【研報】網絡安全行業系列深度報告（四）：零信任重構網絡安全體系-20200906（38頁）.pdf

1、劉玉萍 S1090518120002 范昳蕊 S1090519100001 零信任零信任：重構網絡安全體系 重構網絡安全體系 網絡安全行業系列深度報告(四) 2020年9月6日 證券研究報告 | 行業深度報告 信息技術一一 | 計算機 2 企業業務復雜度增加、信息安全防護壓力增大，催生零信任架構。企業上云、數字化轉型加速、網絡基 礎設施增多導致訪問資源的用戶/設備數量快速增長，網絡邊界的概念逐漸模糊；用戶的訪問請求更加復 雜，造成企業對用戶過分授權；攻擊手段愈加復雜以及暴露面和攻擊面不斷增長，導致企業安全防護壓 力加大。面對這些新的變化，傳統的基于邊界構建、通過網絡位置進行信任域劃分的安全防護

2、模式已經 不能滿足企業要求。零信任架構通過對用戶和設備的身份、權限、環境進行動態評估并進行最小授權， 能夠比傳統架構更好地滿足企業在遠程辦公、多云、多分支機構、跨企業協同場景中的安全需求。 零信任架構涉及多個產品組件，對國內網安行業形成增量需求。零信任的實踐需要各類安全產品組合， 將對相關產品形成增量需求：1）IAM/IDaaS等統一身份認證與權限管理系統/服務，實現對用戶/終端的 身份管理；2）安全網關：目前基于SDP的安全網關是一種新興技術方向，但由于實現全應用協議加密流 量代理仍有較大難度，也可以基于現有的NGFW、WAF、VPN產品進行技術升級改造；3）態勢感知、 SOC、TIP等安全

3、平臺類產品是零信任的大腦，幫助實時對企業資產狀態、威脅情報數據等進行監測；4） EDR、云桌面管理等終端安全產品的配合，實現將零信任架構拓展到終端和用戶；5）日志審計：匯聚各 數據源日志，并進行審計，為策略引擎提供數據。此外，可信API代理等其他產品也在其中發揮重要支撐 作用。 零信任的實踐將推動安全行業實現商業模式轉型，進一步提高廠商集中度。目前國內網安產業已經經過 多年核心技術的積累，進入以產品形態、解決方案和服務模式創新的新階段。零信任不是一種產品，而 是一種全新的安全技術框架，通過重塑安全架構幫助企業進一步提升防護能力?；谝蕴W的傳統架構 下安全設備的交互相對較少，并且能夠通過標準的

4、協議進行互聯，因而導致硬件端的采購非常分散，但 零信任的實踐需要安全設備之間相互聯動、實現多云環境下的數據共享，加速推動安全行業從堆砌安全 硬件向提供解決方案/服務發展，同時對客戶形成強粘性。我們認為研發能力強、產品線種類齊全的廠商 在其中的優勢會越發明顯。 核心要點 3 由于中美安全市場客戶結構不同以及企業上公有云速度差異，美國零信任SaaS公司的成功之路在國內還 缺乏復制基礎。美國網絡安全需求大頭來自于企業級客戶，這些企業級客戶對公有云的接受程度高，過 去幾年上云趨勢明顯。根據Okta發布的2019工作報告，Okta客戶平均擁有83個云應用，其中9%的 客戶擁有200多個云應用。這種多云時

5、代下企業級用戶統一身份認證管理難度大、企業內外網邊界極為 模糊的環境，是Okta零信任SaaS商業模式得以發展的核心原因。目前國內網絡安全市場需求主要集中于 政府、行業（金融、運營商、能源等），這些客戶目前上云主要以私有云為主，網安產品的部署模式仍 未進入SaaS化階段。但隨著未來我國公有云滲透率的提升，以及網安向企業客戶市場擴張，零信任相關 的SaaS業務將會迎來成長機會。 投資建議：零信任架構的部署模式有望提升國內網安市場集中度，將進一步推動研發能力強、擁有全線 安全產品的頭部廠商擴大市場份額、增加用戶粘性，重點推薦啟明星辰、綠盟科技、深信服、南洋股份， 關注科創新星奇安信、安恒信息。 風

