202-2021零信任SaaS行业综合分析报告.pptx

202-2021零信任SaaS行业综合分析报告,摘要,1、从IP信任到身份信任：扩容复杂且疫情下远程办公内外网边界模糊，且个人操 作复杂。现在和未来为零信任SaaS，零信任假设所有人不可信，通过模型对不同 设备和不同身份，根据行为实时动态进行认证和评估。,2、美国最大的安全公司是零信任SaaS公司：自谷歌2011年内部实施零信任架构 开始，过去两年零信任架构渗透率快速提升。已经和正在实施零信任SaaS超过30%，还有44%客户正准备实施。典型零信任公司OKTA采用SaaS订阅模式，市 值达250亿美元（超过防火墙等传统安全公司）。3、客户粘性和技术壁垒：客户粘度极高，零信任SaaS深入企业业务流程和人员， 如OKTA收入续费率在120%。技术壁垒而言，零信任SaaS要求企业掌握微隔离、 数据安全等技术，领军公司通常为对网络管理、防火墙、云安全有深刻理解的公 司。4、中国特色：目前仍在导入期，渗透率极低 ，看好未来三到五年零信任SaaS市 场启动。考虑技术积累和客户属性，白马推荐深信服、奇安信、美亚柏科，黑马 推荐格尔软件、数字认证。风险提示：传统VPN替代不及预期；零信任SaaS市场竞争激烈；企业上云不及预期。,目录,1、何为零信任,2、零信任SaaS过去和未来3、零信任SaaS的竞争格局4、中国特色5、投资机会,何为零信任,1,1.1 零信任架构：未来安全架构的必然趋势,39,91,0,20,40,60,80,100,2019,2020Q1,基于现有国防部（DoD）的网络脆弱性和 未来的网络需求，国防创新委员会（DIB） 建议国防部开始朝着非机密互联网协议路 由器网络（NIPRNET）和机密互联网协 议路由器网络（SIPRNET）的零信任安 全架构模型迈进。零信任架构建议,加码零信任，厂商增加两倍：2019年，RSAC上主打零信任的厂商约有39家。截至目前，RSAC上打着零 信任标签的厂商就已经有91家之多，增长133%。美国防部高度重视，零信任热度加速提升：美国国防创新委员会发布的零信任架构建议白皮书中建议 美国国防部应将零信任实施列为最高优先事项。而美国最大的安全公司不是防火墙公司，是零信任SaaS公司。图2：各大厂商纷纷研发零信任，竞争愈发激烈图3：美国国防部高度重视零信任架构RSAC：零信任厂商,1.1 内涵是基于IP的信任转向基于身份和行为的信任,过去企业身份管理为VPN，扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。现在和未来，零信任假设所有人不可信，通过模型对不同设备和不同身份，实时动态进行认证和评估。,图4：传统VPN无法识别可疑用户,图5：云计算时代网络边界正在消失，VPN已无法提供云安全,1.1 零信任：假设所有人都不可信的新一代网络安全架构,与传统网络安全区别：传统，先访问资源再验证身份；零信任，先验证身份再授权访问资源以身份为中心：经过“预验证”“预授权”才能获得访问系统的单次通道。最小权限原则：每次赋予用户所能完成工作的最小访问权限。业务安全访问：所有访问通道都是单次的，强制访问控制。图6：零信任架构（ZTA）逻辑示意图图7：零信任必须先验证身份后，再授权传 统,零 信 任,1.2 场景价值：云计算业务天然需要零信任SaaS,企业上云已成趋势：预计2025年将有85%以上企业将应用部署到云上。传统安全边界模糊：云化业务与移动互联网、IOT 等技术 的结合使得各类端点设备与业务系统的数据交互不再受地 理位置或时间的限制。,软件定义边界基于零信任模型：用身份的细粒度访问代替广泛的网络接入。SAAS化的零信任：所有与安全相关的活动都在云中执 行，如授予数据中心或公/私有云内的访问权限。只有认 证通过后，才能与服务器建立联系。,对于员工，单点登录，不用重复输入密码，提高使用效率，更适配不断增长的云应用/Web应用。对于企业，动态认证和授权(授权颗粒度最小化)，事中转事前，安全性提升。