2020-2021网络安全行业研究报告

2020-2021网络安全行业研究报告企业业务复杂度增加、信息安全防护压力增大，催生零信任架构。企业上云、数字化转型加速、网络基础设施增多导致访问资源的用户/设备数量快速增长，网络边界的概念逐渐模糊；用户的访问请求更加复杂，造成企业对用户过分授权；攻击手段愈加复杂以及暴露露面和攻击面不断增长，导致企业安全防护压力加大。面对这些新的变化，传统的基于边界构建、通过网络位置进行信任域划分的安全防护模式已经不能满足企业要求。零信任架构通过对用户和设备的身份、权限、环境进行动态评估并进行最小授权，能够比传统架构更好地满足企业在远程办公、多云、多分支机构、跨企业协同场景中的安全需求。零信任架构涉及多个产品组件，对国内网安行业形成增量需求。零信任的实践需要各类安全产品组合，将对相关产品形成增量需求：1）IAM/IDaaS等统一身份认证与权限管理系统/服务，实现对用户/终端的身份管理；2）安全网关：目前基于SDP的安全网关是一种新兴技术方向，但由于实现全应用协议加密流量代理仍有较大难度，也可以基于现有的NGFW、WAF、VPN产品进行技术升级改造；3）态势感知、SOC、TIP等安全平台类产品是零信任的大脑，帮助实时对企业资产状态、威胁情报数据等进行监测；4）EDR、云桌面管理等终端安全产品的配合，实现将零信任架构拓拓展到终端和用户；5）日志审计：汇聚各数据源日志，并进行审计，为策略引擎提供数据。此外，可信API代理等其他产品也在其中发挥重要支撑作用。零信任的实践将推动安全行业实现商业模式转型，进一步提高厂商集中度。目前国内网安产业已经经过多年年核心技术的积累，进入以产品形态、解决方案和服务模式创新的新阶段。零信任不是一种产品，而是一种全新的安全技术框架，通过重塑安全架构帮助企业进一步提升防护能力。基于以太网的传统架构下安全设备的交互相对较少，并且能够通过标准的协议进行互联，因而导致硬件端的采购非常分散，但零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享，加速推动安全行业从堆砌安全硬件向提供解决方案/服务发展，同时对客户形成强粘性。我们认为研发能力强、产品线种类齐全的厂商在其中的优势会越发明显。核心要点核心要点由于中美安全市场客户结构不同以及企业上公有云速度差异，美国零信任SaaS公司的成功之路路在国内还缺乏复制基础。美国网络安全需求大头来自于企业级客户，这些企业级客户对公有云的接受程度高，过去⼏几年年上云趋势明显。根据Okta发布的《2019工作报告》，Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用。这种多云时代下企业级用户统一身份认证管理难度大、企业内外网边界极为模糊的环境，是Okta零信任SaaS商业模式得以发展的核心原因。目前国内网络安全市场需求主要集中于政府、行业（金融、运营商、能源等），这些客户目前上云主要以私有云为主，网安产品的部署模式仍未进入SaaS化阶段。但随着未来我国公有云渗透率的提升，以及网安向企业客户市场扩张，零信任相关的SaaS业务将会迎来成长机会。投资建议：零信任架构的部署模式有望提升国内网安市场集中度，将进一步推动研发能力强、拥有全线安全产品的头部厂商扩大市场份额、增加用户粘性，重点推荐启明星辰、绿盟科技、深信服、南洋股份，关注科创新星奇安信、安恒信息。风险提示：技术发展进度不及预期；网安行业景⽓气度不及预期可比公司估值对比表（深信服、安恒信息盈利预测来自Wind一致预测）零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任相关产品投资建议1.1

零信任架构的兴起与发展零信任架构是一种端到端的企业资源和数据安全方法，包括身份（人和非人的实体）、凭证、访问管理、操作、端点、宿主环境和互联基础设施。零信任体系架构是零信任不是“不信任”的意思，它更像是“默认不信任”，即“从零开始构建信任”的思想。零信任安全体系是围绕“身份”构建，基于权限最小化原则进行设计，根据访问的风险等级进行动态身份认证和授权。防火墙、VPN、UTM、入侵检测等安全网关产品提供了强大的边界防护能力，但检测和阻断内部网络攻击的能力不足，并且也无法保护企业边界外的主体（例如，远程工作者、基于云的服务、边缘设备等）。于是从2004年年开始，耶利哥论坛（JerichoForum)开始为了定义无边界趋势下的网络安全问题并寻求解决方案，2010年年零信任术语正式出现，并于2014年年随着移动互联、云环境、微服务等新场景的出现被大幅采用获得越来越广泛地认可。图1：零信任的发展历史2004年年耶利哥论坛（JerichoForum)开始为了定义无边界趋势下的网络安全问题并寻求解决方案2010年年零信任术语最早由Forrester的⾸首席分析师约翰·金德维（JohnKindervag）正式提出2011-2017年年Google