6、險提示：技術發展進度不及預期；網安行業景氣度不及預期 核心要點 可比公司估值對比表 資料來源：Wind、招商證券（深信服、安恒信息盈利預測來自Wind一致預測） 4 p零信任：三大核心組件、六大要素 p零信任的實踐將為安全行業帶來增量需求 p國內外安全廠商均已積極布局零信任相關產品 p投資建議 5 1.1 零信任架構的興起與發展 零信任架構是一種端到端的企業資源和數據安全方法，包括身份（人和非人的實體）、憑證、訪問管理、操 作、端點、宿主環境和互聯基礎設施。 零信任體系架構是零信任不是“不信任”的意思，它更像是“默認不信任”，即“從零開始構建信任”的思想。 零信任安全體系是圍繞“身份”構建，基

7、于權限最小化原則進行設計，根據訪問的風險等級進行動態身份 認證和授權。 防火墻、VPN、UTM、入侵檢測等安全網關產品提供了強大的邊界防護能力，但檢測和阻斷內部網絡攻 擊的能力不足，并且也無法保護企業邊界外的主體（例如，遠程工作者、基于云的服務、邊緣設備等）。 于是從2004年開始，耶利哥論壇（Jericho Forum)開始為了定義無邊界趨勢下的網絡安全問題并尋求解 決方案，2010年零信任術語正式出現，并于2014年隨著移動互聯、云環境、微服務等新場景的出現被大 幅采用獲得越來越廣泛地認可。 圖1：零信任的發展歷史 資料來源：招商證券整理 2004年 耶利哥論壇（Jericho Forum

8、)開始為了定義無邊 界趨勢下的網絡安全問題 并尋求解決方案 2010年 零信任術語最早由Forrester的首席分析 師約翰金德維（John Kindervag）正 式提出 2011-2017年 Google BeyondCorp實施落地 2017年 業界廠商大力跟進，包括思科、微軟、 亞馬遜、Cyxtera 2018年至今 中央部委、國家機關、中大型企 業開始探索實踐零信任安全架構 6 零信任的核心組件包括策略 引擎（Policy Engine, PE）、 策略管理器（Policy Administrator, PA）和策略 執行點（Policy Enforcement Point, PEP

9、）。 這些核心組件負責從收集、 處理相關信息到決定是否授 予權限的全過程。 通過這些組件可以實現的零 信任架構的核心能力有：身 份認證、最小權限、資源隱 藏、微隔離、持續信任評估 和動態訪問控制。 1.2 零信任架構的三大核心組件 圖2：零信任架構 資料來源：NIST零信任架構白皮書、招商證券 資料來源：NIST零信任架構白皮書、招商證券 表1：零信任架構核心組件 組件 功能 工作方式 備注 策略引擎 （Policy Engine, PE） 最終決定是否授予訪問 權限 輸入企業安全策略及外部 信息（如IP類名單、威脅 情報服務），做出授予或 拒絕訪問的決定 與PA配對使用，PE做出 （并記錄）

10、決策，PA執 行決策（批準或拒絕） 策略管理器（Policy Administrator, PA） 建立客戶端與資源之間 的連接（是邏輯職責， 而非物理連接） 生成針對具體會話的身份 驗證令牌或憑證，供客戶 端用于訪問企業資源 實現時可以將PE和PA作 為單個服務 策略執行點（Policy Enforcement Point, PEP） 負責啟用、監視并最終 終止主體和企業資源之 間的連接。 PEP 與 PA 通信以轉發請 求，或從 PA 接收策略更 新 策略管理器與策略執行點 通過控制面板(Control Plane)保持通信 7 零信任的身份認證有兩方面的含義。一方面是網絡中的用戶和設備都

11、被賦予了數字身份，將用戶和設備 構建成為訪問主體進行身份認證，另一方面是用戶和設備能進行組合以靈活滿足需要。 身份認證是零信任的基石。零信任的整個身份識別、信用評估和權限授予都建立在身份之上。 身份與訪問管理(IAM)可以通過多因子身份驗證(MFA)和單點登錄（SSO）等身份驗證模型實現。 MFA指的是身份認證過程中要求用戶提供兩個或多個身份驗證因素： 知識因素 （用戶所知道的） 密碼 PIN 手勢 占有因素 （用戶所擁有的） 證書 軟件 硬件口令 固有因素 （用戶的特征） 生物因素（指紋、五 官、聲音） 行為因素（打字速度、 使用鼠標的習慣） 隱形屬性 地理位置 設備特征 該部分單獨不能成為

