网络安全系列报告之三：零信任安全——将成为数字时代主流的安全架构.pdf

东方证券股份有限公司经相关主管机关核准具备证券投资咨询业务资格，据此开展发布证券研究报告业务。 东方证券股份有限公司及其关联机构在法律许可的范围内正在或将要与本研究报告所分析的企业发展业务关系。因此，投资者应当考虑到本公司可能存在对报告的客观性产生影响的利益冲突，不应视本证券研究报告为作出投资决策的唯一因素。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 深度报告 【行业 证券研究报告】 计算机行业 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 核心观点 数字时代下旧式边界安全防护逐渐失效，零信任 架构将成主流趋势 。 传统的安全防护是以边界为核心的，一定程度上默认内网是安全的。 而 云大物移智等新兴技术的应用使得 IT 基础架构发生根本性变化，可扩展的混合 IT 环境已成为主流的系统运行环境，平台、业务、用户、终端呈现多样化趋势，传统的物理网络安全边界消失，并带来了更多的安全风险，旧式的边界安全防护效果有限。面对日益复杂的网络安全态势，零信任 以身份为中心 实现 动态访问控制 ， 被认为是数字时代下提升信息化系统和网络整体安全性的有效方式，逐渐得到关注并应用，呈现出蓬勃发展的态势 零信任架构 适应多种业务环境及应用场景 。 零信任架构的应用需要对 IT 基础设施与应用系统深度融合、全面覆盖，根据 NIST 下属的 NCCoE（国家网络安全卓越中心）发布的实现零信任架构（草案）项目说明书中 ，建议零信任安全应用的八大应用场景，囊括各类业务访问、数据交换以及服务网格场景。 在数据中心、远程办公等实际场景均有较好的解决方案。 零信任安全需求正 快速 普及。 2019 年底， Cybersecurity Insiders 联合Zscaler 发布的 2019 零信任安全市场普及行业报告指出， 78%的 IT 安全团队希望在未来应用零信任架构， 19%的受访者正积极实施零信任，而15%的受访者已经实施了零信任，零信任安全正迅速流行起来。 Gartner 的零信任访问指南 也 认为到 2022 年，在向生态合作伙伴开放的新数字业务应 用程序中， 80%将通过零信任进行网络访问，到 2023 年， 60%的企业将采用零信任替代大部分远程访问虚拟专用网（ VPN）。 我国零信任政策及标准正逐步落地，国内厂商积极布局零信任。 当前美国国防部已明确将零信任实施列为最高优先事项 ，同时海外 零信任 产业已走向规模化落地， 营收超过 1.9 亿美元的厂商已超过 10 家 。自 2019 年开始，我国也加快了零信任相关政策及标准的落地，各个安全厂商亦陆续推出零信任相关产品或解决方案，在零信任快速普及的背景下有望迎来快速发展。 投资建议与投资标的 当前海外零信任产业已进入规模化发展阶段，国内厂商已陆续推出自身的零信任产品或解决方案。在零信任安全逐渐普及的背景下，我们认为两类厂商最为受益： 1） 综合实力强劲并已有相应产品或解决方案推出的网络安全公司，建议关注奇安信 -U(688561，未评级 )、深信服 (300454，增持 )、启明星辰(002439，未评级 )、安恒信息 (688023，未评级 )、绿盟科技 (300369，未评级 )、南洋股份 (002212，买入 )； 2） 在 SDP、 IAM、 MSG 或是某一应用场景具备突出优势的厂商，建议关注美亚柏科 (300188，买入 )、山石网科 (688030，未评级 )、格尔软件(603232，买入 )。 风险提示 网络安全政策落地不及预期；零信任安全发展不及预期。 Table_BaseInfo 行业评级 看好 中性 看淡 (维持 ) 国家 /地区 中国 行业 计算机行业 报告发布日期 2020年 08 月 17 日 行业表现 资料来源： WIND、东方证券研究所 证券分析师 浦俊懿 021-63325888*6106 pujunyiorientsec 执业证书编号： S0860514050004 证券分析师 游涓洋 010-66210783 youjuanyangorientsec 执业证书编号： S0860515080001 联系人 陈超 021-63325888*3144 chenchao3orientsec 联系人 徐宝龙 021-63325888*7900 xubaolongorientsec 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 2 目 录 一、零信任将成为数字时代主流的网络安全架构 . 