近年来作为新兴安全技术之一的云安全访问代理(CASB)，已经受到国内企业的关注。但由于国内的SaaS市场并未普及，专注于CASB技术的公司寥寥无几。本期访谈文章，安全牛接触到了一家主营云上堡垒机的落地和CASB技术产品的安全初创公司——云安宝，并采访了联合创始人，刘川意。

个人简介

刘川意，男，1982年出生，博士后，哈尔滨工业大学（深圳）副教授， 美国明尼苏达大学访问学者，清华大学客座研究员，北京邮电大学兼职教授，工信部软件与集成电路中心特聘专家，中国云安全联盟理事。

曾完整研读Linux内核源代码，并专注3年时间带领团队对Openstack、Eucalyptus等开源云平台进行彻底解构，已获得国家发明专利6项，积累了10余年的丰富产学研结合经验。

一、从清华双创大赛到解构云基础设施

安全牛：安全领域，按创始人出身背景的不同，可以划分为几种流派，如销售、攻防技术、企业管理，还有学术。据我了解，云安宝就属于典型的学术派创业公司了，但你的专业不是信息安全，那又是如何进入到安全这个领域的？

刘川意：其实创业这件事情，是因为个人情结所然。我在清华读博士的时候，05年我们成立了一个信息技术协会，ITA。现在在全国范围内高校里面声势浩大的腾讯俱乐部，就挂在我们这个协会下面。那时以ITA的名义发起了第一届清华大学创新创业大赛，现在这个大赛已经成为全国性的知名活动了。

做这个活动的目的，就是要把学校的技术研究商业化，把知识产权对接资本形成产品，以实现更大的价值。在全程参与这个活动的过程中，就萌生了创业的想法。

之后我到美国做了一年的访问学者，了解到人家是如何成立公司把科研成果真正转化成产品的过程，同时又花了三年的时间把Linux的内核整个解构了一遍。回国后，先是在一个前辈的公司做了一年CTO，后来又在北邮当了7年的老师。

创立云安宝这家公司，说起来也是机缘巧合。我在大学这些年一直在研究系统结构，包括后来的虚拟化、分布式、超融合、软件定义这些云架构技术。在北邮的时候，曾经承担了国家第一个云计算方面的核高基项目，那时还不叫云，因为没人知道未来它是昙花一现，还是真的就是趋势，当时我们叫网络化操作系统。

在这个项目期间，我们把开源的云平台架构Eucalyptus（首个云计算开源软件基础设施）和OpenStack从源代码层面解构了一遍。在北邮跟着方滨兴院士读博士后，就逐渐进入安全领域。我个人的技术发展历程就是这样，从操作系统到云架构，再结合网络安全，最终创业做了一家云安全公司。

二、云上的“瑞士军刀”

安全牛：知道你们主做两个产品线，一个是云堡垒，另一个CASB。前者已经落地并有了不少的客户，能否具体介绍一下？

刘川意：不管是私有云还是公有云，其本质是数据的所有权和管理权发生了分离，安全责任是共担的。云堡垒的初衷是为了解决云中角色的特权管理问题。云的角色划分更细，云平台的超级管理员权限会非常大，所以要对他的操作行为留痕，要做审计。而且在传统的堡垒机产品中，对特权用户的管理比较弱，我们主要以解决这个问题为核心去扩展传统堡垒机的功能。

对于租户来说，其实也有类似的需求。他们既然选择了云计算，就是希望能够开放并且更加的简洁化。但租户的技术水平肯定不如云服务提供方，他在上云过程中，会面临一些麻烦的事情：应用如何更方便安全的迁移到云上，如何安全的远程访问，虚机的管理，不同账号密码权限的统一管理，审计合规的要求等等。

面对这些问题，如果租户再去买一堆传统的“盒子”自己DIY的话，就太麻烦了，不仅成本高，技术理念也不合时宜。针对上述的各种问题，我们做了一个轻量级的、融合的解决方案，把它称之为租户上云的“瑞士军刀”，即我们定义的云堡垒，称为“云匣子”。

当时第一个客户是重庆联通，后来重庆联通把我们的这个技术应用当做样板工程报给工信部，并在当年被评为工信部的网络安全示范工程，是当年唯一一个在工信部做经验介绍的云安全项目。

另一个产品线就是CASB，我们以解决大数据平台可信问题来切入。刚才说过，数据的所有权和管理权分离的情况下，如何保证大数据平台的可信，如何防止数据泄露？除了云堡垒对操作和行为的留痕审计以外，就是要对敏感数据进行透明加密，以及使用时的脱敏，然后才能放心在云上使用。