12、 驗證的因素，但是可 以增強驗證的可信度 單點登錄（SSO，Single Sign On）指的是在 一個多系統共存的環境下，用戶在一處登錄后 同時也登錄了其他的系統。因此在進入其他協 作系統之后無需重復登錄，提高了用戶的使用 體驗。 用戶 SSO 程序1 程序2 程序3 圖3：多因素認證因素 資料來源：招商證券 圖4：單點登錄示意圖 資料來源：招商證券 1.3 零信任的六大實現要素身份認證 8 在將用戶和設備的身份數字化之后，系統需要通過確認用戶的身份、用戶的訪問權限、設備的安全程度、 設備的訪問權限等來判斷用戶和設備的信任等級。 確認用戶的身份：方式主要為多因素身份認證，如推送登錄請求、短信

13、、密碼、指紋等。 確認設備的身份：主要通過設備的識別碼、設備的安全性等確認。 圖5：用戶/設備的信任建立方式 資料來源：思科、招商證券 1.3 零信任的六大實現要素身份認證 9 最小權限指的是一個實體被授予的權限僅限于完成任務所需要的；并且如果需要更高訪問權限，則只能在 需要的時候獲得。 權限授予的主體是一個信息集合，集合內包括用戶、應用程序和設備3類實體信息。傳統架構一般單獨對 各個實體；但是在零信任網絡中，將3類實體組成的網絡代理作為整體授權，這3類實體形成密不可分的 整體，共同構成用戶訪問上下文。 網絡代理具有短時性特征，授權時按需臨時生成，因此在用戶請求權限時根據實時狀態臨時生成相應的

14、網 絡代理即可實現當下的最小權限。 用戶 設備 程序 單獨授權 用戶 設備 程序 整體授權 傳統架構 零信任架構 例如，允許員工通過企業 發放的工作筆記本電腦提交源代碼，但是禁止員工使用手機進行類似操作，說 明權限是基于“員工信息+工作用筆記本電腦”這個實體所授予的，若采用“員工信息+手機”則不符合授權的 實體，因此不能提交源代碼，從而終端的風險可以得到很好控制。而傳統架構下，不論終端如何，只要 員工提供了賬號和密碼均能提交，安全風險很難得到控制。 圖6：零信任架構授權方式與傳統架構的區別 資料來源：招商證券 1.3 零信任的六大實現要素最小授權 10 資產隱藏指的是核心資產的各種訪問路徑被零

15、信任架構隱藏在組件之中，默認情況對訪問主體不可見，只 有經過認證、具有權限、信任等級符合安全策略要求的訪問請求才予以放行，保護的是從用戶到服務器的 南北向的數據流。 資產的訪問路徑的隱藏是通過隱藏業務端口的方式實現的。端口可以認為是打開業務的門，因此是攻擊者 攻擊的目標。傳統的網絡安全架構中，用戶需要通過客戶端先建立與服務器的連接，因此服務器的端口就 被暴露在公網中，若客戶端存在漏洞則很容易被利用，企業為了抵抗攻擊，有兩種應對策略。 第一種為將端口暴露在公網上，對訪問進行過濾，即WAF。由于WAF是公開的，因此每個人都可以 研究如何繞過防御或者對WAF進行攻擊。 第二種策略為通過VPN接入，不

16、把業務端口暴露在公網。雖然可以減少暴露面，但是由于VPN本身 還有暴露一個VPN的端口，因此仍舊存在危險。 零信任架構下資產的訪問需要先通過可信應用代理/可信API代理/網關認證，再被授予相應的訪問權限， 這部分流程與企業資源無關，因此企業的資源被隱藏在零信任的組件之后。 圖7：傳統的先連接后認證授權方式 資料來源：IMKP、招商證券 圖8：零信 任的預認證、預授權方式 資料來源：IMKP、招商證券 1.3 零信任的六大實現要素資產隱藏 11 NIST白皮書提到的一種實現方式為SDP（軟件定義邊界，software-defined perimeter）技術，SDP使 用中在部署安全邊界的技術，

17、可以將服務與不安全的網絡隔離開來。它可以實現對端口的隱藏，攻擊者接 入發現IP地址上沒有內容，然而有權限的業務人員卻可以正常訪問。 SDP實現隱藏端口的效果是通過SDP客戶端和SDP網關實現的。SDP網關的默認規則為關閉所有端口， 拒絕一切連接，因此實現“隱身”的效果。而用戶要求連接的時候需要SDP客戶端使用帶有用戶身份和申請 訪問的端口的數據包“敲門”，SDP網關驗證通過后來自該用戶IP的流量才能訪問端口。因此通過將訪問業 務的端口放在SDP網關之后就可以實現將業務隱藏在組件之中的效果，只有先通過認證、獲得授權才能 獲取資源。 即使端口對用戶開放之后，由于攻擊者的IP與用戶的IP不同，因此仍

