很多企业的IT主管试图通过移动IT边界,并通过内部控制重新路由所有数据来保护这些用户、设备和资源,以防止未经授权的访问。实现这一目标的一种主要的方法是使用零信任。
有许多零信任解决方案解决了零信任架构(ZTA)的五个关键类别:
- 身份
- 设备
- 网络
- 数据
- 应用程序和工作负载
但是,对于大多数企业而言,预算和IT团队带宽的限制将迫使他们有选择地采用ZTA,并专注于可以快速、廉价、全面地以最低的成本实施的解决方案。零信任网络访问(ZTNA)可能是企业开始采用ZTA的最简单方法之一,因此将专注于顶级的低成本交钥匙ZTNA产品。
以下这一列表更多针对寻求低成本、易于实施的解决方案的中小型企业(SMB),因此大型企业可能希望查看顶级零信任安全解决方案和软件列表。
以下是顶级低成本零信任解决方案:
- Appaegis
- Banyan Security
- Cloudflare
- GoodAccess
- NordLayer
- OpenVPN
- Perimeter 81
- Zentry Sentry
- Other zerotrust solutions
什么是零信任?
ZTA背后的基本概念由Forrester Research公司开发,要求企业将所有资源视为完全暴露在互联网上。在默认情况下不能信任任何用户,所有用户都应该被限制在所需的最低访问权限内,并且应该进行全面的监控。
在过去只存在于网络接入点的防火墙和强化安全层,如今必须针对每个端点、服务器、容器甚至应用程序进行转移和实施。每个访问请求和会话都必须假设用户和设备可能受到威胁,并需要重新验证。
美国政府机构已提出实现零信任安全目标的要求,许多企业高管还寻求使用零信任架构来提高其安全性和合规性。
零信任不需要新的工具或技术来实施。操作系统、防火墙和其他工具可以在逐个设备或逐个应用程序的基础上实施,以实现零信任。
然而,新的ZTA品牌工具通常会简化IT主管实施的流程。ZTA工具不再提供具有重叠甚至冲突规则的各种不同工具,而是提供了一个单一位置来实施策略,然后将这些策略推送到相关技术中。
IT主管从中央管理控制台定义最终用户可以使用哪些应用程序、数据库、服务器和网络。但是需要记住的是,要实施ZTA,企业必须准备好精确地区分用户和设备。
任何不使用ZTA的功能来提供所需的最低访问权限的企业,都只是用成本更昂贵的技术重新创建了一个非ZTA可信网络。
顶级低成本零信任产品标准
本文介绍了许多不同的供应商,但零信任过于广泛,无法全面地进行比较或涵盖所有这些供应商。为了列出顶级低成本零信任选项,专注于一组有限的标准,这些标准可以为最广泛的企业提供价值。
列出这一列表的供应商提供的解决方案可以非常快速地启动,只需最少的IT劳动力,并且无需内部安装。本文专注于IT主管可以在几个小时内实施并部署到企业的交钥匙SaaS解决方案。
这些ZTNA产品必须替代或补充虚拟专用网络(VPN)访问,并公开列出其定价以供比较。虽然许多企业可能会提供免费试用或等级,但只列出了基本付费服务等级的成本低于15美元/月/用户的供应商。
这些解决方案还必须提供完全加密的连接并支持多因素身份验证。这些解决方案还应支持对原有IT基础设施的访问。
零信任网络访问提供商的类型
ZTNA可以通过许多不同的方式实现,交钥匙解决方案往往作为基于浏览器的解决方案或全球边缘网络解决方案提供。
(1)基于浏览器的解决方案
这些供应商通过安全浏览器实现了ZTNA的实际等效功能。最终用户将浏览器下载到他们的本地端点,并且必须使用它来访问企业资源。这些供应商还提供了一个基于云的应用程序,允许IT主管在单个软件包中添加和管理用户和企业资源。
(2)全球边缘网络解决方案
全球边缘网络类别的供应商以订阅的方式将现有的有线或软件定义网络基础设施替换为基于云的等效软件定义网络。互联网提供线路,供应商提供用户和受保护资源之间的加密连接。
虽然部署的细节可能会有所不同,但通常会将代理或连接器安装到基于云的或内部部署资源,例如服务器、容器和应用程序。这些连接器创建通往全球边缘网络的安全隧道,有时可以取代对防火墙规则或隔离区(DMZ)架构的需求。
然后,管理员使用SaaS管理界面选择资源,以使用访问策略提供给最终用户。然后,用户通过标准浏览器或应用程序连接到加密网络。
