“零信任”這一概念已經(jīng)被安全行業(yè)廣泛應(yīng)用,因?yàn)楹芏喟踩珡S商都希望能從零信任的市場發(fā)展中獲得收益。Gartner分析師認(rèn)為,,零信任架構(gòu)(ZTA)是一種方法論或途徑,,而不是某個單獨(dú)的產(chǎn)品或解決方案,,因此,,不能將任何單一產(chǎn)品或服務(wù)標(biāo)記為完整的零信任安全解決方案,,企業(yè)需要根據(jù)業(yè)務(wù)發(fā)展需要及當(dāng)前安全防護(hù)的優(yōu)先級,,來選擇適合自己的零信任架構(gòu),。
當(dāng)前,市場上有許多安全廠商都宣稱可以提供零信任產(chǎn)品或方案,,但這些產(chǎn)品或方案常常功能各異,,在一定程度上影響了市場的有序發(fā)展。為了更好了解當(dāng)前零信任技術(shù)的產(chǎn)品化狀況,,本文對全球網(wǎng)絡(luò)安全市場中的八家主流零信任方案廠商進(jìn)行了分析,。
1. Akamai:基于云的安全遠(yuǎn)程訪問
Akamai的零信任產(chǎn)品直接源于這家廠商為其7000多名員工實(shí)施的零信任遠(yuǎn)程訪問解決方案。Akamai的兩款核心ZTNA產(chǎn)品是Enterprise Application Access(EAA)和Enterprise Threat Protector(ETP),。Akamai EAA旨在支持隨時隨地安全地遠(yuǎn)程訪問企業(yè)內(nèi)部資源,。它是一種可識別身份的代理,面向希望替換或增強(qiáng)VPN及其他傳統(tǒng)遠(yuǎn)程訪問技術(shù)的企業(yè),。EAA使企業(yè)能夠?yàn)楹线m的用戶提供這種服務(wù)——需要時可以從任何地方安全地訪問合適的應(yīng)用程序,。Akamai ETP則是一種安全Web網(wǎng)關(guān)(SWG),用于保護(hù)云端應(yīng)用程序免受網(wǎng)絡(luò)釣魚,、惡意軟件,、零日漏洞攻擊及其他威脅。
Gartner將Akamai列為ZTNA市場收入排名前五的廠商,。Forrester則認(rèn)為它適合需要零信任安全托管服務(wù)的企業(yè),。但Akamai被認(rèn)為在整體方案集成方面的能力有待改進(jìn)。
2. Zscaler:基于云的應(yīng)用程序隔離和保護(hù)
Zscaler致力于將應(yīng)用程序訪問與網(wǎng)絡(luò)訪問隔離開來,,降低因設(shè)備中招和感染而對網(wǎng)絡(luò)造成的風(fēng)險,。Zscaler Private Access是該公司基于安全服務(wù)邊緣框架的云原生服務(wù),,旨在為在本地或公共云端運(yùn)行的企業(yè)應(yīng)用程序提供直接連接。通過該服務(wù),,確保只有獲得授權(quán),、通過身份驗(yàn)證的用戶才能訪問企業(yè)的特定應(yīng)用程序或服務(wù),防止未經(jīng)授權(quán)的訪問和橫向移動,。
Forrester認(rèn)為Zscaler的服務(wù)具有較高的可擴(kuò)展性,,適合已經(jīng)使用其安全技術(shù)確保網(wǎng)絡(luò)訪問安全的企業(yè)。未來,,Zscaler可能會針對服務(wù)器上的應(yīng)用系統(tǒng)(如VoIP和SIP)加大支持力度,。
3. 思科:可基于使用場景提供三種ZTNA方案
思科有三種不同的零信任產(chǎn)品,分別是:面向員工隊(duì)伍的Cisco Zero Trust,、面向工作負(fù)載的Cisco Zero Trust以及面向工作場所的Cisco Zero Trust,。
第一類產(chǎn)品為設(shè)法確保只有受信任用戶和設(shè)備才能訪問應(yīng)用程序的企業(yè)而設(shè)計(jì),支持任何位置的訪問請求,;第二類產(chǎn)品適用于希望為所有API,、微服務(wù)和容器實(shí)施零信任模型的企業(yè);第三類產(chǎn)品適用于為IT端點(diǎn)客戶端/服務(wù)器,、物聯(lián)網(wǎng)和OT設(shè)備以及工業(yè)控制系統(tǒng)實(shí)施ZTNA策略的企業(yè),。
