מה זה ZTNA ולמה הוא החליף את ה-VPN
Zero Trust Network Access – בקיצור ZTNA – הוא מסגרת אבטחת סייבר שנותנת גישה ליישומים ארגוניים על בסיס זהות והקשר, בלי לחשוף את הרשת הרחבה. בניגוד ל-VPN שמאמת פעם אחת ואז פותח גישה רחבה לכל הרשת, ZTNA מאמת כל בקשת גישה בנפרד – מול זהות המשתמש, מצב המכשיר, מיקום ודפוסי התנהגות. היישומים נשארים בלתי נראים למי שלא מורשה, ותנועה רוחבית ברשת חסומה מראש.
Gartner מגדיר ZTNA כמוצרים ושירותים שיוצרים גבול גישה לוגי, מבוסס זהות והקשר, סביב יישומים ארגוניים – כשהגישה מוגבלת דרך ברוקר אמון לישויות מוגדרות בלבד, מה שמצמצם תנועה רוחבית ברשת.
שוק ה-ZTNA צפוי לצמוח מ-1.34 מיליארד דולר ב-2025 ל-4.18 מיליארד דולר ב-2030, בקצב צמיחה שנתי של 25.5% לפי MarketsandMarkets. צפון אמריקה מהווה 42.4% מהכנסות השוק. Gartner חזו שעד 2025, לפחות 70% מהפריסות החדשות של גישה מרחוק יתבססו על ZTNA ולא על VPN – לעומת פחות מ-10% ב-2021.
מה מניע את האימוץ הארגוני? ארבעה דברים: החלפת VPN לעבודה היברידית, צמצום משטח התקיפה דרך הסתרת יישומים, עמידה בדרישות Zero Trust (כמו NIST SP 800-207, OMB M-22-09, NIS2), והצורך לאבטח גישה לענן, סביבה היברידית ומקומית – הכל ממסגרת מדיניות אחת.
12 קריטריונים להערכת פתרון ZTNA ארגוני
הפתרון הנכון תלוי במורכבות התשתית, דרישות הרגולציה, אוכלוסיית המשתמשים, מגוון היישומים ורמת הבשלות האבטחתית. הקריטריונים הבאים מספקים מסגרת הערכה מובנית.
1. ארכיטקטורת פריסה
פתרונות ZTNA נפרסים בשלושה מודלים: מבוסס סוכן (Agent) – תוכנה על מכשירים מנוהלים שמספקת הערכת מצב מכשיר מעמיקה; ללא סוכן (Agentless) – גישה מבוססת דפדפן ל-BYOD וקבלנים; או אוניברסלי – שילוב של שניהם. מודל הסוכן מחזיק בנתח השוק הגדול ב-2025 בזכות נראות עמוקה יותר לנקודות קצה. ארגונים עם צרכי BYOD או קבלנים משמעותיים צריכים לתעדף ספקים שמציעים יכולות Agentless חזקות לצד הסוכן.
2. כיסוי יישומים
פריסת ZTNA בפרודקשן חייבת לתמוך ביישומי ווב (HTTP/HTTPS), יישומי Thick Client (כמו RDP, SSH, לקוחות בסיסי נתונים), יישומים ישנים עם פרוטוקולים קנייניים, עומסי עבודה בענן על פני ספקים מרובים, ויישומים מקומיים (On-Prem). ספקים שתומכים רק ביישומי ווב משאירים פערים קריטיים בסביבות היברידיות.
3. שילוב עם ניהול זהויות ואימות
צריך לבדוק תמיכה ב-SAML 2.0, OIDC, LDAP, Active Directory ושילוב עם ספקי זהויות (Okta, Microsoft Entra ID, Google Workspace, Ping Identity). חשוב לוודא תמיכה ב-MFA עמיד לפישינג (FIDO2, טוקנים פיזיים) ומדיניות גישה מותנית מבוססת דירוג סיכון.