一些供应商专注于安全Web网关,而其他供应商则专注于基于云的VPN服务器,但在提供ZTNA时,他们的产品往往结合了网关、VPN甚至CASB的功能。可以查看供应商的特定产品,以确保它们满足所需的要求。
顶级零信任网络访问提供商
以下是一些全球顶级零信任网络访问提供商:
(1)Appaegis
Appaegis Access Fabric部署成为浏览器,并提供虚拟桌面基础设施(VDI)的轻量级替代方案。该工具提供完全记录的基于角色的访问控制(RBAC),以提供更精确的安全控制和严格的审计报告。
IT主管使用云管理门户来控制无代理应用程序访问、数据访问权限以及基于团队和角色的策略。付费层级提供基于位置的访问控制、API支持和用户活动记录。
Appaegis提供四个层级定价,按月报价,但按年支付:
- 免费:
最多5个用户、1个网络、1个服务器/应用程序、1GB数据/月
- App MFA支持
- 个人身份信息(PII)数据检测
- 基本(在免费层的所有功能基础上添加):
9.95美元/用户/月
最多50个用户、50个服务器/应用程序、10GB数据/月
- SMS MFA支持
- 用户活动记录
- 适用于OneDrive、SharePoint、Office365、Google Workspace的应用程序安全和监控
- 团队(在基本层的所有功能基础上添加):
- 未公布公开价格
- 最多100个用户、100个服务器/应用程序、20GB数据/月
- 隔离密码库
- SAML支持
- API支持
- 专业(在团队层的所有功能基础上添加):
- 未公布公开价格
- 多达5000个用户、1000个服务器/应用程序、50GB数据/月
- 支持Id PMFA
- 自定义域名
团队和专业级别未列出定价,但每个级别都提供14天免费试用期。
(2)Banyan Security
Banyan Security是一种全球边缘网络解决方案,通过利用企业现有身份和安全工具的实时最低权限解决方案提供多云、应用程序和服务访问。该工具需要将Banyan连接器部署到企业资源,通过Bayan云指挥中心进行设置,并访问Banyan全球边缘网络。
Banyan的云计算指挥中心策略使用基于用户身份和设备信任的可读语法,并与企业身份和安全工具集成。然后,用户通过标准浏览器或可选的Banyan应用程序进行连接,该应用程序还允许设备注册和可用资源目录。
Banyan Security提供按月报价但按年付费的三个层级定价:
- 免费:
- 最多20个用户
- 访问和使用的审计和报告
- 社区支持(仅限)
- 商业(在免费层的所有功能基础上添加):
- 5美元/用户/月
- 与企业SSO集成
- 移动应用
- 自定义信任分数
- SAML和OIDC联合SaaS应用程序
- SaaS应用程序策略
- 定义的服务水平协议(SLA)和专门的支持
- 企业(在商业层的所有功能基础上添加):
- 未公布公开价格
- 自托管访问
- 云资源发现
- 与EDR、UEM、UEBA等高级安全工具集成。
- 零接触安装
- 专用域或拆分隧道的隧道选项
- IdP无密码身份验证
- Cloak SaaS身份和对授权设备的受限应用访问
(3)Cloudflare
互联网巨头Cloudflare公司以为企业网站提供分布式托管服务而得名。但是,他们还提供零信任服务,这是一种全球边缘解决方案,提供ZTNA、安全Web网关、到IP/主机的私有路由、网络FaaS、HTTP/S检查、DNS解析和过滤器以及CASB服务。
Cloudflare提供了一个与各种现有身份、端点安全和云应用程序集成的平台。Cloudflare的ZTNA可以从遍布全球的200多个城市的高速全球边缘网络访问。
Cloudflare提供三层定价:
- 免费:
- 最多50个用户
- 最多3个网络位置
- 长达24小时的活动记录
- 带有递归DNS过滤器的安全Web网关
- 安全类别和威胁情报源
- 100个以上内容可接受使用的类别
- AV检查
- CASB服务
- FaaS
- 社区支持(仅限)
- 标准(在免费层的所有功能基础上添加):
- 7美元/用户/月
- 浏览器隔离,每位用户每月10美元
- 无用户限制
