持安科技CEO何艺：零信任不仅仅是VPN替代 将加速步入落地时代

“我是从甲方出来的，甲方都有一个共同的态度，就是务实，创业我们也是想用务实的态度，帮助更多企业把安全做好，选择零信任赛道一方面是因为自己有多年的积累，另一方面也是看到零信任未来的无限可能。但出来创业投身零信任赛道之后，我们发现市场上的零信任跟我在甲方做的零信任好像不一样……”

这段话，是上月持安科技创始人&CEO何艺在其产品发布会上做的开场白。

过去几年，网安市场受政策上的积极推动，持续受到资本市场的关注，零信任也是资本最为看好的网安细分赛道之一，但我们不能确定的是，到底是受疫情影响整体网安市场发展不如预期影响了零信任的落地，还是零信任技术问题导致其难以真正市场化。带着这一系列问题，安全419走进了国内零信任领域，由甲方创业成立的明星企业——持安科技，与创始人&CEO何艺探讨了零信任在国内的发展与落地问题。

国内对零信任的理解仍存在较大偏差

零信任技术发展在全球范围内已超过十年，但在国内却是从近几年才开始火热，我们认为零信任是下一代安全，但是目前国内零信任市场尚未完全成熟。

何艺指出，传统的网络安全主要基于边界防护和纵深防护架构来构建，属于被动防御。而如今，由于互联网的发展与企业业务模式的转变，边界几乎已经不存在。另一方面，传统基于特征检测方式的防御手段，只能尽量防御已知的攻击手段，且无法穷尽所有特征，因此不仅无法有效防御0day、1day等未知攻击，还会给安全部门带来巨大的防护成本。

“零信任可以带来攻防态势的转变，让攻击方不再处于优势地位，并降低防守方的安全投入。”何艺提到，基于应用层建立的零信任，是以可信验证的方式建立连接，只有经验证身份、设备、行为数据皆可信的请求才会通过。那么攻击者想要仿造这些信息，需要付出非常多的时间和金钱成本，因此攻防态势也就从攻击方优势地位，转变为防守方优势地位。

何艺还提到，零信任的早期市场化过程确实存在“水土不服”问题，因为很多厂家在传统安全领域有多年的积累，在设计零信任解决方案时，更加倾向于在原来的技术能力的基础之上，增加零信任的部分特点，并将其包装成零信任解决方案。这就会导致很多客户在与其沟通之后，认为零信任没有新的技术突破，只是概念性地贴合，会觉得零信任只是炒作。这一现状也在一定程度上影响了零信任的规模化落地。

比如有一部分厂商把零信任包装成远程办公解决方案，也有部分厂商认为零信任等同于VPN替代与升级方案，但何艺认为，这两类方案本身还是用边界防御的思路来做安全，是在强化边界外的安全问题。

根据何艺的观察，实际上Google和微软到现在还在用VPN，但他们也是零信任技术最早的实践者，早已实现了零信任在企业内部的全面落地。这一定程度地表明，VPN≠零信任，除去VPN替代的场景之外，零信任还会给企业带来很多安全价值。

持安科技将零信任看做企业的办公安全基础设施，不基于员工的地理位置来判定其安全状态，而是基于其业务身份与访问行为做可信验证，在此基础之上，就会天然把混合办公安全做好。

“许多客户面对零信任的时候，会感觉有点迷茫，这个概念到底是真是假？真的能给企业带来价值吗？”

何艺总结到，虽然市场上还存在这些疑问，但是随着零信任的热度逐渐趋于平稳，零信任的真正价值也正在被更多地企业知道和认可。做出好的零信任安全产品，让更多企业受益，帮甲方真正解决安全难题，也是自己从甲方出来创业，并成立一家零信任企业的原因之一。

零信任将重构下一代安全体系

安全的本质是对抗，对抗的本质是攻防两端人与人的较量，而零信任即是从“人”入手，核心是保障“人”对企业“资源”的安全访问。

当一个访问者，发起一个对企业资源的访问请求时时，安全团队需要确保每一个到达资源的请求数据包里面的内容是可信的。

持安科技认为，实现这一过程需要在企业现有的信息系统之上，建立一套基于身份的零信任网络，让零信任承载业务，零信任网络会在员工发起每一个业务访问行为时，默默做好可信验证，业务人员在日常办公中不会感知到安全产品的存在。

何艺解释称，基于应用层建立的零信任可有效抵御未知人员发起的未知攻击。零信任基于“先验证，再访问”原则，所有的请求都必须先经过可信代理，需要通过身份、设备来确定用户可信，并检查其所采取的行为是否符合策略要求，只有当三者都建立了可信关系，才能对后面的资源进行访问。

零信任可实现快速的应急响应，当访问者的安全状态是实时变化时，可信验证也是一个动态的过程，需要不断进行评估和调整。如果发现访问者在任意位置、任意系统发起的某个访问，其数据包内某个因素不安全，应该及时采取措施进行止损，比如降低其权力、禁用其访问权限等等，以避免潜在的风险和威胁。