4. הערכת מצב מכשיר (Device Posture)
צריך לבדוק את עומק הבדיקות: גרסת מערכת הפעלה, רמת עדכונים, סטטוס EDR, הצפנת דיסק, סטטוס חומת אש, זיהוי פריצת מכשיר, וזהות מכשיר מבוססת תעודות. הפתרון צריך לאכוף גישה מדורגת – גישה מלאה ממכשיר מנוהל תקין, גישה מוגבלת ממכשיר לא מנוהל.
5. ארכיטקטורת רשת: איך החיבורים נוצרים
זו אחת ההחלטות הארכיטקטוניות המשמעותיות ביותר ב-ZTNA, ולעיתים קרובות הכי פחות מובנת.
ארכיטקטורה מתוך-החוצה (Service-Initiated) משתמשת בקונקטורים שנפרסים ליד היישומים ויוצרים חיבורים יוצאים לברוקר ה-ZTNA. המשתמשים מתחברים לברוקר שמנתב תעבורה דרך המנהרה היוצאת הקיימת. אין צורך בפורטים נכנסים בצד היישום.
ארכיטקטורת גישה הפוכה (Reverse-Access) לוקחת את זה צעד קדימה: הרכיב בצד היישום יוזם את כל החיבורים כלפי חוץ, והברוקר אף פעם לא דוחף תעבורה פנימה. חומת האש נשארת במצב deny-all קבוע לתעבורה נכנסת. אין שירותים מאזינים, אין כתובות IP גלויות, אין משטח תקיפה חשוף – תשתית היישום בלתי נראית לחלוטין לאינטרנט הציבורי.
ההבדל באבטחה משמעותי. ארכיטקטורת inside-out עדיין דורשת מהברוקר לשמור על קישוריות לקונקטור – כלומר הקונקטור חייב להיות נגיש מהברוקר. ארכיטקטורת reverse-access אמיתית מבטלת גם את התלות הזו, והופכת את סביבת היישום לבלתי ניתנת לגישה מבחוץ. עבור ארגונים שמגנים על מערכות מסווגות, תשתית קריטית, או מטרות בעלות ערך גבוה – ההבדל הזה קריטי.
הבחירה הארכיטקטונית הזו משפיעה גם על עמידות מפני DDoS. יישומים מאחורי קונקטור inside-out עדיין יכולים להיפגע בעקיפין אם ערוץ התקשורת של הברוקר-קונקטור מופרע. יישומים מאחורי ארכיטקטורת reverse-access אמיתית – אין להם נקודת קצה חיצונית שאפשר לכוון אליה. מצב ה-deny-all הקבוע של חומת האש אומר שאין מה להציף. הבנת ההבדל הארכיטקטוני הזה היא בסיס חיוני להערכת כל פתרון ZTNA מול מסגרת Zero Trust אמיתית.
6. שילוב מיקרו-סגמנטציה
ZTNA שולט בתעבורה צפון-דרום (משתמש-ליישום). ארכיטקטורת Zero Trust מלאה דורשת גם שליטה מזרח-מערב (יישום-ליישום, עומס עבודה-לעומס עבודה). צריך לבדוק אם הספק מציע מיקרו-סגמנטציה משולבת או שנדרש מוצר נפרד. אכיפת מדיניות אחודה לצפון-דרום ומזרח-מערב מפחיתה מורכבות ארכיטקטונית ומבטלת פערים בין בקרת גישה לבידוד עומסי עבודה.
7. הגנה על נתונים
מעבר להצפנה בתעבורה (TLS 1.3, AES-256), צריך לבדוק יכולות DLP, בקרות הורדה (צפייה בלבד, סימון מים, הגבלת העתק-הדבק), הצפנה ברמת קובץ במנוחה, ותאימות ל-FIPS 140-2/3, HIPAA, PCI DSS 4.0 ו-GDPR סעיף 32.
8. ניהול גישה מיוחסת (PAM)
גישה ניהולית דורשת בקרות מחמירות יותר. צריך לבדוק תמיכה בהקלטת סשנים, הקצאת גישה Just-in-Time, סיבוב אוטומטי של credentials, ושילוב עם פלטפורמות PAM. פתרונות שמאחדים ZTNA ו-PAM בפלטפורמה אחת מבטלים את פער האבטחה בין גישה רגילה לגישה מיוחסת.
