零信任重构网络安全体系

1、企业业务复杂度增加、信息安全防护压力增大，催生零信任架构。企业上云、数字化转型加速、网络基 础设施增多导致访问资源的用户/设备数量快速增长，网络边界的概念逐渐模糊；用户的访问请求更加复 杂，造成企业对用户过分授权；攻击手段愈加复杂以及暴露面和攻击面不断增长，导致企业安全防护压力加大。面对这些新的变化，传统的基于边界构建、通过网络位置进行信任域划分的安全防护模式已经 不能满足企业要求。零信任架构通过对用户和设备的身份、权限、环境进行动态评估并进行最小授权， 能够比传统架构更好地满足企业在远程办公、多云、多分支机构、跨企业协同场景中的安全需求。零信任架构涉及多个产品组件，对国内网安行业形成增量需求

2、。零信任的实践需要各类安全产品组合， 将对相关产品形成增量需求：1）IAM/IDaaS等统一身份认证与权限管理系统/服务，实现对用户/终端的 身份管理；2）安全网关：目前基于SDP的安全网关是一种新兴技术方向，但由于实现全应用协议加密流 量代理仍有较大难度，也可以基于现有的NGFW、WAF、VPN产品进行技术升级改造；3）态势感知、 SOC、TIP等安全平台类产品是零信任的大脑，帮助实时对企业资产状态、威胁情报数据等进行监测；4） EDR、云桌面管理等终端安全产品的配合，实现将零信任架构拓展到终端和用户；5）日志审计：汇聚各 数据源日志，并进行审计，为策略引擎提供数据。此外，可信API代理等其

3、他产品也在其中发挥重要支撑 作用。零信任的实践将推动安全行业实现商业模式转型，进一步提高厂商集中度。目前国内网安产业已经经过 多年核心技术的积累，进入以产品形态、解决方案和服务模式创新的新阶段。零信任不是一种产品，而 是一种全新的安全技术框架，通过重塑安全架构帮助企业进一步提升防护能力。基于以太网的传统架构 下安全设备的交互相对较少，并且能够通过标准的协议进行互联，因而导致硬件端的采购非常分散，但 零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享，加速推动安全行业从堆砌安全 硬件向提供解决方案/服务发展，同时对客户形成强粘性。我们认为研发能力强、产品线种类齐全的厂商 在其中的优势

4、会越发明显。2核心要点3核心要点由于中美安全市场客户结构不同以及企业上公有云速度差异，美国零信任SaaS公司的成功之路在国内还 缺乏复制基础。美国网络安全需求大头来自于企业级客户，这些企业级客户对公有云的接受程度高，过 去几年上云趋势明显。根据Okta发布的2019工作报告，Okta客户平均拥有83个云应用，其中9%的 客户拥有200多个云应用。这种多云时代下企业级用户统一身份认证管理难度大、企业内外网边界极为 模糊的环境，是Okta零信任SaaS商业模式得以发展的核心原因。目前国内网络安全市场需求主要集中于 政府、行业（金融、运营商、能源等），这些客户目前上云主要以私有云为主，网安产品的部署

5、模式仍 未进入SaaS化阶段。但随着未来我国公有云渗透率的提升，以及网安向企业客户市场扩张，零信任相关 的SaaS业务将会迎来成长机会。投资建议：零信任架构的部署模式有望提升国内网安市场集中度，将进一步推动研发能力强、拥有全线 安全产品的头部厂商扩大市场份额、增加用户粘性，重点推荐启明星辰、绿盟科技、深信服、南洋股份， 关注科创新星奇安信、安恒信息。风险提示：技术发展进度不及预期；网安行业景气度不及预期可比公司估值对比表资料来源：Wind、招商证券（深信服、安恒信息盈利预测来自Wind一致预测）4零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任

6、相关产品投资建议1.1 零信任架构的兴起与发展零信任架构是一种端到端的企业资源和数据安全方法，包括身份（人和非人的实体）、凭证、访问管理、操 作、端点、宿主环境和互联基础设施。零信任体系架构是零信任不是“不信任”的意思，它更像是“默认不信任”，即“从零开始构建信任”的思想。 零信任安全体系是围绕“身份”构建，基于权限最小化原则进行设计，根据访问的风险等级进行动态身份 认证和授权。防火墙、VPN、UTM、入侵检测等安全网关产品提供了强大的边界防护能力，但检测和阻断内部网络攻 击的能力不足，并且也无法保护企业边界外的主体（例如，远程工作者、基于云的服务、边缘设备等）。于是从2004年开始，耶利哥论

