连续四年！云深互联再成Gartner推荐的中国供应商，入选新版《零信任网络访问市场指南》

近日，国际权威调研机构Gartner发布新版《零信任网络访问市场指南》（Market Guide for Zero Trust Network Access ），云深互联成为入选该指南的代表厂商。同时，也是在入选2019、2020 的Gartner《零信任网络访问市场指南》、2021年Gartner《新兴技术:零信任网络接入的采用增长洞察》之后，连续第四年得到Gartner推荐。此举无疑既印证了云深互联在零信任SDP领域的强大实力，也是对深云SDP产品在保障用户安全能力上的进一步认可。

Gartner2022版《零信任网络访问市场指南》的更多内容：

ZTNA 是比传统VPN 更强的应用程序访问技术，在建立员工和合作伙伴连接和协作时，其可以做到给予适度信任。安全和风险管理领导者，应将ZTNA 项目作为SSE 战略的一部分进行试点，或加速在远程访问上的应用。

概述

要点：

■ 终端用户组织越来越关注零信任战略——以及希望在复杂工作场景里可以实现更安全、更灵活的连接——正在推动人们对ZTNA 市场兴趣的增加。

■ 组织评估ZTNA 产品出发点是用于替换VPN ，但其目的是用来降低风险，而不是节约成本。

■ 基于代理的ZTNA 越来越多地部署为更大的SASE 架构或SSE 产品的一部分，用于扩展劳动力，而无客户端ZTNA 在第三方和BYOD 场景继续增长。

■ 供应商继续将基于身份的分段作为单独的产品或与ZTNA 产品相结合扩展到数据中心——这模糊了分段技术之间的界限。

建议：

负责基础设施安全的安全和风险管理领导者应该：

■ 在选择和实施ZTNA 解决方案之前，先建立高级别的零信任策略，并确保您的身份、访问管理技术和流程得到充分理解，并经过慎重评估。

■ 请评估您当前的VPN 环境，如果VPN 替代是评估ZTNA 供应商能力的主要手段，也要了解实施ZTNA 后是否有足够的好处。

■ 将基于代理的ZTNA 选择与SSE 提供商的选择合并为更广泛的SASE 架构决策的一部分，以避免托管设备上多个代理的复杂性和可能不受支持的配置。

■ 基于所需的终端用户访问用例，以及组织的节点和应用程序架构，来划分ZTNA 供应商优先级。

市场定义

Gartner将零信任网络访问(ZTNA) 定义为创建基于身份和上下文的逻辑访问边界的产品和服务，该边界包含企业用户和内部托管的应用程序或一组应用程序。应用程序被隐藏起来，并且通过信任代理限制一组指定实体访问。在允许访问之前，代理会验证访问者的身份、上下文和策略的遵守情况，并尽量减少网络中其它地方的横向移动。ZTNA 消除了通常伴随其它形式的应用程序访问（例如旧版VPN）的过度隐式信任。ZTNA 与云访问安全代理（CASB）和安全网络网关（SWG ）一起，是构成安全服务边缘(SSE) 市场的核心技术之一。Gartner 看到这些产品的整合不断增加，并预计这种趋势在未来会加速。

市场描述

ZTNA 已经从VPN 主要的替代品发展为（远程和小型分支机构）用户应用零信任网络的标准化架构的关键组件。由于平均用户成本较高，以及对基于设备的解决方案的现有投资，ZTNA 尚未在大型分支机构或园区环境中获得青睐。Gartner 将ZTNA 技术视为提高零信任计划成熟度的重要组织步骤。当与SWG 和CASB 产品相结合时，ZTNA 是构成新兴SSE 市场的关键技术基础之一。

ZTNA 提供基于身份和上下文感知限制的资源访问，从而减少攻击暴露面。ZTNA 的零信任策略开始状态是默认拒绝访问。之后会根据人员身份及其设备，以及其它属性和上下文（例如时间/日期、地理位置、设备状态等）授予访问权限，并自适应地提供当时所需的适当信任。ZTNA 实现的是一个更具弹性、有更高的灵活性和更具监测性的访问环境，这对那些让其在数字业务生态系统、远程工作人员和合作伙伴建立联系和协作上需要更灵活、更迅速的组织来说，会更具吸引力。

ZTNA 提供的隔离改善了连接性，避免了应用程序直接暴露给公共互联网。互联网仍然是一种不受信任的传输方式，需要信任代理来调解应用程序和用户之间的连接。代理可以是由第三方提供商管理的云服务或自托管服务（以客户数据中心中的物理设备的形式，或公共基础设施即服务[IaaS] 云中的虚拟设备的形式）。一旦用户的资质及其设备的环境通过了代理评估，代理就会与逻辑上靠近应用程序的网关功能进行通信。在大多数情况下，网关会为用户建立出站通信路径。在某些ZTNA 产品中，代理保留在数据路径中；在其它情况下，只有网关可以。