9. סקלאביליות וביצועים
צריך לבדוק תשתית PoP גלובלית, השפעה על השהיה (Latency) לעומת גישה ישירה, קיבולת רוחב פס למשתמש, יכולות Auto-Scaling, ונקודות כשל בודדות. לארגונים מבוזרים גלובלית, מספר ה-PoPs והפיזור הגיאוגרפי משפיעים ישירות על חוויית המשתמש.
10. מוכנות לרגולציה ולביקורת
צריך לבדוק שלמות מסלולי ביקורת (זהות משתמש, מצב מכשיר, יישום, פעולות, משך סשן), שילוב עם SIEM (כמו Splunk, QRadar, Microsoft Sentinel), ומיפוי ל-NIST SP 800-207, PCI DSS, HIPAA, SOC 2 ו-ISO 27001.
11. מורכבות פריסה ונתיב מיגרציה
צריך לבדוק דרישות תשתית, מאמץ אינטגרציה, מיגרציית מדיניות מ-VPN, ואפשרות להרצה מקבילה שמאפשרת חזרה ל-VPN בתקופת המעבר.
12. עלות כוללת (TCO)
צריך לכלול רישוי למשתמש, עלויות רוחב פס, תשתית קונקטורים/שערים, שירותים מקצועיים, תקורת ניהול סוכנים, וחיסכון מפרישת VPN. ארגונים מדווחים באופן עקבי שההצדקה ל-ZTNA מגיעה מהפחתת סיכון, לא מחיסכון בעלויות.
השוואת ספקים: פתרונות ZTNA מובילים לארגונים
הפרופילים הבאים מכסים את ספקי ה-ZTNA הארגוניים המובילים על בסיס יכולות זמינות, מיצוב שוק ומודלי פריסה. כל פרופיל בנוי באותו מבנה: מיצוב, ארכיטקטורה, חוזקות, ומגבלות כנות.
Zscaler Private Access – ZPA
מיצוב: ZTNA Cloud-Native כחלק מפלטפורמת SSE הגדולה ביותר בתחום.
ZPA מחבר משתמשים ישירות ליישומים דרך הענן האבטחתי הגלובלי של Zscaler באמצעות קונקטורים inside-out (בלי פורטים נכנסים בצד היישום). תומך בגישה מבוססת סוכן דרך Zscaler Client Connector ובגישה Agentless מבוססת דפדפן. חלק מ-Zscaler Zero Trust Exchange הרחב יותר, שכולל ZIA (Secure Web Gateway), CASB ו-DLP.
חוזקות: תשתית PoP גלובלית הגדולה ביותר בין ספקי ZTNA ייעודיים. סגמנטציית יישומים בוגרת. שילוב SSE חזק לארגונים שרוצים לאחד פונקציות אבטחה. בסיס לקוחות ארגוני נרחב.
מגבלות: תמחור פרימיום (15–25$ למשתמש/חודש). פריסה בענן בלבד – אין אפשרות On-Premises, מה שפוסל אותו לסביבות ריבוניות, מסווגות או מבודדות (Air-Gapped). דורש מחויבות משמעותית למערכת האקולוגית של Zscaler. מיקרו-סגמנטציה דורשת מוצר נפרד (Zscaler Workload Segmentation) – לא משולבת ב-ZPA באופן מקורי.
Palo Alto Networks Prisma Access
מיצוב: ZTNA 2.0 כחלק מפלטפורמת SASE מקיפה, משולב עם חומות האש ומערכת ה-XDR של פאלו אלטו.
Prisma Access מספק אימות אמון מתמשך ובדיקת אבטחה רציפה של כל התעבורה – לא רק ברגע יצירת החיבור. תומך במגוון הפרוטוקולים הרחב ביותר בין פתרונות ZTNA מבוססי ענן, כולל יישומים שאינם ווב. ZTNA 2.0 פותר מגבלות של הדור הראשון בכך שהוא בודק את תוכן התעבורה, לא רק מטא-דאטה של חיבורים.
