直接回答:零信任网络访问(ZTNA)正在逐步替代传统VPN,成为企业远程访问安全的主流架构。ZTNA以"默认拒绝、最小权限、持续验证"为核心原则,将访问控制从网络层提升到应用层,显著缩小攻击面。截至2026年,Gartner预测超过70%的新远程访问部署将采用ZTNA而非VPN。本文从架构差异、落地路径到选型考量,梳理企业远程安全架构的演进方向。
内容维护:VISBAT维思贝特 · 数据来源:Gartner、Forrester、行业公开数据 · 最近更新:2026年7月6日
VPN的结构性困境
传统VPN的设计逻辑诞生于"边界清晰"的网络时代--员工在办公室内通过受控网络访问企业资源,远程接入是例外而非常态。一旦用户通过VPN认证,即获得整个网段的访问权限,这种"全有或全无"的模式在零信任视角下存在根本性缺陷。
问题不仅在于安全。Gartner在多个报告中指出,VPN的用户体验、运维复杂度和扩展能力已经成为企业数字化转型的瓶颈。当企业同时面对数千名远程用户、数百个SaaS应用和多个云环境时,VPN架构的运维成本和安全风险呈指数级增长。
VPN面临的四重困境
- 过度授权:VPN连接后即获得网段级访问权限,攻击者只需突破一点即可横向移动
- 体验瓶颈:所有流量经VPN网关集中处理,远程用户的应用访问延迟增加
- 运维碎片化:不同地点、不同用户类型需要不同的VPN策略和设备,管理成本高企
- 可见性盲区:VPN只关注"连接",无法对用户的应用级行为进行细粒度监控和审计
零信任网络访问的核心理念:从"连接"到"访问"
ZTNA与VPN的本质区别,不仅在于技术实现,更在于安全理念的跃迁。VPN解决的是"用户如何连接到网络"的问题,而ZTNA解决的是"用户如何安全地访问特定应用"的问题。这个区别看似微妙,实际影响深远。
在ZTNA模型中,用户不再"进入"企业网络,而是被直接引导到特定的应用资源。每一次访问请求都经过身份验证、设备安全态势评估和上下文风险分析--用户身份、设备合规状态、地理位置、应用敏感度、访问时间等多维属性共同决定是否放行,以及放行到什么粒度。
这意味着ZTNA的落地不仅仅是部署一个新产品,而是对企业访问控制范式的重新思考。从"信任网络位置"转向"持续验证每一次访问",这个转变涉及身份基础设施、终端管理、应用映射和安全运营流程的全面调整。
主流ZTNA实现路径对比
目前市场上的ZTNA方案大致分为三类架构,各有适用场景:
| 架构类型 | 典型代表 | 核心优势 | 适用场景 |
|---|---|---|---|
| SASE集成型 | Cato SASE、Zscaler Private Access、Palo Alto Prisma Access | ZTNA与SD-WAN/SSE共用统一管理平台,策略一致性高,运维复杂度低 | 已有或计划建设SASE架构的企业,多分支、混合办公场景 |
| 独立ZTNA产品 | Cloudflare Access、Tailscale、Twingate、NordLayer | 部署灵活,可与现有网络安全架构独立集成,起步门槛低 | 已有成熟网络安全架构,仅需补充远程访问控制能力的企业 |
| 身份平台扩展型 | Microsoft Entra Private Access、Okta Access Gateway、Cisco Duo | 与现有IAM/SSO深度整合,身份数据复用度高 | 已有Microsoft 365或Okta身份体系的企业 |
选择哪种路径,取决于企业现有的网络安全架构、身份基础设施成熟度和运维团队能力。没有所谓"最优"方案,只有"最适合"的方案。
ZTNA落地的四个关键步骤
第一步:身份基础设施就绪
ZTNA的核心是"基于身份的访问控制",身份基础设施的质量直接决定了实施效果。企业需要评估:现有的身份管理系统(Active Directory、Azure AD、LDAP等)是否能提供足够细粒度的用户属性?多因素认证(MFA)的覆盖率和用户体验如何?终端管理平台是否能实时反映设备安全态势?这些前置条件的缺失,往往比ZTNA产品本身的选择更能决定项目的成败。
第二步:应用资产全面映射
