2020-2021網絡安全行業研究報告2020-2021網絡安全行業研究報告全文共35頁，當前為第1頁。企業業務復雜度增加、信息安全防護壓力增大，催生零信任架構。企業上云、數字化轉型加速、網絡基礎設施增多導致訪問資源的用戶/設備數量快速增長，網絡邊界的概念逐漸模糊；用戶的訪問請求更加復雜，造成企業對用戶過分授權；攻擊手段愈加復雜以及暴露露面和攻擊面不斷增長，導致企業安全防護壓力加大。面對這些新的變化，傳統的基于邊界構建、通過網絡位置進行信任域劃分的安全防護模式已經不能滿足企業要求。零信任架構通過對用戶和設備的身份、權限、環境進行動態評估并進行最小授權，能夠比傳統架構更好地滿足企業在遠程辦公、多云、多分支機構、跨企業協同場景中的安全需求。零信任架構涉及多個產品組件，對國內網安行業形成增量需求。零信任的實踐需要各類安全產品組合，將對相關產品形成增量需求：1）IAM/IDaaS等統一身份認證與權限管理系統/服務，實現對用戶/終端的身份管理；2）安全網關：目前基于SDP的安全網關是一種新興技術方向，但由于實現全應用協議加密流量代理仍有較大難度，也可以基于現有的NGFW、WAF、VPN產品進行技術升級改造；3）態勢感知、SOC、TIP等安全平臺類產品是零信任的大腦，幫助實時對企業資產狀態、威脅情報數據等進行監測；4）EDR、云桌面管理等終端安全產品的配合，實現將零信任架構拓拓展到終端和用戶；5）日志審計：匯聚各數據源日志，并進行審計，為策略引擎提供數據。此外，可信API代理等其他產品也在其中發揮重要支撐作用。零信任的實踐將推動安全行業實現商業模式轉型，進一步提高廠商集中度。目前國內網安產業已經經過多年年核心技術的積累，進入以產品形態、解決方案和服務模式創新的新階段。零信任不是一種產品，而是一種全新的安全技術框架，通過重塑安全架構幫助企業進一步提升防護能力。基于以太網的傳統架構下安全設備的交互相對較少，并且能夠通過標準的協議進行互聯，因而導致硬件端的采購非常分散，但零信任的實踐需要安全設備之間相互聯動、實現多云環境下的數據共享，加速推動安全行業從堆砌安全硬件向提供解決方案/服務發展，同時對客戶形成強粘性。我們認為研發能力強、產品線種類齊全的廠商在其中的優勢會越發明顯。核心要點2020-2021網絡安全行業研究報告全文共35頁，當前為第2頁。核心要點由于中美安全市場客戶結構不同以及企業上公有云速度差異，美國零信任SaaS公司的成功之路路在國內還缺乏復制基礎。美國網絡安全需求大頭來自于企業級客戶，這些企業級客戶對公有云的接受程度高，過去?幾年年上云趨勢明顯。根據Okta發布的《2019工作報告》，Okta客戶平均擁有83個云應用，其中9%的客戶擁有200多個云應用。這種多云時代下企業級用戶統一身份認證管理難度大、企業內外網邊界極為模糊的環境，是Okta零信任SaaS商業模式得以發展的核心原因。目前國內網絡安全市場需求主要集中于政府、行業（金融、運營商、能源等），這些客戶目前上云主要以私有云為主，網安產品的部署模式仍未進入SaaS化階段。但隨著未來我國公有云滲透率的提升，以及網安向企業客戶市場擴張，零信任相關的SaaS業務將會迎來成長機會。投資建議：零信任架構的部署模式有望提升國內網安市場集中度，將進一步推動研發能力強、擁有全線安全產品的頭部廠商擴大市場份額、增加用戶粘性，重點推薦啟明星辰、綠盟科技、深信服、南洋股份，關注科創新星奇安信、安恒信息。風險提示：技術發展進度不及預期；網安行業景?氣度不及預期可比公司估值對比表（深信服、安恒信息盈利預測來自Wind一致預測）2020-2021網絡安全行業研究報告全文共35頁，當前為第3頁。零信任：三大核心組件、六大要素零信任的實踐將為安全行業帶來增量需求國內外安全廠商均已積極布局零信任相關產品投資建議2020-2021網絡安全行業研究報告全文共35頁，當前為第4頁。1.1

