Gartner发布零信任网络访问ZTNA市场指南

ZTNA 解决方案正在迅速取代用于应用程序访问的远程访问 VPN。本市场指南包括代表性供应商及其产品的列表，将帮助安全和风险管理领导者评估 ZTNA 产品作为安全服务边缘 (SSE) 战略的一部分。

主要发现

• 最终用户组织对零信任策略/云采用的日益关注，以及为混合劳动力提供更安全、更灵活的连接的愿望，正在提高人们对零信任网络访问 (ZTNA) 市场的兴趣。

• 组织将 VPN 替代视为评估 ZTNA 产品的主要动机，但发现理由来自于风险降低，而不是任何成本节省。

• 基于代理的 ZTNA 越来越多地部署为更大的安全访问服务边缘 (SASE) 架构或安全服务边缘 ( SSE ) 解决方案的一部分，以取代传统上为远程管理终端提供完整网络安全堆栈的始终在线 VPN。无客户端 ZTNA 继续支持第三方和自带设备 (BYOD) 用例。

• 该市场的供应商正在通过添加部分或全部 SSE 功能以及提供单独或集成的微分段产品，将其产品扩展到纯粹的 ZTNA 之外。

建议

负责基础设施安全的安全和风险管理领导者应该：

• 建立高水平的零信任策略。在选择和实施 ZTNA 解决方案之前，首先确定降低风险的机会，并确保您的身份和访问管理技术和流程得到充分理解和成熟。

• 将 ZTNA 的部署视为一个分阶段项目，需要利益相关者管理以减少运营摩擦。确定首先要保护的高度敏感应用程序，以最大限度地提高风险降低的投资回报率，或者确定低风险应用程序和精通技术的试点用户，以最大限度地减少任何潜在的运营影响。随着时间的推移，为更多应用程序和用户实施 ZTNA。

• 以无客户端 ZTNA 替代远程访问 VPN 的目标BYOD 和扩展劳动力用例。将基于代理的 ZTNA 整合为更广泛的 SASE 架构的一部分，以扩展完整的网络安全堆栈，从而取代始终在线的 VPN 实施。

• 优先选择能够满足托管设备的广泛安全要求、最大程度地减少攻击面并提供统一高度动态、自适应访问控制策略的路径以支持组织采用零信任原则的供应商。避免专注于只适合在狭隘的同类基础上替代远程访问 VPN 的供应商。

市场定义

Gartner 将零信任网络访问 (ZTNA) 定义为创建基于身份和上下文的逻辑访问边界的产品和服务，其中包含企业用户和内部托管的应用程序或应用程序集。这些应用程序是隐藏的，不被发现，并且通过信任代理将访问限制为一组命名实体，这限制了网络内的横向移动。

市场描述

ZTNA 提供受控的身份和上下文感知资源访问，减少攻击范围。ZTNA 从默认拒绝姿势开始，应用零信任原则，例如策略执行点后面的资源隔离和对资源的即时访问。它根据用户及其设备的身份以及其他属性和上下文授予访问权限，例如时间/日期、地理位置和设备姿势，并自适应地提供当时所需的适当信任。结果是，通过减少攻击面以及将控件放置在更靠近受保护资源的位置的灵活性，降低了环境中的风险。ZTNA 吸引了寻求更灵活、响应更迅速的方式与其数字业务生态系统、远程工作人员、承包商和可信第三方建立联系和协作的组织。

Gartner 将 ZTNA 技术视为提高零信任计划成熟度的重要组织步骤。ZTNA 专注于任何网络上的用户和设备访问，是更大的零信任网络架构的子集。当与网络和 SaaS 安全相结合时，ZTNA 形成了SSE市场的关键技术基础之一。随着 SSE 供应商通过添加状态验证和轻量级设备身份验证和分段功能来完善其 ZTNA 产品，网络访问控制 (NAC) 等传统园区安全解决方案将被通用 ZTNA 颠覆。