BeyondCorp实施落地2017年年业界厂商大力跟进，包括思科、微软、亚⻢马逊、Cyxtera……2018年年至今中央部委、国家机关、中大型企业开始探索实践零信任安全架构1.2

零信任架构的三大核心组件零信任的核心组件包括策略引擎（PolicyEngine,PE）、策略管理器（PolicyAdministrator,PA）和策略执行点（PolicyEnforcementPoint,PEP）。这些核心组件负责从收集、处理相关信息到决定是否授予权限的全过程。通过这些组件可以实现的零信任架构的核心能力有：身份认证、最小权限、资源隐藏、微隔离、持续信任评估和动态访问控制。图2：零信任架构资料料来源：NIST《零信任架构》白皮书、招商证券表1：零信任架构核心组件组件 功能 工作方式 备注策略引擎（Policy

Engine,PE）最终决定是否授予访问权限输入企业安全策略及外部信息（如IP类名单、威胁情报服务），做出授予或拒绝访问的决定与PA配对使用，PE做出（并记录）决策，PA执行决策（批准或拒绝）策略管理器（PolicyAdministrator,PA）建⽴立客户端与资源之间的连接（是逻辑职责，而非物理连接）生成针对具体会话的身份验证令牌或凭证，供客户端用于访问企业资源实现时可以将PE和PA作为单个服务策略执行点（PolicyEnforcementPoint,

PEP）负责启用、监视并最终终止主体和企业资源之间的连接。PE与

PA

通信以转发请求，或从

PA

接收策略更新策略管理器与策略执行点通过控制面板(ControlPlane)保持通信知识因素（用户所知道的）密码PIN手势……占有因素（用户所拥有的）证书软件硬件口令……固有因素（用户的特征）生物因素（指纹、五官、声⾳音……）行为因素（打字速度、使用⿏鼠标的习惯……）隐形属性地理位置设备特征……该部分单独不能成为验证的因素，但是可以增强验证的可信度单点登录（SSO，SingleSignOn）指的是在一个多系统共存的环境下，用户在一处登录后同时也登录了其他的系统。因此在进入其他协作系统之后无需重复登录，提高了用户的使用体验。用户SSO程序1程序2程序3零信任的身份认证有两方面的含义。一方面是网络中的用户和设备都被赋予了数字身份，将用户和设备构建成为访问主体进行身份认证，另一方面是用户和设备能进行组合以灵活满足需要。身份认证是零信任的基石。零信任的整个身份识别、信用评估和权限授予都建⽴立在身份之上。身份与访问管理(IAM)可以通过多因⼦子身份验证(MFA)和单点登录（SSO）等身份验证模型实现。MFA指的是身份认证过程中要求用户提供两个或多个身份验证因素：图3：多因素认证因素图4：单点登录示意图1.3零信任的六大实现要素——身份认证在将用户和设备的身份数字化之后，系统需要通过确认用户的身份、用户的访问权限、设备的安全程度、设备的访问权限等来判断用户和设备的信任等级。确认用户的身份：方式主要为多因素身份认证，如推送登录请求、短信、密码、指纹等。确认设备的身份：主要通过设备的识别码、设备的安全性等确认。图5：用户/设备的信任建⽴立方式1.3