- 多达20个网络位置
- 长达30天的活动记录
- 具有定义的SLA的电子邮件和聊天支持
- 企业(在标准层的所有功能基础上添加):
- 未公布公开价格,按年收费的定制定价
- 可用的浏览器隔离
- 多达250个网络位置
- 长达6个月的DNS活动记录
- 具有定义的SLA的优先电话、电子邮件和聊天支持
- Logpush到SIEM/云存储
- 基于证书的IoT身份验证
- 可编辑的IP网络位置
(4)GoodAccess
GoodAccess将其ZTNA边缘解决方案作为基于云的VPN即服务推销给在全球35个以上城市和23个国家/地区拥有访问网关的团队。IT主管可以轻松地为不同类别的用户创建管理配置文件,并轻松地将用户和资源分配给该类别,以实现最低权限访问。
GoodAccess提供四个层级定价。选择按年计费的客户可享受按月计费价格的20%折扣:
- 免费:
- 最多100个用户
- 移动和桌面客户端应用程序
- 通过自动检测和拒绝恶意域来阻止基本威胁
- 知识库支持(仅限)
- 基本(在免费层的所有功能基础上添加):
- 5美元/用户/月
- 最少10个用户
- 具有静态IP和备用网关选项的专用网关
- 专用专用网络
- 拆分隧道
- 双因素身份验证
- 用于合规性和安全审查的网关级访问日志
- 电子邮件和聊天支持
- 高级(在标准层的所有功能基础上添加):
- 9美元/用户/月
- 最少10个用户
- 到办公室LAN的云和分支连接器
- 基于身份的网络级访问控制
- 自定义域阻止
- oSSO
- 自定义域名
- Premium(在高级层的所有功能基础上添加):
- 12美元/用户/月
- 最少20个用户
- 5个云和分支连接器
- 包括备份网关
- 电话支持和专门的客户成功经理
(5)NordLayer
NordLayer在其成功的NordVPN解决方案的基础上提供SASE和ZTNA交钥匙解决方案。该边缘解决方案在30多个国家/地区推出,专注于快速简便的安装,为所有提供的级别提供AES256位加密、威胁阻止和MFA支持。该解决方案基本上是一个VPN,但具有管理员设置的细粒度零信任访问控制的额外安全性。
NordLayer提供三层定价和免费试用期。选择按年计费的客户可以从按月计费的价格中节省18%~22%:
- 基本:
- 9美元/用户/月
- 移动和桌面客户端应用程序
- 无限用户和许可证可转让性
- 没有流量限制
- 集中设置和计费
- 双因素身份验证和SSO支持Google、AzureAD、Okta和OneLogin。
- 自动连接
- 越狱/根设备检测
- 全天候现场支持
- 高级(在基本层所有功能基础上添加):
- 11美元/用户/月
- 具有高达1Gbps速度的静态IP的专用服务器50美元/月/服务器
- IP许可名单和自定义DNS
- 生物识别MFA支持
- 优先支持支持和专属账户管理
- 自定义(在高级层所有功能基础上添加):
- 定制定价的定制解决方案
- 对自定义技术实施的高级支持
(6)OpenVPN
OpenVPN为自托管VPN服务器提供了一个选项,但本文重点介绍不需要任何服务器基础设施的OpenVPN云边缘解决方案。OpenVPN客户端软件可以安装在Windows、Mac OS和Linux上。
OpenVPN支持SAML2.0和LDAP身份验证以及基于电子邮件或应用程序的MFA。定价是基于数量的,取决于每月同时VPN连接的数量。它是单层服务,可以按月计费,或者客户可以通过每年支付来节省20%:
- 最多3个并发连接是免费的
- 10个连接是7.5美元/连接/月
- 100个连接是3美元/连接/月
- 2000个连接为1.56美元/连接/月
- 针对每月超过2000个连接提供定制定价。
(7)Perimeter 81
Perimeter 81提供来自全球40多个地点的交钥匙ZTNA连接。其简单的管理界面通过精细的用户控制提供快速、轻松的网络开发,以定义用户组、可用应用程序、工作日、适合连接的设备等。
Perimeter 81提供按月计费的四层服务,或者客户可以通过按年计费节省20%:
- 基本:
- 10美元/用户/月
- 最少5个用户
- 50美元/月/网关,500Mbps性能
- 2个应用程序