ZTNA 提供的隔离消除了将应用程序直接暴露到互联网的需要。互联网仍然是一种不受信任的传输方式；信任经纪人调解应用程序和用户之间的连接。代理可以是由第三方提供商管理的云服务，也可以是客户数据中心中物理设备形式的自托管服务，或者是公共基础设施即服务 (IaaS) 云中的虚拟设备。一旦代理评估了用户的凭据及其设备的上下文，它就会与靠近应用程序的网关进行通信。在大多数情况下，网关会建立到用户的出站通信路径。在某些 ZTNA 产品中，经纪商仍保留在数据路径中；在其他情况下，只有网关可以。

市场方向

ZTNA 已从主要的VPN 替代品发展成为远程和分支机构用户标准化零信任架构的关键组件。由于每用户成本较高以及对基于设备的解决方案的现有投资，ZTNA尚未在大型分支机构或园区环境中获得很大的吸引力。通用 ZTNA 将现有 ZTNA 技术扩展到远程访问之外的用例，以支持本地园区和分支机构的本地实施。（“通用 ZTNA”是一个营销术语，因为 ZTNA 的原始定义并不限于远程访问用例。）通用 ZTNA 集中设备和最终用户零信任访问策略，以实现单一访问策略定义。

Gartner 认为 ZTNA 在大型组织和中型市场组织中获得了广泛采用。拥有超过 25,000 个用户的组织和拥有 5,000 到 25,000 个用户的组织持续大力采用该技术。在用户少于 1,000 名的组织中，采用率不太明显，但我们也开始看到这种增长。我们看到北美和西欧的采用率很高，但亚太地区的采用率较低，因为那里更注重本地解决方案。

ZTNA市场不断成熟并快速增长。2021 年至 2022 年ZTNA的同比增长率为 87%，Gartner并测 2022 年至 2023 年的同比增长率为 51% 。该市场的大多数部署将日益趋向于基于 SSE 代理的架构。我们还发现，在非托管设备和/或第三方访问的情况下，对基于无代理的部署的需求不断增加。安全和风险管理领导者需要确保他们选择的供应商支持这两种方法来覆盖最常见的用例。

许多供应商最近添加了具有基于用户的动态风险评分的轻量级姿势验证功能。如果连接的用户实施了被识别为恶意的操作，他们的风险评分就会增加，并且可以在配置的阈值下触发策略操作。这两种能力代表了朝着持续适应性信任迈出的积极一步。

ZTNA 市场正在快速发展，独立的 ZTNA 提供商越来越少。供应商实施了多种策略，以区别于大型 SSE 和单一供应商 SASE 提供商。有些专注于 ZTNA 之上的增强特权访问管理 (PAM) 功能。其他人则关注网络物理系统市场的安全访问需求。ZTNA 技术还嵌入到新兴企业浏览器供应商的产品中。此外，许多独立的纯 ZTNA 供应商已扩展其内联安全功能，以提供内联 Web 和 SaaS 安全功能。

市场分析

优点和用途

ZTNA 的好处是显著的，它们包括：

• 提供对应用程序（而非网络）的上下文、基于风险和最低权限的访问。

• 能够将DMZ中暴露的应用程序移出公共 Internet，以减少组织的攻击面。

• 改进了最终用户对应用程序的本机访问体验。

• 灵活地支持直接访问公有云和混合云中托管的应用程序。

• 与传统的基于硬件的远程访问 VPN 方法相比的可扩展性。

• 当应用程序通过公有云和混合云作为SaaS交付时，支持不适合传统完整隧道访问方法的数字业务转型场景。由于数字化转型的努力，大多数企业在境外拥有的应用程序、服务和数据将多于内部。

• 将安全控制移动到更靠近用户和应用程序连接的位置，无论位置如何。一些较大的 ZTNA 供应商已在全球范围内投资了数百个接入点 (POP) ，以满足对延迟敏感的要求以及区域记录和检查的要求。