第一類產(chǎn)品很接近其他廠商的ZTNA 產(chǎn)品,它面向希望讓員工和其他第三方能夠安全地訪問應(yīng)用程序的企業(yè),。該產(chǎn)品使安全管理員能夠針對每個訪問請求驗(yàn)證用戶身份,、識別有風(fēng)險的設(shè)備,并實(shí)施上下文策略,。
Gartner將思科列為ZTNA市場收入排名前五的廠商,。Forrester聲稱,思科零信任產(chǎn)品基于從Duo Security收購而來的技術(shù),,因此非常適合已經(jīng)采用Duo技術(shù)的企業(yè)。
4. 思杰:實(shí)現(xiàn)應(yīng)用層的訪問控制
思杰的Secure Private Access是通過云交付的ZTNA產(chǎn)品,,適用于需要替代VPN方案,,并讓用戶能夠安全地訪問應(yīng)用程序的組織。思杰將其服務(wù)定位于讓企業(yè)可以實(shí)施自適應(yīng)身份驗(yàn)證和訪問策略,,這些策略根據(jù)位置,、行為和設(shè)備狀態(tài)等因素控制用戶可以訪問的內(nèi)容。
Citrix Secure Private Access僅在應(yīng)用層對用戶進(jìn)行身份驗(yàn)證,,防止可能已闖入環(huán)境的攻擊者在網(wǎng)絡(luò)上橫向移動,。與其他ZTNA產(chǎn)品一樣,Citrix Secure Private Access持續(xù)監(jiān)控所有應(yīng)用程序訪問,,以發(fā)現(xiàn)可疑活動或設(shè)備狀態(tài)/行為的意外變化,。Forrester認(rèn)為,,作為一家傳統(tǒng)的虛擬桌面和遠(yuǎn)程訪問提供商,思杰擁有成熟的網(wǎng)關(guān)技術(shù)以保護(hù)用戶對本地應(yīng)用程序的訪問,。已經(jīng)通過思杰搭建本地基礎(chǔ)設(shè)施的企業(yè)可以很好地利用其ZTNA產(chǎn)品,。
5. Forcepoint:ZTNA整合到更全面的SASE平臺
Forcepoint的ZTNA產(chǎn)品是其Forcepoint ONE平臺的一部分,該平臺還包括Forcepoint的云訪問安全代理(CASB)技術(shù)及安全Web網(wǎng)關(guān)(SWG)服務(wù),。
Forcepoint的ZTNA產(chǎn)品可以讓企業(yè)無需代理即可訪問本地?cái)?shù)據(jù)中心和云端的私有應(yīng)用程序,;擁有托管和非托管設(shè)備的用戶可以通過瀏覽器快捷方式或通過Ping Networks和Okta等單點(diǎn)登錄門戶網(wǎng)站,連接到企業(yè)應(yīng)用程序,。Forcepoint還為使用傳統(tǒng)架構(gòu)和胖客戶端的企業(yè)提供基于代理的方案,。
企業(yè)可以選擇添加Forcepoint的CASB和SWG以支持其實(shí)施的ZTNA。CASB組件有助于保護(hù)和簡化SaaS和IaaS租戶的訪問,,同時防止惡意軟件攻擊和敏感數(shù)據(jù)泄露等,。企業(yè)可以使用Forcepoint的SWG,根據(jù)風(fēng)險和可疑活動等因素來監(jiān)控與網(wǎng)站之間的交互,。
6. Cloudflare:身份驗(yàn)證和訪問控制的托管服務(wù)
Cloudflare的ZTNA產(chǎn)品是一項(xiàng)托管服務(wù),,旨在讓企業(yè)可以使用通用策略替換VPN連接方法,通用策略可基于身份和上下文授予用戶訪問內(nèi)部應(yīng)用程序的權(quán)限,。該服務(wù)讓企業(yè)能夠以兩種方式連接到公司資源:一種是通過客戶軟件訪問非HTTP應(yīng)用程序,,路由到私有IP地址和遠(yuǎn)程桌面協(xié)議(RDP);另一種模型是無客戶軟件,,這意味著Web瀏覽器被用于連接Web,、安全外殼協(xié)議(SSH) 和虛擬網(wǎng)絡(luò)計(jì)算(VNC)應(yīng)用程序。