最佳情况下，如Gartner 的持续自适应风险和信任评估(CARTA) 框架中所述，会持续监控用户和设备行为是否存在异常活动。从某种意义上说，ZTNA 创建了仅包含用户、设备和应用程序的个性化“虚拟边界”。

市场方向

ZTNA 市场不断成熟并快速增长。Gartner预测：2019-2025 年全球企业网络设备细分市场，2021 年第四季度更新中，Gartner 捕捉到ZTNA 的同比增长率为60%。对于大多数部署，市场越来越趋向于基于SSE 代理的架构。在非托管设备和/或第三方访问的情况下，我们还看到对基于无代理的部署的需求增加。安全和风险管理领导者需要确保他们选择的供应商支持这两种方法，以涵盖最常见的用例。

在近期到中期，独立的ZTNA 供应商将越来越难以与完全集成的SSE 和SASE 产品竞争。这些供应商应通过集成SWG、DLP 和CASB 来扩展其产品，或与第三方供应商合作。

市场分析

优点及用例：

ZTNA 的优点显而易见。相比传统网络级的VPN 访问，ZTNA 提供基于上下文环境、基于风险和最低权限的对应用程序（而非网络）的访问。用ZTNA 替换暴露应用程序的DMZ 后，服务在公共互联网上不再可见，从而免受攻击者的攻击。此外，ZTNA 在用户体验、敏捷性、适应性和易于策略管理方面带来了显著优势。对于基于云的ZTNA 产品，还有可扩展性和易于采用的优势。ZTNA 也支持适合新的数字业务转型场景。由于数字化转型的努力，大多数企业在境外拥有的应用程序、服务和数据将多于境内。基于云的ZTNA 服务将安全控制置于用户和应用程序所在的位置——云端。一些较大的ZTNA 供应商已在全球投资了数百个接入点(POP)，以满足对延迟敏感的要求以及区域日志记录和检查要求。

一些适合采用ZTNA的场景用例：

* 向指定的协作生态系统成员（例如分销渠道、供应商、承包商或零售店）开放应用程序和服务，无需VPN 或DMZ，让用户、应用程序和服务的访问更加紧密。

* 根据用户行为派生角色——例如，如果用户的手机在一个国家，但他们的PC 在另一个国家，并且两者都试图登录同一个应用程序，只有合法访问可以通过，而受感染的设备则应允许被阻止。

* 在您不信任本地无线热点、运营商或云提供商的情况下，从端点到ZTNA 网关（可能与其保护的应用程序运行在同一台服务器上）一直进行加密。

* 为IT 承包商和远程或移动员工提供特定于应用程序的访问，以替代基于VPN 的访问。

* 控制对应用程序的管理访问，例如IaaS/PaaS 应用程序，可作为对完全特权访问管理(PAM) 工具的低成本替代方案。

* 在并购活动期间扩展对被收购组织的访问权限，而无需合并网络、合并目录或配置站点到站点VPN 和防火墙规则。

* 隔离网络或云中的高价值企业应用程序，以减少内部威胁并影响管理访问的职责分离。

* 在个人设备上对用户进行身份验证——ZTNA 可以通过降低全面管理要求和实现更安全的直接应用程序访问来提高安全性并简化自带设备(BYOD) 程序。

* 在物联网网络上，创建物联网设备或基于虚拟设备连接器的安全区域，以进行连接。

* 通过删除入站访问（利用回拨电话）保护内部系统免受恶意网络（例如公共互联网）的侵害，从而减少攻击面。

风险

尽管ZTNA大大降低了总体风险，但它并不能完全消除所有风险，如以下示例所示：

* 信任代理可能成为造成任何类型的单点故障。通过ZTNA 服务的完全隔离的应用程序将在服务关闭时停止工作。精心设计的ZTNA服务包括具有多个入口和出口点的物理和地理冗余，以最大限度地减少中断可能，影响整体可用性。此外，供应商的SLA（或缺乏SLA）可以表明他们对其产品的鲁棒性支持。选择那些支持具有SLA的供应商，以最大限度地减少业务中断。

* 信任代理的位置可能会给用户带来延迟问题，从而对用户体验产生负面影响。精心设计的ZTNA产品会具有多个POP点，以提供分布式副本企业部署策略，并结合对等关系以提高冗余度，同时减少延迟。

* 攻击者可能会尝试破坏信任代理系统。尽管不太可能，但风险并非为零。ZTNA 服务建立在公共云上或托管在主要互联网运营商中，受益于提供商强大的租户隔离机制。然而，租户隔离的崩溃将允许攻击者渗透供应商客户的系统并在他们内部和之间横向移动。受损的信任代理应立即故障转移到冗余的信任代理。如果不能，那么它应该关闭失败——也就是说，如果它不能转移滥用行为，它应该断开与互联网的连接。更应选择支持采用这种方案的供应商。此外，注意验证供应商是否拥有自己的安全运营团队。