图8：零信任与传统安全边界防护对比,37%,12%,访问云应用控制第三方访问,替代VPN 其他,18%33%零信任应用于云应用的案例最多,附数据输入：八大数据源,信息源是零信任架构的输入值，有赖于CDM、SIM、TI、IDMS等系统的强大识别和管理能力表1：数据源系统的能力决定了权限决策的能力,附数据输出：信任算法,加权得分高于 企业设置的阈 值,PA配置PEP，授权或拒绝该 主体、设备、环境对资源A的 请求,资源A,条件1 得分1 权重1,条件2 得分2 权重2,条件3 得分3 权重3得分x 权重x,用户历史访问记 录,用户行为分析建 模用户行为方式,新请求vs建模结 果,信任算法（Trust Algorithm）：PE决策引擎的实现过程，根据数据源做出决策，传递给PA决策管理器。根据NIST标准第二版，基于上下文和分数的TA安全效果最好。防止时间不一致性和访问者对系统的恶意训练图9：基于分数的信任算法：绝对合法性图10：基于上下文的信任算法：相对历史记录合法性,数据库管理员： 每天进行策略开 发、交付,行为建模：数据 调用是合法的， 删库是不合法的,拒绝删库跑路,零信任SaaS过去和未来,2,2.1 零信任SaaS新蓝海：已诞生如OKTA等行业巨头,萌芽于美国国防部门，近10年从概念到成功商业化。当前美国有三家零信任SaaS企业登陆资本市场，以OKTA为例，市场高度看好，三年股价成长10倍，07.06统计市值约250亿美金（PS 约40倍）,2004,2010,2011,20172018,2019,19942004年探讨无界化网 络安全架构与 方案；2004年NAC架构出现,2010年Forrester Research 第一 次提出“零信 任”概念,20112017年Beyond Corp在Google内部部 署，成为第一 个成功的零信 任实践,2013年CSA云安全联 盟成立SDP工 作小组，次年 发布SDP标准 规范1.0,2018年Forrester提出 ZTX架构，从 微隔离拓展到 可视化、自动 化编排,2019年、2020年美国商务部下属 的NIST连续发布零信任架构标 准（草案）的 第一版、第二版,2018年、2019年美国三家初 创零信任企业 完成IPO，零信 任成功商业化,美国国防部门开展去边界化的研究工作,2020,图11：零信任是一片新蓝海,250,143,110,39,43,34,0,20,40,60,0,100,200,300,OKTA,Zscaler,cloudflare,市值（亿美元）07.06统计,PS,零信任SaaS行业的发展基本上是美国零信任SaaS行业发展的历程：国防部在概念成型之前已开始相关研究； 概念提出后，谷歌、微软、Akamai内部实践基础上推出相关产品 ；思科、赛门铁克、派拓等企业通过收购建 立能力；三家零信任SaaS初创企业于20182019年集中上市，市值在100250亿美元。,表2：零信任SaaS的企业类型,2.1 美国零信任SaaS行业发展历程,多方参与教育市场，市场接受度高：根据Cybersecurity Insider的调查，15%的受访IT团队已经实施零信任SaaS，44%表示准备部署，这与联邦政府、咨询机构、各类企业共同教育市场不无关系。,注： Cybersecurity Insider基于其2019年78月对美国315个IT和网络安全专家的调查,2018年Gartner提出零信任是实践 持续自适应的风险和信任 评估（CARTA）的第一 步 ，推动零信任的市场认知,2019年、2020年美国商务部下属NIST连续 推出两版零信任架构标 准（草案），向市场传 达零信任架构的逻辑和价 值,2017年Gartner推出自适应安全3.0的版本CARTA框架，其思想与零信任一致，推 进了产业界的投入和研究,2018年Forrester 开始发布零信 任扩展生态系统ZTX报 告，探索零信任架构在 企业中的应用，将市场 教育作为企业关键能力,2018年、2019年3家初创企业集中IPO， 思科、赛门铁克、派拓、Proofprint完成8起 零信任领域收购，引起 关注,图13：多方参与教育市场,15%,19%,44%,19%,图12：美国企业IT从业者对零信任架构接受度高美国企业IT达78%接受零信任3%,正在部署 暂无计划,已经部署 准备部署不知道零信任,2.2 发展现状：多方参与教育市场，市场接受度较高,2.34,5.01,9.82,24.86,38.07,114%,96%,15.154%,64%,53%,0%,20%,40%,60%,80%,100%,120%,4035302520151050,2014A,2015A,2016A,2017A,2018A,2019A,同比增长（%，右轴）,零信任SaaS渗透率加速提升：根据Gartner估计，到2022年，面向生态系统合作伙伴开放的80%的新数字 业务应用程序将通过零信任网络（ZTNA）进行访问。