7、坛（Jericho Forum)开始为了定义无边界趋势下的网络安全问题并寻求解 决方案，2010年零信任术语正式出现，并于2014年随着移动互联、云环境、微服务等新场景的出现被大 幅采用获得越来越广泛地认可。图1：零信任的发展历史资料来源：招商证券整理2004年 耶利哥论坛（Jericho Forum)开始为了定义无边界趋势下的网络安全问题并寻求解决方案2010年零信任术语最早由Forrester的首席分析 师约翰金德维（John Kindervag）正式提出2011-2017年Google BeyondCorp实施落地2017年业界厂商大力跟进，包括思科、微软、 亚马逊、Cyxtera201

8、8年至今中央部委、国家机关、中大型企 业开始探索实践零信任安全架构561.2 零信任架构的三大核心组件零信任的核心组件包括策略 引擎（Policy Engine, PE）、 策 略 管 理 器 （Policy Administrator, PA）和策略 执行点（PolicyEnforcement Point, PEP）。这些核心组件负责从收集、 处理相关信息到决定是否授 予权限的全过程。通过这些组件可以实现的零信任架构的核心能力有：身 份认证、最小权限、资源隐 藏、微隔离、持续信任评估 和动态访问控制。图2：零信任架构资料来源：NIST零信任架构白皮书、招商证券资料来源：NIST零信任架构白皮

9、书、招商证券表1：零信任架构核心组件组件功能工作方式备注策略引擎（Policy Engine, PE）最终决定是否授予访问 权限输入企业安全策略及外部 信息（如IP类名单、威胁 情报服务），做出授予或 拒绝访问的决定与PA配对使用，PE做出（并记录）决策，PA执行决策（批准或拒绝）策略管理器（Policy Administrator, PA）建立客户端与资源之间 的连接（是逻辑职责，而非物理连接）生成针对具体会话的身份 验证令牌或凭证，供客户 端用于访问企业资源实现时可以将PE和PA作 为单个服务策略执行点（Policy Enforcement Point, PEP）负责启用、监视并最终 终止

10、主体和企业资源之 间的连接。PEP 与 PA 通信以转发请 求，或从 PA 接收策略更 新策略管理器与策略执行点 通过控制面板(Control Plane)保持通信7知识因素（用户所知道的）密码PIN手势占有因素（用户所拥有的）证书 软件硬件口令固有因素（用户的特征）生物因素（指纹、五 官、声音）行为因素（打字速度、使用鼠标的习惯）隐形属性地理位置 设备特征该部分单独不能成为 验证的因素，但是可 以增强验证的可信度单点登录（SSO，Single Sign On）指的是在一个多系统共存的环境下，用户在一处登录后 同时也登录了其他的系统。因此在进入其他协 作系统之后无需重复登录，提高了用户的使用

11、体验。用户SSO程序1程序2程序3零信任的身份认证有两方面的含义。一方面是网络中的用户和设备都被赋予了数字身份，将用户和设备 构建成为访问主体进行身份认证，另一方面是用户和设备能进行组合以灵活满足需要。身份认证是零信任的基石。零信任的整个身份识别、信用评估和权限授予都建立在身份之上。身份与访问管理(IAM)可以通过多因子身份验证(MFA)和单点登录（SSO）等身份验证模型实现。MFA指的是身份认证过程中要求用户提供两个或多个身份验证因素：图3：多因素认证因素资料来源：招商证券图4：单点登录示意图资料来源：招商证券1.3 零信任的六大实现要素身份认证8在将用户和设备的身份数字化之后，系统需要通过

12、确认用户的身份、用户的访问权限、设备的安全程度、 设备的访问权限等来判断用户和设备的信任等级。确认用户的身份：方式主要为多因素身份认证，如推送登录请求、短信、密码、指纹等。确认设备的身份：主要通过设备的识别码、设备的安全性等确认。图5：用户/设备的信任建立方式资料来源：思科、招商证券1.3 零信任的六大实现要素身份认证用户设备程序单独授权用户设备程序整体授权零信任架构例如，允许员工通过企业 发放的工作笔记本电脑提交源代码，但是禁止员工使用手机进行类似操作，说 明权限是基于“员工信息+工作用笔记本电脑”这个实体所授予的，若采用“员工信息+手机”则不符合授权的 实体，因此不能提交源代码，从而终端的

