杨洋
SupraAXES创始人&CEO
自2004年先后在Hifn、Barracuda和Websense/Forcepoint等安全厂商负责技术和产品管理,包括WAF和SWG产品线的战略发展、全球团队开发和产品推广等。2017年回国探索国内技术实践,2020年创立SupraAXES,着力构建数字化转型下新业务形态所要求的全新安全理念和解决方案。
为什么选择零信任这个方向创业?
杨洋:因为我相信零信任是安全乃至新一代IT基础设施的根本范式,也正好是我专业经验和职业经历的自然发展。在这个方向创业是个瓜熟蒂落的过程。
从时间上来说,得回溯到2013年左右感受到整体形势所发生的根本性变化:一边是云化和移动化在快速重塑业务的组织和形态,一边是APT和斯诺登事件从根本上挑战传统的安全逻辑。作为Websense WSG产品线的产品经理,当时我直接承受着这两条主线变化的冲击:一方面,业务的组织和形态的变化要求产品提供相应的支持,从功能特性、业务逻辑和整体架构等各方面都需要相应的调整和创新;另一方面,尽管Websense长期处于WSG乃至整个安全行业的领导者位置,有非常先进和成熟的传统安全技术,有庞大的研究团队和基础设施支撑,但从具体的产品落地和客户环境的实际效果看,对于各种新兴的安全挑战还是常常有捉襟见肘的窘迫感。特别是还有Zscaler带着全新的业务模式直接在我们的传统优势领域发起正面挑战和冲击,使得我们在随着业界新概念和技术潮流持续发展、推出相应产品方案的同时,也从各方面进行深入讨论、反思和探索安全技术和产品的未来。
从市场上看,那几年有一系列重要的创新技术和产品出现并迅速成为主流解决方案,比如以FireEye为代表的沙盒检测到Netskope为代表的CASB,也有包括洛克希德·马丁的Cyber Kill Chain和Garter的动态安全架构等对今天的业界产生深远影响的重要方法论。但是,在内部讨论中,我们包括产品、开发和研究等的核心团队基本达成了比较一致的观点是在传统路径上修修补补的前景非常局限,安全乃至整个IT基础架构都需要做出根本性的改变才能与新形势下的业务发展相匹配。
Google BeyondCorp项目在披露后迅速引起了大家的关注和讨论,而我此前十来年的经历正好是在很好的公司平台上比较完整和深入地做过VPN、WAF和WSG,且当时的一个重要事项是WSG与CASB集成。最迟到2017年初,我觉得Google BeyondCorp项目虽然有很大的局限性,但非常确定是代表着未来的发展方向,于是在2017年4月底回国加入了一家CASB创业公司——虽然CASB在国内受限于整体SaaS市场而不会有大的发展,但应该开始坚持沿着Cloud + Broker的核心思路探索。
我们现在的技术和产品思路大致在2019年形成。到2020年疫情期间整体思路基本成型之后,我就和几个一直在持续沟通和交流的同学和校友组成了创始团队,正式开始项目落地。到今年上半年差不多刚好一年的时间,我们主要在验证和确认技术方案以及长期的市场潜力,最近开始进行产品验证和业务拓展。
业内现已有许多做零信任的厂商,SupraAXES有何不同之处?
