零信任平台的未来：整合和集成 创建更成熟、全面的零信任架构

随着数字化业务的快速发展，企业面临着越来越复杂的网络安全挑战。在这种情况下，零信任技术已经成为一套完整且成熟的框架型安全解决方案。它不仅能对外保护业务，对内保护数据，还能在技术应用中展现出极强的融合拓展能力。

零信任技术在落地过程中需要考虑多种因素，如业务需求、安全策略、技术选型、系统集成等。因此，组织需要为不断复杂的数字化业务找到一种合理且能够顺利落地的框架型解决方案。

日前，基于对全球零信任市场上头部零信任平台供应商的系统调研，研究咨询公司Forrester发布《The Forrester Wave™: Zero Trust Platform Providers, Q3 2023》报告，概述了对当前零信任平台市场中的竞争格局洞察。

此前，Forrester在上一季度发布的《The Zero Trust Platforms Landscape, Q2 2023》报告中曾提出，过去许多零信任供应商将零信任功能作为独立的产品交付，现在他们在落地实践过程中通过持续研发、并购实现了更多能力上的集成，从而让零信任平台化发展，其目的将不仅仅落地零信任核心原则和基础功能，更是在于帮助实现零信任实践所需的整体认知和流程上的优化。

在本次的报告中，Forrester再次强调了自身对零信任平台化发展趋势的判断。报告指出，当前许多组织正在开发策略并创建实施成熟零信任架构的路线图，其中大部分企业用户都面临着供应商无序扩张、功能重叠和安全漏洞等方面问题。因此，有必要在不影响功能的前提下，对技术实现整合集成，实现统一的管理。

零信任平台（ZTP）通过提供一个统一、全面的方法来实现零信任技术生态系统的运营，从而实现零信任的目标。无论是在零信任建设的早期阶段，还是在关键成熟阶段，零信任平台都能够将离散的功能联合起来，并提供补充的功能和服务，以丰富跨职能操作并简化零信任架构的落地。

事实上，单一的解决方案并不足以提供实现有效零信任架构所需的全部功能。零信任平台整合了关键的零信任功能，而不再是一个个独立的插件工具。通过原生和第三方集成建立了一个更和谐的架构，这种集成并不代表着去替代原有的工具，而是整合和聚焦。

基于以上趋势判断，Forrester认为，零信任客户应该重点寻找符合以下标准的平台型提供商：

许多供应商都声称提供集中管理的功能，但供应商们很少提供覆盖多个零信任组件的统一用户界面。事实上，合并不仅可以创建统一的控制平面，还可以提供原生工具和服务来帮助、训练并提高对网络安全意识，确保零信任最佳实践与行业标准和要求保持一致。

在云计算蓬勃发展的格局下，企业用户逐步将资源迁移到云中，基于边界的网络防御架构已经成为了过去式。在可预见的未来，包括本地、云和虚拟环境在内的混合架构将成为绝大多数组织需要保护的目标。因此零信任平台供应商也必须不断迭代其产品，以满足云、虚拟和本地需求，通过提供关键安全组件的灵活部署模式，帮助用户实现更高效的管理。

零信任网络访问（ZTNA）和微隔离技术是实现零信任框架的重要基石和技术。它们支持零信任的核心原则，即强制实施最少特权、隐式拒绝访问和提供全面可见性。ZTNA通过提供对基于云的软件即服务（SaaS）和本地资源的安全端到端访问，消除了对传统虚拟专用网络（VPN）的依赖。这种技术使组织能够更加灵活地进行网络访问控制，从而提高网络安全性。

ZTNA还可以提高网络访问的效率，使员工能够更快地访问所需的资源。微隔离技术则通过创建微边界实现对资产和应用程序的精细访问控制。这种技术可以使组织在不影响员工和业务运营的情况下部署零信任框架。微隔离技术可以提供更强的安全性，因为它可以隔离不同应用程序之间的访问，从而防止应用程序之间的数据泄露。通过结合ZTNA和微隔离技术，组织可以实现更加灵活、安全和高效的网络访问控制。这种技术可以为组织提供更加全面的网络安全保护，从而降低网络攻击的风险。

此次被分析评估的14家厂商包括Absolute Software、Akamai、Broadcom、Check Point、思科、Cloudflare、Forcepoint、Fortinet、谷歌、微软、Palo Alto Networks、趋势科技、VMware和Zscaler。其中，Palo Alto Networks、Check Point和微软三家厂商被Forrester评选为零信任市场头部领导者。