以下用例适合ZTNA ：

• 向指定的协作生态系统成员（例如分销渠道、供应商、承包商和零售店）开放应用程序和服务，而无需 VPN或 DMZ。

• 从用户行为中得出角色。例如，如果用户的手机位于一个国家/地区，但他们的电脑位于另一个国家/地区，并且两者都尝试同时登录，则应允许合法访问，同时应阻止受感染的设备。

• 针对本地无线热点、运营商或云提供商不可信的情况，从端点到 ZTNA 网关（可能与其保护的应用程序在同一服务器上运行）全程进行加密。

• 为 IT 承包商和远程或移动员工提供特定于应用程序的访问，作为基于完整隧道网络的远程VPN 访问的替代方案。

• 控制对应用程序（例如 IaaS/平台即服务 (PaaS) 应用程序）的管理访问，作为完整 PAM 工具的低成本替代方案。

• 无需合并网络、合并目录或配置站点到站点 VPN 和防火墙规则，即可扩展对被收购组织的访问。

• 我将高价值的企业应用程序隔离在网络或云中，以减少内部威胁并实现管理访问的职责分离。

• 在个人设备上对用户进行身份验证- ZTNA 可以通过减少全面管理要求并实现更安全的直接应用程序访问来提高安全性并简化 BYOD 程序。

• 通过删除入站访问（使用端口 443 上的长期出站侦听器）来保护内部系统免受敌对网络（例如公共互联网）的侵害，从而减少攻击面。

风险

尽管 ZTNA 大大降低了总体风险，但并不能消除所有风险，如下例所示：

• 组织可能会低估完全部署 ZTNA 所需的时间和精力，以便以精细的方式隔离所有用户和应用程序的访问。他们还可能低估了长期维护系统所需的工作量，这可能导致他们以过于宽松的政策部署ZTNA。

• 信托经纪人可能成为任何类型故障的单点。当服务关闭时，通过 ZTNA 服务的完全隔离的应用程序将停止工作。精心设计的 ZTNA 服务包括具有多个入口和出口点的物理和地理冗余，以最大程度地减少影响整体可用性的中断可能性。此外，供应商的 SLA（或缺乏 SLA）可以表明他们认为自己的产品有多稳健。优先选择具有强大 SLA 的供应商，这些 SLA 可以针对业务中断提供补救措施。一些供应商引入了弹性功能来降低广泛的云基础设施故障的风险。我们预计这将成为一种趋势。

• 信任经纪人的位置可能会给用户带来延迟问题，从而损害用户体验。精心设计的 ZTNA 产品为多个 POP 提供企业策略的分布式副本，并结合对等关系来提高冗余，同时减少延迟。

• 攻击者可能会尝试破坏信任经纪人系统。尽管可能性不大，但发生这种风险的可能性并非为零。构建在公共云上或托管在主要互联网运营商中的 ZTNA 服务受益于提供商强大的租户隔离机制。然而，租户隔离的崩溃将使攻击者能够渗透供应商客户的系统并在它们内部和之间横向移动。受损的信任经纪人应立即将故障转移到冗余的信任经纪人。如果不能，那么它应该关闭失败——也就是说，如果它不能转移滥用，它应该与互联网断开连接。青睐采取这种立场的供应商。此外，验证供应商是否拥有自己的安全运营团队，以认真监控其基础设施是否存在影响服务完整性的问题。

• 受损的用户凭据可能允许本地设备上的攻击者观察并窃取该设备中的信息。将设备身份验证与用户身份验证相结合的 ZTNA 架构通过阻止攻击传播到设备本身之外，在一定程度上遏制了这种威胁。我们建议，在可能的情况下，MFA 应伴随任何 ZTNA 项目。

• 考虑到对信任代理故障和用户凭据的担忧，ZTNA管理员帐户很容易受到攻击。限制管理员数量并监控他们的活动以减少内部威胁。优先考虑默认情况下需要对管理员进行强身份验证的供应商。

• 一些 ZTNA 供应商将其开发重点放在仅支持 Web 应用程序协议 (HTTP/HTTPS) 上。通过 ZTNA 服务承载遗留应用程序和协议对于供应商和客户来说在开发和部署方面可能面临更大的技术挑战。