零信任架構的興起與發展零信任架構是一種端到端的企業資源和數據安全方法，包括身份（人和非人的實體）、憑證、訪問管理、操作、端點、宿主環境和互聯基礎設施。零信任體系架構是零信任不是“不信任”的意思，它更像是“默認不信任”，即“從零開始構建信任”的思想。零信任安全體系是圍繞“身份”構建，基于權限最小化原則進行設計，根據訪問的風險等級進行動態身份認證和授權。防火墻、VPN、UTM、入侵檢測等安全網關產品提供了強大的邊界防護能力，但檢測和阻斷內部網絡攻擊的能力不足，并且也無法保護企業邊界外的主體（例如，遠程工作者、基于云的服務、邊緣設備等）。于是從2004年年開始，耶利哥論壇（JerichoForum)開始為了定義無邊界趨勢下的網絡安全問題并尋求解決方案，2010年年零信任術語正式出現，并于2014年年隨著移動互聯、云環境、微服務等新場景的出現被大幅采用獲得越來越廣泛地認可。圖1：零信任的發展歷史2004年年耶利哥論壇（JerichoForum)開始為了定義無邊界趨勢下的網絡安全問題并尋求解決方案2010年年零信任術語最早由Forrester的?首席分析師約翰·金德維（JohnKindervag）正式提出2011-2017年年Google

BeyondCorp實施落地2017年年業界廠商大力跟進，包括思科、微軟、亞?馬遜、Cyxtera……2018年年至今中央部委、國家機關、中大型企業開始探索實踐零信任安全架構2020-2021網絡安全行業研究報告全文共35頁，當前為第5頁。1.2

零信任架構的三大核心組件零信任的核心組件包括策略引擎（PolicyEngine,PE）、策略管理器（PolicyAdministrator,PA）和策略執行點（PolicyEnforcementPoint,PEP）。這些核心組件負責從收集、處理相關信息到決定是否授予權限的全過程。通過這些組件可以實現的零信任架構的核心能力有：身份認證、最小權限、資源隱藏、微隔離、持續信任評估和動態訪問控制。圖2：零信任架構資料料來源：NIST《零信任架構》白皮書、招商證券表1：零信任架構核心組件組件 功能 工作方式 備注策略引擎（Policy

Engine,PE）最終決定是否授予訪問權限輸入企業安全策略及外部信息（如IP類名單、威脅情報服務），做出授予或拒絕訪問的決定與PA配對使用，PE做出（并記錄）決策，PA執行決策（批準或拒絕）策略管理器（PolicyAdministrator,PA）建?立客戶端與資源之間的連接（是邏輯職責，而非物理連接）生成針對具體會話的身份驗證令牌或憑證，供客戶端用于訪問企業資源實現時可以將PE和PA作為單個服務策略執行點（PolicyEnforcementPoint,

PEP）負責啟用、監視并最終終止主體和企業資源之間的連接。PE與

PA

通信以轉發請求，或從

PA

接收策略更新策略管理器與策略執行點通過控制面板(ControlPlane)保持通信2020-2021網絡安全行業研究報告全文共35頁，當前為第6頁。知識因素（用戶所知道的）密碼PIN手勢……占有因素（用戶所擁有的）證書軟件硬件口令……固有因素（用戶的特征）生物因素（指紋、五官、聲?音……）行為因素（打字速度、使用?鼠標的習慣……）隱形屬性地理位置設備特征……該部分單獨不能成為驗證的因素，但是可以增強驗證的可信度單點登錄（SSO，SingleSignOn）指的是在一個多系統共存的環境下，用戶在一處登錄后同時也登錄了其他的系統。因此在進入其他協作系統之后無需重復登錄，提高了用戶的使用體驗。用戶SSO程序1程序2程序3零信任的身份認證有兩方面的含義。一方面是網絡中的用戶和設備都被賦予了數字身份，將用戶和設備構建成為訪問主體進行身份認證，另一方面是用戶和設備能進行組合以靈活滿足需要。身份認證是零信任的基石。零信任的整個身份識別、信用評估和權限授予都建?立在身份之上。身份與訪問管理(IAM)可以通過多因?子身份驗證(MFA)和單點登錄（SSO）等身份驗證模型實現。MFA指的是身份認證過程中要求用戶提供兩個或多個身份驗證因素：圖3：多因素認證因素圖4：單點登錄示意圖1.3零信任的六大實現要素——身份認證2020-2021網絡安全行業研究報告全文共35頁，當前為第7頁。在將用戶和設備的身份數字化之后，系統需要通過確認用戶的身份、用戶的訪問權限、設備的安全程度、設備的訪問權限等來判斷用戶和設備的信任等級。確認用戶的身份：方式主要為多因素身份認證，如推送登錄請求、短信、密碼、指紋等。確認設備的身份：主要通過設備的識別碼、設備的安全性等確認。圖5：用戶/設備的信任建?立方式1.3