- 14天的活动和审计报告
- 拆分隧道
- 私有DNS
- 高级(在基本层所有功能基础上添加):
- 15美元/用户/月
- 最少10个用户
- 50美元/月/网关,1000Mbps/网关
- 10个应用程序
- FaaS,最多10个策略
- 30天的活动和审计报告
- 永远在线的VPN
- DNS过滤
- SSO支持
- 高级+(在高级层所有功能基础上添加):
- 20美元/用户/月
- 最少20个用户
- 50美元/月/网关,1000Mbps/网关
- 100个应用程序
- FaaS多达100个策略
- API支持
- 企业级(在高级层+所有功能基础上添加):
- 定制解决方案的定制定价
- 最少50个用户
- 50美元/月/网关,1000Mbps/网关
- 无限应用
- 无限的FaaS政策
- 60天的活动和审计报告
(8)Zentry Sentry
Zentry通过HTML5浏览器提供基于TLS的ZTNA来避免VPN故障排除,无需任何客户端下载、配置或管理。Zentry控制面板允许对应用程序和资源进行精细控制,而无需VPN基础设施或在内部部署资源上安装客户端。
Zentry提供三层定价,可以按月付费,或者客户可以通过按年付费享受折扣:
- 免费:
最多5个用户、1个站点、3个应用程序
- 2周的活动和审计报告
- 双重身份验证
- LDAP/AD
- 电子邮件支持
- 基本(在免费层所有功能基础上添加):
- 10美元/用户/月
- 多达300个用户、5个站点、无限的应用程序
- 1个月的活动和审计报告
- SAML/OIDC
- SSO支持电子邮件和电话支持
- 客户成功经理
- 团队(在基本层所有功能基础上添加):
- 未公布公开价格
- 无限的用户、站点、应用程序和活动和审计报告
- 异常检测
- 全天候电子邮件和电话支持
其他零信任供应商
许多其他零信任供应商试图通过将所有员工与所有资源安全地连接起来的方法来填补零信任网络访问领域。但是,本文没有考虑以下两种类型的供应商。
首先,一些供应商没有在他们的网站上列出他们的价格,因此他们的成本无法与其他供应商进行比较。其中一些供应商将提供免费试用产品,许多供应商还将拥有技术合作伙伴,可以帮助向感兴趣的客户解释功能和缺点。
另一类供应商是需要大量安装且不能被视为交钥匙的ZTNA供应商。如果供应商需要建立云计算、专用服务器或虚拟机, 而这一标准太高,不适合在本文中考虑。
这并不意味着本文推荐的供应商是满足特定企业需求的最佳解决方案。寻求更多选择的IT主管可以考虑以下附加解决方案:
- Akamai Enterprise Application Access提供基于云的安全Web网关,提供实时情报和检测引擎以提供多层安全性。
- Avast Business公司的SecurePrivate Access通过其基于云的解决方案提供了一种替代VPN连接的ZTNA。
- Axis Security公司的Atmos产品线提供安全的远程访问、CASB、DLP和其他功能。不同级别的订阅包括不同的Atmos许可证以提供不同的功能。
- Appgate提供软件定义边界(SDP)产品,该产品提供单一数据包级别的授权安全、微分段和连续访问验证。AWS的政府客户定价为25位用户每天大约12美元或每位用户每月大约15美元。但是,非政府客户需要通过合作伙伴和托管服务经销商。
- BlackBerry公司的Cylance Gateway在人工智能驱动的零信任网络中自动执行企业策略,该网络还结合了端点安全和精细的策略管理。
- Cato Networks通过其SASE解决方案提供安全远程访问。他们的解决方案不同寻常,因为计费是基于流量速度和吞吐量,而不是主要基于每个用户的费用。
- Check Point的Harmony安全解决方案以捆绑包的形式提供端点安全、无客户端连接、VPN远程访问、电子邮件安全、移动安全和安全互联网浏览。
- Cyolo提供支持广泛的端点和云应用程序的零信任平台。它试图用统一的安全和网络工具替换许多不同的传统工具,例如CASB、MFA、ADC、NAC、VPN和PAM。
- Google Cloud BeyondCorp为可以在谷歌云平台上建立、保护和管理HTTPS负载平衡器或虚拟机的企业提供ZTNA保护。虽然成本与交钥匙SaaS解决方案相比具有竞争力,但并非所有谁都有能力管理云资源。
