2024计算零信任SaaS应用.docx

《2024计算零信任SaaS应用.docx》由会员分享，可在线阅读，更多相关《2024计算零信任SaaS应用.docx（46页珍藏版）》请在三一办公上搜索。

1、计算零信任SaaS应用摘要1、从IP信任到身份信任：扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。现在和未来为零信任SaaS,零信任假设所有人不可信，通过模型对不同设备和不同身份，根据行为实时动态进行认证和评估。2、美国最大的安全公司是零信任SaaS公司：自谷歌2011年内部实施零信任架构开始，过去两年零信任架构渗透率快速提升。已经和正在实施零信任SaaS超过30%,还有44%客户正准备实施。典型零信任公司OKTA采用SaaS订阅模式，市值达250亿美元（超过防火墙等传统安全公司）。3、客户粘性和技术壁垒：客户粘度极高，零信任SaaS深入企业业务流程和人员，如OKTA收入续费率在12

2、0%。技术壁垒而言，零信任SaaS要求企业掌握微隔离、数据安全等技术，领军公司通常为对网络管理、防火墙、云安全有深刻理解的公司。4、中国特色：目前仍在导入期，渗透率极低，看好未来三到五年零信任SaaS市场启动。考虑技术积累和客户属性，白马推荐深信服、奇安信、美亚柏科，黑马推荐格尔软件、数字认证。风险提示：传统VPN替代不及预期；零信任SaaS市场竞争激烈；企业上云不及预期。中国ICT技术成熟度曲线报告图1：中国ICT技术成熟度曲线报告HypeCycleforICTinChina,2020suo-m芯dx3InnovationTriOTerPeakofInnatedExpectationsTro

3、ughofDisillusionmentSlopeofEnlightenmentPlateauofProductivitytimePlateauwillbreached:Owthan2yars2to5year*Sto10yr*morthan10yar*oboMbforplateauSourceGartnerO448134数据来源：Gartner,安恒信息官网，天风证券研究所目录1、何为零信任2、零信任SaaS过去和未来3零信任SaaS的竞争格局4、中国特色5、投资机会何为零信任1. 1零信任架构：未来安全架构的必然趋势 加码零信任，厂商增加两倍：2019年，RSAC上主打零信任的厂商约有39家

4、。截至目前，RSAC上打着零信任标签的厂商就已经有91家之多，增长133%。 美国防部高度重视，零信任热度加速提升：美国国防创新委员会发布的零信任架构建议白皮书中建议美国国防部应将零信任实施列为最高优先事项。 而美国最大的安全公司不是防火墙公司，是零信任SaaS公司。数据来源：天极网，天风证券研究所图3：美国国防部高度重视零信任架构基于现有国防部（DOD）的网络脆弱性和未来的网络需求，国防创新委员会（DIB）建议国防部开始朝着非机密互联网协议路由器网络（NlPRNET）和机密互联网协议路由器网络（SIPRNEt）的零信任安全架构模型迈进。一零信任架构建议OktaCloudflareIllUmi

5、。、Cyxtera数据来源：缔盟云实验室，天风证券研究所2.2发展现状：多方参与教育市场，市场接受度较高多方参与教育市场市场接受度高：根据CyberSeCUritymSider的调查，15%的受访IT团队已经实施零信任SaaS,44%表示准备部署，这与联邦政府、咨询机构、各类企业共同教育市场不无关系。图12：美国企业IT从业者对零信任架构接受度高美国企业IT达78%接受零信任图13：多方参与教育市场2018年Forrester开始发布零信任扩展生态系统ZTX报告，企业中的应用，将市场!教育作为企业关键能力2018年、2019年3家初创企业之中IPc),思科、赛门铁克、派拓、PrOOfPrint

6、完成零信任领域收购，引起：关注!2017年Gartner推出自适应安全!3.0的版本CARTA框架，其进了产业界的投入和研究2018年Gartner提出零信任是实践持续自适应的风险和信任评估(CARTA)的第一步，推动零信任的市场认知已经部署正在部署准备部署暂无计划不知道零信任2019年、2020年美国商务部下属NIST连续推出两版零信任架构标准(草案)，达零信任架构的逻辑和价值数据来源：网络安全白皮书，缔盟云实验室，天风证券研究所数据来源：安全内参，CybersecurityInsider,天风证券研究所注：CybersecurityInSider基于其2019年78月对美国315个IT和网