13、风险可以得到很好控制。而传统架构下，不论终端如何，只要 员工提供了账号和密码均能提交，安全风险很难得到控制。9最小权限指的是一个实体被授予的权限仅限于完成任务所需要的；并且如果需要更高访问权限，则只能在 需要的时候获得。权限授予的主体是一个信息集合，集合内包括用户、应用程序和设备3类实体信息。传统架构一般单独对 各个实体；但是在零信任网络中，将3类实体组成的网络代理作为整体授权，这3类实体形成密不可分的 整体，共同构成用户访问上下文。网络代理具有短时性特征，授权时按需临时生成，因此在用户请求权限时根据实时状态临时生成相应的网 络代理即可实现当下的最小权限。图6：零信任架构授权方式与传统架构的区

14、别传统架构资料来源：招商证券1.3 零信任的六大实现要素最小授权10资产隐藏指的是核心资产的各种访问路径被零信任架构隐藏在组件之中，默认情况对访问主体不可见，只 有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行，保护的是从用户到服务器的 南北向的数据流。资产的访问路径的隐藏是通过隐藏业务端口的方式实现的。端口可以认为是打开业务的门，因此是攻击者 攻击的目标。传统的网络安全架构中，用户需要通过客户端先建立与服务器的连接，因此服务器的端口就 被暴露在公网中，若客户端存在漏洞则很容易被利用，企业为了抵抗攻击，有两种应对策略。第一种为将端口暴露在公网上，对访问进行过滤，即WAF。由于

15、WAF是公开的，因此每个人都可以研究如何绕过防御或者对WAF进行攻击。第二种策略为通过VPN接入，不把业务端口暴露在公网。虽然可以减少暴露面，但是由于VPN本身 还有暴露一个VPN的端口，因此仍旧存在危险。零信任架构下资产的访问需要先通过可信应用代理/可信API代理/网关认证，再被授予相应的访问权限， 这部分流程与企业资源无关，因此企业的资源被隐藏在零信任的组件之后。图7：传统的先连接后认证授权方式资料来源：IMKP、招商证券图8：零信任的预认证、预授权方式资料来源：IMKP、招商证券1.3 零信任的六大实现要素资产隐藏11NIST白皮书提到的一种实现方式为SDP（软件定义边界，softwar

16、e-defined perimeter）技术，SDP使用中在部署安全边界的技术，可以将服务与不安全的网络隔离开来。它可以实现对端口的隐藏，攻击者接入发现IP地址上没有内容，然而有权限的业务人员却可以正常访问。SDP实现隐藏端口的效果是通过SDP客户端和SDP网关实现的。SDP网关的默认规则为关闭所有端口， 拒绝一切连接，因此实现“隐身”的效果。而用户要求连接的时候需要SDP客户端使用带有用户身份和申请 访问的端口的数据包“敲门”，SDP网关验证通过后来自该用户IP的流量才能访问端口。因此通过将访问业 务的端口放在SDP网关之后就可以实现将业务隐藏在组件之中的效果，只有先通过认证、获得授权才能

17、获取资源。即使端口对用户开放之后，由于攻击者的IP与用户的IP不同，因此仍旧无法访问。并且该端口对用户只是 暂时开放，需要SDP客户端定期敲门保持端口开放。图9：攻击者直接攻击VPN的端口资料来源：Transient Access Use Cases、招商证券图10：SDP下攻击者无法找到端口攻击资料来源：Transient Access Use Cases、招商证券1.3 零信任的六大实现要素资产隐藏12资料来源：安全内参、招商证券微隔离技术指的是将服务器与服务器之间隔离，一个服务器访问另一个服务器之前需要认证身份是否可 信。微隔离是零信任架构的重要组成部分，SDP保护的是用户与服务器之间的

18、安全，微隔离技术是用于 实现服务器与服务器之间的东西向数据流安全。微隔离目前主要应用于数据中心，该技术通常面向工作负 载而不是面向用户。对于在外部的攻击者，防火墙可以发挥作用；但是对于已经进入内网的攻击者，在没有实现微隔离的时 候，攻击者会攻击到所有服务器；而实现微隔离之后攻击范围大大减少。微隔离有点像疫情时期的口罩。面对大量的人口流动，每栋大楼门前的体温检测机有时候作用有限，很容易有无症状的感染者进入大厦。如果每个人都带上口罩，互相隔离就能很好地防止病毒的传播。图11：传统隔离模式图12：微隔离模式资料来源：安全内参、招商证券1.3 零信任的六大实现要素微隔离13基于agent客户端的实现基