因此，我们这两条产品线合在一起，希望达到：租户上云之后，资产管理、自动化运维和数据保护的统一入口。

三、CASB的技术壁垒

安全牛：CASB做为一种新兴技术，国内的厂商目前涉足这个领域的还不是很多，你如何看待它的市场和技术壁垒？

刘川意：我个人认为在技术上我们是非常领先的，公司在这个技术方向上毕业的博士就有四位，我们从09年开始从事关键技术突破的学术研究，这么多年来已经完成了很多技术积累。实际上，我们现在正在着手把这些积累申请成专利。

安全牛：能否具体谈谈？

刘川意：CASB的市场，大家的判断应该都差不多。因为中国的SaaS还未普及，即使有需求，大型用户一般都自己建，所以目前如果按照北美发达国家传统的公有云模式去做CASB，市场需求很小。所以较为实际的做法，是面向私有云，面向企业应用，面向大数据平台。

再谈谈技术壁垒。我们知道，数据加密和数据的应用是一个矛盾体，如何正确处理两者的平衡一直都是业界的挑战。在学术界，包括密文搜索、密文计算、隐私保护、数据挖掘，都已经研究了很多年。这里面需要一个关键的技术，就是数据在加密或脱敏后，还能较好的保证数据的可搜索、可排序，以及分类聚类等进行分析处理的功能。

另外，CASB必需和企业的应用深度融合，也就意味着需要做协议分析，做逆向。业内的都懂，这是一个很琐碎很苦的事情，而且需要长期的积累。我们仅仅在自动化应用协议分析与语义分析方面就投入了三四位博士做了好几年，这些年来已经形成了一个自动化的SDK框架，可以做到完全不需要跟SaaS服务商去做任何对接，就能把SaaS应用的语义、协议，甚至是更新，自动的检测、识别出来。

安全牛：一些上网行为厂商是不是也能做这些事情？

刘川意：还有些不一样。上网行为技术不需要分析语义，并不关心协议里面传的是什么数据，主要是识别特征，识别出应用来即可，然后在会话层去截断或重置。因此一旦应用发生变化，比如增加功能，或是升级更新，就得重新再做一遍。

而CASB就必需把流量里的字段、数据、语言分析出来，至少针对主流的应用，能够做到透明化的、用户无感知的数据保护。这就需要站在SaaS开发商的角度，去了解应用的构建、编程的套路，才能较好的达成目标，对相关的知识积累要求非常深。在国内，云安宝应该是唯一一家能够用自动化的方式完成这一目标的厂商。

再有就是串接后的性能问题，把流量打散，分别处理并传到云上。这样做的目的，就是要让用户感觉不到因流量吞吐带来的时延变化，这里面的技术壁垒是比较高的。我们现在也只是出来Beta版的产品，正在做用户测试。

四、小云审大云

安全牛：是的，CASB的市场还未真正到来，你们更多的是在做技术储备和产品测试。但我听说你们的云堡垒产品还是很落地的？

刘川意：我们的云堡垒产品叫“云匣子”，现在已经有了不少的用户。目前云匣子已经入驻各大主流云平台，租户通过云匣子，可以对云上的资源做统一账号管理、远程访问、行为记录与审计。让我们感到自豪的是，云匣子被友商称为“唯一真正的云堡垒机”，而不仅仅是把传统堡垒机功能通过虚拟化镜像的方式来分发。

安全牛：目前云堡垒的的客户量有多少？

刘川意：我们分二条线。一条是公有云，目前有500百多个客户。比如UCloud是上个月刚上线的，但已经有过百客户了，今年线上总客户量应该能到4位数，这还是在市场和品牌推广方面几乎没有投入的情况下达成的。因此依据当前的发展速度和大环境的飞速发展，我们预期到2018年底很可能突破5位数，即仅在线上就达到一万个客户，毕竟它的需求是实实在在的。

安全牛：你指的是刚才提到的“瑞士军刀”，有点像安全网关产品里的UTM（统一威胁管理），意味着功能多成本低，因此很适合中小用户的需求。

刘川意：是这个意思。云上的租户如果都以“云匣子”（云堡垒产品的名称）为入口，就无需再去选择动则五六个安全工具去做安全了，这对于中小型用户来说是非常合适的。

另一条是政务云。我们知道云平台的承建商、运营商，比如华为、浪潮、曙光，还有运营商等联合起来，一起为业主服务。但在用户的使用过程中，如果出现问题，找责任方时会发现说不清楚。到底是建设方还是运营方还是用户的问题，这是个常见的最让业主头疼的事情。

云匣子作为一个独立第三方工具，把所有相关方的行为操作、远程访问都收集起来为一个入口，依据这些信息和数据来判断是谁在哪里出了问题，并以报告和预警的形式开放给业主。我们把这个解决方案称为“小云（指云匣子）审大云”，并已经得到地方政府部门和一些央企的认可。

安全牛：既然这个需求是实实在在的，那市面上还有没有其他厂商也在做云堡垒这样的产品？

刘川意：说实话，我目前还没在市场上看到有哪家厂商在做。

安全牛：是因为大家还没有看到这个需求吗？

刘川意：我觉得不仅仅是这样。刚才我们也提到过，云安全还处于早期阶段，一部分厂商根本还没开始做，还有很大一部分厂商更多的是在把硬件的盒子虚拟化一下放到云上，还无法做到与云融合成为真正的云安全。

