Gartner零信任网络访问市场指南（2020版）(9)

留在数据路径中的信任代理或网关提供了更高的可见性，并可以监视异常和可疑的活动。然而，它们可能成为瓶颈或单点故障。支持故障转移的设计，可缓解此问题，但可能容易受到试图绕过检查的分布式拒绝服务（DDoS）攻击。供应商能否提供会话流和内容的检查，以检查不适当的敏感数据处理、恶意软件检测、异常行为？该产品是否支持单包授权（SPA）作为对信任代理身份验证的初始形式？SPA允许代理忽略任何通信尝试，除非第一次尝试包含专用的加密数据包。部分或全部地掩蔽、允许或禁止入站连接，在多大程度上是隔离应用程序安全要求的一部分？也许对内容交付网络（CDN）的最低保护就足够了。不同的企业应用程序可能有不同的需求。提供商是否维持缺陷奖励计划，并制定可信、负责任、公开或私人披露政策？对于软件提供商来说，不断地测试和消除产品漏洞是至关重要的。
应该支持那些主动这么做的提供商。供应商是否提供了一个安全的API，用于用户到应用程序分段的编程管理？供应商支持多少应用程序？如果您需要超过允许的最大值，如何管理（例如，通过单个管理控制台支持多租户管理）？许可模式是什么？是按用户还是按带宽？如果在合同有效期内超过使用量会怎样？（您是否失去了访问权限，是否需要补偿款，或者是否将宽限期延长到下一次续订）？供应商是否有其他安全访问服务边缘（SASE）组件，如安全web网关（SWG）、云访问安全代理（CASB）、防火墙即服务（FWaaS）和软件定义WAS（SD-WAN；可能是合作伙伴提供的）？（他们是否有与SASE一致的产品路线图，包括网络组件）？
04
ZTNA备选方案
ZTNA有几种可供内部和外部用户团体使用的应用程序替代方法：
传统VPN仍然流行，但鉴于数字业务的动态特性，它们可能无法为公开服务提供足够的风险管理，并且可能更难管理。传统的VPN也可能会为大多数移动员工带来规模和带宽问题。始终要求设备和用户身份验证的VPN，可提供与ZTNA类似的结果；但是，基本的网络访问型VPN则不能。对于进入企业系统的第三方特权访问，PAM工具可以是VPN的有用替代品。通过基于反向代理的web应用防火墙（WAF）公开web应用程序是另一种选择。使用WAF即服务（即云WAF），流量在交付到目的地之前通过提供商的WAF服务进行检查。为了避免误报或潜在的应用程序故障，云WAF和其他WAF一样，通常需要一些时间来测试和调整规则。由于受保护的服务在公共internet上仍然对攻击者可见，因此隔离受限于WAF的强度。然而，面向合作伙伴和员工的应用程序通常不是WAF的候选对象。