5 1.1 零信任是面向数字时代的新型安全防护理念 . 5 1.2 “SIM”为零信任架构的三大关键技术 . 6 1.3 零信任安全应用场景丰富 . 10 二、零信任已从概念走向落地，迎来强劲风口 . 11 2.1 中美双双加码零信任安全 . 11 2.2 零信任安全正在普及应用 . 13 2.3 海外零信任产业已初具规模，国内即将步入建设高峰 . 15 三、投资建议 . 16 3.1 奇安信：网络信息安全龙头，专注于新型安全领域 . 16 3.2 美亚柏科：国内电子数据取证行业龙头，大数据智能化、网络安全专家 . 18 3.3 深信服：领先的信息安全企业，从零信任到精益信任 . 20 3.4 启明星辰：老牌网络安全龙头，零信任管控平台为多种应用场景提供安全保障 . 21 3.5 安恒信息：网络安全后起之秀，新兴安全业务发展迅速 . 22 3.6 绿盟科技：领先的网络安全解决方案供应商，产品逐步向零信任安全架构迁移 . 23 3.7 南洋股份：国内防火墙龙头企业，持续推动零信任安全理念的落地实践 . 24 3.8 山石网科：边界安全领域领导厂商 . 25 3.9 格尔软件：国内 PKI 领先企业 . 27 风险提示 . 28 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 3 图表目录 图 1：零信任概念演进历程图 . 5 图 2：传统边界安全防护架构 . 6 图 3：云计算等新兴技术带来传统安全边界消失 . 6 图 4：零信任架构总体框架图 . 7 图 5：实现零信任架构的三大关键技术 “SIM” . 7 图 6： SDP 的组成架构 . 8 图 7：零信任身份与访问管理 . 9 图 8：基于零信任架构的远程办公安全参考架构 . 10 图 9：数据中心安全接入区案例示意图 . 10 图 10：基于零信任架构的云计算平 台安全参考架构 . 10 图 11：零信任架构适应各类功能场景 . 11 图 12：基于零信任架构的远程办公安全参考架构 . 12 图 13：面对当前安全访问挑战所需的安全措施 . 13 图 14：采纳零信任安全模型的组织比例 . 13 图 15：受访者看重的零信任优 点 . 14 图 16：零信任主要的应用领域 . 14 图 17：零信任迁移方法 . 14 图 18：零信任扩展的生态系统平台提供商（ 2019Q4） . 16 图 19：奇安信协同联动防护体系 . 17 图 20：奇安信零信任安全解决方案 . 17 图 21：奇安信零信任安全解决方案与参考架构的关系 . 17 图 22：奇安信零信任远程访问解决方案架构 . 18 图 23：美亚柏科 “四大产品 ”及 “四大服务 ” . 18 图 24：美亚柏科城市大脑逻辑架构 . 19 图 25：深信服主营业务 . 20 图 26：深信服精益信任解决方案架构 . 21 图 27：深信服精益信任动态访问控制 . 21 图 28：启明星辰全流程安全产品布局 . 21 图 29：启明星辰零信任体系架构 . 22 图 30：零信任管控平台典型应用场景 . 22 图 31：安恒信息产品体系全线概览图 . 22 图 32：安恒信息依托零信任体系确保云上业务的接入访问可信 . 23 图 33：绿盟科技安全产品线 . 23 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 4 图 34：绿盟科技安全运营架构 . 23 图 35：绿盟科技零信任安 全解决方案 . 24 图 36：绿盟科技零信任网络访问控制 . 24 图 37：天融信以下一代防火墙为基础的安全防御体系 . 25 图 38：天融信工控主机卫士系统 . 25 图 39：山石网科主要产品及服务矩阵 . 26 图 40：山石云 格主要功能 . 26 图 41：格尔软件 PKI 系统架构 . 27 表 1：微隔离三大技术路线 . 9 表 2：美国各组织发布的零信任相关报告 . 12 表 3：我国零信任相关政策及标准 . 13 表 4：海外零信任解决方案市场供应商分析 . 15 表 5：重大会议上提及 “新基建 ”情况 . 19 表 6：零信任与 VPN 在通用办公场景的对比 . 24 表 7：公司非公开发行预案 募投项目一览 . 