18、舊無法訪問。并且該端口對用戶只是 暫時開放，需要SDP客戶端定期敲門保持端口開放。 圖9：攻擊者直接攻擊VPN的端口 資料來源：Transient Access Use Cases、招商證券 圖10：SDP下攻擊者無法找到端口攻擊 資料來源：Transient Access Use Cases、招商證券 1.3 零信任的六大實現要素資產隱藏 12 微隔離技術指的是將服務器與服務器之間隔離，一個服務器訪問另一個服務器之前需要認證身份是否可 信。微隔離是零信任架構的重要組成部分，SDP保護的是用戶與服務器之間的安全，微隔離技術是用于 實現服務器與服務器之間的東西向數據流安全。微隔離目前主要應用于數

19、據中心，該技術通常面向工作負 載而不是面向用戶。 對于在外部的攻擊者，防火墻可以發揮作用；但是對于已經進入內網的攻擊者，在沒有實現微隔離的時 候，攻擊者會攻擊到所有服務器；而實現微隔離之后攻擊范圍大大減少。 微隔離有點像疫情時期的口罩。面對大量的人口流動，每棟大樓門前的體溫檢測機有時候作用有限，很容 易有無癥狀的感染者進入大廈。如果每個人都帶上口罩，互相隔離就能很好地防止病毒的傳播。 圖11：傳統隔離模式 資料來源：安全內參、招商證券 圖12：微隔離模式 資料來源：安全內參、招商證券 1.3 零信任的六大實現要素微隔離 13 目前主要有三種方式可以實現微隔離，分別為基于agent客戶端的實現、

20、基于云原生的實現和基于第三方 防火墻的實現 基于agent客戶端的實現：這種實現方法指的是在每個服務器上安裝agent客戶端，在需要的時候agent調 用主機的防火墻實現服務器之間訪問的控制； 基于云原生的實現：這種實現方法指的是使用云平臺基礎設備自身的防火墻實現訪問控制； 基于第三方防火墻的實現：這種實現方法指的是給重要的或有需要的服務器配備單獨防火墻。 這三種方法具有各自的優點和缺點，因此企業需要根據自己的業務和需求進行配置。 基于agent客戶端的實現 基于云原生的實現 基于第三方防火墻的實現 優 點 與底層無關，支持多云 隔離功能與基礎架構都是云提供的，所 以兩者兼容性更好，操作界面也

21、類似 網絡人員更熟悉 缺 點 必須在每個服務器上安裝agent 客戶端，可能有資源占用問題 無法跨越多個云環境進行統一管控 防火墻本身跑在服務器上， 缺少對底層的控制 圖13：從左到右分別為基于agent客戶端的實現、基于云原生的實現和基于第三方防火墻的實現示意圖 資料來源：安全內參、招商證券 表2：三種方法的優缺點 資料來源：安全內參、招商證券 1.3 零信任的六大實現要素微隔離 14 持續信任評估是構建零信任架構的關鍵，是通過策略引擎（Policy Engine，PE）來實現的。持續信任評 估指的是在用戶訪問的過程中的設備安全和安全變化、訪問行為都被記錄下來用于評估實時的安全等級， 并用來

22、評估當下的可信任程度。 它基于數字身份形成初步評估，并形成主體信任，然后在此基礎上再根據主體和設備的認證強度、設備風 險和周圍環境等進行動態信任程度的調整。傳統的信任評估是靜態的，一旦獲得權限就不再變動，而持續 信任評估則會根據主體狀態進行調整。 PE負責最終決定是否授予指定訪問主體對資源（訪問客體）的訪問權限。在確定好企業安全策略，并將 IP黑名單、威脅情報服務等信息輸入PE后，PE決定授予或拒絕對該資源的訪問，策略引擎的核心作用是 信任評估。 總之，獲得權限只是開始，零信任架構還會在訪問進程中持續判定主體當下的情況是否適合訪問，動態地 決定下一步的動作，比如阻斷回話、允許會話、進一步判定、