חוזקות: אימות מתמשך אחרי החיבור (ZTNA 2.0). תמיכה מלאה בפרוטוקולים כולל Thick Clients ויישומי Legacy. שילוב עמוק עם Cortex XDR וחומות אש מסדרת Strata לארגונים שכבר במערכת האקולוגית של פאלו אלטו.
מגבלות: תמחור מבוסס שימוש יוצר אי-ודאות תקציבית (12–20$ למשתמש/חודש). עקומת למידה תלולה לצוותים מחוץ למערכת האקולוגית של פאלו אלטו. מיקרו-סגמנטציה דורשת רישוי נפרד של Prisma Cloud. אין פריסה On-Premises – ענן בלבד.
Fortinet Universal ZTNA
מיצוב: ZTNA מובנה בתשתית Fortinet קיימת, בלי רישוי נוסף.
Fortinet מטמיע ZTNA ישירות בהתקני FortiGate וב-FortiClient, מה שמאפשר לארגונים להפעיל ZTNA על תשתית שכבר יש להם. הסוכן האחיד FortiClient מכסה ZTNA, VPN, EDR וסריקת פגיעויות. FortiSASE מרחיב ZTNA מבוסס ענן לארגונים בלי FortiGate מקומי.
חוזקות: אין רישוי נוסף ללקוחות Fortinet קיימים – נתיב ההפעלה הזול ביותר ל-ZTNA עבור ארגוני Fortinet. מעבר חלק מ-VPN ל-ZTNA על תשתית FortiGate קיימת. מוכר כ-Customers' Choice של Gartner Peer Insights. תמיכה מלאה בפרוטוקולים.
מגבלות: ערך מלא דורש מערכת אקולוגית של Fortinet; פחות רלוונטי לסביבות ללא Fortinet. יכולות Cloud-Native פחות בוגרות מ-Zscaler או Cloudflare. תשתית PoP קטנה יותר מספקי ענן גדולים. מיקרו-סגמנטציה לא משולבת – דורשת מדיניות סגמנטציה נפרדת ב-FortiGate.
Cloudflare Access
מיצוב: פריסה מהירה של ZTNA על רשת הקצה הגדולה בעולם.
Cloudflare Access מספק ZTNA דרך 300+ נקודות PoP על אותה רשת Anycast שמשמשת ל-CDN ולהגנה מפני DDoS. גישה מבוססת סוכן דרך לקוח WARP; גישה Agentless מבוססת דפדפן למכשירים לא מנוהלים. שכבה חינמית עד 50 משתמשים. חלק מ-Cloudflare One (פלטפורמת SSE הכוללת Gateway, CASB, DLP ואבטחת דוא"ל).
חוזקות: הזמן הקצר ביותר לערך – הפריסה הפשוטה ביותר בין ספקי ZTNA ארגוניים. רשת PoP גלובלית נרחבת שממזערת השהיה. שכבה חינמית לבדיקה. עמידות מובנית מפני DDoS מרשת Cloudflare. חבילת SSE חזקה.
מגבלות: תמיכה ביישומים שאינם ווב (RDP, SSH, SMB) פחות בוגרת מספקי ZTNA ייעודיים. פיצ'רים ארגוניים דורשים תוכניות ברמה גבוהה יותר עם תמחור פחות שקוף. אין אפשרות פריסה On-Premises. מיקרו-סגמנטציה לא חלק מהפלטפורמה.
Cisco Secure Access
מיצוב: SSE ו-ZTNA משולבים לארגונים שכבר מושקעים ברשת ואבטחה של Cisco.
Cisco Secure Access משלב ZTNA עם יכולות SSE, ומשלב את Duo (זהויות/MFA), SD-WAN ואבטחת נקודות קצה. הפתרון תומך בסביבות היברידיות עם שילוב מדיניות חזק על פני מחסנית הרשת של Cisco.
חוזקות: שילוב עמוק עם תיק הרשת והאבטחה של Cisco. אימות זהות חזק דרך Duo MFA. תמיכה מקיפה בענן היברידי. חוויית ניהול מוכרת לארגוני Cisco.
