零信任SaaS：美国经验与中国特色.pdf

1证券研究报告作者：行业评级：上次评级：行业报告 | 请务必阅读正文之后的信息披露和免责申明计算机强于大市强于大市维持2020年 08月 02日（ 评级）分析师 沈海兵 SAC执业证书编号： S1110517030001分析师 缪欣君 SAC执业证书编号： S1110517080003零信任 SaaS：美国经验与中国特色行业专题研究摘要2请务必阅读正文之后的信息披露和免责申明1、从 IP信任到身份信任： 扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。 现在和未来为零信任 SaaS，零信任假设所有人不可信，通过模型对不同设备和不同身份， 根据行为实时动态进行认证和评估 。2、美国最大的安全公司是零信任 SaaS公司 ：自 谷歌 2011年 内部实施零信任架构开始，过去两年零信任架构渗透率快速提升。已经和正在实施零信任 SaaS超过30%，还有 44%客户正准备实施。典型零信任公司 OKTA采用 SaaS订阅模式，市值达 250亿美元（超过防火墙等传统安全公司） 。3、客户粘性和技术壁垒 ： 客户粘度极高，零信任 SaaS深入企业业务流程和人员，如 OKTA收入续费率在 120%。技术壁垒而言，零信任 SaaS要求企业掌握微隔离、数据安全等技术，领军公司通常为对 网络管理、防火墙、云安全 有深刻理解的公司。4、中国特色 ：目前仍在导入期，渗透率极低 ，看好未来三到五年 零信任 SaaS市场启动 。考虑技术积累和客户属性， 白马推荐深信服、奇安信、美亚柏科，黑马推荐格尔软件、数字认证。风险提示 ：传统 VPN替代不及预期；零信任 SaaS市场竞争激烈；企业上云不及预期。数据来源： Gartner，安恒信息官网，天风证券研究所中国 ICT技术成熟度曲线报告图 1：中国 ICT技术成熟度曲线报告目录4请务必阅读正文之后的信息披露和免责申明1、 何为零信任5、 投资机会2、 零信任 SaaS过去和未来4、 中国特色3、 零信任 SaaS的竞争格局何为零信任151.1 零信任架构：未来安全架构的必然趋势6数据来源：天极网，天风证券研究所 加码零信任，厂商增加两倍： 2019年， RSAC上主打零信任的厂商约有 39家 。截至目前， RSAC上打着零信任标签的厂商就已经有 91家 之多，增长 133%。 美国防部高度重视，零信任热度加速提升 ：美国国防创新委员会发布的 零信任架构建议 白皮书中建议美国国防部应将 零信任实施列为最高优先事项 。 而美国最大的安全公司不是防火墙公司，是零信任 SaaS公司 。39910204060801002019 2020Q1RSAC：零信任厂商图 2：各大厂商纷纷研发零信任，竞争愈发激烈基于现有国防部（ DoD）的 网络脆弱性和未来的网络需求 ，国防创新委员会（ DIB）建议国防部开始朝着非机密互联网协议路由器网络（ NIPRNET）和机密互联网协议路由器网络（ SIPRNET）的 零信任安全架构模型 迈进。 零信任架构建议 图 3：美国国防部高度重视零信任架构数据来源：昂楷科技官网，天风证券研究所1.1 内涵是 基于 IP的信任转向基于身份和行为的信任7数据来源： 联软科技官网，天风证券研究所 过去 企业身份管理为 VPN，扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂 。 现在和未来 ，零信任假设所有人不可信，通过模型对不同设备和不同身份， 实时动态进行认证和评估。图 4：传统 VPN无法识别可疑用户数据来源： H3C， useit，天风证券研究所图 5：云计算时代网络边界正在消失， VPN已无法提供云安全1.1 零信任：假设所有人都不可信的新一代网络安全架构8数据来源： NIST零信任架构草案第二版，天风证券研究所图 6：零信任架构（ ZTA）逻辑示意图数据来源：深信服官网，天风证券研究所图 7：零信任必须先验证身份后，再授权 与传统网络安全区别： 传统，先访问资源再验证身份；零信任， 先验证身份 再授权访问资源 以身份为中心： 经过 “预验证”“预授权” 才能获得访问系统的单次通道。 最小权限原则： 每次赋予用户所能完成工作的 最小访问权限 。 业务安全访问： 所有访问通道都是 单次的 ，强制访问控制。传统零信任1.2 场景价值：云计算业务天然需要零信任 SaaS数据来源：深信服官网，昂楷科技官网，安全内参， Cybersecurity Insiders， Zscale，新华网，天风证券研究所图 8：零信任与传统安全边界防护 对比企业上云已成趋势： 预计 2025年将有 85%以上企业将应用部署到云上。传统安全边界模糊： 云化业务与移动互联网、 IOT 等技术的结合使得各类端点设备与业务系统的数据交互 不再受地理位置或时间 的限制。软件定义边界基于零信任模型： 用 身份的细粒度 访问代替广泛的网络接入 。SAAS化的零信任 ：所有与安全相关的活动都在 云中执行 ，如授予数据中心或公 /私有云内的访问权限。只有认证通过后，才能与服务器建立联系。 对于员工，单点登录，不用重复输入密码，提高使用效率，更适配不断增长的云应用 /Web应用。 对于企业，动态认证和授权 (授权颗粒度最小化 )，事中转事前，安全性提升。37%33%18%12%访问云应用 替代 VPN控制第三方访问 其他零信任应用于 云应用 的案例最多附 数据输入：八大数据源10数据来源： NIST零信任架构草案第二版，天风证券研究所 信息源是零信任架构的输入值，有赖于 CDM、 SIM、 TI、 IDMS等系统的强大识别和管理能力序号 数据源 数据内容1 CDM系统 -持续诊断和缓解系统 关于 企业系统当前状态的信息 ， 并对配置和软件组件应用已有的更新2 行业合规系统 企业遵守 可能需要遵守的 任何监管制度 （ 如 FISMA、 HIPAA、 PCI-DSS 等 ） ， 包括企业 内部制定的合规 策略规则3 TI-威胁情报源 外部 威胁 信息 ， 帮助策略引擎做出访问决策 ， 如 DNS黑名单 、 发现的恶意软件 、 以及已知的其他设备攻击4 数据访问策略 企业围绕着企业资源而创建的 数据访问的属性 、 规则和策略5 SIM系统 -安全信息管理系统 以安全为核心 、 可用于后续分析的信息 ， 用于优化策略并预警 。6 IMS系统 -身份管理系统 企业用户账户和身份记录7 网络与系统行为日志 资产日志 、 网络流量 、 资源授权行为和其他事件8 PKI-企业公钥基础设施 由企业颁发给资源 、 访问主体和应用程序的 证书表 1：数据源系统的能力决定了权限决策的能力