23、有限制的允許等。 訪問 行為 周圍 環境 終端 環境 持 續 信 任 評 估 策 略 引 擎 允許 訪問 阻斷 訪問 進一 步判 定 圖14：持續信任評估引擎工作原理示意圖 資料來源：招商證券 圖15：信任引擎計算信任評分并授權 資料來源：NIST零信任網絡、招商證券 1.3 零信任的六大實現要素持續信任評估 15 動態訪問控制體現了零信任架構的安全閉環能力，它根據信任評估持續調整用戶的權限。 它使用了RBAC（以角色為基礎的存取控制）和ABAC（基于屬性的訪問控制）的組合授權實現靈活的訪 問控制。舉個例子，假如疫情期間有人想要進辦公樓，辦公樓相當于企業的數據，網絡攻擊相當于病毒： 員工A 路

24、人B 路人 員工 角色判別 高級權限： 進辦公樓 （健康狀況未知） 中級權限： 在街上溜達 RBAC 基于用戶角色管理， 粗粒度，但是操作簡便 ABAC 基于用戶+設備+其他要素管理， 細粒度，但操作復雜且占用資源較大 員工A 路人B 中級權限： 在街上溜達 通行證 健康碼 高級權限： 進辦公樓 （健康） 圖16：RBAC與ABAC的工作原理示意圖 資料來源：招商證券 1.3 零信任的六大實現要素動態訪問控制 16 在零信任發展過程中，谷歌的BeyondCorp模式是最成功的的實踐之一。 BeyondCorp是一種無企業網絡特權的新模式，用戶和設備的訪問都基于權限，與網絡位置無關，無論是 在公

25、司、家庭網絡、酒店或是咖啡店。所有對企業資源的訪問都是基于設備狀態和用戶權限進行全面認證、 授權和加密的。因此員工無需使用傳統的VPN即可實現在任何地點的安全訪問。 1.4 Google BeyondCorp體系是零信任最成功的實踐之一 圖17：BeyondCorp 組件和工作流 資料來源：BeyondCorp、招商證券 17 在BeyondCorp系統改造過程中有幾個關鍵點： 安全識別設備：只有受控設備（managed devices）才能訪問企業應用，并且所有受控設備都有唯 一標識 安全識別用戶：用戶/群組數據庫與谷歌的員工信息形成密切的數據集成 消除基于網絡位置的信任：即使是在谷歌辦公大

26、樓內部的客戶端設備也被分配到無特權網絡中，介 入這個網絡只有經過代理網關的認證授權后才能繼續訪問企業應用 訪問控制：通過查詢多個數據來源持續推斷每個用戶/設備的權限，權限可能隨時改變，并且本次訪 問權限的級別將為后續級別提供參考信息 那么接下來我們看看員工是如何使用BeyondCorp的：假設員工在谷歌大樓內接入內網，則電腦需與 RADIUS服務器進行802.1x握手，無需通過訪問代理訪問。假如該員工在出差過程中需要在機場登錄內網 就會經歷以下的過程： 機場wifi訪問 企業內網 訪問代 理 重定向到 SSO 訪問代理（持有設備證書和 單點登錄令牌） 訪問控制引擎授權 檢查 獲取服務 指向 電

27、腦提供 設備證書 小明提供雙 因素認證 重定向 通過 持 續 認 證 谷歌大樓內訪 問企業內網 電腦提供設備證書 1.4 Google BeyondCorp體系是零信任最成功的實踐之一 圖18：員工接入內網流程示意圖 資料來源：招商證券 18 p零信任：三大核心組件、六大要素 p零信任的實踐將為安全行業帶來增量需求 p國內外安全廠商均已積極布局零信任相關產品 p投資建議 19 目前零信任安全解決方案主要包括統一信任管理平臺、安全訪問網關、安全管理平臺和可信終端套件四個 產品組成。 2.1 零信任安全解決方案主要包括四個模塊 圖19：零安全解決方案主要產品及其架構 資料來源：綠盟科技、招商證券

28、20 統一信任管理平臺：統一信任管理平臺至少具備身份認證模塊、權限管理模塊和安全審計模塊，集合了用 戶、認證、授權、應用、審計的統一管理功能，是用戶身份和訪問管理的平臺。其中，統一身份認證 （Identity and Access Management，簡稱IAM）是平臺內最重要的功能組件，包含了SSO和MFA）。 IAM在工作過程中與零信任各組件之間協調聯動，根據安全管理平臺的分析的決策對用戶可信度進行認證， 并將信息傳遞給安全認證網關，整個過程處于動態之中，實現持續的可信驗證。因此IAM是零信任身份認 證的關鍵。 設備代理/網關：傳統的接入方式為通過VPN接入，而零信任架構下更多地是基于S

