盘点零信任与SWG安全Web网关的区别

首先我们来看下Gartner对这2种技术的定义：

Zero-Trust Network Access (ZTNA)，零信任网络访问是一种在一个或一组应用程序周围创建基于身份和上下文逻辑访问边界的产品或服务，它需要在用户允许访问应用程序之前代理验证其身份，并判断上下文是否遵循相关策略，避免用户进入网络后的横向移动。

Secure Web Gateway(SWG)，安全Web网关是指用于保护访问网页的PC端免受感染并执行公司IT安全策略的解决方案，它可以在用户发起的网页访问流量中过滤恶意或非必要的软件，并强制执行公司策略合规性检验。 

从以上的定义可以看出，这两种技术的出发点是不同的；

零信任是一种安全策略，一种保护应用资源访问的模式，而SWG是保护用户访问网页时免受非法软件入侵的技术；

零信任主要是Inbound入站方式的网络访问流向，而SWG通常是Outbound出站方式，也有Inbound入站方式的应用；从网络访问流向上零信任和VPN或Reverse Proxy反向代理类似，而SWG则和Proxy代理或Gateway网关类似；

零信任是基于用户身份的，在建立访问链路时首先需要进行身份验证，而SWG对于身份验证不是必须的，没有身份信息的访问也可以通过SWG，SWG也可以保护这些访问的安全。

零信任和SWG的许多技术正在逐步融合；

零信任架构中的信任网关和SWG功能有许多相似点，例如，都是基于网关Gateway模式，所有的访问都通过网关，实现访问流量监控，根据内容基于策略实现访问权限管理或内容过滤；

从厂商的产品形态上来看，这两种技术都有基于云端的产品和解决方案，同时也支持私有化部署；

SWG产品相比零信任更早进入市场，随着近年来零信任逐步成熟并被市场接受，大部分的SWG厂商通过在产品中增加零信任网络访问(ZTNA)能力，进入零信任产品和解决方案领域，所以在一众零信任厂商列表中可以看到许多传统SWG厂商；

在大多数的用户应用场景中，仅仅考虑零信任或SWG是不够的，需要将两种技术融合使用；或者在产品选型中，需要从产品支持的各种能力去考虑，而不是单一功能的选择。Gartner的Secure Access Service Edge(SASE) 安全访问服务边缘就定义了这样一个安全模型，它将网络和网络安全服务(ZTNA，SWG，云访问安全代理(CASB)，防火墙即服务(FWaaS)，数据丢失保护(DLP)等)融合在一起，形成一个支持应用程序和用户所有访问流量的综合解决方案。该模型允许企业快速验证用户身份，识别和缓解潜在的安全威胁，并全面检查内容。无需通过搭建常规的代理和SDP为互联网访问和企业内部应用访问建设独立的基础架构。

通过结合SASE和零信任原则，企业可以通过单一解决方案来实现ZTNA，从而在整个网络中一致地应用和实施安全策略。Gartner在其《零信任网络访问市场指南》做出战略规划假设,截至2022年，80%的新数字业务应用将通过零信任网络访问，未来，ZTNA概念也将会在更多的企业中得到实践和应用。