零信任的六大实现要素——身份认证用户设备程序单独授权用户设备程序整体授权传统架构零信任架构例如，允许员工通过企业发放的工作笔记本电脑提交源代码，但是禁止员工使用手机进行类似操作，说明权限是基于“员工信息+工作用笔记本电脑”这个实体所授予的，若采用“员工信息+手机”则不符合授权的实体，因此不能提交源代码，从而终端的风险可以得到很好控制。而传统架构下，不论终端如何，只要员工提供了账号和密码均能提交，安全风险很难得到控制。最小权限指的是一个实体被授予的权限仅限于完成任务所需要的；并且如果需要更高访问权限，则只能在需要的时候获得。权限授予的主体是一个信息集合，集合内包括用户、应用程序和设备3类实体信息。传统架构一般单独对各个实体；但是在零信任网络中，将3类实体组成的网络代理作为整体授权，这3类实体形成密不可分的整体，共同构成用户访问上下⽂文。网络代理具有短时性特征，授权时按需临时生成，因此在用户请求权限时根据实时状态临时生成相应的网络代理即可实现当下的最小权限。图6：零信任架构授权方式与传统架构的区别1.3

零信任的六大实现要素——最小授权资产隐藏指的是核心资产的各种访问路路径被零信任架构隐藏在组件之中，默认情况对访问主体不可⻅见，只有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行，保护的是从用户到服务器的南北北向的数据流。资产的访问路路径的隐藏是通过隐藏业务端口的方式实现的。端口可以认为是打开业务的⻔门，因此是攻击者攻击的目标。传统的网络安全架构中，用户需要通过客户端先建⽴立与服务器的连接，因此服务器的端口就被暴露露在公网中，若客户端存在漏漏洞洞则很容易易被利用，企业为了抵抗攻击，有两种应对策略。第一种为将端口暴露露在公网上，对访问进行过滤，即WAF。由于WAF是公开的，因此每个人都可以研究如何绕过防御或者对WAF进行攻击。第⼆二种策略为通过VPN接入，不把业务端口暴露露在公网。虽然可以减少暴露露面，但是由于VPN本身还有暴露露一个VPN的端口，因此仍旧存在危险。零信任架构下资产的访问需要先通过可信应用代理/可信API代理/网关认证，再被授予相应的访问权限，这部分流程与企业资源无关，因此企业的资源被隐藏在零信任的组件之后。图7：传统的先连接后认证授权方式图8：零信 任的预认证、预授权方式1.3

零信任的六大实现要素——资产隐藏NIST白皮书提到的一种实现方式为SDP（软件定义边界，software-defined

perimeter）技术，SDP使用中在部署安全边界的技术，可以将服务与不安全的网络隔离开来。它可以实现对端口的隐藏，攻击者接入发现IP地址上没有内容，然而有权限的业务人员却可以正常访问。SDP实现隐藏端口的效果是通过SDP客户端和SDP网关实现的。SDP网关的默认规则为关闭所有端口，拒绝一切连接，因此实现“隐身”的效果。而用户要求连接的时候需要SDP客户端使用带有用户身份和申请访问的端口的数据包“敲⻔门”，SDP网关验证通过后来自该用户IP的流量才能访问端口。因此通过将访问业务的端口放在SDP网关之后就可以实现将业务隐藏在组件之中的效果，只有先通过认证、获得授权才能获取资源。即使端口对用户开放之后，由于攻击者的IP与用户的IP不同，因此仍旧无法访问。并且该端口对用户只是暂时开放，需要SDP客户端定期敲⻔门保持端口开放。图9：攻击者直接攻击VPN的端口图10：SDP下攻击者无法找到端口攻击1.3

零信任的六大实现要素——资产隐藏微隔离技术指的是将服务器与服务器之间隔离，一个服务器访问另一个服务器之前需要认证身份是否可信。微隔离是零信任架构的重要组成部分，SDP保护的是用户与服务器之间的安全，微隔离技术是用于实现服务器与服务器之间的东西向数据流安全。微隔离目前主要应用于数据中心，该技术通常面向工作负载而不是面向用户。对于在外部的攻击者，防火墙可以发挥作用；但是对于已经进入内网的攻击者，在没有实现微隔离的时候，攻击者会攻击到所有服务器；而实现微隔离之后攻击范围大大减少。微隔离有点像疫情时期的口罩。面对大量的人口流动，每栋大楼⻔门前的体温检测机有时候作用有限，很容易易有无症状的感染者进入大厦。如果每个人都带上口罩，互相隔离就能很好地防止病毒的传播。图11：传统隔离模式 图12：微隔离模式1.3