מגבלות: היסטוריית מוצר שכוללת רכישות מרובות יוצרת מורכבות אינטגרציה וחוויית משתמש לא אחידה. תמחור לא שקוף בגלל חבילות עם רישיונות Cisco רחבים יותר. שוויון פיצ'רים עם ספקי ZTNA ייעודיים לוקה בחלק מהתחומים (כמו גילוי יישומים ואנליטיקת חוויית משתמש).
Netskope Private Access
מיצוב: ZTNA ממוקד-נתונים בתוך פלטפורמת SSE רחבה שמתמקדת ב-DLP ואבטחת SaaS.
Netskope ממצבת את Private Access כ-"Universal ZTNA" לגישה עקבית על פני סביבות ענן, On-Premises והיברידיות. שילוב חזק עם יכולות CASB ו-DLP של Netskope הופך את הפתרון לאטרקטיבי במיוחד לארגונים שהגנה על נתונים היא המנוע האבטחתי המרכזי.
חוזקות: שילוב DLP הטוב ביותר בין ספקי ZTNA. מדיניות עקבית על פני SaaS, ווב וגישה ליישומים פרטיים. נראות חזקה לתנועת נתונים והתנהגות משתמשים. התאמה טובה לתעשיות רגישות לנתונים (פיננסים, בריאות).
מגבלות: פריסת קונקטורים On-Premises יכולה להיות מורכבת. שקיפות תמחור מוגבלת (10–18$ למשתמש/חודש). תשתית PoP קטנה יותר מ-Zscaler או Cloudflare. מיקרו-סגמנטציה לא חלק מפלטפורמת Netskope.
TerraZone truePass
מיצוב: פלטפורמת Zero Trust אחודה שמשלבת ZTNA, מיקרו-סגמנטציה, בידוד זהויות, והחלפת נתונים מאובטחת – עם ארכיטקטורת reverse-access מוגנת בפטנט ויכולת פריסה מלאה On-Premises.
TerraZone truePass מספק ZTNA דרך פלטפורמה שמשלבת באופן מקורי גישה ליישומים, סגמנטציית עומסי עבודה, חומת אש מבוססת זהות (IDFW), והגנה על נתונים. הארכיטקטורה המבדלת היא reverse-access מוגנת בפטנט: יישומים פנימיים יוצרים חיבורים יוצאים בלבד לשער הגישה של TerraZone, מה ששומר על חומת האש במצב deny-all קבוע – בלי פורטים נכנסים, בלי שירותים מאזינים, בלי משטח תקיפה גלוי. הפלטפורמה תומכת בגישה מבוססת סוכן וללא סוכן על פני HTTP/S, RDP, SSH, SFTP ו-SMB (דרך פרוטוקול Heimdall הקנייני שמוסיף בקרות Zero Trust מבוססות זהות לשיתוף קבצים בלי שינויים בצד הלקוח).
חוזקות: הספק היחיד בהשוואה הזו שמציע reverse-access מוגן בפטנט כשתשתית היישום בעלת חשיפה נכנסת אפסית. הספק היחיד שמשלב ZTNA ומיקרו-סגמנטציה באופן מקורי על פלטפורמה אחת – מדיניות אחודה צפון-דרום ומזרח-מערב בלי מוצרים נפרדים. פריסה מלאה On-Premises, בענן והיברידית – קריטי לסביבות ריבוניות, מסווגות ומבודדות. פרוטוקול Heimdall SMB מוסיף בקרות Zero Trust לשיתוף קבצים באופן מקורי. PAM, MFT ובידוד זהויות מובנים שמפחיתים ריבוי ספקים.
מגבלות: תשתית PoP גלובלית קטנה יותר מספקי ענן גדולים (Zscaler, Cloudflare, Palo Alto) – ארגונים עם 50,000+ משתמשים מבוזרים גלובלית צריכים לוודא השהיה באזורים שלהם. מוכרות מותג נמוכה יותר מספקי SASE הגדולים – מנהלי אבטחה עלולים להיתקל בהתנגדות פנימית כשמציעים ספק פחות מוכר. אין CASB או Secure Web Gateway מקוריים – ארגונים שצריכים איחוד SSE מלא (ZTNA + SWG + CASB + DLP בשירות ענן אחד) יצטרכו לשלב TerraZone עם פתרון SWG/CASB משלים. תמחור לא מפורסם – דורש יצירת קשר ישיר.