零信任的六大實現要素——身份認證2020-2021網絡安全行業研究報告全文共35頁，當前為第8頁。用戶設備程序單獨授權用戶設備程序整體授權傳統架構零信任架構例如，允許員工通過企業發放的工作筆記本電腦提交源代碼，但是禁止員工使用手機進行類似操作，說明權限是基于“員工信息+工作用筆記本電腦”這個實體所授予的，若采用“員工信息+手機”則不符合授權的實體，因此不能提交源代碼，從而終端的風險可以得到很好控制。而傳統架構下，不論終端如何，只要員工提供了賬號和密碼均能提交，安全風險很難得到控制。最小權限指的是一個實體被授予的權限僅限于完成任務所需要的；并且如果需要更高訪問權限，則只能在需要的時候獲得。權限授予的主體是一個信息集合，集合內包括用戶、應用程序和設備3類實體信息。傳統架構一般單獨對各個實體；但是在零信任網絡中，將3類實體組成的網絡代理作為整體授權，這3類實體形成密不可分的整體，共同構成用戶訪問上下?文。網絡代理具有短時性特征，授權時按需臨時生成，因此在用戶請求權限時根據實時狀態臨時生成相應的網絡代理即可實現當下的最小權限。圖6：零信任架構授權方式與傳統架構的區別1.3

零信任的六大實現要素——最小授權2020-2021網絡安全行業研究報告全文共35頁，當前為第9頁。資產隱藏指的是核心資產的各種訪問路路徑被零信任架構隱藏在組件之中，默認情況對訪問主體不可?見，只有經過認證、具有權限、信任等級符合安全策略要求的訪問請求才予以放行，保護的是從用戶到服務器的南北北向的數據流。資產的訪問路路徑的隱藏是通過隱藏業務端口的方式實現的。端口可以認為是打開業務的?門，因此是攻擊者攻擊的目標。傳統的網絡安全架構中，用戶需要通過客戶端先建?立與服務器的連接，因此服務器的端口就被暴露露在公網中，若客戶端存在漏漏洞洞則很容易易被利用，企業為了抵抗攻擊，有兩種應對策略。第一種為將端口暴露露在公網上，對訪問進行過濾，即WAF。由于WAF是公開的，因此每個人都可以研究如何繞過防御或者對WAF進行攻擊。第?二種策略為通過VPN接入，不把業務端口暴露露在公網。雖然可以減少暴露露面，但是由于VPN本身還有暴露露一個VPN的端口，因此仍舊存在危險。零信任架構下資產的訪問需要先通過可信應用代理/可信API代理/網關認證，再被授予相應的訪問權限，這部分流程與企業資源無關，因此企業的資源被隱藏在零信任的組件之后。圖7：傳統的先連接后認證授權方式圖8：零信 任的預認證、預授權方式1.3

零信任的六大實現要素——資產隱藏2020-2021網絡安全行業研究報告全文共35頁，當前為第10頁。NIST白皮書提到的一種實現方式為SDP（軟件定義邊界，software-defined

perimeter）技術，SDP使用中在部署安全邊界的技術，可以將服務與不安全的網絡隔離開來。它可以實現對端口的隱藏，攻擊者接入發現IP地址上沒有內容，然而有權限的業務人員卻可以正常訪問。SDP實現隱藏端口的效果是通過SDP客戶端和SDP網關實現的。SDP網關的默認規則為關閉所有端口，拒絕一切連接，因此實現“隱身”的效果。而用戶要求連接的時候需要SDP客戶端使用帶有用戶身份和申請訪問的端口的數據包“敲?門”，SDP網關驗證通過后來自該用戶IP的流量才能訪問端口。因此通過將訪問業務的端口放在SDP網關之后就可以實現將業務隱藏在組件之中的效果，只有先通過認證、獲得授權才能獲取資源。即使端口對用戶開放之后，由于攻擊者的IP與用戶的IP不同，因此仍舊無法訪問。并且該端口對用戶只是暫時開放，需要SDP客戶端定期敲?門保持端口開放。圖9：攻擊者直接攻擊VPN的端口圖10：SDP下攻擊者無法找到端口攻擊1.3

零信任的六大實現要素——資產隱藏2020-2021網絡安全行業研究報告全文共35頁，當前為第11頁。微隔離技術指的是將服務器與服務器之間隔離，一個服務器訪問另一個服務器之前需要認證身份是否可信。微隔離是零信任架構的重要組成部分，SDP保護的是用戶與服務器之間的安全，微隔離技術是用于實現服務器與服務器之間的東西向數據流安全。微隔離目前主要應用于數據中心，該技術通常面向工作負載而不是面向用戶。對于在外部的攻擊者，防火墻可以發揮作用；但是對于已經進入內網的攻擊者，在沒有實現微隔離的時候，攻擊者會攻擊到所有服務器；而實現微隔離之后攻擊范圍大大減少。微隔離有點像疫情時期的口罩。面對大量的人口流動，每棟大樓?門前的體溫檢測機有時候作用有限，很容易易有無癥狀的感染者進入大廈。如果每個人都帶上口罩，互相隔離就能很好地防止病毒的傳播。圖11：傳統隔離模式 圖12：微隔離模式1.3