零信任的六大实现要素——微隔离基于agent客户端的实现基于云原生的实现基于第三方防火墙的实现优点与底层无关，支持多云隔离功能与基础架构都是云提供的，所以两者兼容性更好，操作界面也类似网络人员更熟悉缺点必须在每个服务器上安装agent客户端，可能有资源占用问题无法跨越多个云环境进行统一管控防火墙本身跑在服务器上，缺少对底层的控制目前主要有三种方式可以实现微隔离，分别为基于agent客户端的实现、基于云原生的实现和基于第三方防火墙的实现基于agent客户端的实现：这种实现方法指的是在每个服务器上安装agent客户端，在需要的时候agent调用主机的防火墙实现服务器之间访问的控制；基于云原生的实现：这种实现方法指的是使用云平台基础设备自身的防火墙实现访问控制；基于第三方防火墙的实现：这种实现方法指的是给重要的或有需要的服务器配备单独防火墙。图13：从左到右分别为基于agent客户端的实现、基于云原生的实现和基于第三方防火墙的实现示意图这三种方法具有各自的优点和缺点，因此企业需要根据自己的业务和需求进行配置。表2：三种方法的优缺点1.3

零信任的六大实现要素——微隔离持续信任评估是构建零信任架构的关键，是通过策略引擎（PolicyEngine，PE）来实现的。持续信任评估指的是在用户访问的过程中的设备安全和安全变化、访问行为都被记录下来用于评估实时的安全等级，并用来评估当下的可信任程度。它基于数字身份形成初步评估，并形成主体信任，然后在此基础上再根据主体和设备的认证强度、设备风险和周围环境等进行动态信任程度的调整。传统的信任评估是静态的，一旦获得权限就不再变动，而持续信任评估则会根据主体状态进行调整。PE负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。在确定好企业安全策略，并将IP⿊黑名单、威胁情报服务等信息输入PE后，PE决定授予或拒绝对该资源的访问，策略引擎的核心作用是信任评估。总之，获得权限只是开始，零信任架构还会在访问进程中持续判定主体当下的情况是否适合访问，动态地决定下一步的动作，比如阻断回话、允许会话、进一步判定、有限制的允许等。访问行为周围环境终端环境持续信任评估策略引擎允许访问阻断访问进一步判定图14：持续信任评估引擎工作原理示意图图15：信任引擎计算信任评分并授权1.3

零信任的六大实现要素——持续信任评估动态访问控制体现了零信任架构的安全闭环能力，它根据信任评估持续调整用户的权限。它使用了RBAC（以⻆角⾊色为基础的存取控制）和ABAC（基于属性的访问控制）的组合授权实现灵活的访问控制。举个例⼦子，假如疫情期间有人想要进办公楼，办公楼相当于企业的数据，网络攻击相当于病毒：员工A 路路人B路路人员工⻆角⾊色判别高级权限：进办公楼（健康状况未知）中级权限：在街上溜溜达中级权限：在街上溜溜达ABAC基于用户+设备+其他要素管理，

细粒度，但操作复杂且占用资源较大员工A 健康码 通行证 路路人B高级权限：进办公楼（健康）图16：RBAC与ABAC的工作原理示意图RBAC基于用户⻆角⾊色管理，粗粒度，但是操作简便便1.3

零信任的六大实现要素——动态访问控制1.4

Google

BeyondCorp体系是零信任最成功的实践之一在零信任发展过程中，谷歌的BeyondCorp模式是最成功的的实践之一。BeyondCorp是一种无企业网络特权的新模式，用户和设备的访问都基于权限，与网络位置无关，无论是在公司、家庭网络、酒店或是咖啡店。所有对企业资源的访问都是基于设备状态和用户权限进行全面认证、授权和加密的。因此员工无需使用传统的VPN即可实现在任何地点的安全访问。图17：BeyondCor组件和工作流机场wifi访问企业内网访问代理访问代理（持有设备证书和单点登录令牌）访问控制引擎授权检查指向设备证书小明提供双因素认证重定向通过重定向到SSO持续认证获取服务谷歌大楼内访问企业内网电脑提供设备证书电脑提供1.4GoogleBeyondCorp体系是零信任最成功的实践之一在BeyondCorp系统改造过程中有⼏几个关键点：安全识别设备：只有受控设备（managed

devices）才能访问企业应用，并且所有受控设备都有唯一标识安全识别用户：用户/群组数据库与谷歌的员工信息形成密切的数据集成消除基于网络位置的信任：即使是在谷歌办公大楼内部的客户端设备也被分配到无特权网络中，介入这个网络只有经过代理网关的认证授权后才能继续访问企业应用访问控制：通过查询多个数据来源持续推断每个用户/设备的权限，权限可能随时改变，并且本次访问权限的级别将为后续级别提供参考信息那么接下来我们看看员工是如何使用BeyondCorp的：假设员工在谷歌大楼内接入内网，则电脑需与RADIUS服务器进行802.1x握手，无需通过访问代理访问。假如该员工在出差过程中需要在机场登录内网就会经历以下的过程：图18：员工接入内网流程示意图零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任相关产品投资建议2.1