針對用戶身份驗(yàn)證,,Cloudflare Access支持多種身份和訪問管理平臺,,包括Azure Active Directory、Okta,、Citrix,、Centrify和Google Workspace。當(dāng)企業(yè)根據(jù)零信任規(guī)則評估設(shè)備狀態(tài)時,,Cloudflare Access可以使用來自CrowdStrike,、Carbon Black、SentinelOne及其他廠商端點(diǎn)保護(hù)技術(shù)的監(jiān)測數(shù)據(jù),。
Gartner在2020年將Cloudflare列為ZTNA即服務(wù)這個類別的代表性廠商,。Forrester也關(guān)注到Cloudflare Access可與多家身份和訪問提供商集成這個優(yōu)點(diǎn),但與終端安全控制集成是Cloudflare有待改進(jìn)的一個方面,。
7. Appgate:為訪問控制提供托管選項(xiàng)
Appgate的ZTNA產(chǎn)品為AppGate SDP,。與其他零信任訪問技術(shù)一樣,AppGate SDP使用設(shè)備,、身份和基于上下文的信息,,授予用戶對企業(yè)資源的最低特權(quán)訪問,。Appgate SDP架構(gòu)為混合、多云和本地企業(yè)設(shè)計(jì),,由兩個可以作為服務(wù)或托管設(shè)備使用的核心組件組成,。
一個組件是Appgate SDP Controller,充當(dāng)策略引擎和策略決策點(diǎn),,為訪問企業(yè)資源的用戶執(zhí)行身份驗(yàn)證,、訪問策略和權(quán)限等任務(wù);另一個組件Appgate SDP Gateway,,充當(dāng)策略執(zhí)行點(diǎn),,該組件根據(jù)SDP Controller的決定來控制用戶對企業(yè)資源的訪問。
Appgate提供額外的可選組件,,如滿足物聯(lián)網(wǎng)和分支機(jī)構(gòu)需求的Connector,,以及讓用戶使用瀏覽器即可訪問企業(yè)資產(chǎn)的門戶網(wǎng)站。Forrester指出,,Appgate是該領(lǐng)域?yàn)閿?shù)不多的專注于ZTNA而不直接采用整個零信任邊緣(ZTE/SASE)安全模型的廠商之一,,其技術(shù)適合希望托管ZTNA功能的企業(yè)。
8. Netskope:快速部署和易用性是最大亮點(diǎn)
Netskope的Private Access(NPA)ZTNA是該公司更廣泛的Security Service Edge技術(shù)組合的一個組件,。企業(yè)可以用它將已驗(yàn)證身份的用戶連接到應(yīng)用程序,,將應(yīng)用程序訪問與網(wǎng)絡(luò)訪問分開,并確保用戶只能訪問已被授權(quán)的特定資源,。它讓安全管理員可以根據(jù)設(shè)備狀態(tài),、用戶身份和用戶所屬組來實(shí)施細(xì)粒度的訪問策略。Netskope Private Access適用于希望能夠安全地遠(yuǎn)程訪問私有Web 應(yīng)用程序的企業(yè),,為其提供無客戶軟件的瀏覽器訪問服務(wù),。
Netskope Private Access有兩個部署組件:安裝在設(shè)備上的輕量級客戶軟件和Private Access Publisher,后者建立從企業(yè)到Netskope云的出站連接,,以減小入站訪問請求帶來的風(fēng)險,。Forrester表示,Netskope在設(shè)備狀態(tài)安全方面表現(xiàn)出色,,客戶認(rèn)為其部署僅需數(shù)周,,而其他廠商則需要數(shù)月。這家廠商有待改進(jìn)的一個方面是需要支持更多身份提供商,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<