零信任的六大實現要素——微隔離2020-2021網絡安全行業研究報告全文共35頁，當前為第12頁。基于agent客戶端的實現基于云原生的實現基于第三方防火墻的實現優點與底層無關，支持多云隔離功能與基礎架構都是云提供的，所以兩者兼容性更好，操作界面也類似網絡人員更熟悉缺點必須在每個服務器上安裝agent客戶端，可能有資源占用問題無法跨越多個云環境進行統一管控防火墻本身跑在服務器上，缺少對底層的控制目前主要有三種方式可以實現微隔離，分別為基于agent客戶端的實現、基于云原生的實現和基于第三方防火墻的實現基于agent客戶端的實現：這種實現方法指的是在每個服務器上安裝agent客戶端，在需要的時候agent調用主機的防火墻實現服務器之間訪問的控制；基于云原生的實現：這種實現方法指的是使用云平臺基礎設備自身的防火墻實現訪問控制；基于第三方防火墻的實現：這種實現方法指的是給重要的或有需要的服務器配備單獨防火墻。圖13：從左到右分別為基于agent客戶端的實現、基于云原生的實現和基于第三方防火墻的實現示意圖這三種方法具有各自的優點和缺點，因此企業需要根據自己的業務和需求進行配置。表2：三種方法的優缺點1.3

零信任的六大實現要素——微隔離2020-2021網絡安全行業研究報告全文共35頁，當前為第13頁。持續信任評估是構建零信任架構的關鍵，是通過策略引擎（PolicyEngine，PE）來實現的。持續信任評估指的是在用戶訪問的過程中的設備安全和安全變化、訪問行為都被記錄下來用于評估實時的安全等級，并用來評估當下的可信任程度。它基于數字身份形成初步評估，并形成主體信任，然后在此基礎上再根據主體和設備的認證強度、設備風險和周圍環境等進行動態信任程度的調整。傳統的信任評估是靜態的，一旦獲得權限就不再變動，而持續信任評估則會根據主體狀態進行調整。PE負責最終決定是否授予指定訪問主體對資源（訪問客體）的訪問權限。在確定好企業安全策略，并將IP?黑名單、威脅情報服務等信息輸入PE后，PE決定授予或拒絕對該資源的訪問，策略引擎的核心作用是信任評估。總之，獲得權限只是開始，零信任架構還會在訪問進程中持續判定主體當下的情況是否適合訪問，動態地決定下一步的動作，比如阻斷回話、允許會話、進一步判定、有限制的允許等。訪問行為周圍環境終端環境持續信任評估策略引擎允許訪問阻斷訪問進一步判定圖14：持續信任評估引擎工作原理示意圖圖15：信任引擎計算信任評分并授權1.3

零信任的六大實現要素——持續信任評估2020-2021網絡安全行業研究報告全文共35頁，當前為第14頁。動態訪問控制體現了零信任架構的安全閉環能力，它根據信任評估持續調整用戶的權限。它使用了RBAC（以?角?色為基礎的存取控制）和ABAC（基于屬性的訪問控制）的組合授權實現靈活的訪問控制。舉個例?子，假如疫情期間有人想要進辦公樓，辦公樓相當于企業的數據，網絡攻擊相當于病毒：員工A 路路人B路路人員工?角?色判別高級權限：進辦公樓（健康狀況未知）中級權限：在街上溜溜達中級權限：在街上溜溜達ABAC基于用戶+設備+其他要素管理，

細粒度，但操作復雜且占用資源較大員工A 健康碼 通行證 路路人B高級權限：進辦公樓（健康）圖16：RBAC與ABAC的工作原理示意圖RBAC基于用戶?角?色管理，粗粒度，但是操作簡便便1.3

零信任的六大實現要素——動態訪問控制2020-2021網絡安全行業研究報告全文共35頁，當前為第15頁。1.4

Google

BeyondCorp體系是零信任最成功的實踐之一在零信任發展過程中，谷歌的BeyondCorp模式是最成功的的實踐之一。BeyondCorp是一種無企業網絡特權的新模式，用戶和設備的訪問都基于權限，與網絡位置無關，無論是在公司、家庭網絡、酒店或是咖啡店。所有對企業資源的訪問都是基于設備狀態和用戶權限進行全面認證、授權和加密的。因此員工無需使用傳統的VPN即可實現在任何地點的安全訪問。圖17：BeyondCor組件和工作流2020-2021網絡安全行業研究報告全文共35頁，當前為第16頁。機場wifi訪問企業內網訪問代理訪問代理（持有設備證書和單點登錄令牌）訪問控制引擎授權檢查指向設備證書小明提供雙因素認證重定向通過重定向到SSO持續認證獲取服務谷歌大樓內訪問企業內網電腦提供設備證書電腦提供1.4GoogleBeyondCorp體系是零信任最成功的實踐之一在BeyondCorp系統改造過程中有?幾個關鍵點：安全識別設備：只有受控設備（managed