7、络安全专家的调查2.3零信任SaaS成长空间可观：2023年替代60%传统VPN零信任SaaS渗透率加速提升：根据Gartner估计，到2022年，面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络（ZTNA）进行访问。到2023年，60%的企业将淘汰大部分远程访问虚拟专用网络（VPN）,转而使用零信任SaaS。零信任SaaS龙头公司OKTA2019年订阅收入规模38亿元，占营收94.3%。图14：至J2023年零信任SaaS替代60%的VPN图15：OKTA订阅收入规模订阅收入（亿元）同比增长（,右轴）数据来源：OKTA公司年报整理，天风证券研究所数据来源：Gartner,

8、人民网，天风证券研究所零信任SaaS的竞争格局3.1 群雄逐鹿，行业处在成长初期行业处在成长期，份额分散：根据ForreSter2019Q4报告，市场领导者和其他竞争者市场份额差距较小。创业公司IlIUmi0、Okta.传统公司思科、PaIOAItO进入领导者象限。StrongerCurrent图16：零信任SaaS市场竞争格局分散StrongChallengersContendersPerformers1.eadersWeakercurrentoMenngWeakerstrategyStrongerstrategyMarketpresenceOO数据来源：ForresterWave,安全牛，

9、天风证券研究所创业公司成立时间市值零信任产品Zscaler2008年2018年NaSdaq上市，市值143亿美元ZPA内部应用安全访问Okta2009年2018年NaSdaq上市，市值243亿美元OktaIdentityCloud身份识别Cloudflare2009年2019年NYEX上市，市值110亿美元CloudflareAccess边缘实施访问规则Illumio2013年E轮,估值10亿美金AdaptiveSecurityPlatform持续监控系统Cyxtera2017年2017年被BCPartner收购，作价28亿美元AppgateSDP物联网保护，客户主要是联邦机构表3：创业企业已

10、有一定规模，零信任SaaS行业处在成长初期数据来源：缔盟云实验室，wind.天风证券研究所，市值数据截至2020年7月6日3.1兼具网络和安全的理解厂商有先发优势行业技术壁垒高。数据安全、操作人员、设备安全面临较高的风险，根据ForTeSter以上是最重要的性能标准。而相应解决能力有赖于网络弹性技术、机器学习、加密流量的收集等技术，以及从实践方案中积累的经验。因此，需要对安全或者网络的技术理解非常深刻（除了创业公司为思科、PaIoAIto）表4：零信任SaaS可能面临的风险和响应解决方案呼号风险原因解决方案1PE/PA配置错误有权限的企业管理员的进行记录任何配置修改，同时进行审计2拒绝服务或网

11、络中断攻击者可能者对PEP或PA的访问（DoS攻击或路由劫持）通过强制驻留在云中的策略，或根据网络弹性技术规范地在几个位置进行复制托管提供商意外地将基于云PE或PA严格评估选择托管商由于攻击或大量使用，PA企业资源网络弹性3凭证被盗/内部威胁外部攻击者伪装/内部人员删库跑路基于上下文TA4部分网络不可见非企业设备资产&拒绝监控的应用程序产生的1.收集有关加密流量的元数据，并用它来检测2.机器学习用于分析无法解密和检查的流量,允许企业将流量分类为正常的或可能恶意的，并且进行整治5网络信息存储量更大ZTA实时监控设备/用户/环境，产生大量并甄别数据价值等级，并制定相应的访问策略风险暴露高用于后续分