到2023年，60%的企业将淘汰大部分远程访问虚拟 专用网络（VPN），转而使用零信任SaaS。零信任SaaS龙头公司OKTA 2019年订阅收入规模38亿元，占营收94.3%。,60%,零信任,40%VPN,图14：到2023年零信任SaaS替代60%的VPN,图15：OKTA订阅收入规模订阅收入（亿元）,2.3 零信任SaaS成长空间可观：2023年替代60%传统VPN,零信任SaaS的竞争格局,3,3.1 群雄逐鹿，行业处在成长初期,行业处在成长期，份额分散：根据Forrester 2019Q4 报告，市场领导者和其他竞争者市场份额差距较小。创业 公司Illumio、Okta、传统公司思科、Palo Alto进入领导者象限。,图16：零信任SaaS市场竞争格局分散,表3：创业企业已有一定规模，零信任SaaS行业处在成长初期,市值数据截至2020年7月6日,行业技术壁垒高。数据安全、操作人员、设备安全面临较高的风险，根据Forrester以上是最重要的性能标准。 而相应解决能力有赖于网络弹性技术、机器学习、加密流量的收集等技术，以及从实践方案中积累的经验。 因此，需要对安全或者网络的技术理解非常深刻（除了创业公司，为思科、Palo Alto）表4：零信任SaaS可能面临的风险和响应解决方案,3.1 兼具网络和安全的理解厂商有先发优势,零信任SaaS架构的实现依托于关键的技术。根据Forrester,零信任SaaS系统商要对零信任有深刻的认识、 较强的微隔离能力、广泛的集成和API能力、识别并监控任何可能带来风险的身份的能力（不仅是IAM）。国外领先企业通常为对网络管理、云安全、防火墙有深刻理解的公司,表5：Forrester认为零信任SaaS供应商应具备的四大能力,数据安全, 17%,操作人员, 15%,设备安全, 14%,网络安 全, 12%,负载安全,12%,易管理和易用性, 10%,自动化编排, 8%,APIs集合能 力, 7%,可视化和分析 能力, 5%,图17：Forrester性能评价维度和权重,3.1 零信任SaaS提供商需要具备的四大能力,从自适应安全业务出发，强大的集成能力，业务流程可视化：基于原有的端到端流量监控筛查能力，Illumio关 注基于客户当前的技术部署情况，进行零信任架构建设。根据Forrester, 公司强大的APIs能力受到广泛好评， 能够集成已部署的工具和设备，兼容性强。,图18：Illumio的ASP UI可视化和易操作性强,表6：Illumio的性能强、减少操作风险，使用体验佳,3.2 Illumio：强大的集成能力，负载和风险治理性能强，交互性好,公司拥有行业标杆性大客户，客户满意度高：根据Gartner，Illumio ASP产品用户评价得分较高，在4.6分（满 分5分）；客户留存率98%。前期评估、集成和部署能力、服务和支持、产品性能为Illumio 得分较高的方面， 强大的集成能力，负载和风险治理性能强，交互性好为公司赢得行业标杆性大客户青睐。,图19：Salesforce、国泰航空、英格兰银行等行业标杆客户,图20：客户留存率达98%，客户评分接近满分,3.2 Illumio：强大性能带来标杆性大客户，满意度92%和留存率98%,2018年收购云访问控制 网络安全商ScaleFT后,根据亿欧，Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用。从面向SaaS产品的SSO单点登录发展成身份认证和管理平台：2009年以来作为SaaS服务商与企业的中间产品提供者，深耕云应用统一登录领域。2018年收购云访问控制网络安全商ScaleFT后，构建起以身份认证为核心的零信任平台。根据Forrester，其后台管理UI具有最佳的易用性和间接性；集成了几乎所有常见的外部应用。