- Iboss提供零信任平台,用提供SASE、浏览器隔离、CASB和DLP的解决方案代替VPN。
- InstaSafe提供托管控制器和可安装网关,以创建完全加密的通道,用于身份验证和访问云计算资源、应用程序和本地资源。虽然价格合理,为8美元/用户/月,但该解决方案还需要IT团队安装本地网关(35美元/月/网关)。
- Ivanti将其神经元作为基于云的零信任访问解决方案进行营销。Ivanti模块还支持资产发现、运营智能和补丁管理。
- Jamf的Wandera产品提供私有访问、威胁防御和执行数据策略。
- NetMotion提供远程访问解决方案,该解决方案提供软件定义边界(SDP)和VPN连接到基于云的和本地资源。他们的解决方案要求客户在自我管理的本地或云计算托管服务器上安装软件。
- Netskope通过系统集成商和服务提供商提供SSE和SASE零信任解决方案。单个组件(CASB等)的定价可以在Web上或通过AWS市场找到,但零信任包的单一价格不公开。
Proofpoint提供基于云的安全产品,为承包商提供安全服务边缘解决方案,例如安全访问和安全远程访问。
- RevBits零信任网络提供了一个瘦客户端应用程序,可以完全加密用户对企业资源的访问。
- Broadcom公司的Symantec Secure Access Cloud提供SaaS零信任访问解决方案,以无代理、云交付的基础架构取代VPN技术。
- Tempered的Airwall解决方案将VPN替换为加密的软件定义边界(SDP)网络。这允许微分段并消除VPN拥塞问题。
- TerraZone的ZoneZero创建了软件定义的边界,可以增强VPN服务,使其成为零信任网络。
- Twingate提供了一个多步骤的身份验证过程,该过程需要至少两个不同的组件来允许用户和资源之间的通信。Twingate的解决方案需要在远程网络上部署docker容器或本机linux服务,这比交钥匙解决方案需要更多的工作。
- TrueFort专注于零信任微分段、工作负载强化和文件完整性监控。
- Trustgrid是一个用于应用程序开发的ZTNA平台。最多10个用户和25个节点,每月1,995美元(19.95美元/用户/月)。虽然这是更昂贵的选择,但它允许docker容器在边缘运行和更新,而无需集中管理或架构。
- Versa Networks于2020年推出了基于云的安全访问VPN即服务,价格为每位用户每月7.5美元。但是,当前的SASE服务不会在网站上列出价格,需要联系公司或合作伙伴获取报价。
- VMware Horizon提供了一个可以提供ZTNA功能的数字工作空间。但是,该产品旨在与其他VMware解决方案集成,似乎不能作为交钥匙解决方案工作。
- Zscaler通过其云计算过滤器路由所有流量以进行授权、检查和控制,从而提供基于云的ZTNA解决方案。虽然可以在AWS市场中找到一些定价,但IT主管通常需要联系Zscaler进行定价。
零信任购买注意事项
与所有IT需求一样,零信任可以通过多种不同方式实现。ZTNA可能是开始采用零信任的最简单方法之一,资源有限的企业将寻求能够以最少的IT劳动力轻松采用支持和实施的供应商。
本文分析了许多不同的ZTNA公司,只有8家公司可以通过验证提供可以快速实施的低成本解决方案。这些解决方案可能会满足任何有紧急需求或资源有限的企业的需求。但是,企业在做出决定之前应该彻底调查其选择。
常见零信任首字母缩略词词汇表
在采用新技术时,供应商会走捷径,并用首字母缩略词来打击潜在客户。对于那些想要了解这些产品的人来说,为了更清晰起见,查看这些首字母缩略词会有所帮助。
AD=Active Directory=微软公司为Windows域开发的用户管理数据库。
ADC=Active Directory Controller=托管和管理AD的服务器。
API=应用程序编程接口=在不同软件应用程序之间使用通用连接器的软件接口。
App=应用程序的缩写。
AWS=Amazon Web Services=亚马逊公司开发和托管的云服务和基础设施。
AV=Anti-Virus=端点反恶意软件。