零信任安全解决方案主要包括四个模块目前零信任安全解决方案主要包括统一信任管理平台、安全访问网关、安全管理平台和可信终端套件四个产品组成。图19：零安全解决方案主要产品及其架构设备代理/网关：传统的接入方式为通过VPN接入，而零信任架构下更多地是基于SDP技术的设备代理+网关接入。这种部署方式与VPN相比有一定优势，但是由于目前技术很难达到零信任方案要求的全流量加密且携带必要标识信息，且高性能VPN也可以根据应用安装从而实现应用层的控制并且目前VPN的普及程度更广，所以基于SDP的设备代理/网关取代VPN还需要一段时间。安全管理平台：安全管理平台相当于零信任架构中的大脑，决定信用评估的策略引擎就在安全管理平台之下。它通过收集情报数据、其他风险数据、使用日志等信息，经过分析评估之后做出决策并将决策下发信任管理平台。终端安全：终端安全类产品提供设备的安全状态信息，分为终端安全服务平台和可信终端Agent两部分。可信终端Agent负责收集终端环境信息、保护终端安全与提供终端访问代理的功能，终端安全服务平台则通过处理终端信息与统一信任管理平台进行数据传输。2.1

零信任安全解决方案主要包括四个模块统一信任管理平台：统一信任管理平台至少具备身份认证模块、权限管理模块和安全审计模块，集合了用户、认证、授权、应用、审计的统一管理功能，是用户身份和访问管理的平台。其中，统一身份认证（Identityand

AccessManagement，简称IAM）是平台内最重要的功能组件，包含了SSO和MFA）。IAM在工作过程中与零信任各组件之间协调联动，根据安全管理平台的分析的决策对用户可信度进行认证，并将信息传递给安全认证网关，整个过程处于动态之中，实现持续的可信验证。因此IAM是零信任身份认证的关键。图20：IAM功能由于企业的架构与业务开展方式不同，部署零信任的方式也有差异。拥有多分支机构的企业：在拥有总部和位于各地的分支机构或远程工作的员工的企业部署方式为，策略

引擎(PE)/策略管理器(PA)通常作为云服务托管，终端资产安装代理或访问资源⻔门户。多云/云到云的企业：企业有一个本地网络，但使用多个云服务提供商承载应用、服务和数据。此时需要企业架构师了解各个云提供商的基础上，在每个资源访问点前放置策略执行点，PE和PA可以位于云或第三方云提供商上的服务，客户端直接访问策略执行点。存在外包服务或非员工访问的企业：企业有时需要外包在现场为企业提供服务，或非员工会在会议中心与员工交互。这种情况下，PE和PA可以作为云服务或在局域网上托管，企业可以安全代理或通过⻔门户访问资源，没有安全代理的系统不能访问资源但可访问互联网。跨企业协作：企业A、B员工协作，其中企业B的员工需要访问企业A的数据库，这种情况与拥有多分支机构企业相似，作为云服务托管的PE和PA允许各方访问数据库，且企业B的员工需安装代理或通过Web代理网关访问。面向公众或客户提供服务的企业：零信任只对企业的客户或注册用户适用，但由于请求的资产很可能不是企业所有所以零信任的实施受限。图22：拥有多分支机构的企业图23：多云/云到云的企业图24：存在外包服务或非员工访问的企业图21：跨企业协作2.2

