包商和远程或移动员工提供特定于应用程序的访问，作为基于VPN的访问的替代。控制对应用程序（如基于云的应用程序）的管理性访问，作为完备特权访问管理（PAM）工具的最低替代方案。在并购活动中扩展对收购组织的访问，而无需合并网络、合并目录或配置站点对站点VPN和防火墙规则。