devices）才能訪問企業應用，并且所有受控設備都有唯一標識安全識別用戶：用戶/群組數據庫與谷歌的員工信息形成密切的數據集成消除基于網絡位置的信任：即使是在谷歌辦公大樓內部的客戶端設備也被分配到無特權網絡中，介入這個網絡只有經過代理網關的認證授權后才能繼續訪問企業應用訪問控制：通過查詢多個數據來源持續推斷每個用戶/設備的權限，權限可能隨時改變，并且本次訪問權限的級別將為后續級別提供參考信息那么接下來我們看看員工是如何使用BeyondCorp的：假設員工在谷歌大樓內接入內網，則電腦需與RADIUS服務器進行802.1x握手，無需通過訪問代理訪問。假如該員工在出差過程中需要在機場登錄內網就會經歷以下的過程：圖18：員工接入內網流程示意圖2020-2021網絡安全行業研究報告全文共35頁，當前為第17頁。零信任：三大核心組件、六大要素零信任的實踐將為安全行業帶來增量需求國內外安全廠商均已積極布局零信任相關產品投資建議2020-2021網絡安全行業研究報告全文共35頁，當前為第18頁。2.1

零信任安全解決方案主要包括四個模塊目前零信任安全解決方案主要包括統一信任管理平臺、安全訪問網關、安全管理平臺和可信終端套件四個產品組成。圖19：零安全解決方案主要產品及其架構2020-2021網絡安全行業研究報告全文共35頁，當前為第19頁。設備代理/網關：傳統的接入方式為通過VPN接入，而零信任架構下更多地是基于SDP技術的設備代理+網關接入。這種部署方式與VPN相比有一定優勢，但是由于目前技術很難達到零信任方案要求的全流量加密且攜帶必要標識信息，且高性能VPN也可以根據應用安裝從而實現應用層的控制并且目前VPN的普及程度更廣，所以基于SDP的設備代理/網關取代VPN還需要一段時間。安全管理平臺：安全管理平臺相當于零信任架構中的大腦，決定信用評估的策略引擎就在安全管理平臺之下。它通過收集情報數據、其他風險數據、使用日志等信息，經過分析評估之后做出決策并將決策下發信任管理平臺。終端安全：終端安全類產品提供設備的安全狀態信息，分為終端安全服務平臺和可信終端Agent兩部分。可信終端Agent負責收集終端環境信息、保護終端安全與提供終端訪問代理的功能，終端安全服務平臺則通過處理終端信息與統一信任管理平臺進行數據傳輸。2.1

零信任安全解決方案主要包括四個模塊統一信任管理平臺：統一信任管理平臺至少具備身份認證模塊、權限管理模塊和安全審計模塊，集合了用戶、認證、授權、應用、審計的統一管理功能，是用戶身份和訪問管理的平臺。其中，統一身份認證（Identityand

AccessManagement，簡稱IAM）是平臺內最重要的功能組件，包含了SSO和MFA）。IAM在工作過程中與零信任各組件之間協調聯動，根據安全管理平臺的分析的決策對用戶可信度進行認證，并將信息傳遞給安全認證網關，整個過程處于動態之中，實現持續的可信驗證。因此IAM是零信任身份認證的關鍵。圖20：IAM功能2020-2021網絡安全行業研究報告全文共35頁，當前為第20頁。由于企業的架構與業務開展方式不同，部署零信任的方式也有差異。擁有多分支機構的企業：在擁有總部和位于各地的分支機構或遠程工作的員工的企業部署方式為，策略

引擎(PE)/策略管理器(PA)通常作為云服務托管，終端資產安裝代理或訪問資源?門戶。多云/云到云的企業：企業有一個本地網絡，但使用多個云服務提供商承載應用、服務和數據。此時需要企業架構師了解各個云提供商的基礎上，在每個資源訪問點前放置策略執行點，PE和PA可以位于云或第三方云提供商上的服務，客戶端直接訪問策略執行點。存在外包服務或非員工訪問的企業：企業有時需要外包在現場為企業提供服務，或非員工會在會議中心與員工交互。這種情況下，PE和PA可以作為云服務或在局域網上托管，企業可以安全代理或通過?門戶訪問資源，沒有安全代理的系統不能訪問資源但可訪問互聯網。跨企業協作：企業A、B員工協作，其中企業B的員工需要訪問企業A的數據庫，這種情況與擁有多分支機構企業相似，作為云服務托管的PE和PA允許各方訪問數據庫，且企業B的員工需安裝代理或通過Web代理網關訪問。面向公眾或客戶提供服務的企業：零信任只對企業的客戶或注冊用戶適用，但由于請求的資產很可能不是企業所有所以零信任的實施受限。圖22：擁有多分支機構的企業圖23：多云/云到云的企業圖24：存在外包服務或非員工訪問的企業圖21：跨企業協作2.2