杨洋:首先,我们的基本着眼点是新形势下业务的变化和挑战,以对云化和移动化条件下业务改变和安全困境的直接感受和深入理解为基础,而不是借着国外分析师和行业组织等总结的安全概念和逻辑找对标、讲故事。对我来说,从Hifn到Barracuda再到Websense/Forcepoint这十几年直接接触和经历下来,早就完成了对分析师报告和行业风向标之类的“祛魅”。现在做的事情是长期积累、认知和判断的自然发展,有我们自己的核心逻辑和愿景,也有技术和自信。
其次,面对新形势下业务的变化和挑战,我们的思路不是如何解决某几个具体的安全问题,而是在深刻理解新形势下业务和安全新范式的基础上,形成了一种天然安全的业务解决方案。我们看到,各种安全问题和挑战的根源在于业务正在发生以云化和移动化为代表的数字化转型(Digital Transformation),而基于传统业务逻辑构建的IT基础设施已经不能适应新的业务环境,如果只关注旧的安全体系、逻辑和策略中的具体问题,所得到的技术方案必然会存在天然缺陷而无法落地实施甚至阻碍业务发展。
就零信任而言,我们的产品方案更为易用、完善和彻底。我们不需要用户在终端设备上安装客户端软件或进行专门配置,也不需要对目标资源在目标资源上安装Agent或进行任何变更;我们在支持用户不受终端设备限制、随时随地开展相应工作的同时,能够确保即使用户终端设备存在严重安全问题也不会成为黑客渗透的跳板,也不会导致病毒等安全问题扩散至整个办公系统和网络;我们能够在支持用户正常访问和使用各种业务数据和文件的同时,从根本上避免黑客甚至合法用户不当收集各种资源信息和业务数据……作为基于一系列国家发明专利的原创实现,我们的产品方案从基本思路到使用效果都与业内其他厂商显著不同。
另外,我们的技术方案和产品有着更灵活和更广泛的应用前景,相信也会有更长远的市场潜力。从Gartner之前总结的ZTNA到最近Microsoft的Windows 365,正如我们所预见的那样,“零信任”概念正在从基本的网络访问控制扩展、泛化应用到更广的领域,而除了各种表现形式的安全访问,我们的产品方案还可以直接用于资源保护和管理,乃至构建全面的新一代IT基础设施。
产品为什么叫“办公VR平台”这个听起来不像安全产品的名字?
杨洋:这个名字是我们产品方案关键技术和应用的总结。
用户从我们产品中最直接感受到的是我们的动态全息投影技术。我们会将Web应用、C/S客户端、主机软件、服务器、终端以及文件等各种资源的用户界面进行实时投影,并将投影得到的动态图像流传递到用户终端的浏览器;同时,我们会捕获用户在资源投影上的操作,并相应地在真正的用户界面上进行模拟操作。这样,我们就能够让用户在不直接接触目标资源的情况下获得与直接操作完全一致的体验,既能打破物理距离和网络空间对用户的限制,又能真正对资源进行全面有效的保护。从原理上看,和大家常规了解的虚拟现实(VR)技术有很大的相似性。
虽然技术方案潜在的应用范围非常广,但是现阶段我们主要还是关注办公领域,也明确看到有资源保护、远程访问、数据安全等等办公应用场景的实际需求;就产品本身的架构和形式而言,也是个通用的可扩展平台。
这样直接连起来,就是“办公VR平台”这个名字了。没有去刻意强调安全,是因为我们一贯认为“安全”是结果而不是功能特性,对安全的追求最终还是要落实到业务场景上。面对新形势下业务的变化和挑战,我们提供的是一种天然安全的业务解决方案,“拥抱云和移动,安全与生俱来”。
你着重强调了SupraAXES办公VR平台不需要用户在终端设备上安装客户端软件或进行专门配置,为什么无客户端如此重要?