值得关注的是，报告深度分析了当前14家零信任平台供应商各自的优势和不足，为客户提供了详细的采购建议，对包括国内的安全厂商的发展路径也具有一定的参考价值。

Palo Alto Networks一直以来都是业内技术创新的引领者，Palo Alto Networks零信任框架（Zero Trust Framework）利用Prisma、Strata和Cortex解决方案，提供统一管理和AI技术来改善安全运营。Palo Alto Networks的愿景是要帮助企业开始零信任建设，以解决组织在从规划阶段转向实施阶段时所面临的挑战。

Palo Alto Networks的零信任框架满足混合架构的需求。以服务形式部署的Prisma Access能够让员工更安全地注册、验证和访问资源。agent和agentless部署选项提供单一登录（SSO）功能，可以从多个身份和访问管理（IAM）解决方案中获取属性，以整理和简化用户输入凭据和验证的方式。分析师认为，Palo Alto Networks的零信任框架更适用于零信任建设较为成熟的大型企业，他们会有更充足的预算来大采购更高级的安全功能。

微软的零信任架构已经在内部打磨了许多年。其将零信任方法嵌入到了 Azure 功能中，这意味着客户可以与微软同步开启零信任建设。其 Copilot 规划出了一个全新的路径，即利用人工智能技术为实施零信任提供端到端、分步指导。

微软通过与第三方供应商的集成和互操作性来补充零信任生态系统的能力，以提供对数据使用和传输的粒度控制。但微软的劣势在于，目前微软缺乏有说服力的微隔离或真正的零信任网络访问解决方案，即使微软生产计划最终开发这些能力。分析师建议，微软的零信任方案更适合已经在使用微软的E5许可证进行安全功能建设的用户，通过微软的附加功能能够更平顺的展开早期零信任的建设。

虽然许多安全厂商正在将焦点转向全云上服务，但Check Point一直关注在混合架构中支持零信任当前和未来的需求。其零信任平台组件能够以包括硬件、软件、SaaS和虚拟环境的方式部署，以满足用户差异化的架构要求。

Check Point的用户界面无论管理员是在Infinity Portal上还是在各个组件上操作，都能提供一致的体验。其Check Point Infinity Portal操作十分便捷，每个组件在一个单一的管理控制台上进行集中管理，并根据支柱进行分类，以减少在切换不同解决方案时的复杂性。

在过去三年中，Zscaler在ZTNA和为企业的远程员工提供安全访问方面做出了很大的贡献，但其一直缺乏本地化的案例。Zscaler的零信任平台集成了其Web安全网关（SWG）、数据防泄漏（DLP）、零信任安全访问（ZTNA）和云访问安全代理（CASB）功能。ZscalerZscaler努力通过其客户端连接器进行整合，该连接器通过单个代理控制和管理Zscaler互联网访问（ZIA）和Zscaler专用访问（ZPA）。但是，ZIA和ZPA仍然被视为两个单独的组件，而不是单一的解决方案，因此客户需要处理两个单独的控制中心，其中还“有一些重叠”。此外，Zscaler的零信任交换仍然是一个以云为中心的解决方案，在Zscaler Branch Connector之外没有真正的本地部署选项。

趋势科技已经从一家反病毒解决方案提供商成长为一家网络、端点和应用程序/工作负载的安全控制和可见性方面都有所涉猎的巨头。提供针对高级威胁的可见性和检测能力是趋势科技 Vision One 的优势所在。分析师所需的大部分信息都可以在单个控制台中访问。该控制台提供基于用户和设备行为的风险评分指标，通过集成在平台或第三方解决方案中准确创建基于风险的策略。

其 ZTNA 和 SWG 功能可在网络级别实现微隔离，但该解决方案缺乏考虑到IP基础和应用程序之间的通信来有效地执行微隔离的能力。因此分析师认为，需要高级威胁可见性和检测解决方案以建立安全基线的组织应重点考虑趋势科技提供的零信任方案。

事实上，谷歌也已经从一个搜索引擎公司发展成为头部的云供应商、安全供应商和零信任倡导者，并推出了BeyondCorp产品。得益于其合作伙伴生态系统的不断扩展和云原生能力，谷歌的路线图侧重于持续扩展合规性覆盖范围、合作伙伴集成、云原生安全功能以及安全的企业浏览器。因此，选择谷歌零信任平台的用户需要考虑BeyondCorp Enterprise和Google Cloud Platform的独立即用即付组件是否足以满足混合和本地环境。

谷歌的零信任架构是对信息安全模型核心原则有效应用的证明。谷歌支持并保护在每台设备上使用Chrome的员工，提供无代理功能来保护用户及其交互。对于所有采用谷歌云基础架构和Chrome的组织来说，Google BeyondCorp Enterprise是一个理想的选择。