Appgate SDP
מיצוב: Software-Defined Perimeter ארגוני עם מודלי אמון דינמיים לתעשיות מפוקחות.
Appgate SDP משתמש באימות מתמשך שמתכוונן בזמן אמת על בסיס התנהגות משתמש, סימני פשרה של מכשיר וסיכון סביבתי. תומך במיקרו-סגמנטציה על פני ענן, On-Premises וסביבות היברידיות ומספק מסלולי ביקורת פרטניים שנבנו לתאימות רגולטורית.
חוזקות: מדיניות הגישה הדינמית ביותר מבוססת הקשר בהשוואה הזו. מיקרו-סגמנטציה מובנית. דיווחי תאימות חזקים הממופים ל-HIPAA, PCI DSS, GDPR. התאמה טובה לתעשיות מפוקחות מאוד.
מגבלות: נוכחות שוק ומערכת אקולוגית של שותפים קטנות יותר מספקי SASE הגדולים. מורכבות יישום – דורש משאבי הנדסת אבטחה ייעודיים לפריסה וכוונון. אפשרויות גישה Agentless מוגבלות יותר מחלק מהמתחרים. עקומת למידה תלולה יותר לעיצוב מדיניות.
מטריצת השוואת ספקים
קריטריון | Zscaler ZPA | Palo Alto Prisma | Fortinet ZTNA | Cloudflare Access | Cisco Secure Access | Netskope Private Access | TerraZone truePass | Appgate SDP |
פריסה | ענן | ענן | On-Prem + ענן | ענן | ענן + היברידי | ענן | On-Prem, ענן, היברידי | On-Prem, ענן, היברידי |
סוכן + Agentless | שניהם | שניהם | שניהם | שניהם | שניהם | שניהם | שניהם | ממוקד סוכן |
ללא פורטים נכנסים | כן (inside-out) | לא | לא | לא | לא | לא | כן (reverse-access מוגן בפטנט) | כן (מודל SDP) |
יישום בלתי נראה | חלקי | לא | לא | לא | לא | לא | מלא | חלקי |
פרוטוקולים שאינם ווב | RDP, SSH | מלא | מלא | מוגבל | RDP, SSH | RDP, SSH | מלא (כולל SMB Heimdall) | מלא |
מיקרו-סגמנטציה משולבת | לא | לא | לא | לא | לא | לא | כן | כן |
PAM משולב | לא | לא | תוסף | לא | לא | לא | כן | לא |
פריסה On-Premises | לא | לא | כן | לא | מוגבל | לא | כן | כן |
כמות PoP גלובלית | 150+ | 100+ | בצמיחה | 300+ | 30+ | 75+ | אזורי | אזורי |
חבילת CASB/SWG | כן (SSE) | כן (SASE) | כן (FortiSASE) | כן (Cloudflare One) | כן (SSE) | כן (SSE) | לא | לא |
תמחור משוער | 15–25$/מ'/חודש | 12–20$/מ'/חודש | כלול עם FortiGate | חינם–10+$/מ'/חודש | חבילה | 10–18$/מ'/חודש | ליצירת קשר | ליצירת קשר |
מסגרת קבלת החלטות
פתרון ה-ZTNA הטוב ביותר הוא זה שמתאים לתרחיש הספציפי של הארגון. המיפוי הבא מחבר בין דרישות ארגוניות נפוצות לגישת הספק המתאימה ביותר.
איחוד SASE ממוקד-ענן (ZTNA + SWG + CASB בפלטפורמה אחת): Zscaler, Palo Alto Prisma, Cloudflare או Netskope. ספקים אלה מספקים ZTNA כחלק מפלטפורמות SSE/SASE רחבות, מותאמות לארגונים שרוצים לאחד מספר פונקציות אבטחה מבוססות ענן תחת ספק אחד.