杨洋:因为用户使用的便利性和日常管理的可维护性很重要。
从业务效率角度很容易理解无客户端的重要性:使用简单方便,无需专门管理,能够节省大量人力和时间。但如果着眼于安全,产品的使用便利性和管理可维护性则常常被忽视。实际上,我认为这也是当前很多安全产品和解决方案的困境所在:只关注攻与防的冲突,而不重视安全与业务的冲突,导致安全产品方案的实际落地效果差,一段时间之后就处于空转或闲置状态,直到被撤除。
用户终端设备上的客户端软件首先面临的是兼容性问题。客户端软件需要适配不同硬件和操作系统环境,在使用中还需要避免和解决与其他软件的冲突,特别是操作系统和第三方软件都会持续更新,导致兼容性问题会一直持续存在,随时可能爆发,直接威胁客户端软件的功能运行和在本地设备上数据的安全性。
其次是客户端软件更新的维护性问题。不管是解决问题还是增加功能,客户端软件自身也需要持续更新,因而有三方面的问题要持续关注和及时解决:用户终端设备上的客户端软件如何跟上更新节奏,系统怎么支持用户使用不同版本的客户端软件,以及如何保证新版本客户端软件与用户终端设备的兼容性。这些问题看起来都和安全的关系不大,但如果不能很好地解决,却将直接破坏已经构建好的安全机制。
另外,与主流浏览器相比,客户端软件自身的安全性也难以得到充分保证。不管是安全框架和功能设计,还是对开发质量的把控,以Chrome为代表的现代浏览器都获得了长期持续投入,包括沙箱在内的大量重要安全机制都是默认强制运行的,普通客户端软件难以比肩。
在过去近十年时间里,客户端软件一直是我产品里的重要组成部分,我作为产品经理和研发团队一起与各种客户端软件问题斗智斗勇,而最终我得到的答案是彻底放弃对客户端软件的依赖。现代浏览器已经足够全面和成熟,基于浏览器的无客户端方案才是未来。市场上有很多零信任方案照搬Google BeyondCorp,整体方案依赖对终端设备的管理,可能都没有意识到客户和用户的差距:绝大部分企业都没有办法像Google或其他国外大厂那样为所有员工配备和更新专门的工作设备,要求员工必须使用工作设备办公,且有专门的管理系统和自动更新机制对工作设备的运行和状态进行严格管理,用户使用受限且不能随意自行安装软件。
国内和国际上有类似的技术实践吗?
杨洋:已经能看到一些产品和技术方案中有与我们相似的思路,但都还没有形成我们这样完整的整体解决方案。
一方面,从云化和移动化的数字化转型中安全的角度看。在Gartner的SASE模式下,Zscaler的ZIA+ZPA是个很好的典型;RBI的概念起源很早,但自2018年以来才迅速热了起来,如今国外主要安全厂商都已经提供了相关的产品和服务,国内也看到有创业企业在做了。当然,顶着“零信任”名头的就更多了,虽然不少都是旧方案换个新名头做市场宣传,但一般也还多少有些重点和亮点吧。
另一方面,从无终端或者轻终端的角度看。Microsoft最近正式把Azure Desktop升级成Windows 365,国内也有不少云电脑业务在发展。在这个方向上,但着眼点有些不同的还可以看到Google的Stadia平台和AWS的AppStream,Citrix Workspace也很有意思。
就整体思路而言,这些安全非安全产品和方案都是针对具体的问题给出的答案,而我们看到的是更根本的业务和安全基础范式的变化,所以我们的方案比前述这些方案更进了一步:既能灵活地直接解决特定的安全和应用问题,又能在此基础上逐步平滑扩展成全面的整体基础设施解决方案。
怎么看未来安全和业务的融合发展?
杨洋:我觉得这个问题要修正一下。虽然实践中安全团队常常独立于业务团队,但安全和业务并不是两条相互独立的线。安全必须为业务服务,解决安全问题要从业务的现状和未来着眼,在这个前提下才能谈发展。
长期以来,总是业务先行,到了一定阶段之后再把安全附加上去。在这种思路下,安全往往变成了对业务的限制,安全和业务的冲突也就愈演愈烈。我想,不管是归结为意识不足还是技能不够,归根到底这更多的是特定发展阶段的问题,已经随着整体社会和生态的发展在逐渐减弱和消失。近几年来,从欧盟GDPR的落地到国内各种安全相关法规的制定和实施,外部环境已经发生了根本改变;而企业和组织的发展中,数字化资产和能力已经成为核心竞争力,安全能力也因此成为企业“护城河”的重要组成部分。
安全目标是业务目标的基本组成部分,业务发展必然要求安全相应发展。从安全的角度看,安全不是限制业务的理由,而应该为业务提供保障,是对业务的解放,为业务赋能。