Cloudflare 的零信任平台Cloudflare One，统一了ZTNA，CASB，DLP和WAF的可见性和管理功能，作为访问代理和域名系统反向代理，Cloudflare One 在提供集中和整合的平台来管理和编排其许多云原生解决方案方面做得很好，能够实现易用性和更快的部署。其各种网络、DLP和访问控制策略都能够在一个控制台中进行管理，使客户能够对最新的威胁进行快速的防护处置。

但Cloudflare的部署模式仅限于SaaS模式，因此，对于正在进行云优先倡议以主动迁移资源并替换遗留广域网和VPN解决方案的中型到大型企业，应考虑Cloudflare One零信任方案。

Akamai 在 2021 年通过收购Guardicore成为了零信任平台提供商，Akamai的零信任安全平台由其 ZTNA、SWG和微隔离技术组成，并集成了包括其多重身份验证 （MFA） 和 WAF（Web 应用程序和 API 保护）解决方案在内的功能。

其 Akamai Guardicore 仍然是重视微隔离可见性和原生防火墙功能的企业比较关注的点。此外，Akamai的技术生态系统还能够与第三方解决方案集成。

思科的零信任平台由Duo，身份服务引擎（ISE），安全客户端，安全工作负载，Umbrella以及由其pxGrid和产品API集成的其他思科解决方案组成。Duo 通过上下文策略有效地对所有员工强制实施最低特权。它可以集成到ISE中，而无需代理，这使得无密码的MFA支持本地和远程工作队的紧密SSO成为可能。

然而，思科的零信任平台缺乏真正的集中管理功能，其分散的控制平面，需要大量的时间来管理和维护。因此分析师认为，思科的零信任平台更适用于在思科技术生态系统中投入较多的企业用户。

Fortinet 的组件都利用了其 FortiOS操作系统，该 FortiOS 因其易于使用、实施和管理，使得用户能够轻松上手，其管理员能够通过FortiManager实现跨云、虚拟和本地环境获得对 FortiGates和FortiAnalyzer的更大可见性和控制力。

此外，Fortinet可以支持混合网络，在本地环境中表现出色。然而，云部署并不十分突出，其CASB等功能尚未开发完全，影响了其提供有效工作负载/应用程序安全性的能力。分析师认为，拥有Fortinet网络安全解决方案的任何规模的企业都将从Fortinet产品中获得价值。

Absolute Software零信任解决方案基于供应商的Secure Endpoint和Secure Access解决方案，与SWG紧密集成。由于该解决方案默认情况下被嵌入到设备中，供应商能够为依赖单个代理执行访问和合规策略的管理设备提供有效的数据和设备安全。

Absolute Software软件要求端点在设备上安装和/或注册代理，但非托管端点不会获得任何真正的无代理或无客户端替代方案，以实现有限的资源访问Absolute Software不优先考虑静态数据安全性，仅通过第三方集成提供全磁盘加密。因此，具有更严格要求并希望将网络访问控制功能扩展到端点的组织应考虑Absolute Software提供的零信任方案。

Broadcom的Symantec 零信任平台集成了旗下多款成熟的产品，如CASB；云安全网关（CSG）；ZTNA；身份、凭证和访问管理；端点和DLP。其平台具备包括云、本地和混合网络在内的多种部署方式。其平台中的CSG和CASB组件特别值得一提，它们具有反向代理和广泛的应用程序覆盖范围，无需第三方集成。其DLP功能为客户提供了在端点、云或本地执行扫描的选项，从而为复杂环境中的特定部署要求提供了条件。

Forcepoint成立之初是一家网络安全经销商，通过兼并和收购，成为一家专注于数据安全、ZTNA、SWG和RBI的平台安全供应商。Forcepoint的战略主要侧重于增强其零信任边缘（ZTE）产品，以保持更强大的本地网络安全。

Forcepoint在零信任相关领域提供多种产品，如数据分类、DLP、用户行为分析、ZTE和防火墙等。其能力与该领域的其他供应商相当，但从平台角度来看是相对滞后的，因为SOC分析师需要整合关联不同的遥测信息，影响了其实时响应事件的工作效率。

VMware 以提供灵活的虚拟机部署能力而闻名。VMware在大多数组织部门（例如，安全、企业 IT 和基于供应商虚拟机的产品）中的客户群通过网络安全解决方案（包括基于 NSX 软件的防火墙）提供了对虚拟网络和端点的深入威胁可见性。

VMware的工作负载保护能力在云、多云和混合部署中得到广泛使用，其产品提供的所有功能中都包含云配置管理、安全、治理和生命周期管理。然而，VMware没有真正在零信任平台中统一其不同的解决方案。利用VMware解决方案的组织，特别是对虚拟化环境或有自我托管要求的组织，建议考虑VMware的零信任解决方案。