* 存储在本地的用户凭据数据可能允许攻击者观察并从设备中直接窃取信息。将设备身份验证与用户身份验证相结合的ZTNA架构将这种威胁降低到了一定程度——阻止攻击传播到设备本身之外。Gartner建议，在可能的情况下，任何ZTNA项目都应附带MFA。

* 考虑到信任代理失败和用户凭据的担忧，ZTNA管理员账户很容易受到攻击。限制管理员的数量并监控他们的活动，以减少内部威胁，并支持默认需要对管理员进行强身份验证的供应商。

* 一些ZTNA 供应商选择将他们的开发重点放在仅支持Web应用程序协议(HTTP/HTTPS) 上。事实证明，承载旧的应用程序和协议，对ZTNA 供应商开发和客户部署来说，都是更具技术挑战性的事情。

* 一些供应商已采用dTLS 来为实时通信应用程序提供更有效的传输。如果客户打算利用ZTNA上的实时应用程序，客户应确保其提供商支持此协议。

* 市场瞬息万变，较小的供应商可能会消失或被收购。

市场推荐

鉴于公共互联网所蕴含的重大风险——通过破坏暴露于公共互联网系统而获得企业控制权的吸引力——企业需要考虑将数字业务服务与公共互联网的可见性隔离开来。ZTNA 隐藏服务从而不被发现和侦察到，并建立了真实的、基于身份的屏障。事实证明，与传统的网络级VPN 和防火墙相比，攻击者要绕过这些屏障更具挑战性。

对于传统VPN 访问，寻找可以将目标用户组切换到通过ZTNA 执行其工作的场景，从而为改善组织的整体安全状况提供直接价值。在大多数情况下，可以从您的承包商和/或第三方访问开始，然后逐步替换向面向员工的应用程序访问，作为您替换VPN 可行步骤。ZTNA 项目是朝着更广泛的零信任网络（默认拒绝、零隐式信任）安全态势迈出的一步。具体来说，考虑到扩展网络连接的风险和当前上下文，在建立足够的信任之前，不应让任何访问可以连接（甚至看到）应用程序资源。

请注意，ZTNA 很重要，但只是零信任策略的一个组成部分。不要假设购买ZTNA（或任何产品）是您在实施通用零信任架构时必须做的唯一事情。

对于基于DMZ 的应用程序，评估哪些用户群需要访问。对于具有确定用户群的应用程序，计划在未来几年内将它们迁移到ZTNA 服务。将这些应用程序迁移到公共云IaaS 这种架构转变有推动作用。考虑将它们放置在一个私有IP 空间中，除非通过ZTNA 服务，否则无法访问，这不适用于ZTNA 的考虑范围。ZTNA适用于那些的面向公众人员或消费者的应用程序，因为这些面向公众的应用程序存在许可、账户和身份管理挑战。

云深互联专注于用SDP技术深耕用户零信任安全需求，助力帮助企事业单位解决业务上云、安全运维、分支机构的远程内网接入等安全需求，同时支撑企事业单位在攻防实战中的稳定运行。目前，已经为包括金融、能源、交通、运营商、医疗、制造业等众多世界500强企业提供服务。

近年以来，云深互联连续入选全球IT权威咨询机构Gartner的《零信任网络访问市场指南》、《软件定义边界SDP市场增长研究报告》等行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。

未来，云深互联将继续加大在零信任SDP领域的投入，不断加强和丰富产品和服务能力，为客户提供更优质的服务。让安全更简单，让网络更敏捷！

签约喜讯

零信任落地案例 | 云深互联成功签约某银行客户

零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户

零信任落地案例 | 云深互联成功签约某新能源开发企业客户

零信任落地案例 | 云深互联成功签约某集团控股药房客户

零信任落地案例 | 云深互联成功签约某运营商客户

零信任落地案例 | 云深互联成功签约某新能源集团客户

解决方案

① 场景解决方案

远程办公 | 为什么零信任是远程办公的未来趋势？

数字化转型 | 为什么企业数字化转型需要零信任?

分支结构远程办公 | 为什么分支机构远程办公需要零信任？

② 行业解决方案

金融行业 | 为什么金融行业需要零信任安全的解决方案?

运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？

医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？

教育行业 | 信息化时代，零信任如何帮教育行业化“危”为“机”？

能源行业 | 数字化时代，零信任是如何为能源行业保驾护航的？

云深漫说

【云深漫说】零信任解决了远程办公的哪些“坑”？

【云深漫说】兵临城下之攻防演练的防御之道

【云深漫说】“零信任”到底有何魔力，竟能让老板从哭到笑？？？

技术分析

一文了解零信任架构的3大核心技术

浅谈零信任的6大商业和安全益处

戏说零信任和0day之间的“爱恨纠缠”

对于不是“命中即跑”的APT，零信任是如何反击的？

对于数据安全，应该“防范于未然” 还是事后“救火”

云深互联

云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。