19、于云原生的实现基于第三方防火墙的实现优 点与底层无关，支持多云隔离功能与基础架构都是云提供的，所 以两者兼容性更好，操作界面也类似网络人员更熟悉缺 点必须在每个服务器上安装agent 客户端，可能有资源占用问题无法跨越多个云环境进行统一管控防火墙本身跑在服务器上， 缺少对底层的控制目前主要有三种方式可以实现微隔离，分别为基于agent客户端的实现、基于云原生的实现和基于第三方 防火墙的实现基于agent客户端的实现：这种实现方法指的是在每个服务器上安装agent客户端，在需要的时候agent调用主机的防火墙实现服务器之间访问的控制；基于云原生的实现：这种实现方法指的是使用云平台基础设备自身的防

20、火墙实现访问控制；基于第三方防火墙的实现：这种实现方法指的是给重要的或有需要的服务器配备单独防火墙。图13：从左到右分别为基于agent客户端的实现、基于云原生的实现和基于第三方防火墙的实现示意图资料来源：安全内参、招商证券资料来源：安全内参、招商证券这三种方法具有各自的优点和缺点，因此企业需要根据自己的业务和需求进行配置。表2：三种方法的优缺点1.3 零信任的六大实现要素微隔离14持续信任评估是构建零信任架构的关键，是通过策略引擎（Policy Engine，PE）来实现的。持续信任评 估指的是在用户访问的过程中的设备安全和安全变化、访问行为都被记录下来用于评估实时的安全等级， 并用来评估当

21、下的可信任程度。它基于数字身份形成初步评估，并形成主体信任，然后在此基础上再根据主体和设备的认证强度、设备风 险和周围环境等进行动态信任程度的调整。传统的信任评估是静态的，一旦获得权限就不再变动，而持续 信任评估则会根据主体状态进行调整。PE负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。在确定好企业安全策略，并将IP黑名单、威胁情报服务等信息输入PE后，PE决定授予或拒绝对该资源的访问，策略引擎的核心作用是 信任评估。总之，获得权限只是开始，零信任架构还会在访问进程中持续判定主体当下的情况是否适合访问，动态地 决定下一步的动作，比如阻断回话、允许会话、进一步判定、有限制的允许等

22、。访问行为周围 环境终端 环境持 续 信 任 评 估 策 略 引 擎允许 访问阻断 访问进一 步判 定图14：持续信任评估引擎工作原理示意图资料来源：招商证券图15：信任引擎计算信任评分并授权资料来源：NIST零信任网络、招商证券1.3 零信任的六大实现要素持续信任评估15动态访问控制体现了零信任架构的安全闭环能力，它根据信任评估持续调整用户的权限。它使用了RBAC（以角色为基础的存取控制）和ABAC（基于属性的访问控制）的组合授权实现灵活的访 问控制。举个例子，假如疫情期间有人想要进办公楼，办公楼相当于企业的数据，网络攻击相当于病毒：路人员工角色判别中级权限： 在街上溜达中级权限： 在街上溜

23、达ABAC基于用户+设备+其他要素管理， 细粒度，但操作复杂且占用资源较大员工A健康码通行证路人B高级权限： 进办公楼（健康）图16：RBAC与ABAC的工作原理示意图RBAC基于用户角色管理， 粗粒度，但是操作简便员工A路人B高级权限： 进办公楼（健康状况未知）资料来源：招商证券1.3 零信任的六大实现要素动态访问控制161.4 Google BeyondCorp体系是零信任最成功的实践之一在零信任发展过程中，谷歌的BeyondCorp模式是最成功的的实践之一。BeyondCorp是一种无企业网络特权的新模式，用户和设备的访问都基于权限，与网络位置无关，无论是 在公司、家庭网络、酒店或是咖啡

24、店。所有对企业资源的访问都是基于设备状态和用户权限进行全面认证、 授权和加密的。因此员工无需使用传统的VPN即可实现在任何地点的安全访问。图17：BeyondCorp 组件和工作流资料来源：BeyondCorp、招商证券17机场wifi访问 企业内网访问代 理重定向到SSO访问代理（持有设备证书和 单点登录令牌）访问控制引擎授权 检查获取服务指向设备证书小明提供双 因素认证重定向通过持 续 认 证谷歌大楼内访 问企业内网电脑提供设备证书电脑提供1.4 Google BeyondCorp体系是零信任最成功的实践之一在BeyondCorp系统改造过程中有几个关键点：安全识别设备：只有受控设备（ma