图21：公司核心产品是身份云，把控零信任的入口图22：Okta集成6500款云产品，一键登录登录1 登录1,登录1,登录1,SSO单点登录,一次登录 全部调用,过去,现在,3.3 Okta：深耕统一身份治理，强大的集成能力，最简洁的UI,服务器应用程序设备IaaSAPIs,设备状态生物统计、终端安全移动安全网络用户行为应用程序 登录三方智能,零信任上下文分 析安全分析安全基础 设施,定价模式可持续性强，积极拓展产品线，ACV增长显著：公司基本功能产品按照客户数每月收费，单价在几十 元每年；高级附加功能按照年收费，价格在8000美元以上。按照功能数阶梯定价，随着产品功能丰富，用户价 值提高，ACV增长空间较大。根据公司投资者大会，公司通过多种方式拓展产品线，成熟客户ACV增长在6X。表7：基本功能按照用户数每月收费，按照功能阶梯定价图23：多角度拓展产品线,提升ACV更多集成更深挖掘更多应用,3.3 Okta：双重定价法，积极拓展产品线，客户ACV增长在6X,服务周期长，客户转换成本高。根据NIST：“向零信任架构的转型是漫长的旅程而不是简单的置换企业现有 基础设施“。零信任架构的部署一般持续数年：以Google为例，零信任架构的转移共用6年时间。这意味着 客户选择厂商时会较为谨慎，而一旦获客后单客户带来的收入稳定性也较高。相应的证据是Okta dollarbased留存率约120%。,图24：零信任架构的部署周期,图25：Okta Dollar-Based留存率均约120%,117%121%,3.4 优势可持续，客户粘度极高,中国特色,4,4.1 受限于C/S架构下产品接口不统一，但未来云应用有望解决,过去缺少统一技术标准，用户体验差。由于各个软件接口之间缺少统一技术标准，部分厂商将零信任架构与现有产品组合并未实现好的用户体验差。但在WEB端云应用下零信任SaaS的用户体验有望解决。,图26：零信任SaaS缺少技术统一标准,底层技术能否适配：终端和通信协议种类多。满足合规要求：实施过程中必须达到的安全核心技术要求。,具体落地：1）落地的成本是否低于传统VPN；2）业务的切割能否做到平滑的过渡；3）用户的习惯是否可以体验更好。,4.1 企业应用SaaS化后，WEB端访问更适配零信任架构,单点登录更适合云应用、移动应用：零信任SaaS主要通过单点登录，对WEB端有更好的支持，用户体验好企业业务上云趋势下，零信任SaaS更好适配用户需求：企业应用云化，企业用户主要通过WEB端访问，打通应 用之间联系。通过SaaS化零信任，用户无需在内网部署任何软硬件，直接通过SaaS零信任平台访问云端应用， 极速交付，即需即用，安全性极高（访问控制由安全专家负责）。,图27：对所用应用程序提供零信任SaaS访问,图28：零信任SaaS更适配云应用的使用,单点登录,4.1 除了内生需求如远程办公，政策也在重视,政策首次提及零信任：2019年起草的关于促进网络安全产业发展的指导意见(征求意见稿)首次将零信任安全列入网络安全需要突破的关键技术。今年网络安全相关的政策也密集出台，零信任有望得到政策推动。,0,0,1,0,2,0,3,1,2,3,6,9,1,7,11,10,8,图29：过去一年半中国采招网上“零信任”词频统计零信任词频统计（次)15,4.2 零信任SaaS产品2019年开始推出，市场处在萌芽期,国内企业2019年开始推出零信任产品，目前大多处在实践落地期，初创企业规模较小，行业处在导入期,表8：零信任产品自2019年开始加速落地，但市场仍处于萌芽阶段,4.2 深信服：技术完善的零信任平台，未来安全有望SaaS化,深信服精益信任aTrust安全架构：在零信任的基础上做了增强，通过自适应策略，结合按需扩展的功能组件，通过私有化、云化等多种部署方式，实现信任和风险的精益控制，形成自主调优、快速处置的统一安全架构。公司在身份行为管理、网络安全和可扩展性、云等产品技术积累雄厚，身份验证、行为测试能力强；同时aTrust可与公司其他安全产品（EDR等）互联联动，安全效应增强。,图30：强调集成组合能力、可视化和身份检测能力的aTrust,图31：aTrust 动态权限+统一的安全,4.2 深信服：未来零信任SaaS化收入保守估计在30亿元,图32：深信服未来零信任SaaS收入预测,根据公司微信公众号，公司已有近50000企业级用户。同时公司已覆盖90%政府部委单位，90%银行、证券、保险单位，90%双一流高校，90%医疗百强机构，95%三大运营商集团。客户稳定下，看好公司未来零信任SaaS收入保守估计在30亿元，增加公司长期市值空间。