29、DP技術的設備代理+網 關接入。這種部署方式與VPN相比有一定優勢，但是由于目前技術很難達到零信任方案要求的全流量加 密且攜帶必要標識信息，且高性能VPN也可以根據應用安裝從而實現應用層的控制并且目前VPN的普及 程度更廣，所以基于SDP的設備代理/網關取代VPN還需要一段時間。 安全管理平臺：安全管理平臺相當于零信任架構中的大腦，決定信用評估的策略引擎就在安全管理平臺之 下。它通過收集情報數據、其他風險數據、使用日志等信息，經過分析評估之后做出決策并將決策下發信 任管理平臺。 終端安全：終端安全類產品提供設備的安全狀態信息，分為終端安全服務平臺和可信終端Agent兩部分。 可信終端Agent

30、負責收集終端環境信息、保護終端安全與提供終端訪問代理的功能，終端安全服務平臺則 通過處理終端信息與統一信任管理平臺進行數據傳輸。 2.1 零信任安全解決方案主要包括四個模塊 圖20：IAM功能 資料來源：Sennovate、招商證券 21 由于企業的架構與業務開展方式不同，部署零信任的方式也有差異。 擁有多分支機構的企業：在擁有總部和位于各地的分支機構或遠程工作的員工的企業部署方式為，策略 引擎(PE)/策略管理器(PA)通常作為云服務托管，終端資產安裝代理或訪問資源門戶。 多云/云到云的企業：企業有一個本地網絡，但使用多個云服務提供商承載應用、服務和數據。此時需要 企業架構師了解各個云提供商

31、的基礎上，在每個資源訪問點前放置策略執行點，PE和PA可以位于云或第 三方云提供商上的服務，客戶端直接訪問策略執行點。 存在外包服務或非員工訪問的企業：企業有時需要外包在現場為企業提供服務，或非員工會在會議中心與 員工交互。這種情況下，PE和PA可以作為云服務或在局域網上托管，企業可以安全代理或通過門戶訪問 資源，沒有安全代理的系統不能訪問資源但可訪問互聯網。 跨企業協作：企業A、B員工協作，其中企業B的員工需要訪問企 業A的數據庫，這種情況與擁有多分支機構企業相似，作為云服務 托管的PE和PA允許各方訪問數據庫，且企業B的員工需安裝代理 或通過Web代理網關訪問。 面向公眾或客戶提供服務的企

32、業：零信任只對企業的客戶或注冊 用戶適用，但由于請求的資產很可能不是企業所有所以零信任的 實施受限。 圖22：擁有多分支機構的企業 圖23：多云/云到云的企業 圖24：存在外包服務或非員工訪問的企業 圖21：跨企業協作 資料來源：NISTZero Trust Architecture、招商證券 2.2 零信任的主要部署場景 22 零信任作為一種網絡安全解決方案的思路，它的部署需要一系列的產品配合，有些產品是零信任特有的， 有些功能則只需要建立在原來設備的基礎上整合入零信任平臺即可。 具體來看，零信任的實踐需要各類安全產品組合，將對相關產品形成增量需求：1）IAM/IDaaS等統一身 份認證與權

33、限管理產品/服務；2）安全接入網關：基于SDP實現的安全接入網關與VPN相比有一定優勢， 但是由于目前技術很難達到零信任方案要求的全流量加密且攜帶必要標識信息，因為高性能VPN也可以 根據應用安裝從而實現應用層的控制并且目前VPN的普及程度更廣；3）態勢感知、TIP等安全平臺類產 品是零信任的大腦，幫助實時對資產狀態、威脅情報數據等進行監測；4）EDR、云桌面管理等終端安全 產品的配合，實現將零信任架構拓展到終端和用戶；（5）日志審計：匯聚企業終端、網絡設備、主機、 應用、安全系統等產生的日志，并進行審計，為策略引擎提供數據輸入 。此外，NGFW、WAF、可信 API代理等產品也在其中發揮重要

34、支撐作用。 2.3 零信任將會對部分安全產品帶來增量效應 圖25：零信任解決方案架構 資料來源：綠盟科技、招商證券 23 零信任抓住了目前網絡安全用戶的痛點， 零信任是未來網絡安全技術的重要發展方 向。根據Cybersecurity的調查，目前網絡 安全的最大的挑戰是私有應用程序的訪問 端口十分分散，以及內部用戶的權限過多。 62%的企業認為保護遍布在各個數據中心 和云上的端口是目前最大的挑戰，并且 61%的企業最擔心的是內部用戶被給予的 權限過多的問題。這兩點正是零信任專注 解決的問題，現在有78%的網絡安全團隊 在嘗試采用零信任架構。 2.4 零信任將會成為安全行業未來的重要發展方向 圖2