零信任的主要部署場景2020-2021網絡安全行業研究報告全文共35頁，當前為第21頁。2.3

零信任將會對部分安全產品帶來增量效應零信任作為一種網絡安全解決方案的思路路，它的部署需要一系列列的產品配合，有些產品是零信任特有的，有些功能則只需要建?立在原來設備的基礎上整合入零信任平臺即可。具體來看，零信任的實踐需要各類安全產品組合，將對相關產品形成增量需求：1）IAM/IDaaS等統一身份認證與權限管理產品/服務；2）安全接入網關：基于SDP實現的安全接入網關與VPN相比有一定優勢，但是由于目前技術很難達到零信任方案要求的全流量加密且攜帶必要標識信息，因為高性能VPN也可以根據應用安裝從而實現應用層的控制并且目前VPN的普及程度更廣；3）態勢感知、TIP等安全平臺類產品是零信任的大腦，幫助實時對資產狀態、威脅情報數據等進行監測；4）EDR、云桌面管理等終端安全產品的配合，實現將零信任架構拓拓展到終端和用戶；（5）日志審計：匯聚企業終端、網絡設備、主機、應用、安全系統等產生的日志，并進行審計，為策略引擎提供數據輸入

。此外，NGFW、WAF、可信API代理等產品也在其中發揮重要支撐作用。圖25：零信任解決方案架構2020-2021網絡安全行業研究報告全文共35頁，當前為第22頁。2.4

零信任將會成為安全行業未來的重要發展方向圖26：未來是否會采用零信任架構？零信任抓住了目前網絡安全用戶的痛點，零信任是未來網絡安全技術的重要發展方向。根據Cybersecurity的調查，目前網絡安全的最大的挑戰是私有應用程序的訪問端口?十分分散，以及內部用戶的權限過多。62%的企業認為保護遍布在各個數據中心和云上的端口是目前最大的挑戰，并且61%的企業最擔心的是內部用戶被給予的權限過多的問題。這兩點正是零信任專注解決的問題，現在有78%的網絡安全團隊在嘗試采用零信任架構。圖27：目前端口防護面臨的最大的挑戰？圖28：目前企業安全最擔憂的事情？2020-2021網絡安全行業研究報告全文共35頁，當前為第23頁。零信任：三大核心組件、六大要素零信任的實踐將為安全行業帶來增量需求國內外安全廠商均已積極布局零信任相關產品投資建議2020-2021網絡安全行業研究報告全文共35頁，當前為第24頁。海?外零信任市場蓬勃發展，眾多安全廠商已通過自研或收購推出完整解決方案。Google

BeyondCorp、微軟的Azure

ZeroTrust

Framework都經過了公司內部的實踐后推出的產品。Okta為代表的身份安全廠商推出的零信任解決方案以“身份認證”為重點。思科、賽?門鐵克等公司推出的方案則以網絡實施方式為主。另外外延并購也常?見于零信任產品發展的過程中，如OKTA在2018年年并購ScaleFT。3.1

海外眾多安全廠商通過自研或收購切入零信任市場供應商產品或服務名稱AkamaiEnterpriseApplication

AccessCato

NetworksCatoCloud思科DuoBeyond（收購）CloudDeeTechnologyDeepCloud

SDPCloudflareCloudflare

AccessInstaSafeSecure

AccessMeta

NetworksNetworkasaService

PlatformNew

EdgeSecureApplication

NetworkOktaOkta身份云SAIFEContinuum賽?門鐵克Luminate安全訪問云（收購）VerizonVidder

Precision

Access（收購）ZscalerPrivate

AccessGoogleBeyondCorp供應商產品或服務名稱BlackRidgeTechnologyTransportAccess

ControlCertes

NetworksZeroTrust

WANCyxteraAppGate

SDPGoogleCloudPlatform

(GCP)云身份感知代理（云IAP）Microsoft

（僅Windows

系統）AzureADApplication

ProxyPulse

SecurePulse

SDPSafe-TSoftware-DefinedAccess

SuiteUnisysStealthWaverley

LabsOpenSourceSoftwareDefinedPerimeterZentera

SystemsCloud-Over-I(COiP)

Access表3：海?外零信任服務的代表提供商表4：海?外零信任產品的代表提供商2020-2021網絡安全行業研究報告全文共35頁，當前為第25頁。2009年年

2010年年公司成?立推出SSO產品推出IAM產品Okta身份云（IdentityCloud））2013年年推出通用目錄（UniversalDirectory）產品2014年年推出移動管理（MobilityManagement）產品身份云與SSO和通用目錄集成提供身份云API對外開放，可與合作伙伴或第三方產品集成2015年年推出自適應多因素身份認證（AdaptiveMulti-FactorAuthentication），并集成于身份云2016年年推出生命周期管理（LifecyleManagement），擴展所有產品系列列的預配置功能2018年年收購零信任安全公司ScaleFT，訪問管理平臺可實現無VPN的遠程安全訪問2019年年收購工作流程自動化公司Azuqua以簡化身份創建流程3.2