零信任的主要部署场景2.3

零信任将会对部分安全产品带来增量效应零信任作为一种网络安全解决方案的思路路，它的部署需要一系列列的产品配合，有些产品是零信任特有的，有些功能则只需要建⽴立在原来设备的基础上整合入零信任平台即可。具体来看，零信任的实践需要各类安全产品组合，将对相关产品形成增量需求：1）IAM/IDaaS等统一身份认证与权限管理产品/服务；2）安全接入网关：基于SDP实现的安全接入网关与VPN相比有一定优势，但是由于目前技术很难达到零信任方案要求的全流量加密且携带必要标识信息，因为高性能VPN也可以根据应用安装从而实现应用层的控制并且目前VPN的普及程度更广；3）态势感知、TIP等安全平台类产品是零信任的大脑，帮助实时对资产状态、威胁情报数据等进行监测；4）EDR、云桌面管理等终端安全产品的配合，实现将零信任架构拓拓展到终端和用户；（5）日志审计：汇聚企业终端、网络设备、主机、应用、安全系统等产生的日志，并进行审计，为策略引擎提供数据输入

。此外，NGFW、WAF、可信API代理等产品也在其中发挥重要支撑作用。图25：零信任解决方案架构2.4

零信任将会成为安全行业未来的重要发展方向图26：未来是否会采用零信任架构？零信任抓住了目前网络安全用户的痛点，零信任是未来网络安全技术的重要发展方向。根据Cybersecurity的调查，目前网络安全的最大的挑战是私有应用程序的访问端口⼗十分分散，以及内部用户的权限过多。62%的企业认为保护遍布在各个数据中心和云上的端口是目前最大的挑战，并且61%的企业最担心的是内部用户被给予的权限过多的问题。这两点正是零信任专注解决的问题，现在有78%的网络安全团队在尝试采用零信任架构。图27：目前端口防护面临的最大的挑战？图28：目前企业安全最担忧的事情？零信任：三大核心组件、六大要素零信任的实践将为安全行业带来增量需求国内外安全厂商均已积极布局零信任相关产品投资建议海海外零信任市场蓬勃发展，众多安全厂商已通过自研或收购推出完整解决方案。Google

BeyondCorp、微软的Azure

ZeroTrust

Framework都经过了公司内部的实践后推出的产品。Okta为代表的身份安全厂商推出的零信任解决方案以“身份认证”为重点。思科、赛⻔门铁克等公司推出的方案则以网络实施方式为主。另外外延并购也常⻅见于零信任产品发展的过程中，如OKTA在2018年年并购ScaleFT。3.1

海外众多安全厂商通过自研或收购切入零信任市场供应商产品或服务名称AkamaiEnterpriseApplication

AccessCato

NetworksCatoCloud思科DuoBeyond（收购）CloudDeeTechnologyDeepCloud

SDPCloudflareCloudflare

AccessInstaSafeSecure

AccessMeta

NetworksNetworkasaService

PlatformNew

EdgeSecureApplication

NetworkOktaOkta身份云SAIFEContinuum赛⻔门铁克Luminate安全访问云（收购）VerizonVidder

Precision

Access（收购）ZscalerPrivate

AccessGoogleBeyondCorp供应商产品或服务名称BlackRidgeTechnologyTransportAccess

ControlCertes

NetworksZeroTrust

WANCyxteraAppGate

SDPGoogleCloudPlatform

(GCP)云身份感知代理（云IAP）Microsoft

（仅Windows

系统）AzureADApplication

ProxyPulse

SecurePulse

SDPSafe-TSoftware-DefinedAccess

SuiteUnisysStealthWaverley

LabsOpenSourceSoftwareDefinedPerimeterZentera

SystemsCloud-Over-I(COiP)

Access表3：海海外零信任服务的代表提供商表4：海海外零信任产品的代表提供商2009年年

2010年年公司成⽴立推出SSO产品推出IAM产品Okta身份云（IdentityCloud））2013年年推出通用目录（UniversalDirectory）产品2014年年推出移动管理（MobilityManagement）产品身份云与SSO和通用目录集成提供身份云API对外开放，可与合作伙伴或第三方产品集成2015年年推出自适应多因素身份认证（AdaptiveMulti-FactorAuthentication），并集成于身份云2016年年推出生命周期管理（LifecyleManagement），扩展所有产品系列列的预配置功能2018年年收购零信任安全公司ScaleFT，访问管理平台可实现无VPN的远程安全访问2019年年收购工作流程自动化公司Azuqua以简化身份创建流程3.2