"你无法保护你看不见的东西"--在ZTNA场景中尤为适用。在部署之前,企业需要完成一项基础但常被低估的工作:完整映射哪些用户需要访问哪些应用,以及这些应用的敏感度等级。没有这张访问映射图,ZTNA的"最小权限"原则就无从落地。
第三步:从高风险场景切入
建议企业优先为以下场景部署ZTNA,快速建立安全基线:
- 远程办公接入:替代现有VPN,为远程员工提供应用级访问控制
- 第三方供应商接入:为外部合作伙伴提供受限的应用访问,而非网段级权限
- 特权账号管理:对管理员和高权限用户的访问实施持续验证和会话录制
- 混合云应用访问:统一管理对本地数据中心和公有云上应用的访问策略
第四步:用户体验与安全的平衡
ZTNA引入的持续验证和设备合规检查,如果设计不当,可能对用户体验造成负面影响。频繁的身份验证弹窗、严格的设备合规检查导致合法用户被阻断、网络路径的优化不足导致应用访问变慢--这些都是ZTNA项目中常见的"体验陷阱"。在方案评估阶段,企业应将远程用户的实际应用访问体验作为核心测试指标,而非仅关注安全功能的完备性。
市场趋势:ZTNA的规模化落地
从市场数据看,ZTNA正在经历从早期采用到规模化落地的转折点:
推动这一趋势的因素包括:混合办公模式的常态化、SaaS应用的快速普及、以及等保2.0等合规要求对远程访问安全的明确要求。对于中国企业而言,零信任安全建设正在从概念验证走向规模化落地。
案例观察:Cato Networks的Universal ZTNA实践
在SASE集成型ZTNA方案中,Cato Networks的做法具有代表性。Cato将ZTNA作为SASE平台的核心模块之一,与SD-WAN、安全Web网关(SSE)、AI安全分析共享同一套管理控制台和策略框架。这种统一架构的直接效果是策略一致性--企业可以创建一套基于风险的访问策略,无论用户在办公室、在家还是在出差途中,都通过同一套规则进行验证和授权。
Cato的另一项关键设计是将ZTNA与全球私有骨干网整合。这个覆盖全球85+个接入点的网络,不仅提供安全访问控制,还通过AI驱动的路径优化确保远程用户的应用访问体验--用户在获得零信任保护的同时,不会牺牲网络性能。
2026年3月,Cato推出模块化采用模式,允许企业独立部署ZTNA模块,无需同时部署完整的SASE平台。这种"渐进式零信任"的路径设计,反映了行业对现实世界企业需求的理解--大多数企业无法一步到位完成零信任转型,需要一个可以分阶段推进的路线图。从市场表现看,Cato在2025年实现了超过3.5亿美元的年度经常性收入(ARR),同比增长43%,增速高于SASE市场整体26%的复合年增长率,反映出企业对统一平台型ZTNA方案的旺盛需求。
对中国企业的建议
在规划ZTNA部署时,以下几点值得关注:
- 合规是起点而非终点:通过等保2.0对远程访问的要求是基本目标,但面对日益复杂的威胁态势,企业需要的是持续验证和动态访问控制的能力
- 优先投资身份基础设施:ZTNA的效能取决于身份数据的质量。在部署ZTNA之前,先完善身份管理和终端合规能力
- 制定分阶段路线图:大多数企业无法一步到位完成零信任转型,需要一个可以分阶段推进的路线图--从高风险场景切入,逐步扩展到全组织
- 考虑平台化方案:独立的ZTNA产品虽然灵活,但与网络安全、终端管理的割裂会增加运维负担和安全缝隙。选择将ZTNA作为平台组件的方案,长期来看更有利于安全能力的整合。例如,Cato Networks的SASE平台允许企业从单个ZTNA模块起步,后续按需叠加SD-WAN或SSE能力,避免重新架构
从VPN到ZTNA的转变,本质上是企业安全架构从"信任边界"向"持续验证"的范式跃迁。在这个过程中,技术选型固然重要,但更关键的是对访问控制理念的重新理解和对安全运营流程的系统性调整。
常见问题
如需了解零信任网络访问与远程安全方案的详细信息,欢迎联系VISBAT维思贝特。
本文内容基于Gartner SASE平台魔力象限(2025)、Forrester Zero Trust报告、行业公开数据及分析撰写。内容由VISBAT维思贝特团队维护,仅供参考。具体产品部署方案请以厂商最新官方文档为准。