CASB=云访问安全代理=本地或基于云的安全软件,用于监控活动并在用户和云应用程序之间实施安全策略。
CDR=Content Disarm&Reconstruction=检查数据包并尝试检测和删除漏洞、可执行代码和格式错误的数据包的安全解决方案。
DaaS=桌面即服务=一种远程访问服务,其中桌面将托管在云中,并在远程用户登录并启动会话时可用。
DLP=数据丢失防护=根据策略和用户身份检查数据使用以防止数据被盗或丢失的软件。
DNS=域名服务(或服务器)=将域名请求与IP地址匹配的IT服务。例如:当用户在浏览器中键入google.com时,DNS服务器将查找名称并将浏览器请求路由到关联的IP地址,可能是172.217.204.102。某些站点有多个IP地址,本地DNS条目可能会有所不同。
EDR=端点检测和响应=高级端点保护,可以主动采取各种措施来响应检测到的恶意软件或攻击者行为。
FaaS=防火墙即服务=防火墙作为服务设置和管理。
HTML5=超文本标记语言5=支持互联网的现代HTML版本。
HTTP=超文本传输协议=在网站和最终用户之间传输HTML文档的应用层协议。
HTTPS=HTTPSecure=HTTP的加密版本。
HTTP/S=HTTP/HTTPS的缩写。
IaaS=基础设施即服务=替代组织所需的部分或全部IT基础设施(网络、交换机、路由器等)的托管服务。
IdP=身份提供者=一种身份验证工具,可提供一组登录凭据,用于跨多个平台、网络或应用程序验证用户身份。
IP=Internet协议=通常用于IP地址的场景中,IP地址是标识连接到网络的任何设备的一系列数字。
IT=信息技术=与数据、计算机、网络、IT安全等相关的技术。
LDAP=轻量级目录访问协议=管理身份和访问的用户管理数据库的通用术语。
MFA=多因素身份验证=用于验证用户身份以进行身份验证的多种方式。
NAC=网络访问控制器=检查用户和设备以验证他们是否有权根据定义的策略访问网络的解决方案。
OIDC=OpenIDConnect=开源身份验证协议和OAuth2.0框架的一部分。
PAM=特权访问管理=用于保护对关键信息和资源的访问的各种访问控制和监控工具和技术。
PII=个人身份信息=客户、员工等的个人信息。虽然定义很广泛,但大多数企业主要关注受监管的个人身份信息,例如社会保险号、信用卡号和医疗保健信息。
RBI=远程浏览器隔离=一种安全浏览器,可有效地将Web浏览器放置在托管浏览器的设备上的容器中。
SaaS=软件即服务=按月许可的软件,通常由云中的软件公司安装和集中管理。
SAML=安全断言标记语言=安全域用于交换身份验证和授权身份的标准。SAML2.0是当前版本。
SASE=Secure Access Service Edge=由Gartner开发的安全框架,可将网络及其安全性转换为云交付平台。
SDP=软件定义的边界=由软件而不是电线和网络设备定义的网络边界。
SIEM=安全信息和事件管理=用于收集警报和日志以进行调查和分析的安全工具。
SLA=服务水平协议=确定供应商和客户之间的服务水平;协议通常以可用性和可靠性为中心。
SMS=短消息服务=文本消息协议。
SSE=Secure Services Edge=Gartner定义的基于云的安全产品类别,可创建对网站、SaaS和其他应用程序的安全访问。
SSO=单点登录=创建可信身份的身份验证方案,无需额外身份验证即可将其传递给其他应用程序或网站。
SWG=Secure Web Gateway=一种网络工具,可强制执行企业可接受的使用策略并保护用户免受基于Web的威胁。
TLS=传输层安全性=通过计算机网络提供安全通信的加密协议。它被并入各种其他协议(电子邮件、HTTPS等)并取代了安全套接字层(SSL)。
UEBA=用户和实体行为分析=分析用户行为以发现异常或恶意行为迹象的技术。
UEM=统一端点管理=从单个命令控制台保护和管理设备和操作系统的技术。
VDI=虚拟桌面基础设施=与DaaS类似,该技术为远程访问人员提供桌面。
VPN=虚拟公共网络=在端点和网络之间创建加密连接的远程访问协议。
ZTA=零信任架构=采用零信任原则的IT基础设施。
ZTNA=零信任网络访问=采用零信任原则的IT网络。