海外零信任公司——专注身份认证产品的OktaOkta以身份管理起家，通过内生外延成为零信任领域的领导厂商。Okta的两位创始人曾担任Salesforce早期高管，后因意识到多云多终端时代统一身份管理的重要性而创办Okta。Okta于2009年年创⽴立，在身份认证领域持续深耕成为领先厂商。Okta在2018年年收购零信任安全公司ScaleFT，ScaleFT的技术和VPN这种边界防护技术不一样，是通过用户状态、用户权限去进行安全管理。Okta核心竞争力在于与多款云应用产品集成。与企业客户常用的6500多款云应用进行了集成，这是Okta最强力的竞争优势，通过Okta可以登录包括AWS、Office365等多个应用。此外公司产品标准化程度高，通过⿏鼠标点击即可安装，操作简单；企业管理员可以为全公司配置通用内部系统，配置时间短；可满足企业用户对⻚页面的个性化需求等。图29：Okta不断通过内生外延深耕身份管理资料料来源：Okta招股书、招商证券图30：IAM产品的Gartner魔力象限图31：Okta身份认证平台支持的部分软件Okta的商业模式以订阅制为主。Okta给客户提供服务主要是以Saas的方式进行并收取订阅费，辅以少量的开发服务，目前其订阅收入占到总收入的95%左右。由于美国企业上云进度快，Okta过去⼏几年年收入增速迅猛。美国信息安全需求大头来自于企业级客户，这些企业级客户对公有云的接受程度高，过去⼏几年年上云趋势明显：根据Okta发布的《

2019工作报告》，Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用，并且这一数字还在继续增长。Okta通过统一身份认证产品很好地解决了多云时代部署越来越多应用的企业级应用用户单点登录管理的需求，帮助其营收在过去⼏几年年大幅增长。3.2

Okta充分受益于美国企业上云大趋势0.41010.85911.60335.860793%89%89%2.599993%92%3.992586%87%88%89%90%91%92%93%94%94%95%012345672015 2016 2017 2018 2019 2020营业收入（亿美元） 订阅收入占比图32：Okta营业收入与订阅收入/总收入情况图33：Okta平均每位用户拥有的应用数图34：Okta平均每位用户拥有的应用数（对用户规模分类）持续不断地集成多云应用，是Okta的核心竞争力。在2020年年7⽉月底，被Okta集成的云应用多达6500款。客户和高价值客户数量持续增长，高续费率显示极强客户黏性。在2020年年7⽉月底，Okta的客户数高达8950家，其中给Okta贡献10万美元年年合同以上的客户数量达到1685家。公司过去12个⽉月的净续费率达到119%，显示出良好的客户黏性。3.2

OKTA具有良好的财务数据表现500055006000650040004500500055006000650070002017201820192020120%123%121%120%119%123%122%121%120%119%118%117%124%20162017201820192020净续费率图35：Okta大客户数量及其占总客户数比重图36：Okta净续费率图37：Okta第三方软件集成数目第三方软件集成数目（个）443691103814671959266267136595062648312%14%16%17%16%14%12%10%8%6%4%2%0%18%

18%20%900080007000600050004000300020001000020162017201820192020合同价值≤10万美元客户数（个）合同价值＞10万美元客户数（个）合同价值＞10万美元客户/总客户3.2

零信任Saas企业Zscaler也显示出良好的财务数据28003250390010%15%20%0%5%10%15%20%010002000300040005000201720182019客户数（位）53.7125.7190.2805.30%57%51%302.859%60%58%56%54%52%50%48%46%44%25% 35030025020015010050020152016201720182019收入（百万美元）116%115%115%117%118%113%114%115%116%117%118%119%2019续费率67.096.5156.4390.044%62%65%257.651%0%20%40%60%80%0.0100.0200.0300.0400.0500.0201720182019订单数（百万美元） 增长率Zscaler零信任产品ZAP客户持续增长，并且黏性很强。Zscaler成⽴立于2008年年。Zscaler通过云平台提供安全服务，其安全节点分布在全球100个数据中心。截止2019年年7⽉月底为3900个客户提供服务，其中400家为全球2000强，且新增订单金额仍在快速增长。Zscaler主要产品包括Web网关解决方案Internet

