在新冠肺炎爆发期间，VPN暴露出了作为远程访问安全方案的不足。零信任网络访问方案（简称“ZTNA”），因其秉持“持续验证，永不信任”的原则，默认不信任网络内外的任何人、任何设备及系统，基于身份认证和授权，重新构建访问控制的信任基础等特点，受到越来越多企业的青睐。

　　虽然零信任网络访问（ZTNA）解决方案有很多优点，但企业在采购零信任解决方案时，仍要仔细考量在混合工作环境的适应性、数据丢失保护（DLP）、高级威胁保护（ATP）、可见性等方面的性能，避免各种陷阱，确保所选方案能够满足企业安全的实际需求。以下是企业选型时，需要重点关注的5个关键问题。

　　1. 能否适用混合工作环境（包括远程办公）？

　　企业在选择合适的零信任解决方案时，性能至关重要。新冠肺炎疫情爆发初期，许多组织投入巨资扩展其VPN容量以适应远程工作，但现在由于许多工作场所已过渡到混合环境，基于本地设备的VPN将配置和扩展的负担交给了消费组织。为了规避风险，企业用户应该寻求一种ZTNA解决方案，允许运营所需的基础设施由公共云中的解决方案提供商托管。

　　寻找一个公共的、云托管的ZTNA解决方案只是一个开始，安全团队还需要仔细审查解决方案，以确保其响应能力和可靠性符合业务需求。为此，消费组织应根据其典型用户群（包括全球不同地点的用户）对其进行评估，并检查是否存在潜在风险。优秀的解决方案，是不管用户身在何处，都能够应对流量高峰，并拥有可认证的高可用性。

　　2. 能否实时识别和防止不需要的暴露/泄漏？

　　企业选择ZTNA解决方案，不仅仅要求其在事件发生后提醒他们。相反，它必须提供实时执行以避免数据丢失。在向远程工作环境转移的过程中，由此导致非托管个人设备使用激增，防止敏感信息泄露成为安全团队面临的众多挑战之一。

　　这也是为什么企业在选择ZTNA解决方案时，需要重点考虑该技术能否成功执行DLP（数据丢失保护）策略，以下载和上传（如有必要）本地资产的关键所在。为了能够在整个企业组织IT基础设施中实施零信任规则，安全团队必须确保解决方案变得更加精细，并且可以根据位置、用户类型和其他身份元素等进行恰当配置。

　　3. 能否实时帮助高级威胁防护？

　　APT（高级威胁防护）是ZTNA解决方案的另一个重要组成部分。恶意软件很容易在员工不知情的情况下上传到文档中，它可以通过下载传播到其他设备和用户。一旦发生这种情况，如果没有合适的技术，威胁行为者就可以在整个组织中横向移动。

　　这就是为什么在ZTNA解决方案时，要重点考察其是否能够实时阻止恶意软件上传、下载和传播的原因。如果在远程办公环境中，不需要在远程用户设备上安装安全软件，ZTNA解决方案就能够实时阻止恶意软件的上传和下载，实现高级威胁防护，对于用户来说，无疑是个好消息。

　　4. 是否有助于监管合规？

　　企业组织应考察ZTNA解决方案是否提供实时可见性和控制，以帮助他们证明合规性。选择那些能够实现简单SIEM集成和可导出日志的解决方案，有助于扩展对企业内部网络其他部分的可见性。这些功能包括完整的日志，用于观察托管和非托管设备的所有文件、用户和应用程序活动（包括设备类型、IP地址、位置和访问时间）等。

　　5.能否融合到主流综合平台？

　　对于ZTNA解决方案的战略投资，需要确保所选技术是安全综合平台的一部分，例如安全访问服务边缘（即SASE，是Gartner在2019年首次描述的网络安全概念，它整合了传统上不同的网络和云服务）平台。该平台可以在一个统一的、基于云的平台中，使用各种安全技术来保护设备、应用程序、Web目标、本地资源和基础设施之间的交互。