الـ ZTNA يمنح الوصول لكل جلسة على حدة بناءً على هوية المستخدم وحالة الجهاز، وعلى مستوى التطبيق وليس الشبكة. هذا يقلب منطق الـ VPN التقليدي الذي يضع المستخدم داخل الشبكة ويثق به افتراضياً. كبائع presales، شغلك أن تربط هذه القدرة التقنية بقيمة عمل واضحة: تقليص مساحة الهجوم، ودعم العمل الهجين، والامتثال التنظيمي في الخليج.

• 1الفرق الجوهري: الـ VPN يربطك بالشبكة كاملة فتحصل على عنوان IP داخلي وتتحرك بين الأنظمة (lateral movement)، بينما الـ ZTNA يربطك بتطبيق واحد محدد فقط ولا يرى المستخدم بقية الشبكة أصلاً.
• 2القرار في كل جلسة ديناميكي: يقيّم الهوية (identity من الـ IdP) وحالة الجهاز (device posture: تشفير القرص، الـ EDR، تحديثات النظام) قبل وأثناء الاتصال، فإذا تغيّرت حالة الجهاز تُقطع الجلسة.
• 3نموذج الإخفاء التام (dark/cloaked apps): التطبيقات الداخلية لا تُنشر على الإنترنت العام ولا تستجيب لأي فحص (no inbound ports)، فيختفي السيرفر عن أدوات المسح مثل Shodan ويسقط هجوم استغلال الثغرات قبل أن يبدأ.
• 4تجربة المستخدم والتشغيل: لا يحتاج المستخدم تشغيل/إطفاء client يدوياً ولا يعاني من بطء توجيه كل الترافيك (hairpinning)، والإدارة سياسات مركزية بدل صناديق VPN concentrators موزعة تحتاج صيانة وترخيص سعة.
• 5موقعه من المعمارية الأكبر: الـ ZTNA هو ركيزة الوصول داخل إطار SASE/SSE، يتكامل مع SWG وCASB وDLP وFWaaS تحت سياسة هوية واحدة، فلا تبيعه كصندوق منعزل بل كجزء من رحلة توحيد الأمن.

• معمارياً، أغلب حلول الـ ZTNA تعمل بنموذج connector صادر (outbound-only): يُنصب connector داخل الـ data center أو الـ VPC يفتح اتصالاً صادراً نحو سحابة المورّد، فلا حاجة لفتح أي port وارد في الـ firewall. هذا فرق بيعي حاسم مقابل الـ VPN الذي يتطلب نشر concentrator على IP عام معرّض. ميّز للعميل بين service-initiated ZTNA (agentless، عبر المتصفح، مناسب للمقاولين وأجهزة BYOD) وendpoint-initiated ZTNA (يحتاج agent، يعطي تحكّماً أعمق في device posture للموظفين).
• مشهد المنافسين للتموضع: Zscaler Private Access وNetskope وPalo Alto Prisma Access هم قادة الـ cloud-delivered SSE بتغطية عالمية من نقاط حضور (PoPs)؛ Cloudflare Access يبرز بشبكة edge ضخمة وتسعير بسيط؛ Cisco و Fortinet (FortiSASE) يبيعون التكامل مع قاعدتهم المنصّبة من الجدران النارية. الفروقات البيعية الحقيقية: تغطية PoP داخل/قرب المنطقة (latency)، نموذج الترخيص per-user، عمق فحص الـ posture، وهل الحل single-vendor SASE موحّد أم مجمّع من استحواذات.
• سياق الخليج والتنظيم: في السعودية يفرض الـ NCA عبر ضوابط ECC و CCC مبادئ least-privilege وتجزئة الوصول والتحقق من الهوية، والـ ZTNA يخدمها مباشرة كدليل امتثال. ضع في عرضك مسألة data residency: العميل الحكومي/البنكي سيسأل أين تُعالَج الجلسة وأين الـ PoP، فاربط الحل بوجود نقطة حضور داخل المملكة أو بمتطلبات SDAIA/PDPL لحماية البيانات الشخصية. اربط القصة أيضاً بـ Vision 2030 والتحول للسحابة كمبرر استراتيجي لا مجرد مشروع IT.