专访易安联创始人杨正权：从VPN到零信任，本质仍是落地客户需求

2004年，在耶利哥论坛（Jericho Forum）上，人们开始讨论无边界趋势下的网络安全问题并寻求解决方案，“零信任”概念初具雏形。

6年后，2010年，Forrester首席分析师John Kindervag正式提出了“零信任模型”的概念，并对零信任概念进行了阐释：不再以一个清晰的边界来划分信任或不信任的设备；不再有信任或不信任的网络；不再有信任或不信任的用户。

简而言之，在网络安全攻防战中，人被视为最大的漏洞，零信任即不相信任何人，秉持着“永不信任、持续验证”的策略，让原本畅通无阻的攻击者在网络空间里寸步难行。

如今，12年过去了，据Gartner发布的2021年企业网络技术成熟度曲线显示，零信任已走过了低谷期，进入了稳步爬升的光明期。

这份光明源于零信任安全的不断成熟，亦源于网络安全行业整体如日方升的趋势。在专访中，国内最早一批进入零信任赛道的易安联创始人、CEO杨正权告诉朋湖网：“我认为目前网络安全产业处于二十多年发展以来最好的阶段，并且这种向上的状态会持续很长一段时间。”

这成为了共识，毫无疑问，现在是最佳的黄金时代。

01

最好的时代，但不能做简单的“国产替代”

2013年，前中情局（CIA）职员爱德华·斯诺登向多家媒体曝光，美国国家安全局自2007年起便开始实施一项绝密电子监听计划——棱镜计划（PRISM），根据斯诺登提交的资料，2007年到2013年的6年间内，美国国家安全局和联邦调查局通过进入多家网络巨头的服务器，多个国家、多个领域的机密数据窃听，影响人数过亿。

尽管涉事方都矢口否认，但在棱镜门事件发生后，牵一发而动全身的网络信息安全的重要性已然上升到了国家战略高度。

2014年2月，中央网络安全和信息化领导小组第一次会议召开，会议提出：“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。”随后，截至2014年底，北京等17个省皆成立了省级网络安全和信息化领导小组。

此外，在这一年中，5月，中央国家机关政府采购中心发布中央机关采购计算机禁止安装win8系统；8月，政府采购部门将赛门铁克与卡巴斯基从安全软件供应商名单中排除，并将赛门铁克“数据防泄漏”（Symantec DLP）软件列为禁用产品。

这一系列的政策频出，无疑表明网络信息安全相关产品自主可控愈发得到重视，国产化替代的春风吹至。

“国产替代是整个IT产业生态链都必然要去做的事情，目前来看，从市场角度而言，国产替代热潮吹响后确然为国内网安厂商带来了大量的机会。”杨正权讲道。

虽然国产替代的旗帜立起来了，但其中却仍存在着许多问题，他表示：“很多人只是把国产替代当作市场的利好因子去宣传，仅仅做到了浅层次的一个产品市场份额的替代，实际上很多核心理念和技术创新性仍有不足。”

杨正权认为，目前从技术角度来讲，网络安全产业技术的原创性、创新性还处于早期阶段。“国产替代要做的不仅是市场份额的取代，而是创新性的替代，要用新方法、新理念、新技术去替代到国外的传统方法、传统技术及传统理念。”

而现在大部分的网络安全技术理念和思想的底层逻辑基本仍源自于国外，这一步路还有很长的一段距离要走。

但创新的高峰虽然难以攀登，却总要一试。

02

从VPN到零信任，本质仍是落地客户需求

2005年，杨正权跨入了创业的大门，最初团队业务方向聚焦在了SSL VPN，主要为用户解决远程接入和移动办公的需求。

但伴随着市场环境和客户需求的变化，他意识到安全是用户的第一痛点问题所在，并且这时的SSL VPN的市场天花板已没有留有太多的想象空间，正如现代著名画家李可染所言：“踩着前人的脚印前进,最佳结果也只能是亚军。”

明者因时而变，知者随事而制。恰逢当时云计算逐步走上风口，杨正权和他的团队决心或许是时候拥抱变化了。

在安全问题才是企业发展根基的想法驱使下，他们做了大量的研究和市场调研，而彼时，2017年，零信任安全的相关理念也正在国外“疯狂”传播中，这一年Google基于零信任安全的BeyondCorp项目取得成功，验证了零信任安全在大型网络场景下的可行性。

正如列夫·托尔斯泰曾说道：“正确的道路是这样，吸取你的前辈所做的一切，然后再往前走。”

于是，在结合零信任理念与内部的研发框架基础上，同年，易安联重新整装出发，坚定地进入了零信任安全赛道，并适时推出了EnCASB（零信任访问平台）、EnSDP（零信任防护平台），从教育科研、电力等领域开始产品的商业化落地实践；

五年过去了，现实证明了杨正权的“远见”。传统VPN已远远被时代落在了后方，如今它的描述词已成为软件公司Workiva高级安全架构师Matt Sullivan口中那样：“它们笨重、过时，很多东西要管理，坦率地说，它们有点危险。

