那些年我们追过的VPN，在被谁取代？

去年年底助一家顺义的汽配工厂做安全评估，老工程师打开机房里那台用了七年的Cisco ASA时，我看到他的眼神里有种说不清的器材——不是厌弃，更像是送别老战友。他那句”昔时配这台玩意花了三天三夜”让我意识到，VPN这器材对好多北京企衣反说，不只是工具，是影象，是成本，是汗青包袱。

但市场数据不会想旧情。IDC 2025Q4全球安全支出指南里，ZTNA（零信赖网络接见）市场规模已达47亿美元，年复合增长率超过26%。Gartner更是直接预测：到2027年，60%以上的企业会用ZTNA代替传统VPN，比2024年的18%翻了三倍不止。这不是狼来了，是狼已经进村了。

从”有没有”到”怎么用”：ZTNA落地走到哪一步了

我把接触过的企业ZTNA落地情况分成三个阶段：第一类是POC阶段，企业往往是被合规或厂商推着走，有个客户去年做等保三级整改，厂商一听说他们还在用IPSec VPN，立刻建议上ZTNA做身份天堑，他试探性地问能不能用现有华为防火墙对付，我们只好说”能跑，但跑不远”；第二类是场景扩大期，过了POC的企业起头把ZTNA往深水区推——内部利用、SaaS、跨云环境，通州一家做医疗器械的厂商把ERP、研发环境和经销商门户全数纳入ZTNA管控；第三类是全面代替期，这阶段的企业已经不满足于”能用”，而是钻营”好用”——SDP和微隔离联动、动态风险评估、端到端加密，顺义有个做智能造作的客户把ZTNA和工控网隔离做了联动，设备入网必须先过身份认证。

有意思的是，这三个阶段的散布根基切合正态散布。IDC调研显示，42%的企业还在POC或刚过POC阶段，35%处于场景扩大期，真正完玉成面代替的只有23%。这意味着，大无数企业还有很长的路要走，也意味着这个市场远未鼓和。

中幼企业算账：ZTNA的ROI到底值不值

每次被客户问”这器材比VPN贵几多”，我都得先反问：你算的是采购成本，还是总占有成本（TCO）？

采购成本的确高。主流ZTNA产品按用户数订阅，年费从300元/人/年（基础版）到1200元/人/年（企业版）不等，100人企业一年就是3万到12万。对比VPN设备的一次性投入（好的企业级VPN网关2-5万搞定），头三年的确贵那么一点。

但账要这么算：VPN的守护成本是企业IT的隐形黑洞。我们见过太多案例——VPN设备故障导致全员无法办公，凌晨两点IT总监被电话唤醒；疫情期间VPN并发瓶颈逼着企业一时扩容；员工去职后账号回收不实时留下安全隐患。这些隐性成本加上功夫损耗，对中幼企衣反说可能比采购成本更致命。

ZTNA的优势刚好在于”省心”；谏矸莸慕蛹谠煲馕蹲挪槐匾卫硪欢袸P地址段，动态战术让员工去职即失权，细粒度日志让审计有据可查。IDC的调研数据显示，ZTNA用户的均匀安全事务响应功夫缩短了67%。我的经验公式：50人以上的企业，18个月根基能追平VPN的总占有成本，之后每年节俭的运维人力和降低的风险成本就是净赚。

落地蹊径：不是推倒沉来，是渐进代替

好多企业一想到代替VPN就感触要天翻地覆，其实没必要。我的建议一向是：不要做PPT驱动的零信赖，要做业务驱动的零信赖。实操蹊径能够参考四步走：

1. 第一步：梳理资产。把当前VPN承载的利用按沉要性和用户群体分类，搞明显哪些是高频主题、哪些是低频边缘。这一步往往比技术选型更费功夫，但对后续决策至关沉要。
2. 第二步：选一个”钉子场景”切入。远程办公是最常见的起点，由于VPN的痛点最显著，增量部署风险也最低。先在一条业务线上跑通，再思考横向扩大。
3. 第三步：逐步迁徙。新利用直接上ZTNA，老利用在VPN里运行一段功夫，通过网关做混合接入，慢慢把流量从VPN侧迁出来。这阶段最考验耐心，但也最能看到成效。
4. 第四步：收编VPN。当ZTNA覆盖率达到80%以上，就能够思考让VPN”退休”了。当然，主题设备能够留着做备用，审慎点总没错。

整个过程对中幼企衣反说，通常必要6到12个月。急不得，也拖不得——太急容易踩坑，太慢则投入产出比难看。我们之前服务过一家做软件表包的客户，从远程办公场景切入，八个月实现了全面切换，期间没有一次因切换导致的业务中断。

但技术门槛降低不代表执行门槛降低。ZTNA落地从来不只是买产品，是沉新梳理身份系统、是调整网络架构、是扭转安全治理思路。想明显这一点，比选哪个厂商更沉要。