תשתית Fortinet קיימת: Fortinet Universal ZTNA מספק את נתיב ההפעלה המהיר והזול ביותר – ZTNA מובנה ב-FortiGate וב-FortiClient ללא עלות רישוי נוספת.
תשתית Cisco קיימת: Cisco Secure Access מציע את השילוב ההדוק ביותר עם רשתות Cisco ושירותי הזהות של Duo.
זמן קצר ביותר לערך בפריסה עננית: Cloudflare Access. מודל הפריסה הפשוט ביותר, שכבה חינמית לבדיקה, ורשת הקצה הגדולה ביותר לפריסות רגישות להשהיה.
אבטחה ממוקדת-נתונים עם DLP חזק: Netskope Private Access. שילוב DLP הטוב ביותר בקטגוריה, לארגונים שבהם סיווג נתונים ובקרת תנועה הם המניעים האבטחתיים המרכזיים.
סביבות מסווגות, ריבוניות או מבודדות שבהן נתונים לא יכולים לעבור דרך תשתית ענן של צד שלישי: TerraZone truePass או Appgate SDP. שניהם מציעים פריסה מלאה On-Premises. ארכיטקטורת reverse-access של TerraZone מספקת יתרון נוסף של חשיפה נכנסת אפסית – חיוני לסביבות שבהן גם האפשרות של סיור חיצוני היא בלתי מקובלת.
ZTNA + מיקרו-סגמנטציה אחודים ללא אינטגרציה מרובת-ספקים: TerraZone truePass או Appgate SDP. שניהם משלבים בקרות צפון-דרום (משתמש-ליישום) ומזרח-מערב (עומס עבודה-לעומס עבודה) באופן מקורי, ומבטלים את פערי המדיניות שנוצרים כשמוצרי ZTNA ומיקרו-סגמנטציה נפרדים מחוברים ביחד.
חיסול מקסימלי של משטח תקיפה: TerraZone truePass. ארכיטקטורת reverse-access מוגנת בפטנט מבטיחה שחומת האש במצב deny-all קבוע – בלי פורטים, בלי שירותים, בלי תשתית גלויה. לארגונים שמודל האיום שלהם כולל סיור של מדינות-אויב ותקיפות ממוקדות נגד תשתית חשופה לאינטרנט, היתרון הארכיטקטוני הזה מכריע.
תעשיות מפוקחות עם דרישות תאימות מורכבות (בריאות, פיננסים): Appgate SDP, TerraZone truePass או Netskope. כל אחד מספק יכולות חזקות של מסלולי ביקורת ודיווחי תאימות, עם חוזקות שונות – Appgate למדיניות דינמית מבוססת סיכון, TerraZone לביקורת פלטפורמה אחודה על פני ZTNA/מיקרו-סגמנטציה/PAM, ו-Netskope לתאימות ממוקדת-נתונים.
טעויות נפוצות בפריסת ZTNA
שכפול דפוסי גישה של VPN דרך ZTNA. ארגונים שממפים את הגישה הרחבה של ה-VPN לתוך מדיניות ZTNA מרוויחים שיפור אבטחתי שולי. הערך של ZTNA מגיע מבקרת גישה פרטנית לכל יישום – צריך להגדיר מדיניות ברמת היישום, לא ברמת הרשת.
כיסוי יישומי ווב בלבד. אם פריסת ה-ZTNA תומכת ביישומי ווב אבל מכריחה חזרה ל-VPN עבור RDP, SSH או SMB, הארגון מפעיל שתי מערכות גישה מקבילות – מכפיל את תקורת הניהול ומשאיר את משטח התקיפה של ה-VPN פתוח.
התעלמות מתעבורה מזרח-מערב. ZTNA שולט מי מגיע ליישום. בלי מיקרו-סגמנטציה, סשן יישום שנפגע יכול לבצע תנועה רוחבית למערכות אחרות באותו מקטע רשת. ZTNA ומיקרו-סגמנטציה הם משלימים – לא חלופות. ארגונים שמעריכים ZTNA צריכים במקביל להעריך איך יאכפו סגמנטציה מבוססת זהות לתקשורת בין עומסי עבודה, בין אם דרך אותו ספק או פתרון משולב.