25、naged devices）才能访问企业应用，并且所有受控设备都有唯一标识安全识别用户：用户/群组数据库与谷歌的员工信息形成密切的数据集成消除基于网络位置的信任：即使是在谷歌办公大楼内部的客户端设备也被分配到无特权网络中，介入这个网络只有经过代理网关的认证授权后才能继续访问企业应用访问控制：通过查询多个数据来源持续推断每个用户/设备的权限，权限可能随时改变，并且本次访 问权限的级别将为后续级别提供参考信息那么接下来我们看看员工是如何使用BeyondCorp的：假设员工在谷歌大楼内接入内网，则电脑需与 RADIUS服务器进行802.1x握手，无需通过访问代理访问。假如该员工在出差过程中需要在机场

26、登录内网 就会经历以下的过程：图18：员工接入内网流程示意图资料来源：招商证券18零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任相关产品投资建议192.1 零信任安全解决方案主要包括四个模块目前零信任安全解决方案主要包括统一信任管理平台、安全访问网关、安全管理平台和可信终端套件四个 产品组成。图19：零安全解决方案主要产品及其架构资料来源：绿盟科技、招商证券20通过处理终端信息与统一信任管理平台进行数据传输。2.1 零信任安全解决方案主要包括四个模块统一信任管理平台：统一信任管理平台至少具备身份认证模块、权限管理模块和安全审计模块，集合了用

27、户、认证、授权、应用、审计的统一管理功能，是用户身份和访问管理的平台。其中，统一身份认证（Identity and Access Management，简称IAM）是平台内最重要的功能组件，包含了SSO和MFA）。 IAM在工作过程中与零信任各组件之间协调联动，根据安全管理平台的分析的决策对用户可信度进行认证， 并将信息传递给安全认证网关，整个过程处于动态之中，实现持续的可信验证。因此IAM是零信任身份认 证的关键。图20：IAM功能资料来源：Sennovate、招商证券设备代理/网关：传统的接入方式为通过VPN接入，而零信任架构下更多地是基于SDP技术的设备代理+网 关接入。这种部署方式与V

28、PN相比有一定优势，但是由于目前技术很难达到零信任方案要求的全流量加 密且携带必要标识信息，且高性能VPN也可以根据应用安装从而实现应用层的控制并且目前VPN的普及 程度更广，所以基于SDP的设备代理/网关取代VPN还需要一段时间。安全管理平台：安全管理平台相当于零信任架构中的大脑，决定信用评估的策略引擎就在安全管理平台之 下。它通过收集情报数据、其他风险数据、使用日志等信息，经过分析评估之后做出决策并将决策下发信 任管理平台。终端安全：终端安全类产品提供设备的安全状态信息，分为终端安全服务平台和可信终端Agent两部分。 可信终端Agent负责收集终端环境信息、保护终端安全与提供终端访问代理

29、的功能，终端安全服务平台则21由于企业的架构与业务开展方式不同，部署零信任的方式也有差异。拥有多分支机构的企业：在拥有总部和位于各地的分支机构或远程工作的员工的企业部署方式为，策略 引擎(PE)/策略管理器(PA)通常作为云服务托管，终端资产安装代理或访问资源门户。多云/云到云的企业：企业有一个本地网络，但使用多个云服务提供商承载应用、服务和数据。此时需要 企业架构师了解各个云提供商的基础上，在每个资源访问点前放置策略执行点，PE和PA可以位于云或第 三方云提供商上的服务，客户端直接访问策略执行点。存在外包服务或非员工访问的企业：企业有时需要外包在现场为企业提供服务，或非员工会在会议中心与员工

30、交互。这种情况下，PE和PA可以作为云服务或在局域网上托管，企业可以安全代理或通过门户访问 资源，没有安全代理的系统不能访问资源但可访问互联网。跨企业协作：企业A、B员工协作，其中企业B的员工需要访问企 业A的数据库，这种情况与拥有多分支机构企业相似，作为云服务 托管的PE和PA允许各方访问数据库，且企业B的员工需安装代理 或通过Web代理网关访问。面向公众或客户提供服务的企业：零信任只对企业的客户或注册用户适用，但由于请求的资产很可能不是企业所有所以零信任的 实施受限。图22：拥有多分支机构的企业图23：多云/云到云的企业图24：存在外包服务或非员工访问的企业图21：跨企业协作资料来源：NI