27 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 5 一、零信任将成为数字时代主流的网络安全架构 1.1 零信任是面向数字时代的新型安全防护理念 零信任是一种以资源保护为核心的网络安全范式。 零信任网络：在不可信网络中构建安全系统一书对零信任安全进行了简要归纳和概况： 1）网络无时无刻不处于危险的环境中； 2）网络中自始至终都存在外部或内部威胁； 3）网络位置不足以决定网络的可信程度； 4）所有的设备、用户和网络流量都应当经过认证和授权； 5）安全策略必须是动态的，并基于尽可能多的数据源计算而来。因此零 信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的，需要基于认证和授权重构访问控制的信任基础。 零信任的雏形 最早 源 于 2004 年耶利哥论坛 提出的去边界化的安全理念， 2010 年 Forrester 正式提出了“零信任”（ Zero Trust， ZT）的术语。经过近十年的探索，零信任的理论及实践不断完善，逐渐从概念发展成为主流的网络安全技术架构。 图 1： 零信任概念演进历程图 数据来源： 中国信通院， 东方证券研究所 数字时代下，旧式边界安全防护逐渐失效 。 传统的安全防护是以边界为核心的，基于边界构建的网络安全解决方案相当于为企业构建了一条护城河，通过防护墙、 VPN、 UTM 及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。 这种建设方式一定程度上默认内网是安全的，而目前我国多数政企仍然是围绕边界来构建安全防护体系，对于内网安全常常是缺失的，在日益频繁的网络攻防对抗中也暴露出弊端。 而云大物移智等新兴技术的应用 使得 IT 基础架构发生根本性变化，可扩展的混合 IT 环境已成为主流的系统运行环境 ，平台、业务、用户、终端呈现多样化趋势， 传统 的物理网络 安全边界消失， 并带来了更多的安全风险，旧式的边界安全防护效果有限 。 面对日益复杂的网络安全态势，零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式，逐渐得到关 注并应用，呈现出蓬勃发展的态势。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 6 图 2： 传统边界安全防护架构 图 3： 云计算等新兴技术带来传统安全边界消失 数据来源： H3C，东方证券研究所 数据来源： TechTarget， 东方证券研究所 1.2 “ SIM”为零信任架构的三大关键技术 零信任的本质是以身份为中心进行动态访问控制。 零信任 对访问主体与访问客体之间的数据访问和认证验证进行处理，其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求，经由信任评估引擎、访问控制引擎实施身份认证及授权，获得许可后系统动态 数据平面，访问代理接受来自主体的数据，从而建立一次可信的安全访问链接。过程中，信任评估引擎将持续进行信任评估工作，访问控制引擎对评估数据进行零信任策略决策运算，来判断访问控制策略是否需要作出改变，若需要作出改变时，将及时通过访问代理中断此前连接，从而有效实现对资源的保护 。综上，可将零信任架构原则归纳为以下五个： 将身份作为访问控制的基础： 零信任架构对网络、设备、应用、用户等所有对象赋予数字身份，基于身份来构建访问控制体系； 最小权限原则： 零信任架构中强调资源按需分配使用，授予的是执行任务所需的最小特权，并限制资源的可见性； 实时计算访问控制策略： 零信任的授权决策根据访问主体的身份、权限等信息进行实时计算，形成访问控制策略，一旦授权决策依据发生变化，将重新进行计算，必要时将即时变更授权决策； 资源受控安全访问： 零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定，符合安全策略才予以放行，实现会话级别的细粒度访问控制，同时所有的访问连接均须加密； 基于多源数据进行信任等级持续评估 ：零信任架构中访问主体的信任等级是根据实时多源数据（如身份、权限、访问日志等）计算得出，人工智能技术提高了信任评估策略的计算效率，实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 7 图 4： 零信任架构总体框架图 数据来源： 奇安信， NIST， 东方证券研究所 “ SIM”，即 SDP（软件定义边界）、 IAM（身份与访问管理）、 MSG（微隔离）是实现零信任架构的三大关键技术。 