12、析，成为攻击目标6供应商风险产商可能有女氽什间-I1对供应商进行整体的评估,包括供应商安全控制企业转换成本、和供应链风险管理7ZTA的非人类实体人工智能被用来管理企业网络上的安全性问题定期重新调整分析来纠正错误的决策并将其改善存在漏报/误报，被训练的风险数据来源：NIST零信任架构草案第二版，天风证券研究所3.1 零信任SaaS提供商需要具备的四大能力零信任SaaS架构的实现依托于关键的技术。根据ForreSter,零信任SaaS系统商要对零信任有深刻的认识、较强的微隔离能力、广泛的集成和APl能力、识别并监控任何可能带来风险的身份的能力（不仅是IAM）。国外领先企业通常为对网络管理、云安全、

13、防火墙有深刻理解的公司表5：Forrester认为零信任SaaS供应商应具备的四大能力序号能力1对零信任深刻的认知，并积极教育客户和市场2微隔离是必备的能力，不管是对客户、设备还是网络跨基础设施执行能力，要有强大集成和API能力4强大的判断风险点能力，识别和监控身份的能力图17：ForTeSter性能评价维度和权重数据来源：ForresterWave,天风证券研究所数据来源：ForresterWave.天风证券研究所3.2Illumio：强大的集成能力，负载和风险治理性能强，交互性好从自适应安全业务出发，强大的集成能力，业务流程可视化：基于原有的端到端流量监控筛查能力，IIIUmio关注基于客

14、户当前的技术部署情况，进行零信任架构建设。根据ForreSter,公司强大的APlS能力受到广泛好评，能够集成已部署的工具和设备，兼容性强。图18：IIIUmiO的ASPUI可视化和易操作性强表6：IIIUmiO的性能强、减少操作风险，使用体验佳核心部件含义特点PCE策略计算引擎适用公有云、私有云；可运行分布全球的25000个业务负载VEN虚拟执行节点，读取和执行针对每一个请求的主机状态进行防火墙编程：主机操作系统中的第3层/第4层防火墙；负载平衡器和交换机，容器化主机和云安全组中的访问控制列表策略生成器和应用程序依赖图建模推荐最佳策略，在实施前进行效果建模测试加快安全性工作流程，以减少创建分

15、段策略时出现人为错误；防止策略不当造成实质性后果丰富的Ul和APl便捷的PCE结果呈现和交互RESTAPl通过客户端修改服务器端的资源，并实时看到结果数据来源：川UmiO官网，天风证券研究所数据来源：川UmiO官网，天风证券研究所3.2Illumio：强大性能带来标杆性大客户，满意度92%和留存率98%公司拥有行业标杆性大客户，客户满意度高：根据Gartner,IllumioASP产品用户评价得分较高，在4.6分（满分5分）；客户留存率98%。前期评估、集成和部署能力、服务和支持、产品性能为川Umio得分较高的方面，强大的集成能力，负载和风险治理性能强，交互性好为公司赢得行业标杆性大客户青睐。

16、图20：客户留存率达98%,客户评分接近满分图19：Salesforce.国泰航空、英格兰银行等行业标杆客户C1.P*NATS、CATHAYPACIFICQuicken1.oansUniGeditMorganStanIeyAWBIueCr.*1.1*HOIBHBnpparibasORAC1.E，NetsuitejJ,UMIVERS11YfWE11FtOfiIDAUVNM110$BEAiRo行ANDREESSENHOROWITZplantronicsGdmMin卷YAMAHlMGM98%$30T4MonthsCUSTOMERRETENTIONDAI1.YTRANSACTIONSSECUREDAV

17、ERAGETIMETOVA1.UESRenewedin1.ast12MonthsEMAI1.TXSPAGEQ三OVTRaHng蠹EjnbmcservicenowxomRatingDistribution4Slar3ZSC瘫阴3SUf0%2SUf0%0Principal1Star0%4.662Reviews(1.aSll2Months)O92%WouldRecommendCustomerExpenencoEvaluation&Contracting4.6InteQration&Depioymeni4.6Service&Support4.8ProductCapabilities4.6数据来源：川U