此外，零信任不基于内外网来判定安全状态，员工在任意地点办公，都可以采用与办公大楼内同样的方式，安全对业务0打扰，0学习成本，为员工办公带来更好的体验，提升业务的敏捷度。

据何艺介绍，目前，持安科技已帮助多家大型企业实现了零信任的技术落地。他进一步表示，让零信任持续的运营过程中持续输出安全价值，一方面需要技术架构遵循国际上零信任技术的发展路径，另一方面零信任在国内落地时也需要结合本土化国情，做好技术和场景的适配。在这方面，持安科技正走在行业前列。

零信任愈加成熟 将加速进入落地时代

今年以来，数字化发展持续加速，企业也逐渐疫情阴霾中走出，网络安全作为数字化发展的底座，行业对短期快速增长保持信心。持安科技认为，虽然受疫情导致企业对于网安投入降低，国内对于零信任也存在一些理解偏差，认为零信任仅仅是VPN的替代，但其经过甲方目前的需求场景，以及大量零信任落地实践成功案例的证明，短期内零信任一定会加速步入落地时代。

“零信任从技术角度已经没有障碍，持安早已实现标准化接入，包括受保护的业务系统不用做任何改造，员工不用改变使用习惯，技术落地无需甲方投入过多人力。持安经过多年技术孵化，可以为客户提供成熟的零信任解决方案，其稳定性、可靠性和高效率，均已在多家大型客户得到验证。”

何艺强调，零信任此前最大的问题是企业的认识不足，和安全部门的心有余而力不足。随着技术成熟度的进步，实际上在技术落地实施过程中已经没有那么多的困难与挑战了，未来零信任产品落地会越来越轻，越来越方便，逐步完全打消客户对于业务影响上的担忧。

一体化融合也是近年来网安产业的发展趋势，平台化也是持安科技成立之初就已确定的产品思路，因为需要承载业务，所以产品堆砌的形态，是无法满足客户对高可用性以及弹性扩容要求的，同时，持安科技在其平台中预留了大量的接口，具有极强的开放性和兼容性。

“持安采用微服务、模块化的架构，既可以提供零信任全行业、全场景能力，也可根据用户的当前安全建设的现状，根据不同行业、不同业务模式与需求场景，来提供不同模块化能力，实现企业的安全建设目标。”

提到持安科技刚刚发布的新品（持安远望办公安全平台V4.0）时，何艺表示，持安科技希望解决的是一些传统安全产品无法解决的点，改变攻防态势，改变边界安全无法解决的问题，提高安全投入产出比，进而为企业创造业务价值。

据悉，持安远望4.0基于Google BeyondCorp应用层零信任，是该架构在中国的最佳实践，以业务身份为基础，采用分层防护模型，以应用层零信任为核心，同时在数据、应用、主机、网络、身份平面贯彻零信任。决策引擎可分析多维数据，基于访问者的行为进行综合的可信验证，并提供全链路安全审计，不仅记录访问者ip地址，而是记录带有身边标签的全方位访问日志。持安支持分布式访问，业务就近部署，毫秒级响应无延迟。围绕该平台，持安科技希望将零信任体系变为企业的安全底座，成为企业IT基础设施。

何艺向安全419介绍了数家企业客户在不同阶段、不同诉求下的零信任建设案例，可以看到，有的企业正全面部署上线零信任，有的企业则采用分段式的建设方法，来具体实践落地。总体而言，持安零信任产品，历经甲方到乙方8年的打磨，经受住了高并发、长时间的考验，帮助数十家大型客户实现了整体架构上的革新。

零信任已经成为一套完整且成熟的框架型安全解决方案，对外保护业务，对内保护数据，技术应用展现出极强的融合拓展能力。

持续优化 “做最懂甲方的零信任安全专家”

持安科技立志“做最懂甲方的零信任安全专家”。

作为甲方出身的安全创业者，何艺表示，持安科技在零信任赛道上自身拥有两大核心优势：

其一是自己来自甲方，至今已有8年甲方零信任建设实践经验，产品设计更加务实，并且随着客户信任度的不断提升，持安科技零信任与客户的匹配度也越来越高，由此可以带来更好的零信任方案落地体验；

其二在于持安科技不是一家技术炒作型网安企业，其希望遵循行业最佳实践落地真正的零信任，并贴合甲方实际的安全需求做市场化调整，能够真正地为客户展现零信任价值，实现精细化技术落地。

谈及未来，何艺认为零信任的发展会越来越清晰，持安科技希望在未来十年持续深耕零信任领域，贴合实际的市场趋势，不断深化自身的技术创新能力与方案落地实力。“随着疫情的过去，零信任可能也不会继续聚焦在远程办公场景，而是全场景下的攻击防护、数据安全、业务价值提升等，总之，持安科技会一直紧跟客户需求去做调整、结合以及适配。”

“希望未来能与众多同行者一起，把市场做大做强，我们相信零信任领域未来一定大有可为。”何艺最后向安全419表示。