,4.3 奇安信：专注新业务场景下的零信任SaaS,专注新业务场景下的零信任SaaS ：面向人员、外部应用、外部数据平台对内部数据、应用和API接口的调用， 适用于云计算、大数据等新业务场景下的动态可信访问控制体系。解决方案已经在部委级客户、能源企业、金 融行业等进行正式的部署建设或POC试点。公司为网络安全领域领军企业，身份检测也有完善的布局，在监控和识别关键风险点上能力突出。,图33：以身份识别为基础，已经在多部门实践形成标准化解决方案,图34：公司现有部分产品,政府、部委,能源,金融、央企,4.3 美亚柏科：从大数据延伸到大数据安全（零信任SaaS 、态势感,知大）数据平台跨多城市多部门：对安全访问要求高，同时对数据安全授权要求高；传统VPN无法有效支撑访问 。大数据安全规范：引进“零信任”安全认证和权限分级管理机制，确保数据内容安全合规使用。,图35：大数据涉及多城市多部门，对零信任要求高,图36：零信任技术已应用到产品,大数据中台,卫计委,政务,公安,应急,军工,税务,4.3 格尔软件：PKI龙头，身份验证管理优势明显,PKI龙头：PKI市占率第四，PKI是零信任八大数据源之一，是通过证书来获取身份信息的方式。稳步推进零信任，非公开募股投资项目之一：2019年初开始，公司基于扎实的客户、技术基础稳步推进零信任SaaS 。公司优势：零信任以身份为中心，公司具备身份认证管理技术先发优势。图37：格尔为身份和数字信任软件行业领先企业图38：公司稳步推进零信任SaaS事业,2019年12月，公司启动非公开增发， 零信任为计划投资项目 之一，6月20日获得证 监会批准,2020年初，公司年报 经济计划中表示今年开 始推进实践落地,2019年初，公司经 营计划中表示开始构 建基于零信任体系,4.3 格尔软件：看好中长期市值空间约230亿元,根据格尔软件招股说明书公司已有客户，估计公司目前客户人群总数达1332万人；并参考试点项目ARPU值（人均约50元左右），未来格尔软件SaaS收入保守估计在6.5亿元，35X PS下，未来市值空间约230亿元。图39：格尔软件零信任SaaS市场估计,4.3 数字认证：PKI龙头，数字身份证书经验可复制到零信任,PKI龙头：PKI市占率第二，同格尔软件一样，基于主营业务紧握技术先发优势。承担十三五课题积累零信任技术，2020年零信任SaaS成重点研究方向：2020年公司将建立研究院，将零信 SaaS任与车联网、区块链一起作为重点研究方向，实际上在此之前公司已经牵头/参与了多项涉及零信任底层 技术的国家级研究课题，并在2019年提出建设零信任智慧医院可信体系。,图40：可信医学数字身份建设,表9：公司承担多项国家级零信任底层技术课题,”,”,4.3 山石网科：专注云资产微隔离，面向业务持续监控，多个用例,山石网科在业界率先推出面向公有云及私有云的安全防护产品山石云格。多角度划分云安全区域，帮助用户解 决当前面临的云内部安全问题，山石云格通过专利引流技术、虚机微隔离及可视化技术，实现流量及应用可视 化，虚机之间威胁检测与隔离。,图41：云资产微隔离解决方案,图42：能源、金融、警务等广泛应用,南京军区总医院,多个市级警务云,北京大学云计算数据中心,投资机会,5,投资机会,总结VPN和零信任SaaS最大区别在于内外网消失，不再有权限概念。1）对于员工，单点登录，不用重复输入密码。2）对于企业，动态认证和授权，事中转事前，安全性提升。3）场景价值：云计算天然需要零信任SaaS，且当前零信任项目主要被用于云应用（SaaS）管理。4）核心技术在于身份行为识别、微隔离和威胁识别，所以做网络管理、防火墙、云安全的公司胜率高。5）商业模式转变：零信任将以SaaS方式部署，快速部署，安全高效，规模经济效益明显。投资机会1）目前仍在导入期，渗透率极低 ，但是政策、客户需求（疫情）推动，零信任SaaS市场有望快速启动。2）考虑技术积累和客户属性，白马推荐深信服、奇安信、美亚柏科，黑马推荐格尔软件、数字认证。风险提示：传统VPN替代不及预期，疫情下传统VPN痛点暴露，但因为企业预算考虑，VPN替换速度缓慢；零信任SaaS市场竞争激烈，越来越多IT公司将进入；企业上云不及预期，导致零信任SaaS应用渗透缓慢。,中国ICT技术成熟度曲线报告,图1：中国ICT技术成熟度曲线报告,THANKS,