在云端发生的很多问题，很可能不是传统的网络安全厂商之前重点关注的问题。比如由于所有权和管理权分离带来的新问题，但我们不一样，我们这些人就是做云出身的，因此知道在建设和使用的过程中会出现哪些问题，又该如何去解决。

五、第三方审计是刚需 IAM是大方向

安全牛：你对云堡垒的未来市场怎么看？公司的发展规划是怎样的？

刘川意：未来的几年内，云计算真的会普及，这个已经是业内共识。这也就意味着必然会发现各种问题，而在这些问题里面，我坚信，独立于平台的第三方审计是个刚需。网信办前两年就出台了一个规定，政务云要有第三方的审查机制，重点是安全性和可控性，而且这不一定是一次性的，还会是一个持续性的要求。

目前的安全公司是怎么做云安全的？一般都是要跟这个云的建设方以及运营方去对接，在云平台中分出一个部分，做安全管理平台虚拟化，也就是刚才所说的，把传统的盒子变成虚拟化的镜像，然后在云上部署。当然，云上也需要这种基础能力。但这是平台本身可以自带的安全能力，平台在运营的时候，在出问题判断责任的时候，第三方的审计是必需的。

谈到产品规划，公有云这部分肯定是发展较快的，因为需求就在那里。政务云或私有云这块，随着产品的成熟和广泛应用，应该会更加细化，以满足不同行业不同应用场景的客户需求。从技术理念上来讲，则要融合到IAM（身份访问与管理）这个大体系中。

我们的初心就是想通过科研与技术的长期积累，用市场的方式，真正解决用户的实际问题，否则的话也不会创立云安宝这家公司，而公司的理念就是做“可信、可靠、可控的云安全”。

安全牛：资本和营收方面呢？

刘川意：之前做了A轮3000万，明年准备做B轮。2018年的营收规划是8000万元，三年内保持300%的增长率。听起来似乎有点夸张，但我们有这个信心，市场和公司的发展现实情况也是这个走势。

六、兼具学术与产品落地两大优势

安全牛：今天的采访一开始我就提到了安全公司的流派，有销售出身的创始人、实践出身的创始人和管理出身的创始人，各有特长也各有短板，你是如何看待这个问题的呢？

刘川意：我们确实是学术派的背景，但我这几年一直植根在市场，理解需求并结合市场做事，真正的去发现问题，解决问题。如果这个问题解决起来很难，那就更好。因为这意味着技术壁垒高，别人更不容易做。

所以学校还是给了我们一个非常大的优势，不需要过早的去赚钱，不用考虑生存的问题，专心做研究。所以真的是十年磨一剑：把操作系统内核、中间件、基础库搞得非常熟悉，之后手把手带研究生，这些同学毕业后在市场上去摸爬滚打几年，然后大家一起来创业。因此我觉得我们兼具学术与产品落地的两大优势。

安全牛：云安宝的核心人员都是您之前的同事或学生？

刘川意：大部分是这样。我们这些人从最早在学校做项目开始，包括带的学生，最长的已经合作了有十年。也许每一个人不见得就是大咖大牛，但我们这些人合作起来执行力非常强。

以前在学校里面没有感受，但这几年身处网络安全行业摸爬滚打之后，我发现这真得是一个挺苦累的行业。首先它比较窄，市场很难爆发性增长；同时还十分复杂，各种技术各种行业需求都不尽相同。这也就意味很难招到非常优秀的人，最牛的人才并不在这个行业。也因此形成一个恶性循环，无法进入基础软件的层次。大都是看到国外有什么技术，就拿开源的东西改一下。

而我们这些人从一开始看到问题，但国外没有开源的东西来解决这些问题，就从零开始解构基础软件，在学校做项目，做云计算，一点一点打磨了十年，培养出一波人才，并最终打造出合适的产品来，真得吃了很多苦。

说实话，在高校绝大多数人其实活得可以比较轻松和滋润，带学生、做研究、搞课题，不需要落地或者和企业合作，只是把关键技术走通，具体落地的事情交给企业来做。但是在市场上真的走过来这几年后，我真切的感受到，从原型系统到形成产品，如果说有一百步的话，前者只能算走了十分之一。剩下的90%，需要付出多少辛苦，如果不是踩过多少坑，是不可能有感觉的，只靠研发所谓的高级核心技术没办法在市场上生存。

安全牛评

云安全的发展大势，一定会催生更多的安全初创公司。而云安宝这家在学术研究和产品积累方面有着很大优势的公司，则会有更好的发展机遇。更重要的是，高校的技术研究成果产业化，应该成为我国践行自主可控，实现“弯道超车”政策的主力军。