海外零信任公司——專注身份認證產品的OktaOkta以身份管理起家，通過內生外延成為零信任領域的領導廠商。Okta的兩位創始人曾擔任Salesforce早期高管，后因意識到多云多終端時代統一身份管理的重要性而創辦Okta。Okta于2009年年創?立，在身份認證領域持續深耕成為領先廠商。Okta在2018年年收購零信任安全公司ScaleFT，ScaleFT的技術和VPN這種邊界防護技術不一樣，是通過用戶狀態、用戶權限去進行安全管理。Okta核心競爭力在于與多款云應用產品集成。與企業客戶常用的6500多款云應用進行了集成，這是Okta最強力的競爭優勢，通過Okta可以登錄包括AWS、Office365等多個應用。此外公司產品標準化程度高，通過?鼠標點擊即可安裝，操作簡單；企業管理員可以為全公司配置通用內部系統，配置時間短；可滿足企業用戶對?頁面的個性化需求等。圖29：Okta不斷通過內生外延深耕身份管理資料料來源：Okta招股書、招商證券圖30：IAM產品的Gartner魔力象限圖31：Okta身份認證平臺支持的部分軟件2020-2021網絡安全行業研究報告全文共35頁，當前為第26頁。Okta的商業模式以訂閱制為主。Okta給客戶提供服務主要是以Saas的方式進行并收取訂閱費，輔以少量的開發服務，目前其訂閱收入占到總收入的95%左右。由于美國企業上云進度快，Okta過去?幾年年收入增速迅猛。美國信息安全需求大頭來自于企業級客戶，這些企業級客戶對公有云的接受程度高，過去?幾年年上云趨勢明顯：根據Okta發布的《

2019工作報告》，Okta客戶平均擁有83個云應用，其中9%的客戶擁有200多個云應用，并且這一數字還在繼續增長。Okta通過統一身份認證產品很好地解決了多云時代部署越來越多應用的企業級應用用戶單點登錄管理的需求，幫助其營收在過去?幾年年大幅增長。3.2

Okta充分受益于美國企業上云大趨勢0.41010.85911.60335.860793%89%89%2.599993%92%3.992586%87%88%89%90%91%92%93%94%94%95%012345672015 2016 2017 2018 2019 2020營業收入（億美元） 訂閱收入占比圖32：Okta營業收入與訂閱收入/總收入情況圖33：Okta平均每位用戶擁有的應用數圖34：Okta平均每位用戶擁有的應用數（對用戶規模分類）2020-2021網絡安全行業研究報告全文共35頁，當前為第27頁。持續不斷地集成多云應用，是Okta的核心競爭力。在2020年年7?月底，被Okta集成的云應用多達6500款。客戶和高價值客戶數量持續增長，高續費率顯示極強客戶黏性。在2020年年7?月底，Okta的客戶數高達8950家，其中給Okta貢獻10萬美元年年合同以上的客戶數量達到1685家。公司過去12個?月的凈續費率達到119%，顯示出良好的客戶黏性。3.2

OKTA具有良好的財務數據表現500055006000650040004500500055006000650070002017201820192020120%123%121%120%119%123%122%121%120%119%118%117%124%20162017201820192020凈續費率圖35：Okta大客戶數量及其占總客戶數比重圖36：Okta凈續費率圖37：Okta第三方軟件集成數目第三方軟件集成數目（個）443691103814671959266267136595062648312%14%16%17%16%14%12%10%8%6%4%2%0%18%

18%20%900080007000600050004000300020001000020162017201820192020合同價值≤10萬美元客戶數（個）合同價值＞10萬美元客戶數（個）合同價值＞10萬美元客戶/總客戶2020-2021網絡安全行業研究報告全文共35頁，當前為第28頁。3.2

零信任Saas企業Zscaler也顯示出良好的財務數據28003250390010%15%20%0%5%10%15%20%010002000300040005000201720182019客戶數（位）53.7125.7190.2805.30%57%51%302.859%60%58%56%54%52%50%48%46%44%25% 35030025020015010050020152016201720182019收入（百萬美元）116%115%115%117%118%113%114%115%116%117%118%119%2019續費率67.096.5156.4390.044%62%65%257.651%0%20%40%60%80%0.0100.0200.0300.0400.0500.0201720182019訂單數（百萬美元） 增長率Zscaler零信任產品ZAP客戶持續增長，并且黏性很強。Zscaler成?立于2008年年。Zscaler通過云平臺提供安全服務，其安全節點分布在全球100個數據中心。截止2019年年7?月底為3900個客戶提供服務，其中400家為全球2000強，且新增訂單金額仍在快速增長。Zscaler主要產品包括Web網關解決方案Internet