31、STZero Trust Architecture、招商证券2.2 零信任的主要部署场景222.3 零信任将会对部分安全产品带来增量效应零信任作为一种网络安全解决方案的思路，它的部署需要一系列的产品配合，有些产品是零信任特有的， 有些功能则只需要建立在原来设备的基础上整合入零信任平台即可。具体来看，零信任的实践需要各类安全产品组合，将对相关产品形成增量需求：1）IAM/IDaaS等统一身 份认证与权限管理产品/服务；2）安全接入网关：基于SDP实现的安全接入网关与VPN相比有一定优势， 但是由于目前技术很难达到零信任方案要求的全流量加密且携带必要标识信息，因为高性能VPN也可以根据应用安装从而

32、实现应用层的控制并且目前VPN的普及程度更广；3）态势感知、TIP等安全平台类产 品是零信任的大脑，帮助实时对资产状态、威胁情报数据等进行监测；4）EDR、云桌面管理等终端安全产品的配合，实现将零信任架构拓展到终端和用户；（5）日志审计：汇聚企业终端、网络设备、主机、 应用、安全系统等产生的日志，并进行审计，为策略引擎提供数据输入 。此外，NGFW、WAF、可信 API代理等产品也在其中发挥重要支撑作用。图25：零信任解决方案架构资料来源：绿盟科技、招商证券23零信任抓住了目前网络安全用户的痛点， 零信任是未来网络安全技术的重要发展方 向。根据Cybersecurity的调查，目前网络 安全的

33、最大的挑战是私有应用程序的访问 端口十分分散，以及内部用户的权限过多。 62%的企业认为保护遍布在各个数据中心 和云上的端口是目前最大的挑战，并且 61%的企业最担心的是内部用户被给予的 权限过多的问题。这两点正是零信任专注 解决的问题，现在有78%的网络安全团队 在尝试采用零信任架构。2.4 零信任将会成为安全行业未来的重要发展方向图26：未来是否会采用零信任架构？资料来源：Cybersecurity、招商证券图27：目前端口防护面临的最大的挑战？图28：目前企业安全最担忧的事情？24零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任相关产品投

34、资建议25海外零信任市场蓬勃发展，众多安全厂商已通过自研或收购推出完整解决方案。Google BeyondCorp、 微软的Azure Zero Trust Framework都经过了公司内部的实践后推出的产品。Okta为代表的身份安全厂商 推出的零信任解决方案以“身份认证”为重点。思科、赛门铁克等公司推出的方案则以网络实施方式为主。 另外外延并购也常见于零信任产品发展的过程中，如OKTA在2018年并购ScaleFT。3.1 海外众多安全厂商通过自研或收购切入零信任市场供应商产品或服务名称AkamaiEnterprise Application AccessCato NetworksCato

35、 Cloud思科Duo Beyond（收购）CloudDeep TechnologyDeepCloud SDPCloudflareCloudflare AccessInstaSafeSecure AccessMeta NetworksNetwork as a Service PlatformNew EdgeSecure Application NetworkOktaOkta身份云SAIFEContinuum赛门铁克Luminate安全访问云（收购）VerizonVidder Precision Access（收购）ZscalerPrivate AccessGoogleBeyondCorp供应商

36、产品或服务名称BlackRidge TechnologyTransport Access ControlCertes NetworksZero Trust WANCyxteraAppGate SDPGoogle Cloud Platform (GCP)云身份感知代理（云IAP）Microsoft （仅Windows 系统）Azure AD Application ProxyPulse SecurePulse SDPSafe-TSoftware-Defined Access SuiteUnisysStealthWaverley LabsOpen Source Software Defined P

37、erimeterZentera SystemsCloud-Over-IP (COiP) Access资料来源：Gartner、招商证券表3：海外零信任服务的代表提供商表4：海外零信任产品的代表提供商262009年2010年公 司 成立推出SSO产品推出IAM产品Okta身份云（Identity Cloud）2013年推出通用目录（Universal Directory）产 品2014年推出移动管理（Mobility Management）产品身份云与SSO和通用目录集成提供身份云API对外开放，可与合作伙伴或第三方产品集成2015年推出自适应多因 素身份认证（Adaptive Multi-Fa

38、ctorAuthentication）， 并集成于身份云2016年推出生命周期管 理 （Lifecyle Management）， 扩展所有产品 系列的预配置功能2018年收购零信任安全公司ScaleFT， 访问管理平台 可实现无VPN的远程安全访问2019年收购工作流程自动化公司 Azuqua以简化 身份创建流程3.2 海外零信任公司专注身份认证产品的Okta资料来源：Gartner、招商证券Okta以身份管理起家，通过内生外延成为零信任领域的领导厂商。Okta的两位创始人曾担任Salesforce早 期高管，后因意识到多云多终端时代统一身份管理的重要性而创办Okta。Okta于2009年创

