谷歌云、亚马逊AWS、微软Azure纷纷推出零信任网络访问服务，为客户提供云原生安全保护。

前情回顾·零信任技术全面普及

为实现零信任，美国联邦政府三年采购超34亿元网络安全产品美国防部零信任架构试点成功，将在2个月内全面投产

迈向“零信任”！美国白宫计划开发实时信任评分系统Forrester：零信任网络访问 (ZTNA) 已成为标志性安全技术

安全内参8月11日消息，多年来，零信任倡导者一直在推动废除VPN，主要是因为VPN提供了过多（隐含的）访问权限，可能成为恶意活动的入口。

VPN替代技术是零信任网络访问（ZTNA）。目前，大多数组织都在采用ZTNA实现零信任。ZTNA在疫情期间十分火爆，但火爆原因并不是安全性：使用ZTNA，远程用户就不再需要将始终保持连接的VPN流量通过企业内部的安全堆栈。ZTNA既能提高生产力，也能增加安全性。

三大公共云服务提供商，亚马逊网络服务（AWS）、谷歌云和微软Azure，现在都提供云原生ZTNA服务。下面将详细讨论每家超大规模云服务商提供的ZTNA服务。

Google BeyondCorp

谷歌的零信任访问服务名为BeyondCorp。值得一提的是，谷歌早早在市场上提供零信任访问解决方案，很可能还是最早这样做的供应商。

BeyondCorp与谷歌生态系统其他部分结合时效果最好。例如，BeyondCorp软件客户端就是安装在您计算机上的谷歌Chrome浏览器。这是BeyondCorp的独特之处。

AWS Verified Access

今年4月，AWS推出了自家的ZTNA服务，名为Verified Access。长期以来，AWS一直将VPN直接连接到虚拟产品控制器（VPC）。这样做的确很赞。但是，他们现在有了零信任访问，可以让用户直接访问应用程序。

与几乎所有其他按用户收费的服务不同，AWS是按使用量（按小时）收费。费用取决于连接的应用程序以及正在处理的数据。目前，该服务无法保护企业内部应用程序，所以它更适合那些完全采用云计算的组织。

微软Private Access

今年7月，微软发布重大安全服务大公告。这家供应商将Azure AD更名为Entra，方便与Active Directory区分。微软还进入了不断壮大的安全服务边缘（SSE）市场，与Zscaler、Netskope、Cloudflare、Menlo、Lookout、iboss等展开竞争。安全服务边缘是一套保护远程用户的技术（包含ZTNA）。

事实上，微软多年来一直有一个名为Conditional Access的ZTNA功能。它可以与在Azure中托管的应用程序一起使用，但管理员也可以通过一个EXE连接器将其配置，为企业内部应用程序提供ZTNA。如果用户有合适的许可级别，这项服务是免费的，但它仅限于Web应用程序。对于需要所有端口和协议来支持VOIP等事项的大型组织来说，这是一个硬伤。

Conditional Access功能是新的Private Access服务的核心。目前，它至少可以处理任何TCP应用程序，但仍然存在一些重要的限制，比如无法为M365提供IPv6隧道支持，也缺乏QUIC支持。这是相当大的问题，因为QUIC是Exchange Online使用的协议。

最后

虽然三家超大规模云服务商现在都提供原生ZTNA服务（阿里云也有，但仅限于国内），但是企业很可能只在特定情况下使用。与其他云安全服务仅嵌入基础架构不同（比如DDoS防护），ZTNA是面向用户的，需要在终端上使用客户端代理。

许多企业级客户是多云/混合云环境，他们需要一套良好体验的零信任解决方案，并且能通过单一客户端代理来实现，因此企业可能需要寻求第三方供应商。

参考资料：forrester.com