Access（ZIP）和提供遠程訪問云上內部應用程序功能的Private

Access（ZAP），前者主要功能是保護客戶免受惡意流量攻擊，后者是零信任，收費方式基本是訂閱制。Zscaler的續費率為118%，同樣顯示出了良好的客戶黏性。圖38：公司續費率情況 圖38：公司新增訂單情況2015 2016 2017 2018圖38：公司客戶數及福布斯世界2000強覆蓋率2015 2016圖38：公司收入情況2020-2021網絡安全行業研究報告全文共35頁，當前為第29頁。由于中美安全市場客戶結構不同以及企業上公有云速度差異，美國零信任SaaS公司的成功之路路在國內還缺乏復制基礎。美國網絡安全需求大頭來自于企業級客戶，這些企業級客戶對公有云的接受程度高，過去?幾年年上云趨勢明顯。根據Okta發布的《2019工作報告》，Okta客戶平均擁有83個云應用，其中9%的客戶擁有200多個云應用。這種多云時代下企業級用戶統一身份認證管理難度大、企業內外網邊界極為模糊的環境，是Okta零信任SaaS商業模式得以發展的核心原因。目前國內網絡安全市場需求主要集中于政府、行業（金融、運營商、能源等），這些客戶目前上云主要以私有云為主，網安產品的部署模式仍未進入SaaS化階段。但隨著未來我國公有云滲透率的提升，以及網安向企業客戶市場擴張，零信任相關的SaaS業務將會迎來成長機會。3.3

零信任對國內安全廠商格局的影響與美國存在一定差異啟明星6%奇安信6%深信服

5%天融信5%綠盟科技3%其他75%目前零信任技術發展給國內廠商帶來的機會，在于提升市場份額的集中度，利好產品線齊全的?龍頭廠商如奇安信、啟明星辰、綠盟科技、深信服等。在零信任技術之前，信息安全通常是被動防御，以獨?立、堆砌的方式去部署各種各樣的盒?子（防火墻、IPS、IDS等）。在這樣的情況下，各個廠商之間的設備相互獨?立，不需要很強的聯動能力，因此我們看到安全市場是一個較為分散的市場。但是隨著客戶面臨的安全環境越發復雜，以及以零信任、云原生為代表的新技術出現，使得信息安全向主動防御轉變。這個時候需要信息安全設備之間相互聯動、數據共享，研發能力強、產品種類齊全的廠商優勢會越發明顯，不斷蠶??食研發能力弱、產品單一的廠商的份額。我們可以從各個公司官網看到，包括奇安信、啟明星辰、綠盟科技、深信服等多家廠商都推出了零信任的整體解決方案。圖38：國內網安行業競爭格局仍然相對分散2020-2021網絡安全行業研究報告全文共35頁，當前為第30頁。3.3

國內網安公司已紛紛開始布局零信任相關產品目前我國眾多網安廠商均提供了零信任安全平臺或者在產品中采用了零信任思路路：表5：國內網安公司的零信任產品布局、企業名稱主要產品/方案產品特點啟明星辰零信任安全管控平臺將人、設備、服務和應用的身份均抽象成主體身份，以身份為中心，通過對主體身份屬性的持續身份認證動態授權，保障資源和數據的訪問和使用安全綠盟科技零信任安全解決方案組合終端安全，身份識別與管理，網絡安全，應用和數據安全，安全分析協作與響應等模塊，構建自適應訪問控制的零信任安全架構奇安信奇安信零信任安全解 基于數字身份，對所有訪問請求進行加密、認證和強制授權，進行持續信任評估，并動態調整權限，建?立決方案 一種動態的信任關系深信服深信服aTrust安全解決方案在零信任的基礎上做了增強，通過信任和風險的反饋控制，實現“精確而足夠”的信任。同時，終端、邊界、外網的已有安全設備可以基于信任和風險的閉環進行聯動零信任VPN圍繞“以身份為中心，構建可信訪問、智能權限、極簡運維的零信任安全架構”的核心價值理念，實現全面能力升級，助力用戶實現規模化、全員遠程辦公天融信軟件定義安全SDSec解決方案該系統基于縱深防御模型，東西向微分段、零信任機制幫助云平臺解決虛機間東西向流量深度防護問題，為用戶云上業務保駕護航天融信虛擬化分布式 零信任，微分段保護東西向流量；分布式部署，無安全處理

“瓶頸”，線速轉發，?水平擴展；安全策略部署防火墻 貼近應用，保障安全；虛機隨意遷移，策略全程有效安恒信息明御主機安全及管理系統集成了豐富的系統防護與加固、網絡防護與加固等功能的主機安全產品；通過內核級東西向流量隔離技術，實現網絡隔離與防護；觸發登錄防護后，自動聯動添加微隔離規則迪普科技網絡安全風險管控平 幫助用戶實現資產測繪、漏漏洞洞感知及運營管理的產品，基于零信任安全理念，借助實時采集技術監控資產臺 上下線狀態，確保只有可信資產接入網絡?山石網科?山石云·格通過虛機微分域（微隔離）及可視化技術，為用戶提供云安全服務，包括流量及應用可視化，虛機之間威脅檢測與隔離，網絡攻擊審計與溯源安博通基于“零信任+”的流量

平臺融合應用微隔離、攻擊面收斂、權限最小化等方法，實現更精準的應用控制；數據來源更豐富，包括