35、6：未來是否會采用零信任架構？ 資料來源：Cybersecurity、招商證券 圖27：目前端口防護面臨的最大的挑戰？ 圖28：目前企業安全最擔憂的事情？ 24 p零信任：三大核心組件、六大要素 p零信任的實踐將為安全行業帶來增量需求 p國內外安全廠商均已積極布局零信任相關產品 p投資建議 25 海外零信任市場蓬勃發展，眾多安全廠商已通過自研或收購推出完整解決方案。Google BeyondCorp、 微軟的Azure Zero Trust Framework都經過了公司內部的實踐后推出的產品。Okta為代表的身份安全廠商 推出的零信任解決方案以“身份認證”為重點。思科、賽門鐵克等公司推出的方

36、案則以網絡實施方式為主。 另外外延并購也常見于零信任產品發展的過程中，如OKTA在2018年并購ScaleFT。 3.1 海外眾多安全廠商通過自研或收購切入零信任市場 供應商 產品或服務名稱 Akamai Enterprise Application Access Cato Networks Cato Cloud 思科 Duo Beyond（收購） CloudDeep Technology DeepCloud SDP Cloudflare Cloudflare Access InstaSafe Secure Access Meta Networks Network as a Service P

37、latform New Edge Secure Application Network Okta Okta身份云 SAIFE Continuum 賽門鐵克 Luminate安全訪問云（收購） Verizon Vidder Precision Access（收購） Zscaler Private Access Google BeyondCorp 供應商 產品或服務名稱 BlackRidge Technology Transport Access Control Certes Networks Zero Trust WAN Cyxtera AppGate SDP Google Cloud Plat

38、form (GCP) 云身份感知代理（云IAP） Microsoft （僅 Windows 系統） Azure AD Application Proxy Pulse Secure Pulse SDP Safe-T Software-Defined Access Suite Unisys Stealth Waverley Labs Open Source Software Defined Perimeter Zentera Systems Cloud-Over-IP (COiP) Access 資料來源：Gartner、招商證券 表3：海外零信任服務的代表提供商 表4：海外零信任產品的代表提供商

39、 26 Okta以身份管理起家，通過內生外延成為零信任領域的領導廠商。Okta的兩位創始人曾擔任Salesforce早 期高管，后因意識到多云多終端時代統一身份管理的重要性而創辦Okta。Okta于2009年創立，在身份認證 領域持續深耕成為領先廠商。Okta在2018年收購零信任安全公司ScaleFT，ScaleFT的技術和VPN這種邊界 防護技術不一樣，是通過用戶狀態、用戶權限去進行安全管理。 Okta核心競爭力在于與多款云應用產品集成。與企業客戶常用的6500多款云應用進行了集成，這是Okta 最強力的競爭優勢，通過Okta可以登錄包括AWS、Office365等多個應用。此外公司產品標

40、準化程度高， 通過鼠標點擊即可安裝，操作簡單；企業管理員可以為全公司配置通用內部系統，配置時間短；可滿足企 業用戶對頁面的個性化需求等。 2009年 2014年 2015年 2010年 2013年 公 司 成 立 推出SSO產品 推出IAM產品 Okta身份云 （Identity Cloud） 推出通用目錄 （Universal Directory）產 品 推出移動管理 （Mobility Management）產品 身份云與SSO和通用 目錄集成提供 身份云API對外開放， 可與合作伙伴或第三 方產品集成 推出自適應多因 素身份認證 （Adaptive Multi-Factor Authen

41、tication）， 并集成于身份云 2016年 推出生命周期 管理（Lifecyle Management）， 擴展所有產品 系列的預配置 功能 2018年 收購零信任安 全公司ScaleFT， 訪問管理平臺 可實現無VPN 的遠程安全訪 問 2019年 收購工作流程 自動化公司 Azuqua以簡化 身份創建流程 3.2 海外零信任公司專注身份認證產品的Okta 資料來源：Gartner、招商證券 圖29：Okta不斷通過內生外延深耕身份管理 資料來源：Okta招股書、招商證券 圖30：IAM產品的Gartner魔力象限 圖31：Okta身份認證平臺支持的部分軟件 資料來源：Okta官網、招