39、立，在身份认证 领域持续深耕成为领先厂商。Okta在2018年收购零信任安全公司ScaleFT，ScaleFT的技术和VPN这种边界 防护技术不一样，是通过用户状态、用户权限去进行安全管理。Okta核心竞争力在于与多款云应用产品集成。与企业客户常用的6500多款云应用进行了集成，这是Okta最强力的竞争优势，通过Okta可以登录包括AWS、Office365等多个应用。此外公司产品标准化程度高， 通过鼠标点击即可安装，操作简单；企业管理员可以为全公司配置通用内部系统，配置时间短；可满足企 业用户对页面的个性化需求等。图29：Okta不断通过内生外延深耕身份管理资料来源：Okta招股书、招商证券

40、图30：IAM产品的Gartner魔力象限图31：Okta身份认证平台支持的部分软件资料来源：Okta官网、招商证券27Okta的商业模式以订阅制为主。Okta给客户提供服务主要是以Saas的方式进行并收取订阅费，辅以少量 的开发服务，目前其订阅收入占到总收入的95%左右。由于美国企业上云进度快，Okta过去几年收入增速迅猛。美国信息安全需求大头来自于企业级客户，这 些企业级客户对公有云的接受程度高，过去几年上云趋势明显：根据Okta发布的 2019工作报告， Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用，并且这一数字还在继续增长。Okta 通过统一身份认证产品很好地解

41、决了多云时代部署越来越多应用的企业级应用用户单点登录管理的需求，帮助其营收在过去几年大幅增长。3.2 Okta充分受益于美国企业上云大趋势0.41010.85911.60335.860793%89%89%2.599993%92%3.992586%87%88%89%90%91%92%93%94%94%95%01234567201520162017201820192020营业收入（亿美元）订阅收入占比图32：Okta营业收入与订阅收入/总收入情况资料来源：Okta招股书、年报、招商证券图33：Okta平均每位用户拥有的应用数图34：Okta平均每位用户拥有的应用数（对用户规模分类）资料来源：Okt

42、a官网、招商证券持续不断地集成多云应用，是Okta的核心竞 争力。在2020年7月底，被Okta集成的云应用多达6500款。客户和高价值客户数量持续增长，高续费率 显示极强客户黏性。在2020年7月底，Okta 的客户数高达8950家，其中给Okta贡献10 万美元年合同以上的客户数量达到1685家。公司过去12个月的净续费率达到119%，显 示出良好的客户黏性。3.2 OKTA具有良好的财务数据表现500055006000650040004500500055006000650070002017201820192020120%123%121%120%119%123%122%121%120%11

43、9%118%117%124%2019202028净续费率图35：Okta大客户数量及其占总客户数比重图36：Okta净续费率201620172018资料来源：Okta年报、招股书、招商证券图37：Okta第三方软件集成数目第三方软件集成数目（个）443691103814671959266267136595062648312%14%16%17%16%14%12%10%8%6%4%2%0%18% 18%20%90008000700060005000400030002000100002016201720182019资料来源：Okta年报、招股书、招商证券2020合同价值10万美元客户数（个） 合同价

44、值10万美元客户数（个） 合同价值10万美元客户/总客户293.2 零信任Saas企业Zscaler也显示出良好的财务数据28003250390010%15%20%0%5%10%15%20%0100020003000400050002019客户数（位）53.7125.7190.2805.30%57%51%302.859%60%58%56%54%52%50%48%46%44%25%35030025020015010050020152016201720182019收入（百万美元）116%115%115%117%118%113%114%115%116%117%118%119%2019续费率67.09

45、6.5156.4390.044%62%65%257.651%0%20%40%60%80%0.0100.0200.0300.0400.0500.0201720182019订单数（百万美元）增长率20172018资料来源：Zscaler年报、招股书、招商证券Zscaler零信任产品ZAP客户持续增长，并且黏性很强。Zscaler成立于2008年。Zscaler通过云平台提供安 全服务，其安全节点分布在全球100个数据中心。截止2019年7月底为3900个客户提供服务，其中400家为 全球2000强，且新增订单金额仍在快速增长。Zscaler主要产品包括Web网关解决方案Internet Acces

