Gartner零信任网络访问市场指南（2020版）(8)

03
ZTNA评估因素
在评估ZTNA技术时，需要提出以下关键问题：
供应商是否要求安装端点代理？支持什么操作系统？什么移动设备？代理在其他代理已经存在的情况下表现如何？供应商是否支持受管和非受管设备的ZTNA（理想情况下两者都支持）？供应商是否将ZTNA作为一项服务提供，或是否要求客户安装和管理ZTNA代理（理想情况下使用兼容两者的混合架构）？该产品是否能够在不需要统一端点管理（UEM）工具的情况下，对设备进行安全态势评估（操作系统版本、修补程序级别、密码和加密策略等）？是否提供了在非受管设备上实现此目的的选项？产品是否使用本地代理来确定设备健康和安全状况，作为访问决策的一个因素？它是否需要辅助产品来执行端点评估，如网络准入控制或UEM？ZTNA供应商与哪些供应商合作，或者他们是否提供自己的产品？该产品是否与任何领先的UES或EPP（端点保护平台）/EDR（端点检测与响应）提供者集成，以深入了解设备安全态势？
信任代理支持哪些认证标准？是否可以与场内目录或基于云的身份服务集成？信任代理是否可以与组织的现有身份提供者集成？信任代理是否支持MFA？有没有用户和实体行为分析（UEBA）功能，可以识别ZTNA保护环境中何时发生异常情况？一些ZTNA产品部分或全部作为基于云的服务交付。这是否满足组织对数据检查和日志记录的安全性和常驻性要求？供应商是否经过一个或多个第三方认证，供应商是否与客户共享评估报告？供应商在全球的出入境点（称为边缘位置和/或POP）在地理上的差异有多大？供应商使用哪些边缘/物理基础设施提供商或托管设施？供应商是否提供“冷土豆路由”（cold-potato routing），即尽快将最终用户设备引入供应商网络，或者供应商是否只允许“热土豆路由”（hot-potato routing），即最终用户的流量穿越更多的公共互联网？
当ZTNA服务受到持续攻击时，供应商的技术行为是什么？服务是故障时自动关闭（fail closed）（从而阻止数字业务伙伴访问企业服务）还是故障时自动打开（fail open）？对于特定的企业应用程序，是否可以有选择地选择故障时自动关闭或自动打开？如果故障时自动打开能力是一项要求，不要忘记添加其他防御层来保护不再被ZTNA服务屏蔽的应用程序。该产品是否只支持web应用程序，或者遗留应用程序是否也能获得同样的安全优势？供应商选择了什么算法和密钥长度？不允许使用不安全的传输层安全（TLS）版本吗？供应商的产品描述是否显示了对当代和标准密码实践的理解，或者是否掺入了太好而不太真实的密码“蛇油”（snake oil）？用户和设备通过身份验证后，信任代理或网关是否仍驻留在数据路径中？这种做法值得考虑。