NIST（美国国家标准委员会）在 2019 年发布的零信任架构 ZTA白皮书中，总结出实现零信任架构的三大核心技术“ SIM”，分别是“ S”，即 SDP（软件定义边界）；“ I”，即 IAM（身份与访问管理）；“ M”，即 MSG（微隔离）。 图 5： 实现零信任架构的三大关键技术“ SIM” 数据来源： 云深互联 ，东方证券研究所 1） SDP（软件定义边界） SDP 技术是通过软件的方式，在“移动 +云”的背景下构建起虚拟 ，利用基于身份的访问控制及完备的权限认证机制提供 有效的隐身 保护。 SDP 是由云安全联盟（ CSA）开发的一个安全框架，有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 8 其体系结构主要包括 SDP 客户端、 SDP 控制器及 SDP 网关这三个组件，其中客户端主要负责验证用户身份，将访问请求转发给网关，控制器负责身份认证及配置策略，管控全过程，网关主要保护业务系统，防护各类网络攻击，只允许来自合法客户端的流量通过。 SDP 可将所有应用程序隐藏，访问者不知应用的具体 位置，同时所有访问流量均通过加密方式传输，并在访问端与被访问端之间点对点传输，其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题，成为了零信任理念的最佳践行之一。 图 6： SDP 的组成架构 数据来源： Quadrant Knowledge Solutions，东方证券研究所 2） IAM（身份与访问管理） 全面身份化是零信任架构的基石，零信任所需的 IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理，从而保证正确的身份在正确的访问环境下，基于正当理由访问正确的资源。 随着数字化转型的不断深入，业务的云化、终端的激增均使得企业 IT 环境变得更加复杂，传统静态且封闭的身份与访问管理机制已不能适应这种变化，因此零信任中的 IAM 将更加敏捷、灵活且智能，需要适应各种新兴的业务场景，能够采用动态的策略实现自主完善，可以不断调整以满足实际的安全需求。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 9 图 7： 零信任身份与访问管理 数据来源： 云深互联 ，东方证券研究所 3） MSG（微隔离） 微隔离通过细粒度的策略控制，可以灵活地实现业务系统内外部主机与主机的隔离，让东西向流量可视可控，从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。 当前微隔离方案主要有三种技术路线， 分别是云原生微隔离、 API 对接微隔离以及主机代理微隔离，其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。 表 1： 微隔离三大技术路线 数据来源： 深信服 ，东方证券研究所 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之三：零信任安全 将成为数字时代主流的安全架构 10 1.3 零信任安全应用场景丰富 今年在疫情及新基建的双重刺激下，远程办公、云计算得到快速发展，政府大数据快速推进， 对于零信任安全建设的必要性亦大大增强。 而 基于零信任的安全架构可以很好地兼容云计算、大数据、物联网等各类新兴应用场景，支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。如 适用于远程办公的零信任安全架构，不再区分内外网，在人员、设备及业务之间构建虚拟的、基于身份的逻辑边界，实现一体化的动态访问控制体系，不仅可以减少攻击暴露面，增强对企业应用和数据的保护，还可通过现有工具的集成大幅降低零信任潜在建设成本。在大数据中心的应用场景中，东西向流量大幅增加，传统以南北向业务模型为基础研发的安全产品已不适用，零信任架构可通过微隔离技术实现有效防护。 图 8： 基于零信任架构的远程办公安全参考架 构 数据来源： 中国信通院 ，东方证券研究所 图 9： 数据中心安全接入区案例示意图 图 10： 基于零信任架构的云计算平台安全参考架构 数据来源 ：中国信通院 ，东方证券研究所 数据来源： 中国信通院 , 东方证券研究所