18、mio官网，天风证券研究所数据来源：IIIUmiO官网，GartnerPeerInsights,天风证券研究所3.3Okta：深耕统一身份治理，强大的集成能力，最简洁的Ul根据亿欧，Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用。从面向SaaS产品的SSO单点登录发展成身份认证和管理平台：2009年以来作为SaaS服务商与企业的中间产品提供者，深耕云应用统一登录领域。2018年收购云访问控制网络安全商SCaleFT后，构建起以身份认证为核心的零信任平台。根据ForTeSter,其后台管理Ul具有最佳的易用性和间接性；集成了几乎所有常见的外部应用。图22：Okta集成650

19、0款云产品，一键登录图21：公司核心产品是身份云，把控零信任的入口WorkforceIdentityZwancedS9fvwAccess2018年收购云访问控制网络安全商SCaIeFT后数据瓢”Ck窗官网:天民证券研帧Jo%ce3GSuiteExw(k1yslackHZOO一次登录全部调用SSo单点登录三三数据来源：Okta官网，天风证券研究所3.3Okta：双重定价法，积极拓展产品线，客户ACV增长在6X定价模式可持续性强，积极拓展产品线，ACV增长显著：公司基本功能产品按照客户数每月收费，单价在几十元每年；高级附加功能按照年收费，价格在8000美元以上。按照功能数阶梯定价，随着产品功能丰富

20、，用户价值提高，ACV增长空间较大。根据公司投资者大会，公司通过多种方式拓展产品线，成熟客户ACV增长在6X。产品价格备注SSO、适应性SSo$2/最终用户/月、$5/最终用户/月增加了基于上下文的分析功能MFAs适应性MFA$3/最终用户/月、$6/最终用户/月增加了新身份检测（设备、地理位置、IP）、网络匿名和不合理访问模式的检测生命周期管理$4/最终用户/月、$6/最终用户/月$2/最终用户/月-附件增加了可视化界面、无代码功能拓展等功能APl访问管理$2/最终用户/月公有云、私有云，无缝SS0/MFA,允许自定义IAM流程访问网关$3/最终用户/月无限制主机、应用、数据中心、服务器连接

21、客户身份管理单个APP$1.2万起，大企业$4.2万/年起支持10亿MAUS访问表7：基本功能按照用户数每月收费，按照功能阶梯定价数据来源：Okta官网，天风证券研究所更多集成更深挖掘服务器设备状态应用程序生物统计、设备终端安全IaaS移动安全APlS网络用户行为应用程序登录三方智能图23：多角度拓展产品线,提升ACV更多应用零信任上下文分析安全分析安全基础设施数据来源：Okta投资者交流材料，天风证券研究所3.4优势可持续，客户粘度极高服务周期长，客户转换成本高。根据NIST：”向零信任架构的转型是漫长的旅程而不是简单的置换企业现有基础设施“。零信任架构的部署一般持续数年：以Google为例

22、，零信任架构的转移共用6年时间。这意味着客户选择厂商时会较为谨慎，而一旦获客后单客户带来的收入稳定性也较高。相应的证据是OktadoIlarbased留存率约120%。图24：零信任架构的部署周期数据来源：NlST零信任架构草案第二版，天风证券研究所图25：OktaDOIIar-BaSed留存率均约120%数据来源：Okta投资者交流材料，天风证券研究所中国特色264.1受限于C/S架构下产品接口不统一，但未来云应用有望解决过去缺少统一技术标准，用户体验差。由于各个软件接口之间缺少统一技术标准，部分厂商将零信任架构与现有产品组合并未实现好的用户体验差。但在WEB端云应用下零信任SaaS的用户体

23、验有望解决。图26：零信任SaaS缺少技术统一标准具体落地：1）落地的成本是否低于传统VPN；2）业务的切割能否做到平滑的过渡;3）用户的习惯是否可以体验更好。统一身份认证中心持续评估信任动态访问控制安全访问业务用户多因素身份终端安全评估信任等级，身份开放融合：各类信息验证行为检测分析/环境/行为可信安全产品联动单点登录应用资源分级全局可视：内网账号管理静态授权可视可控底层技术能否适配：终端和通信协议种类多。满足合规要求：实施过程中必须达到的安全核心技术要求。数据来源：驱动中国，深信服官网，天风证券研究所4.1 企业应用SaaS化后，WEB端访问更适配零信任架构单点登录更适合云应用、移动应用：