42、商證券 27 Okta的商業模式以訂閱制為主。Okta給客戶提供服務主要是以Saas的方式進行并收取訂閱費，輔以少量 的開發服務，目前其訂閱收入占到總收入的95%左右。 由于美國企業上云進度快，Okta過去幾年收入增速迅猛。美國信息安全需求大頭來自于企業級客戶，這 些企業級客戶對公有云的接受程度高，過去幾年上云趨勢明顯：根據Okta發布的 2019工作報告， Okta客戶平均擁有83個云應用，其中9%的客戶擁有200多個云應用，并且這一數字還在繼續增長。Okta 通過統一身份認證產品很好地解決了多云時代部署越來越多應用的企業級應用用戶單點登錄管理的需求， 幫助其營收在過去幾年大幅增長。 3.2

43、 Okta充分受益于美國企業上云大趨勢 0.4101 0.8591 1.6033 2.5999 3.9925 5.8607 93% 89% 89% 92% 93% 94% 86% 87% 88% 89% 90% 91% 92% 93% 94% 95% 0 1 2 3 4 5 6 7 2015 2016 2017 2018 2019 2020 營業收入（億美元） 訂閱收入占比 圖32：Okta營業收入與訂閱收入/總收入情況 資料來源：Okta招股書、年報、招商證券 圖33：Okta平均每位用戶擁有的應用數 圖34：Okta平均每位用戶擁有的應用數（對用戶規模分類） 資料來源：Okta官網、招商證

44、券 28 持續不斷地集成多云應用，是Okta的核心競 爭力。在2020年7月底，被Okta集成的云應 用多達6500款。 客戶和高價值客戶數量持續增長，高續費率 顯示極強客戶黏性。在2020年7月底，Okta 的客戶數高達8950家，其中給Okta貢獻10 萬美元年合同以上的客戶數量達到1685家。 公司過去12個月的凈續費率達到119%，顯 示出良好的客戶黏性。 3.2 OKTA具有良好的財務數據表現 5000 5500 6000 6500 4000 4500 5000 5500 6000 6500 7000 2017201820192020 第三方軟件集成數目（個） 120% 123% 1

45、21% 120% 119% 117% 118% 119% 120% 121% 122% 123% 124% 20162017201820192020 凈續費率 圖35：Okta大客戶數量及其占總客戶數比重 資料來源：Okta年報、招股書、招商證券 圖36：Okta凈續費率 資料來源：Okta年報、招股書、招商證券 圖37：Okta第三方軟件集成數目 266 443 691 1038 1467 1959 2671 3659 5062 6483 12% 14% 16% 17% 18% 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% 0 1000 2000 3000 4

46、000 5000 6000 7000 8000 9000 2016 2017 2018 2019 2020 合同價值10萬美元客戶數（個） 合同價值10萬美元客戶數（個） 合同價值10萬美元客戶/總客戶 29 Zscaler零信任產品ZAP客戶持續增長，并且黏性很強。Zscaler成立于2008年。Zscaler通過云平臺提供安 全服務，其安全節點分布在全球100個數據中心。截止2019年7月底為3900個客戶提供服務，其中400家為 全球2000強，且新增訂單金額仍在快速增長。Zscaler主要產品包括Web網關解決方案Internet Access（ZIP） 和提供遠程訪問云上內部應用程序

47、功能的Private Access（ZAP），前者主要功能是保護客戶免受惡意流量 攻擊，后者是零信任，收費方式基本是訂閱制。Zscaler的續費率為118%，同樣顯示出了良好的客戶黏性。 3.2 零信任Saas企業Zscaler也顯示出良好的財務數據 2800 3250 3900 10% 15% 20% 0% 5% 10% 15% 20% 25% 0 1000 2000 3000 4000 5000 2017 2018 2019 客戶數（位） 53.7 80.3 125.7 190.2 302.8 50% 57% 51% 59% 44% 46% 48% 50% 52% 54% 56% 58%

48、60% 0 50 100 150 200 250 300 350 2015 2016 2017 2018 2019 收入（百萬美元） 116% 115% 115% 117% 118% 113% 114% 115% 116% 117% 118% 119% 2015 2016 2017 2018 2019 續費率 67.0 96.5 156.4 257.6 390.0 44% 62% 65% 51% 0% 20% 40% 60% 80% 0.0 100.0 200.0 300.0 400.0 500.0 2015 2016 2017 2018 2019 訂單數（百萬美元） 增長率 圖38：公司續費率情況 資料來源：Zscaler年報、招股書、招商證券 圖38：公司新增訂單情況 圖38：公司客戶數及福布斯世界2000強覆蓋率 圖38：