2019 年 4 月，Gartner 首次推出零信任网络访问（ZTNA）的概念。研究发现，ZTNA是网络安全中增长最快的部分，预计到 2023 年将增长31%。Gartner 预测，到 2025 年，至少 70% 的远程访问部署将依赖 ZTNA 而不是 VPN。

ZTNA 可根据已定义的访问控制策略对应用程序和服务进行远程安全访问。与VPN不同，ZTNA 默认拒绝对LAN的完全访问，仅提供对用户明确授予服务的访问权限。简单来说，ZTNA 不相信任何内容，认为没有网络分段是生来安全的，其通过基于身份的验证来建立信任并提供访问，同时保持IP地址的隐藏。

ZTNA 是如何工作的？

ZTNA 架构包含几个组件：

SDP 代理：仅允许出站连接，以确保网络和应用程序对未授权用户不可见，代理可以是设备或云服务。
云网关：云部署的全球分布式网关安全连接至企业网络和云/SaaS 目的地。
客户端：用于最终用户设备的 SASE 客户端软件，还提供无客户端部署。
身份验证服务：与企业的现有用户、设备凭据管理和身份验证服务进行互动。
自我管理门户：提供对用户和应用程序的管理可见性和控制权。
传输：有线、无线、移动数据互联网或内部网连接。

与以网络为中心的解决方案不同，ZTNA 技术提供对特定应用程序的安全访问。这些安全解决方案基于四个核心原则工作：

最低权限原则：每个用户都拥有执行任务所需的最低权限级别，防止未经授权的用户访问敏感数据。
微分段：将网络划分为多个区域，为不同的区域定义不同的安全策略。
多因素身份验证：需要用户使用两种不同的方法来验证其身份。
监控：持续监控是 ZTNA 的另一个关键部分。零信任网络访问使用高级分析来监控网络和应用程序中的用户行为，当检测到异常行为时，会拒绝访问。

ZTNA 通过多种方法应用这些原则：

将应用程序与公共互联网隔离： ZTNA 的特点之一是将应用程序访问与网络访问隔离，并且仅授予经过验证的用户对特定应用程序的访问权限。
对未授权用户隐藏应用基础设施： ZTNA 确保对未授权用户隐藏网络和应用基础设施，不会将 IP 暴露给公共互联网。
在应用层代理的访问：与其他解决方案不同，ZTNA 访问发生在应用层。这意味着可以仅根据需要授予用户对应用程序的访问权限。
持续监控和自适应执行：当用户获得访问权限时，访问控制不会停止。ZTNA 解决方案将提供自适应身份验证，在整个会话期间都会检查用户的授权。

ZTNA vs. VPN vs. SDP vs. SASE/SSE

ZTNA 与 VPN

VPN 控制对网络的访问，而不是网络上的单个资源。VPN 是基于设备的，这意味着通过 VPN 控制器的访问后，也将被允许访问其背后受保护网络上的所有资源。传统上，如果要实现多个隔离环境，需要为每个环境配备一个 VPN 控制器，彼此分开管理。

相比之下，ZTNA 将通过一个策略引擎管理对所有资源集的访问，并通过同一组策略执行集合执行这些策略。

ZTNA 与 SDP

ZTNA与SDP ( 软件定义边界 ) 都有相同的目标：只有当策略明确允许数据包流动时，才允许数据包在网络实体之间流动。它们之间的区别很小，因此可以将 ZTNA 视为 SDP 2.0。

ZTNA 与 SASE/SSE

SASE 是一个更广泛的概念，ZTNA 只是SASE和SSE（安全服务边缘）相关的主要功能支柱之一。SASE 还包括云访问安全代理功能、安全 Web 网关功能、防火墙即服务功能和 SD-WAN 功能。

ZTNA厂商

国内外，从零信任政策及标准逐步落地，到互联网科技巨头厂商积极布局，市场逐渐开始内卷，收购兼并成为目前市场的主旋律。以下是一些零信任市场的玩家盘点（排名不分先后）：