“零信任（Zero Trust）”毫无疑问是当今网络安全界的“C位”，但无可否认的是零信任在如火如荼的发展中，也出现了一些杂音，让最终的客户选择困难。国际知名调研机构Gartner也在最新的报告中指出了这一点。换句话说，当前能落地、有弹性、业务紧密结合的零信任解决方案不可多得。近期，资深企业IT博主“老韩”在深度评测Fortinet ZTNA解决方案之后，让我们看到了一个零信任行业标杆。

近几年来，随着疫情的发展以及云计算、人工智能等技术的演进，混合办公模式兴起、企业业务云化迁移，传统企业架构也在被颠覆。“边缘无处不在”、“威胁无处不在”，勒索、钓鱼等攻击频发，全球网络安全态势日趋严峻。零信任架构成为了整个行业风向标，一时间从厂商到客户都把目光锁定了零信任，积极探索。毋庸置疑，零信任确实是当前解决网络安全威胁无处不在的有效方式，客户更加需要能够真正落地的产品和方案。

在这样的背景下，零信任并不局限于某一种技术或产品，归根结底其需要应用于企业业务。大幅提升安全态势和网络弹性、简化和保护用户混合办公环境、简化网络安全、随时随地提供一致的安全控制和用户体验，是零信任的核心价值。而其实现不必执着于追求“完美无缺”的网络环境，行之有效的零信任策略关键在于能够帮助企业在安全需求和业务需求之间谋求最佳平衡。

经过深入的测试体验，在这些关键点上“老韩”深有体会。以解决远程访问业务的需求为例，相比当下那些让人眼花缭乱的零信任产品和方案，Fortinet的ZTNA解决方案核心组件还是过去的SSL VPN方案里的FortiGate、FortiClient和FortiClient EMS这些产品，但它们能够通过固件升级获得ZTNA场景的功能集，客户无需购买新的产品。

方案获得ZTNA加持后，能够实现动态安全管控，亦即方案根据终端状态实时调整是否继续授予其访问权限，这也是零信任理念的核心能力。同时，方案实现减少攻击平面和业务隐藏的目的，实现对威胁从3层到7层的彻底阻断，而这是SSL VPN几乎不可能实现的。通过Fortinet ZTNA解决方案实现的远程访问，用户只需要通过验证即可进入应用，相比SSL VPN需要各种配置来说，ZTNA还有体验流畅、使用简洁的优势。

方案不但能够通过简单的开启ZTNA功能实现跃迁，而且在核心的策略管理方面也是独辟蹊径、操作简洁。方案通过各种维度的“标签”描述一套安全访问模型即可完成零信任策略的制定、下发和响应。当前系统已经支持丰富的配置标签策略类型，比如可以根据客户端防火墙状态、系统补丁完整度或者运行中的特定进程，甚至登录的社交平台账号都可以做成限定“标签”，实现根据终端“标签”进行业务访问控制。

更值得一提的是，Fortinet ZTNA解决方案并非替换SSL VPN，而是实现ZTNA和VPN共存。因为该方案的实现只有“启用”这个操作，而启用ZTNA后已有的SSL VPN丝毫不受影响，二者可以共存。这一点对于客户至关重要，因为一般ZTNA产品方案更善于HTTP协议相关业务，而拥有“共存”能力的Fortinet的ZTNA解决方案，除了HTTP协议，还支持TCP代理模式下的SSH、RDP、包括VNC等应用。

此外，Fortinet ZTNA解决方案不但做到了能力“共存”，在使用体验上也完全做到了无缝融合。TCP代理模式下仅仅需要完成认证即可直接访问使用。同时，因为整个环境依然保留着SSL VPN和混合云网SD-Branch结构，能够完美兼容，这样一来无论是访问内网业务，还是访问海外SaaS整个方案都能够做到轻松、无感、自由的切换，达到体验、安全的完美状态。

也正因为此，该方案能够无差别访问部署在多云的业务，在Fortinet的ZTNA解决方案里，不管业务分布在多少节点，只要FortiGate对接到同一台FortiClient EMS，就能实现单终端通过ZTNA访问多云业务的能力。当下这种能力对于企业来说至关重要。因为多云已经是大多数企业业务的常态，而如果通过传统VPN访问多云环境中的业务，要么先把云网打通，而这是一个大工程；要么就得在不同的云上都部署VPN网关，根据业务定向接入，使用起来非常麻烦。

虽然“老韩”的评测首先放在了代理接入和终端动态评估等ZTNA基础能力，并未对“安全”这一点着墨太多，但这一点恰是其认为Fortinet优于友商的压轴“亮点”。因为一般同类产品通常都会打包恶意代码检测、DL、威胁情报等很多安全功能，扩充控制引擎对终端安全性的评估维度。评估维度越丰富，ZTNA的管控能力就越强大，效果也就越好。

Fortinet解决方案并非不提供这些安全能力，只不过其采用了更加灵活的思路，通过Fortinet Security Fabric架构把网络能力和安全能力“乐高”模块化，客户需要什么，就把“乐高”拼成什么样子，再把工作流打通即可。这也是 Gartner认为未来的企业IT产品方案的形态，也是其最新理念网络安全网格架构（CSMA）的核心。而Fortinet Security Fabric架构也被Gartner认为是目前CSMA最佳实践。

总结来说， Fortinet的ZTNA解决方案功能全面、场景适应性比较强，更有着很好的扩展性。并且无论商务还是实施层面，部署门槛都比较低，对用户很友好，这一点他认为非常重要。此外，ZTNA和SSL VPN的共同部署，还可以满足目前企业远程访问业务的所有需求。这也正应了Gartner对零信任本该有的能力的完美实现。