24、零信任SaaS主要通过单点登录，对WEB端有更好的支持，用户体验好企业业务上云趋势下，零信任SaaS更好适配用户需求：企业应用云化，企业用户主要通过WEB端访问，打通应用之间联系。通过SaaS化零信任，用户无需在内网部署任何软硬件，直接通过SaaS零信任平台访问云端应用，极速交付，即需即用，安全性极高（访问控制由安全专家负责）。图27：对所用应用程序提供零信任SaaS访问图28：零信任SaaS更适配云应用的使用三一0-1.SPA迷口敲门登录EnterpriseAPPS移帝公SaaSBHn(BCloudAPPS3.建立安全Riii企业网络国100i内网睡MobileApps数据来源：CitriX

25、官网.，天风证券研究所数据来源：联软科技官网，天风证券研究所4.1除了内生需求如远程办公，政策也在重视政策首次提及零信任：2019年起草的关于促进网络安全产业发展的指导意见（征求意见稿）首次将零信任安全列入网络安全需要突破的关键技术。今年网络安全相关的政策也密集出台，零信任有望得到政策推动。图29：过去一年半中国采招网上“零信任”词频统计零信任词频统计（次）数据来源：中国采招网，天风证券研究所统计4.2零信任SaaS产品2019年开始推出，市场处在萌芽期国内企业2019年开始推出零信任产品，目前大多处在实践落地期，初创企业规模较小，行业处在导入期表8：零信任产品自2019年开始加速落地，但市场

26、仍处于萌芽阶段梯队企业公司主营零信任产品市值成立时间零信任产品推出时间深信服信息安全（62%）、云计算基础网络与物联网T安全架构aTiust创业板上市，市值776亿元2000年2019年美亚柏科电子取证（40%）创业板上市，市值190亿元1999年2019年一级格尔软件PKI(67%)主板上市，市值53.23亿元1998年2019年开始构建,2020年推动落地数字认证数字认证（33%）一一创业板上市，市值81亿元2001年2020年重点研究奇安信新一代网络安全（78%）零信任身份安全解决方案科创板6月23日过会，拟发行1.02亿股2014年2018年开始构建.2019年推出联软科技信息安全，向

27、露安全（并购而来）UniSDP新三板退市，19年12月获达晨创投6000万融资2003年2019年,已有实践落地二级山石网科边界安全（86%）山石云格微隔离零信任模型科创板上市，84亿元2011年2018年云深互联SDP网络隐身深云SDPC轮2012年2018年或更早缔盟云零信任零信任网络访问抗DDoS未融资，100个企业客户2017年-数据来源：各公司官网，各公司年报，wind,天风证券研究所4.2深信服：技术完善的零信任平台，未来安全有望SaaS化深信服精益信任aTrust安全架构：在零信任的基础上做了增强，通过自适应策略，结合按需扩展的功能组件,通过私有化、云化等多种部署方式，实现信任和

28、风险的精益控制，形成自主调优、快速处置的统一安全架构。公司在身份行为管理、网络安全和可扩展性、云等产品技术积累雄厚，身份验证、行为测试能力强；同时aTrust可与公司其他安全产品（EDR等）互联联动，安全效应增强。图30：强调集成组合能力、可视化和身份检测能力的aTrust终端设备aTrust精益信任平台可信访问网关控K中心G三-躺U证SIP安全竟与就EDR1snTITM内部臧肺管理平台I独行脑淅实现多装信任评估与1胁自动防护,构建以aTrust益信任平台为中心的跣一安全防护体系企业资源图31.aTrust动态权限+统一的安全安全从*定间可馈可检数据来源：深信服官网、天风证券研究所数据来源：深