• 一些供应商使用数据报传输层安全 (DTLS ) 协议来为实时通信应用程序提供更有效的传输。如果客户打算通过 ZTNA 使用实时应用程序，则应确保其提供商支持此协议。

• ZTNA 市场正在快速发展，一些供应商退出，另一些供应商进行收购。独立 ZTNA 供应商的产品与许多组织的现有功能（包括 SSE）越来越重叠，或者仅服务于一小部分用户的特定目的。

代表厂商

以下旨在提供对该市场相关厂商及其产品相关内容。

表1 ：ZTNA代表性供应商

供应商	产品或服务名称
Absolute	Absolute ZTNA
Akamai	企业应用接入
AWS	AWS 验证访问
Appgate	Appgate SDP
Banyan Security	零信任远程访问平台
博通	赛门铁克零信任网络访问
Cato Networks	Cato零信任网络访问
Check Point	Harmony Connect
思科	Duo Premier  Cisco+ Secure Connect  IoT Operations Dashboard
Citrix	Citrix Secure Private Access
Cloudflare	Cloudflare Access
Cognitas	Crosslink ZTNA
Cyolo	Cyolo零信任访问解决方案
Forcepoint	Forcepoint ONE ZTNA
Fortinet	通用零信任网络访问
谷歌	BeyondCorp Enterprise Google Cloud Platform Identity-Aware Proxy
HPE（Axis）	Atmos ZTNA
iBoss	iBoss云平台
InstaSafe	零信任网络访问
Ivanti	Ivanti Neurons 零信任访问
Jamf	Jamf Connect
微软	Entra Private Access
NetFoundry	CloudZiti
Netskope	Netskope Private Access
Palo Alto Networks	Prisma Access
Perimeter 81	零信任网络访问
SAIFE	SAIFE Connect
Skyhigh Security	Skyhigh Private Access
Systancia	Systancia Gate
Trusfort	Zero Trust Enterprise Security Product Line
Twingate	Twingate
Versa	Versa Secure Private Access
Waverley Labs	Panther SDP
Xage Security	零信任远程访问
Zentera Systems	CoIP Platform
Zero Networks	Zero Networks Connect
Zscaler	Private Access

资料来源：Gartner（2023 年 8 月）

市场建议

考虑到公共互联网所带来的重大风险，以及对攻击者通过破坏互联网暴露系统以在企业系统中站稳脚跟的吸引力，企业必须考虑将数字业务服务与公共互联网的可见性隔离开来。ZTNA 掩盖了服务的发现和探测，并建立了真实的、基于身份的障碍，事实证明，与传统的网络级 VPN 和防火墙相比，攻击者更难以规避这些障碍。

对于旧版 VPN 访问，请寻找可将目标用户组切换为通过ZTNA进行工作的方案，因为这将为改善组织的整体安全状况提供直接价值。在大多数情况下，您可以从承包商和/或第三方访问开始，然后在逐步替换旧版 VPN 的同时，将其作为 SASE 架构的一部分转向面向员工的应用程序。ZTNA 项目是迈向更广泛的零信任网络（默认拒绝、零隐式信任）安全态势的一步。具体来说，在根据计算出的风险和当前上下文建立足够的信任之前，主体无法访问对象。

对于基于 DMZ 的应用程序，评估哪些用户组需要访问权限。对于具有定义的用户组的应用程序，计划在未来几年内将其迁移到 ZTNA 服务。将这些应用程序迁移到公共云 IaaS 作为架构转变的催化剂。考虑将它们放置在私有 IP 空间中，除非通过 ZTNA 服务，否则无法访问该空间。这不适用于由于许可、帐户和身份管理挑战而超出 ZTNA 范围的面向公众的公民或消费者应用程序。

请注意，ZTNA 只是零信任策略的一个组成部分，尽管它很重要。不要认为购买 ZTNA 产品是实施通用零信任架构唯一必须做的事情。