Gartner亦预测，到2023年，60%的企业将逐步淘汰大部分VPN，转向支持零信任网络访问。

此外，根据市场研究机构Markets and Markets的报告数据现实，全球零信任安全市场规模预计将从2019年的156亿美元增长到 2024 年的386亿美元。

回看国内，2019年，工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》，首次将零信任安全列入网络安全需要突破的关键技术。

如今，零信任安全已步入了风口，也逐渐被企业所认可。

“很多时候，用户会被许多名称给弄迷糊，一会是VPN、一会是零信任，一会又是SASE，用户未必能够理清出概念，就像早期去推SDP一样，客户会问：这跟过去的VPN有没有什么本质的区别？”杨正权表示，这些词都是业内自己造出来的名词，对于这些词的阐释其实并不重要，对于用户来讲，最重要的是满足他们的安全需求，这才是本质。

“我认为创业者很多创新的思想一定要跟用户的最终需求所达成一致，统一之后想法才能真正落地，变为现实，而不是仅仅停留在空中楼阁，只是想法很‘精美’，实则食之无味。”他强调，零信任产品方案或框架实际上也是需要持续不断的创新和持续不断的落地，并且要求持续不断地跟用户能够达成统一共识。

“变化跟着需求走，比如我们从早期的一个访问安全类或访问控制类的产品，之后逐渐加入了用户的一些其他的安全需求，像端上的安全，数据的安全等。”杨正权讲道。

据朋湖网了解，目前，易安联所推出的零信任安全防护解决方案中，系统便能从网络、用户、数据、应用、终端等五个方面细化安全防护粒度，通过在发起访问的主体（人、设备、应用、微服务）与被访问的客体（应用、微服务接口、数据库）之间构建一条全流程加密的访问链路，从而保证访问主体可信、链路可信、客体安全，加强用户在远程办公环境下通过终端接入有效身份验证，确保终端数据链路的安全，最终实现用户数据和应用的安全访问。

图源：易安联

谈及易安联零信任安全防护解决方案的优势，他表示主要有三点：一、高可用性：系统支通过分布式部署及服务冗余机制，能够保持持服务的高可用性，保障系统服务不中断；二、多种服务形式：系统能够提供有端、无端或SDK集成的方案，从而满足远程访问的需求，用户无感访问业务，不用改变使用习惯；三、兼容性：系统支持可集成能力，能够通过接口方式与客户其他业务平台迅速集成。

当然，在零信任产品的落地研发中，也会遇到各种挑战，杨正权表示，零信任产品的成功落地需要做非常多的准备。首先，因为零信任是叫以身份为基石的访问控制类产品，那么就要跟一个组织类所有内部的身份全部打通，如打通财务软件、ERP软件甚至是网盘等各种复杂的异构应用，做身份的统一认证；其次，需要做固定设备资产的梳理，最后要做应用的梳理，打破从设备到应用的数据孤岛。

打破“数据孤岛”，实现应用的协同性是一项易安联正在做的创新挑战，此外，易安联还在勇攀另外一座“高峰”——做零信任产品协议标准化.

什么是标准化？

古语有言，车同轨，书同文。根据三大国际标准组织ISO、IEC、ITU共同给标准下的定义来看便是：为了在一定的范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用和重复使用的一种规范性文件。

对于零信任安全赛道而言，标准化的意义不言而喻，当统一的话语体系建立了，通过标准化推动接口联动，将能大大提高各方的合作效率，整个产业生态也才会更加健康。

为此，早在2019年，易安联便提出了零信任产品协议标准化目标，并与东南大学的网络空间安全学院联合组建了实验室。“如今，协议的标准化仍在起步发展阶段，易安联正与各方企业及其他的软件开发商共同努力继续往前走，但这不仅是要靠一家之力，而是各方协同才能做到的事情。”

杨正权告诉朋湖网，“可能要等到我们的用户量足够大的时候，才能推动整个产业把应用协议标准化目标实现。”

03

结语

“虽然目前大家都看起来在风风火火地做，但其实网络安全行业市场的容量并不大。”杨正权认为，网络安全产业其实是一个“大战略”下的“小市场”，“我们不得不承认，这个市场也就是甲方在这方面的投入其实没有想象中那么大。”

从数据来看，据IDC统计数据显示，我国网络安全市场占信息市场的比重仅为1.87％，远低于和美国政府20.4％，同时也低于全球 3.74％的平均水平。

也正因为如此，所有进入网络安全赛道的从业者、创业者必须保持心态平稳才能夺得到一块蛋糕。“做一件事情不能太浮躁，过于重视短期效益。”杨正权强调，当下零信任安全概念的火热驱使很多新晋创业者进来，机会是有的，但必须要以长期耕耘为目标，才能最终有所收获，在此之中最为重要的是理解用户需求的本质，找到痛点并“对症下药”。