46、s（ZIP） 和提供远程访问云上内部应用程序功能的Private Access（ZAP），前者主要功能是保护客户免受恶意流量 攻击，后者是零信任，收费方式基本是订阅制。Zscaler的续费率为118%，同样显示出了良好的客户黏性。图38：公司续费率情况图38：公司新增订单情况2015201620172018图38：公司客户数及福布斯世界2000强覆盖率20152016图38：公司收入情况30由于中美安全市场客户结构不同以及企业上公有云速度差异，美国零信任SaaS公司的成功之路在国内还缺乏 复制基础。美国网络安全需求大头来自于企业级客户，这些企业级客户对公有云的接受程度高，过去几年上 云趋势明显

47、。根据Okta发布的2019工作报告，Okta客户平均拥有83个云应用，其中9%的客户拥有200 多个云应用。这种多云时代下企业级用户统一身份认证管理难度大、企业内外网边界极为模糊的环境，是 Okta零信任SaaS商业模式得以发展的核心原因。目前国内网络安全市场需求主要集中于政府、行业（金融、 运营商、能源等），这些客户目前上云主要以私有云为主，网安产品的部署模式仍未进入SaaS化阶段。但随 着未来我国公有云渗透率的提升，以及网安向企业客户市场扩张，零信任相关的SaaS业务将会迎来成长机会。3.3 零信任对国内安全厂商格局的影响与美国存在一定差异启明星6%奇安信6%深信服 5%天融信5%绿盟科

48、 技 3%其他75%目前零信任技术发展给国内厂商带来的机会，在 于提升市场份额的集中度，利好产品线齐全的龙 头厂商如奇安信、启明星辰、绿盟科技、深信服 等。在零信任技术之前，信息安全通常是被动防 御，以独立、堆砌的方式去部署各种各样的盒子（防火墙、IPS、IDS等）。在这样的情况下，各 个厂商之间的设备相互独立，不需要很强的联动 能力，因此我们看到安全市场是一个较为分散的 市场。但是随着客户面临的安全环境越发复杂，以及以零信任、云原生为代表的新技术出现，使 得信息安全向主动防御转变。这个时候需要信息安全设备之间相互联动、数据共享，研发能力强、 产品种类齐全的厂商优势会越发明显，不断蚕食 研发能

49、力弱、产品单一的厂商的份额。我们可以 从各个公司官网看到，包括奇安信、启明星辰、 绿盟科技、深信服等多家厂商都推出了零信任的 整体解决方案。图38：国内网安行业竞争格局仍然相对分散资料来源：艾瑞咨询、招商证券313.3 国内网安公司已纷纷开始布局零信任相关产品资料来源：各公司官网、招商证券目前我国众多网安厂商均提供了零信任安全平台或者在产品中采用了零信任思路：表5：国内网安公司的零信任产品布局企业名称主要产品/方案产品特点启明星辰零信任安全管控平台将人、设备、服务和应用的身份均抽象成主体身份，以身份为中心，通过对主体身份属性的持续身份认证动态授权，保障资源和数据的访问和使用安全、绿盟科技零信任

50、安全解决方案组合终端安全，身份识别与管理，网络安全，应用和数据安全，安全分析协作与响应等模块，构建自适应 访问控制的零信任安全架构奇安信奇安信零信任安全解基于数字身份，对所有访问请求进行加密、认证和强制授权，进行持续信任评估，并动态调整权限，建立 决方案一种动态的信任关系深信服深信服aTrust安全解 决方案在零信任的基础上做了增强，通过信任和风险的反馈控制，实现“精确而足够”的信任。同时，终端、边界、 外网的已有安全设备可以基于信任和风险的闭环进行联动零信任VPN围绕“以身份为中心，构建可信访问、智能权限、极简运维的零信任安全架构”的核心价值理念，实现全面 能力升级，助力用户实现规模化、全员

51、远程办公天融信软件定义安全SDSec 解决方案该系统基于纵深防御模型，东西向微分段、零信任机制帮助云平台解决虚机间东西向流量深度防护问题， 为用户云上业务保驾护航天融信虚拟化分布式零信任，微分段保护东西向流量；分布式部署，无安全处理 “瓶颈”，线速转发，水平扩展；安全策略部署防火墙贴近应用，保障安全；虚机随意迁移，策略全程有效安恒信息明御主机安全及管理 系统集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品；通过内核级东西向流量隔离技术， 实现网络隔离与防护；触发登录防护后，自动联动添加微隔离规则迪普科技网络安全风险管控平帮助用户实现资产测绘、漏洞感知及运营管理的产品，基于零信任安全理念，借助实时采