在新冠肺炎爆發期間，VPN暴露出了作為遠程訪問安全方案的不足。零信任網絡訪問方案（簡稱“ZTNA”），因其秉持“持續驗證，永不信任”的原則，默認不信任網絡內外的任何人、任何設備及系統，基于身份認證和授權，重新構建訪問控制的信任基礎等特點，受到越來越多企業的青睞。

　　雖然零信任網絡訪問（ZTNA）解決方案有很多優點，但企業在采購零信任解決方案時，仍要仔細考量在混合工作環境的適應性、數據丟失保護（DLP）、高級威脅保護（ATP）、可見性等方面的性能，避免各種陷阱，確保所選方案能夠滿足企業安全的實際需求。以下是企業選型時，需要重點關注的5個關鍵問題。

　　1. 能否適用混合工作環境（包括遠程辦公）？

　　企業在選擇合適的零信任解決方案時，性能至關重要。新冠肺炎疫情爆發初期，許多組織投入巨資擴展其VPN容量以適應遠程工作，但現在由于許多工作場所已過渡到混合環境，基于本地設備的VPN將配置和擴展的負擔交給了消費組織。為了規避風險，企業用戶應該尋求一種ZTNA解決方案，允許運營所需的基礎設施由公共云中的解決方案提供商托管。

　　尋找一個公共的、云托管的ZTNA解決方案只是一個開始，安全團隊還需要仔細審查解決方案，以確保其響應能力和可靠性符合業務需求。為此，消費組織應根據其典型用戶群（包括全球不同地點的用戶）對其進行評估，并檢查是否存在潛在風險。優秀的解決方案，是不管用戶身在何處，都能夠應對流量高峰，并擁有可認證的高可用性。

　　2. 能否實時識別和防止不需要的暴露/泄漏？

　　企業選擇ZTNA解決方案，不僅僅要求其在事件發生后提醒他們。相反，它必須提供實時執行以避免數據丟失。在向遠程工作環境轉移的過程中，由此導致非托管個人設備使用激增，防止敏感信息泄露成為安全團隊面臨的眾多挑戰之一。

　　這也是為什么企業在選擇ZTNA解決方案時，需要重點考慮該技術能否成功執行DLP（數據丟失保護）策略，以下載和上傳（如有必要）本地資產的關鍵所在。為了能夠在整個企業組織IT基礎設施中實施零信任規則，安全團隊必須確保解決方案變得更加精細，并且可以根據位置、用戶類型和其他身份元素等進行恰當配置。

　　3. 能否實時幫助高級威脅防護？

　　APT（高級威脅防護）是ZTNA解決方案的另一個重要組成部分。惡意軟件很容易在員工不知情的情況下上傳到文檔中，它可以通過下載傳播到其他設備和用戶。一旦發生這種情況，如果沒有合適的技術，威脅行為者就可以在整個組織中橫向移動。

　　這就是為什么在ZTNA解決方案時，要重點考察其是否能夠實時阻止惡意軟件上傳、下載和傳播的原因。如果在遠程辦公環境中，不需要在遠程用戶設備上安裝安全軟件，ZTNA解決方案就能夠實時阻止惡意軟件的上傳和下載，實現高級威脅防護，對于用戶來說，無疑是個好消息。

　　4. 是否有助于監管合規？

　　企業組織應考察ZTNA解決方案是否提供實時可見性和控制，以幫助他們證明合規性。選擇那些能夠實現簡單SIEM集成和可導出日志的解決方案，有助于擴展對企業內部網絡其他部分的可見性。這些功能包括完整的日志，用于觀察托管和非托管設備的所有文件、用戶和應用程序活動（包括設備類型、IP地址、位置和訪問時間）等。

　　5.能否融合到主流綜合平臺？

　　對于ZTNA解決方案的戰略投資，需要確保所選技術是安全綜合平臺的一部分，例如安全訪問服務邊緣（即SASE，是Gartner在2019年首次描述的網絡安全概念，它整合了傳統上不同的網絡和云服務）平臺。該平臺可以在一個統一的、基于云的平臺中，使用各種安全技術來保護設備、應用程序、Web目標、本地資源和基礎設施之間的交互。