代理http

零信任网络访问（ZTNA）是下一代访问解决方案，它将成为 IT 管理员工具包的重要组成部分，取代长期使用的虚拟专用网络（VPN）。 在为企业选择合适的 ZTNA 架构时，需要考虑众多因素和功能。 在本指南中，我们将详细介绍软件定义边界（SDP）和反向代理这两种主要架构之间的区别，以及如何成功评估它们。

代理http

多年来，VPN 一直是连接远程工作人员和业务应用程序的主要机制，但为什么企业现在选择迁移呢？ 简而言之，VPN 的架构无法提供抵御现代网络威胁和趋势所需的安全性。 根据 IDC 的数据，在涉及远程访问工具的重大事件中，有 68% 使用了 VPN，这使得降低风险成为许多企业的重要动机。

Gartner、Forrester 和许多其他分析师都认为，ZTNA 将成为取代 VPN 的技术，因为它不仅能提供全面的安全性，还能为企业带来生产力和运营效益。

到 2023 年，60% 的企业将淘汰大部分远程访问虚拟专用网络 (VPN)，转而使用 ZTNA- Gartner

31% 的组织目前正在考虑 ZTNA，19% 处于采用阶段none

了解转向 ZTNA 背后的用例至关重要，这样企业才能建立自己的评估标准。 ZTNA 有许多用例，包括应用访问、有条件访问、非托管和 BYO 设备启用等等。 在为企业选择 ZTNA 架构时，应考虑这些用例驱动的要求。

代理http

零信任 "的主要原则最早由杰里科论坛确立，可概括为五项原则：

• 不相信任何人- 在允许访问之前，所有用户和设备都必须证明其可信度。 这一点对企业至关重要，因此 Gartner 预测，到 2023 年，60% 的企业将淘汰大部分远程访问虚拟专用网络，转而使用 ZTNA。
• 核实身份要求- 终端用户的身份和认证是零信任安全的基石。 这一点非常重要，根据 Centrify 的数据，73% 的企业已就如何在远程工作时保持网络安全对员工进行了额外培训，并就验证密码和登录凭证进行了专门培训。
• 给你认识的人提供他们需要的东西- 每个用户的权限从零开始，只有在必要时才授予。 这也被称为 "最小权限访问"，让用户可以访问他们需要的工具，并防止他们连接到他们不需要的工具。 IDC 的一项调查发现，40% 的网络漏洞实际上源于授权用户访问未经授权的系统。
• 不要忽视设备- 要确保匿名、易受攻击或受损的设备无法访问企业资源，就必须提高设备意识。 IDC 发现，70% 的成功入侵源于终端。
• 进行区域防守- 从逻辑上隔离每个应用程序，并要求在允许访问每个应用程序之前进行身份验证和安全检查。 这些微型隧道对于防止横向移动至关重要，VMWare 发现近 60% 的攻击都是利用了横向移动。

代理http

每种架构都有不同的子类型，每种实现方式也略有不同，因此为了简单起见，我们将考虑 SDP 和反向代理的广义高级架构。

软件定义周边（SDP）

软件定义外围（在 Gartner 的市场指南中也称为端点启动的 ZTNA）基于云安全联盟的架构. 在这种设计中，一个应用程序被安装在授权的终端用户设备上，它与 ZTNA 控制器共享有关设备及其安全上下文的信息。 该安全上下文包括有关设备、用户身份的详细信息，以及其他可表明是否应扩展信任的信息。 如果提供的所有信息都符合组织的政策，用户将被允许访问请求的应用程序。

ZTNA 控制器会拒绝任何应用程序的访问，直到完成身份验证；在此之前，网关不允许任何流量流动。 由于网关会丢弃未经认证的用户和设备发送的所有流量，因此它能有效地使应用程序隐形。

反向代理

nonenone它的运行方式与 SDP 非常不同，关键是不需要端点代理。

代理http

高层架构之间有许多重要的差异；但是，对单个解决方案的评估不应导致未经评估就否定供应商。 并不是所有的服务都是一样的，每个方案的优点和缺点都可能是开发团队经过精心设计的。

none

此外，一些企业可能会倾向于使用反向代理服务，因为它们不使用设备管理器或拥有大量 BYOD 用户。 从理论上讲，这是有道理的，因为 SDP 需要安装客户端，但一些开发人员已经解决了这一限制。 简便的注册技术和隐私保护技术可以让终端用户轻松部署客户端。

彻底审查架构非常耗时，但这对确定企业的可选接入解决方案至关重要。 ZTNA 解决方案将成为下一代数字化转型的核心，因此选择正确的解决方案至关重要。

代理http

软件定义的边界和反向代理架构是供应商在 ZTNA 解决方案中最常见的两种模式。 乍一看，它们似乎没有什么区别，但正如本指南所强调的，它们在工作方式和工作内容上存在差异。

总体而言，SDP 解决方案似乎提供了更好的安全性、更灵活的网络和更广泛的应用支持。 不过，对每种解决方案都应进行适当的审查，因为供应商对每种架构的实际实施都会对服务的功能和性能产生重大影响。