没有合适的资源?快使用搜索试试~ 我知道了~
Gartner零信任网络访问市场指南(2020版)
需积分: 50 10 下载量 64 浏览量
2022-04-25
11:02:39
上传
评论
收藏 296KB DOCX 举报
温馨提示
试读
15页
Gartner零信任网络访问市场指南(2020版)
资源推荐
资源详情
资源评论
Gartner 零信任网络访问市场指南(2020 版)
数字业务的现实是,它需要随时随地访问任何应用程序,而不管用户及其设备的位置如何。
而 ZTNA(零信任网络访问)恰恰使能了本不适合传统访问方法的数字业务转型场景。
尤其是对于那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、外部合作
伙伴进行连接和协作的组织,ZTNA 再适合不过。
ZTNA 削弱了网络位置的优势地位,消除了过度的隐式信任,代之以显式的基于身份的信
任。从某种意义上说,ZTNA 创建了个性化的“虚拟边界”,该边界仅包含用户、设备、应
用程序。ZTNA 还规范了用户体验,消除了在与不在企业网络中所存在的访问差异。最
关键的是,它还将横向移动的能力降到最低。
Gartner 旗帜鲜明地建议:安全和风险管理领导人应试点 ZTNA 项目以作为 SASE(安全访
问服务边缘)战略的一部分,或迅速扩大远程访问。同时也指出:尽管 VPN 替换是 ZTNA
采用的一个常见驱动因素,但 ZTNA 很少能完全替换 VPN。2020 版指南延续了 2019 版市
场指南中关于 ZTNA 产品的实现方式(端点启动和服务启动)和 ZTNA 产品市场的分类
方式(即服务产品和独立产品)。
虽然 Gartner 报告一贯前瞻,但该指南也罗列了一些务实的做法,即在零信任架构还无法全
面实现的情况下,如何使用现用技术提升安全性。这样的技术包括:传统
VPN、DMZ、PAM、WAF、虚拟桌面、远程浏览器隔离、CDN、API 网关。可参见本
文“ZTNA 备选方案”小节。
综合该指南中“市场建议”和“评估因素”章节内容,可以看出:为了构建一套基于零信任的完
整身份访问安全体系,应聚合人员、设备、程序等主体的数字身份、认证因素和 IT 服务资源
属性、环境属性、数据资源安全属性等数据,结合访问控制策略数据,形成统一身份数据视
图;应面向云、大数据平台、应用系统的服务与资源,建立基于资源属性的数字身份统一授权
管控策略,实现人机交互、系统间互访的统一授权管理,以及基于零信任的细颗粒度访问
控制;应集成多因素身份认证(MFA),支撑高强度身份认证;应集成用户行为分析
(UEBA),支撑对异常行为的发现与处置。这些都是不可或缺的要素。
本报告译自 2020 年 6 月份发布《Gartner 零信任网络访问市场指南(2020 版)》。虽
然从名称上看,这只是一篇市场指南,但其中言简意赅地反映了零信任的诸多技术要点和趋势,
值得技术专家了解和关注。
本想只做摘录,但原文很短,译文也就万言。故简单照搬,仅做少许结构调整。并无商业目的,
主要是与业界同步信息。若有不妥,请联系笔者删除。
本文目录
一、概述
1)主要发现
2)主要建议
二、市场定义和价值主张
1)ZTNA 市场定义
2)ZTNA 市场描述
3)ZTNA 价值主张
三、市场方向
1)端点启动的 ZTNA
2)服务启动的 ZTNA
四、市场分析
1)好处和用途
2)风险
3)ZTNA 评估因素
4)ZTNA 备选方案
五、代表性供应商
1)市场产品分类
2)即服务产品的供应商
3)独立产品的供应商
4)产品选择的趋势
六、市场建议
一、概述
01
主要发现
数字化业务转型要求系统、服务、应用程序编程接口、数据和流程能够通过多种机制
随时随地从互联网上的任何用户设备访问。这扩大了攻击者的攻击范围。用户和应用
程序已经在云中。因此,安全访问能力也必须向云交付发展。许多零信任网络访问产
品都是基于云的。传统网络、VPN、DMZ(非军事区)架构中用于建立访问的 IP 地址
和网络位置,通常配置为允许过度的隐式信任和未修复的漏洞,从而使企业面临攻击
风险。ZTNA 提供自适应、身份识别、精确访问。它削弱了网络位置的优势地位,消
除了过度的隐式信任,代之以显式的基于身份的信任。ZTNA 提高了应用程序访问的
灵活性、敏捷性、可扩展性,使数字业务能够蓬勃发展,而无需将内部应用程序直接
暴露在互联网上,降低了攻击风险。尽管 VPN 替换是 ZTNA 采用的一个常见驱动因素,
但 ZTNA 很少完全替换 VPN。组织通过 ZTNA,可以允许非受管设备和外部合作伙伴
安全地访问应用程序,而无需信任设备连接。最近向远程劳动力的转移,加速了
ZTNA 的采用,以解决传统 VPN 访问的硬件和带宽限制。
02
主要建议
负责基础设施安全的安全和风险管理领导,应该:
部署 ZTNA 产品,该产品依赖于多个上下文因素,以建立和调整应用程序级访问的信
任。停止那些主要依赖 IP 地址和网络位置作为信任的代理。如果您的传统远程访问
VPN 由于扩大的远程劳动力而遇到容量或带宽限制,请评估使用基于云的 ZTNA 来卸
载一些用例。替换面向员工和合作伙伴的应用程序的设计,这些应用程序将服务暴露
于直接的互联网连接。一个特别有益的用例是试点一种数字业务服务的 ZTNA 部署,
在该服务中需要合作伙伴能够访问。对不需要全面网络访问的用户,逐步淘汰基于传
统 VPN 的接入,并开始逐步采用 ZTNA。这减少了对支持广泛部署的 VPN 代理的持
续需求,并引入了无代理的身份和设备感知访问,这有助于从受管和非受管设备进行
访问。选择与通用多因素认证产品集成的 ZTNA 产品,将身份保证扩展到单一因素之
外,这是对基于上下文的自适应访问控制 ZTNA 原则的重要补充。选择与组织的安全
访问服务边缘(SASE)架构计划一致的 ZTNA 产品,或展示强大的供应商安全访问服
务边缘(SASE)产品路线图,以使未来的网络和安全,能从云端作为服务交付。
二、市场定义和价值主张
01
ZTNA 市场定义
Gartner 将零信任网络访问(ZTNA)定义为一种产品和服务,这些产品和服务创建了一个基
于身份和上下文的逻辑访问边界,该边界围住了一个用户和一个应用程序或一组应用
程序。
应用程序被隐藏以避免被发现,并且通过信任代理将访问限制为命名实体的集合。信任
代理在允许访问之前验证指定参与者的身份、上下文和策略遵从性,并最小化网络中其他位置
的横向移动。
ZTNA 消除了经常伴随其他形式的应用程序访问的过度隐式信任。
剩余14页未读,继续阅读
资源评论
流_浪_者
- 粉丝: 1
- 资源: 5
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功