随着人们对VPN产品的安全能力需求的提升，从最基础的安全数据传输通道，到二层链路加密，再到三层的协议控制和应用权限控制，越来越多的新技术/协议被集成，VPN产品本身也在随着IT的大环境而不断演变、进化。

启明星辰2013年正式推出天清汉马VPN后，在IDC发布的对2014和2015全年的中国VPN市场规模各厂商占比排名中，启明星辰分别以15.7%和14.0%的市场占有率的表现位居第二。那么，在启明星辰看来，VPN产品当今面临的挑战都有哪些？启明星辰VPN产品以及VPN技术在之后又有可能会往哪个方向发展？

传统VPN对云环境的适应

近几年，云计算技术快速发展，企业和政府都开始将自己的业务数据大量往云上迁移，VPN技术本身如何更好地适应云环境，如何解决虚拟化环境种类众多、部署困难，云租户数量庞大且性能要求高的问题，对VPN产品而言是个不小的挑战。

无论是私有云还是混合云，都具备云租户数量多，网络资源弹性大，随时需要扩容等特点，尤其是云上用户量庞大这一特点，对VPN的性能有很大的考验。“并发接入量和加密吞吐量”，是衡量VPN的基本性能的两个重要指标。启明星辰VPN按照用户需求，通过对云平台的兼容实现对云计算资源的按需索取，进而对用户接入量级和加密流量通道宽度进行“随意”调控。启明星辰专为私有云和混合云提供安全服务的产品“CSG（云安全网关）”，已经实现对KVM、VMWare、XEN等多种虚拟化环境的适应。

据启明星辰MDS产品群VPN产品经理张凡介绍，国内云平台的建设如火如荼，电子政务云为代表的行业云也在快速推进，用户对云环境下VPN安全产品有大量的需求。但传统VPN如何适应云环境下的新特点，真正解决“按需向云租户提供可信赖的安全接入”，“实现云中弹性部署”，“匹配云平台的管理需求”非常重要。如果可以解决以上问题，VPN产品在云时代下的价值将会被真正的放大。

张凡

当然，启明星辰VPN近两年也正与其它大型云服务提供商展开密切合作，例如与阿里云以及腾讯云已经有了很多合作项目。

向CASB靠拢

云访问安全代理CASB(Cloud Access Security Brokers)技术，作为Gartner在今年7月提出的2016年十大信息安全技术之一，重点解决SaaS模式下的安全性与合规性需求。类似于一个部署在用户与云服务商之间的应用代理安全网关，CASB可提供可视性、合规性、数据安全、威胁保护四个维度的安全功能。也就是说，SaaS模式在中国的落地情况，会直接影响CASB技术在国内的发展。

在启明星辰MDS产品部总经理孟庆森看来，CASB和VPN在技术上的积累有些类似，在CASB服务中，云服务商本身无法再通过某个管理员账户管理用户的接入权限，用户的全部权限均统一在CASB服务中，且会与SaaS应用本身紧密结合。

据启明星辰VPN产品经理商跃鹏向记者介绍，VPN要实现员工对业务系统安全的接入和登出，不是简单只在接入节点进行控制就可以实现的事情。目前主要的问题在于用户经过认证接入内网后，出现的在访问内网资源时接入权限和资源访问权限不一致问题，以及人和设备在安全接入时的安全问题。

左起：孟庆森、朱智勇、商跃鹏

“原先，A可以以A的身份通过VPN接入内网后，访问资源时在认证界面输入B的账户和口令，这样他就可以实现以A的身份接入但以B的身份访问资源。现在，我们通过SSO单点登录，在VPN配置和用户注册阶段，将VPN账户及其资源访问权限绑定，拦截访问资源时弹出的界面并进行自动填充，以避免这种情况的发生。但是，启明星辰还有更理想的解决方案。”

利用标准认证协议非对称，不可链接，可撤销的三个特性，我们可以更理想的解决上述问题。通过SAML、OpenID、FIDO等方式，用户接入并通过认证后，认证中心将给其颁发临时票据，在访问资源时用以确定访问者身份和权限。

对FIDO的支持

FIDO(Fast Identity Online)联盟及其推出的标准化协议框架，其目的在于更快、更简单且更安全的线上身份验证。目前联盟拥有近250家组织成员，我们熟知的谷歌、黑莓、英特尔、微软、贝宝、联想、RSA等均在其列。FIDO最大的特点在于身份验证凭证总是存储在用户设备上，攻击者需要物理接触设备才可能尝试攻击，这无疑提高了攻击成本。

商跃鹏说，启明星辰已经在国内VPN产品中，率先实现了对FIDO 的完全支持和集成。由于FIDO本身整合了安全认证器（可以是指纹、虹膜等生物特征，或是语音、面部识别等方式）和TEE（可信运算环境），使移动端的安全提高到了新的级别。同时，启明星辰VPN支持了可信计算体系，可通过TCM可信密码模块对系统本身进行高强度的保护。

“这是一个安全理念，也是我们之后的发展方向，不只是VPN产品，我们想做全链路的安全，同时希望找到一种方式，比如和一些企业合作，把有价值的东西通过我们的努力作出标准化的产品。”

除此以外，在接入体验上，启明星辰的VPN亦有所加强。

移动端VPN接入体验的优化

移动办公作为一种新型办公方式，正在慢慢颠覆传统的办公模式。不只是愈加轻薄的笔记本，除了钉钉等协同移动办公软件的应用外，大型企业都拥有自己的OA、ERP或相应的手机APP。而这些对业务系统的接入，都对接入安全和传输安全有着强烈的需求。

除了对不同主流浏览器内核，如IE、Safari、谷歌、火狐等的兼容外，对Windows(XP/7/10)、Redhat、CentOS、安卓、iOS等PC或移动端的操作系统，启明星辰VPN也已经做到全覆盖。对于已有的本地业务系统App，更可以通过向App开发人员提供SDK接口，通过对App进行二次封装的方式做到用户无感知的安全接入。通过和企业自身业务系统的紧密结合，给了VPN更灵活的部署方式。

VPN在超大规模网络的快速部署

在一些特大型的央企、国企以及整个军工行业，其网络基础设施数量庞大，且更新升级快，如果使用IPsec协议进行VPN部署，因为其需要在IP报头后插入数据，在企业网络的路由表发生变化后，需要重新部署，维护成本因为其网络规模庞大而不菲。

启明星辰VPN 针对客户“超大规模网络部署”以及密钥管理和部署过程过于复杂的问题，通过对GDOI多播密钥管理协议的支持，结合密钥管理中心（KMC）实现密钥的管控和分发，实现VPN在超大规模网络的快速部署、密钥集中管控和数据加密传输。

同时，对于已经到来的物联网(IoT)时代，随着企业生产的智能设备渗透进千家万户的日常生活，企业和客户都需要通过移动端App实现控制和安全接入，在未来这无疑也会形成一个超大型网络。

安全牛评

VPN作为一种传统的安全设备，正随着云计算的普及、CASB、和FIDO等新技术的兴起，有了更多的应用场景和活力。因为VPN其庞大的市场，除了启明星辰外，国内外安全厂商，如深信服、天融信、华为，国外如Cisco、CheckPoint等，都在积极布局。用户的需求变化，技术的发展都要求厂商对其产品进行打磨甚至更新换代。虽然现在还没有哪家安全公司像下一代防火墙一样提出下一代VPN的概念，但我们有理由相信，它离我们也已经不远了。