Access（ZIP）和提供远程访问云上内部应用程序功能的Private

Access（ZAP），前者主要功能是保护客户免受恶意流量攻击，后者是零信任，收费方式基本是订阅制。Zscaler的续费率为118%，同样显示出了良好的客户黏性。图38：公司续费率情况 图38：公司新增订单情况2015 2016 2017 2018图38：公司客户数及福布斯世界2000强覆盖率2015 2016图38：公司收入情况由于中美安全市场客户结构不同以及企业上公有云速度差异，美国零信任SaaS公司的成功之路路在国内还缺乏复制基础。美国网络安全需求大头来自于企业级客户，这些企业级客户对公有云的接受程度高，过去⼏几年年上云趋势明显。根据Okta发布的《2019工作报告》，Okta客户平均拥有83个云应用，其中9%的客户拥有200多个云应用。这种多云时代下企业级用户统一身份认证管理难度大、企业内外网边界极为模糊的环境，是Okta零信任SaaS商业模式得以发展的核心原因。目前国内网络安全市场需求主要集中于政府、行业（金融、运营商、能源等），这些客户目前上云主要以私有云为主，网安产品的部署模式仍未进入SaaS化阶段。但随着未来我国公有云渗透率的提升，以及网安向企业客户市场扩张，零信任相关的SaaS业务将会迎来成长机会。3.3

零信任对国内安全厂商格局的影响与美国存在一定差异启明星6%奇安信6%深信服

5%天融信5%绿盟科技3%其他75%目前零信任技术发展给国内厂商带来的机会，在于提升市场份额的集中度，利好产品线齐全的⻰龙头厂商如奇安信、启明星辰、绿盟科技、深信服等。在零信任技术之前，信息安全通常是被动防御，以独⽴立、堆砌的方式去部署各种各样的盒⼦子（防火墙、IPS、IDS等）。在这样的情况下，各个厂商之间的设备相互独⽴立，不需要很强的联动能力，因此我们看到安全市场是一个较为分散的市场。但是随着客户面临的安全环境越发复杂，以及以零信任、云原生为代表的新技术出现，使得信息安全向主动防御转变。这个时候需要信息安全设备之间相互联动、数据共享，研发能力强、产品种类齐全的厂商优势会越发明显，不断蚕⻝⾷食研发能力弱、产品单一的厂商的份额。我们可以从各个公司官网看到，包括奇安信、启明星辰、绿盟科技、深信服等多家厂商都推出了零信任的整体解决方案。图38：国内网安行业竞争格局仍然相对分散3.3

国内网安公司已纷纷开始布局零信任相关产品目前我国众多网安厂商均提供了零信任安全平台或者在产品中采用了零信任思路路：表5：国内网安公司的零信任产品布局、企业名称主要产品/方案产品特点启明星辰零信任安全管控平台将人、设备、服务和应用的身份均抽象成主体身份，以身份为中心，通过对主体身份属性的持续身份认证动态授权，保障资源和数据的访问和使用安全绿盟科技零信任安全解决方案组合终端安全，身份识别与管理，网络安全，应用和数据安全，安全分析协作与响应等模块，构建自适应访问控制的零信任安全架构奇安信奇安信零信任安全解 基于数字身份，对所有访问请求进行加密、认证和强制授权，进行持续信任评估，并动态调整权限，建⽴立决方案 一种动态的信任关系深信服深信服aTrust安全解决方案在零信任的基础上做了增强，通过信任和风险的反馈控制，实现“精确而足够”的信任。同时，终端、边界、外网的已有安全设备可以基于信任和风险的闭环进行联动零信任VPN围绕“以身份为中心，构建可信访问、智能权限、极简运维的零信任安全架构”的核心价值理念，实现全面能力升级，助力用户实现规模化、全员远程办公天融信软件定义安全SDSec解决方案该系统基于纵深防御模型，东西向微分段、零信任机制帮助云平台解决虚机间东西向流量深度防护问题，为用户云上业务保驾护航天融信虚拟化分布式 零信任，微分段保护东西向流量；分布式部署，无安全处理

“瓶颈”，线速转发，⽔水平扩展；安全策略部署防火墙 贴近应用，保障安全；虚机随意迁移，策略全程有效安恒信息明御主机安全及管理系统集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品；通过内核级东西向流量隔离技术，实现网络隔离与防护；触发登录防护后，自动联动添加微隔离规则迪普科技网络安全风险管控平 帮助用户实现资产测绘、漏漏洞洞感知及运营管理的产品，基于零信任安全理念，借助实时采集技术监控资产台 上下线状态，确保只有可信资产接入网络⼭山石网科⼭山石云·格通过虚机微分域（微隔离）及可视化技术，为用户提供云安全服务，包括流量及应用可视化，虚机之间威胁检测与隔离，网络攻击审计与溯源安博通基于“零信任+”的