הערכת חסר של היגיינת זהויות. חשבונות מיושנים, credentials משותפים, תפקידים עם הרשאות מופרזות ו-MFA חלש מערערים את ה-ZTNA ללא קשר לספק. תשתית זהויות נקייה היא תנאי מוקדם, לא משימה שניונית.
בחירה על בסיס מותג בלבד. ספקי ה-ZTNA הגדולים ביותר מצטיינים בתרחישים ספציפיים (ענן, איחוד SASE) אבל עלולים להיות לא מתאימים לאחרים (On-Premises, סביבות מסווגות, תמיכה בפרוטוקולים ישנים). התאימו את הארכיטקטורה של הספק לסביבה האמיתית שלכם – לא לדירוגי אנליסטים שמשקפים פרופילי קונים אחרים.
שיטות עבודה מומלצות ליישום
התחילו עם יישום אחד בעל ערך גבוה. העבירו 100–200 משתמשים שניגשים ליישום עסקי קריטי אחד לפני שמרחיבים. זה חושף בעיות אינטגרציה ברדיוס פגיעה נמוך.
הריצו ZTNA במקביל ל-VPN בתקופת המיגרציה. אפשרו חזרה ל-VPN תוך כדי הרחבת כיסוי ZTNA. צמצמו בהדרגה את הגישה ל-VPN עד לפרישה מלאה.
הגדירו מדיניות לפי רגישות היישום. קבצו יישומים לפי סיווג נתונים והחילו בקרות פרופורציונליות – מחמירות יותר לנתונים רגישים, פשוטות יותר לכלים בסיכון נמוך.
הרכיבו צוות בין-תחומי. ZTNA נוגע ברשת, זהויות, ארכיטקטורת יישומים ותאימות. יישום מבודד יוצר פערי מדיניות בין התחומים.
בדקו תרחישי עקיפה. בדיקות חדירה צריכות לכוון ספציפית ל-ZTNA: גילוי יישומים מוסתרים, הסלמה דרך תצורות שגויות, וניצול פערים בין ZTNA לשיטות גישה ישנות שעדיין פעילות.
איך לקרוא את המדריך הזה
ההשוואה הזו משקפת יכולות ספקים זמינות לציבור נכון לתחילת 2026. שוק ה-ZTNA מתפתח במהירות – ספקים משחררים יכולות חדשות מדי רבעון, ומיצוב שוק משתנה דרך רכישות (בולטת: הסכם פאלו אלטו לרכישת CyberArk ב-2025, שמסמן PAM כיכולת מקורית בפלטפורמה). כדאי להעריך מחדש יכולות ספקים מול הקריטריונים האלה לפחות פעם בשנה.
אף ספק לא שולט בכל קריטריון הערכה. הארגונים שבוחרים ZTNA בהצלחה הם אלה שמגדירים קודם כל את הדרישות שלהם – סוג תשתית, תיק יישומים, דרישות רגולציה, מודל איומים ובשלות תפעולית – ואז מתאימים את הדרישות לספק שהארכיטקטורה והיכולות שלו מתיישרות הכי טוב.
הקריטריונים ומסגרת קבלת ההחלטות במדריך הזה נועדו לתמוך בתהליך הזה ללא קשר לספק שבסופו של דבר מתאים ביותר.
שיקול אחרון: ההחלטה על ZTNA היא לא קבועה. רוב הארגונים מתחילים עם מקרה שימוש מרכזי – החלפת VPN, גישת קבלנים, או אבטחת יישומי ענן – ומרחיבים כיסוי עם הזמן. הספק שתבחרו צריך לתמוך בגישה מדורגת, לאפשר לכם להתחיל עם פריסה ממוקדת ולהרחיב בלי לבנות מחדש. בדקו לא רק איפה הספק עומד היום, אלא איפה מפת הדרכים שלו מתיישרת עם אסטרטגיית האבטחה שלכם בשנתיים-שלוש הקרובות. ההשקעה החזקה ביותר ב-ZTNA היא כזו שגדלה עם בשלות ה-Zero Trust שלכם, לא כזו שנועלת אתכם בתצורה סטטית.