29、信服官网、天风证券研究所4.2 深信服：未来零信任SaaS化收入保守估计在30亿元根据公司微信公众号，公司已有近50000企业级用户。同时公司已覆盖90%政府部委单位,90%银行、证券、保险单位90%双一流高校90%医疗百强机构，95%三大运营商集团。客户稳定下，看好公司未来零信任SaaS收入保守估计在30亿元，增加公司长期市值空间。图32：深信服未来零信任SaaS收入预测所属行业人数合计（万）客户名称和假设政府11.7国内90%以上的政府部委单位：26*0.5W*90%金融686.490%以上的银行、证券和保险机构：762.7W*90%运营商106.4三大运营商集团及其95%以上的省级分公司

30、：112W*95%教育493.290%以上的“双一流”高校：548W（仅考虑师生）*90%医疗2.790%以上的医疗百强机构：3W*90%企业5000近50000家企业级用户统计A股市值小于50亿的平均员工：0.17W。考虑公司客户属性，保守估计公司平均企业客户0.1W人数合计6300.4ARPU值（元）50订阅收入（亿）31.502数据来源：深信服官网/公告/微信公众号，数字认证招股说明书，国务院，温州财经网，北京大学口腔医院官网等，天风证券研究所4.3 奇安信：专注新业务场景下的零信任SaaS专注新业务场景下的零信任SaaS:面向人员、外部应用、外部数据平台对内部数据、应用和APl接口的调

31、用，适用于云计算、大数据等新业务场景下的动态可信访问控制体系。解决方案已经在部委级客户、能源企业、金融行业等进行正式的部署建设或POe试点。公司为网络安全领域领军企业，身份检测也有完善的布局，在监控和识别关键风险点上能力突出。图34：公司现有部分产品图33：以身份识别为基础，已经在多部门实践形成标准化解决方案Buna政府、部委金融、央企数据来源：奇安信官网，天风证券研究所天新一代威胁德知系统入侵防御系烧入侵检酒系统新一代智髯防火堵安全风险通告服招虚以化智慧防火墙新一代日志收集与分析系统数抠安全交换平台上网行为管理系统服95调用平台行为感知分析系统安全代理服苏器网络安全审计系统智能流量IJ理系统

32、X河防护与安全评估身份安全漏洞扫描系统安全接入网关系统实战攻防演习IK务多因子认证与单点登录系统补天SRC麟务可信访问控制台系统扑天众测IS务可信应用代理系统基础环境评估最符可信APl代理系统下一代活透测试服第终就环境SS知系统红队评估IB务监测/审计/7S警边界安全数据来源：奇安信官网，天风证券研究所4.3美亚柏科：从大数据延伸到大数据安全（零信任SaaS、态势感据平台跨多城市多部门：对安全访问要求高，同时对数据安全授权要求高；传统VPN无法有效支撑访问。大数据安全规范：引进“零信任”安全认证和权限分级管理机制，确保数据内容安全合规使用。图36：零信任技术已应用到产品图35：大数据涉及多城市

33、多部门，对零信任要求高数据来源：美亚柏科官网，天风证券研究所数据来源：美亚柏科官网，天风证券研究所4.3格尔软件：PKl龙头，身份验证管理优势明显 PKl龙头：PKl市占率第四，PKI是零信任八大数据源之一，是通过证书来获取身份信息的方式。 稳步推进零信任，非公开募股投资项目之一：2019年初开始，公司基于扎实的客户、技术基础稳步推进零信任SaaSo 公司优势：零信任以身份为中心，公司具备身份认证管理技术先发优势。图37：格尔为身份和数字信任软件行业领先企业图38：公司稳步推进零信任SaaS事业WIlX数据来源：格尔软件公司年报与公告，天风证券研究所2019年身份和数字信任软件市场份额5.4%2019年初，公司经营计划中表示开始构建基于零信任体系I政信安全数字认证，吉大正元上海格尔BM其他2019年12月，公司启动非公开熠发，零信任为计划投资项目之一，6月20日获得证监会批准9.9：OC,2020注所有mK均为四金五人后取012020年初，公司年报经济计划中表示今年开始推进实践落地数据来源：IDU天风证券研究所4.3格尔软件：看好中长期市值空间约230亿元根据格尔软件招股说明书公司已有客户，估计公司目前客户人群总数达1332万人；并参考试点项目ARPU值（人均约50元左右），未来格尔软件SaaS