2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告

2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第1頁(yè)。企業(yè)業(yè)務(wù)復(fù)雜度增加、信息安全防護(hù)壓力增大，催生零信任架構(gòu)。企業(yè)上云、數(shù)字化轉(zhuǎn)型加速、網(wǎng)絡(luò)基礎(chǔ)設(shè)施增多導(dǎo)致訪問(wèn)資源的用戶/設(shè)備數(shù)量快速增長(zhǎng)，網(wǎng)絡(luò)邊界的概念逐漸模糊；用戶的訪問(wèn)請(qǐng)求更加復(fù)雜，造成企業(yè)對(duì)用戶過(guò)分授權(quán)；攻擊手段愈加復(fù)雜以及暴露露面和攻擊面不斷增長(zhǎng)，導(dǎo)致企業(yè)安全防護(hù)壓力加大。面對(duì)這些新的變化，傳統(tǒng)的基于邊界構(gòu)建、通過(guò)網(wǎng)絡(luò)位置進(jìn)行信任域劃分的安全防護(hù)模式已經(jīng)不能滿足企業(yè)要求。零信任架構(gòu)通過(guò)對(duì)用戶和設(shè)備的身份、權(quán)限、環(huán)境進(jìn)行動(dòng)態(tài)評(píng)估并進(jìn)行最小授權(quán)，能夠比傳統(tǒng)架構(gòu)更好地滿足企業(yè)在遠(yuǎn)程辦公、多云、多分支機(jī)構(gòu)、跨企業(yè)協(xié)同場(chǎng)景中的安全需求。零信任架構(gòu)涉及多個(gè)產(chǎn)品組件，對(duì)國(guó)內(nèi)網(wǎng)安行業(yè)形成增量需求。零信任的實(shí)踐需要各類安全產(chǎn)品組合，將對(duì)相關(guān)產(chǎn)品形成增量需求：1）IAM/IDaaS等統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)/服務(wù)，實(shí)現(xiàn)對(duì)用戶/終端的身份管理；2）安全網(wǎng)關(guān)：目前基于SDP的安全網(wǎng)關(guān)是一種新興技術(shù)方向，但由于實(shí)現(xiàn)全應(yīng)用協(xié)議加密流量代理仍有較大難度，也可以基于現(xiàn)有的NGFW、WAF、VPN產(chǎn)品進(jìn)行技術(shù)升級(jí)改造；3）態(tài)勢(shì)感知、SOC、TIP等安全平臺(tái)類產(chǎn)品是零信任的大腦，幫助實(shí)時(shí)對(duì)企業(yè)資產(chǎn)狀態(tài)、威脅情報(bào)數(shù)據(jù)等進(jìn)行監(jiān)測(cè)；4）EDR、云桌面管理等終端安全產(chǎn)品的配合，實(shí)現(xiàn)將零信任架構(gòu)拓拓展到終端和用戶；5）日志審計(jì)：匯聚各數(shù)據(jù)源日志，并進(jìn)行審計(jì)，為策略引擎提供數(shù)據(jù)。此外，可信API代理等其他產(chǎn)品也在其中發(fā)揮重要支撐作用。零信任的實(shí)踐將推動(dòng)安全行業(yè)實(shí)現(xiàn)商業(yè)模式轉(zhuǎn)型，進(jìn)一步提高廠商集中度。目前國(guó)內(nèi)網(wǎng)安產(chǎn)業(yè)已經(jīng)經(jīng)過(guò)多年年核心技術(shù)的積累，進(jìn)入以產(chǎn)品形態(tài)、解決方案和服務(wù)模式創(chuàng)新的新階段。零信任不是一種產(chǎn)品，而是一種全新的安全技術(shù)框架，通過(guò)重塑安全架構(gòu)幫助企業(yè)進(jìn)一步提升防護(hù)能力。基于以太網(wǎng)的傳統(tǒng)架構(gòu)下安全設(shè)備的交互相對(duì)較少，并且能夠通過(guò)標(biāo)準(zhǔn)的協(xié)議進(jìn)行互聯(lián)，因而導(dǎo)致硬件端的采購(gòu)非常分散，但零信任的實(shí)踐需要安全設(shè)備之間相互聯(lián)動(dòng)、實(shí)現(xiàn)多云環(huán)境下的數(shù)據(jù)共享，加速推動(dòng)安全行業(yè)從堆砌安全硬件向提供解決方案/服務(wù)發(fā)展，同時(shí)對(duì)客戶形成強(qiáng)粘性。我們認(rèn)為研發(fā)能力強(qiáng)、產(chǎn)品線種類齊全的廠商在其中的優(yōu)勢(shì)會(huì)越發(fā)明顯。核心要點(diǎn)2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第2頁(yè)。核心要點(diǎn)由于中美安全市場(chǎng)客戶結(jié)構(gòu)不同以及企業(yè)上公有云速度差異，美國(guó)零信任SaaS公司的成功之路路在國(guó)內(nèi)還缺乏復(fù)制基礎(chǔ)。美國(guó)網(wǎng)絡(luò)安全需求大頭來(lái)自于企業(yè)級(jí)客戶，這些企業(yè)級(jí)客戶對(duì)公有云的接受程度高，過(guò)去?幾年年上云趨勢(shì)明顯。根據(jù)Okta發(fā)布的《2019工作報(bào)告》，Okta客戶平均擁有83個(gè)云應(yīng)用，其中9%的客戶擁有200多個(gè)云應(yīng)用。這種多云時(shí)代下企業(yè)級(jí)用戶統(tǒng)一身份認(rèn)證管理難度大、企業(yè)內(nèi)外網(wǎng)邊界極為模糊的環(huán)境，是Okta零信任SaaS商業(yè)模式得以發(fā)展的核心原因。目前國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)需求主要集中于政府、行業(yè)（金融、運(yùn)營(yíng)商、能源等），這些客戶目前上云主要以私有云為主，網(wǎng)安產(chǎn)品的部署模式仍未進(jìn)入SaaS化階段。但隨著未來(lái)我國(guó)公有云滲透率的提升，以及網(wǎng)安向企業(yè)客戶市場(chǎng)擴(kuò)張，零信任相關(guān)的SaaS業(yè)務(wù)將會(huì)迎來(lái)成長(zhǎng)機(jī)會(huì)。投資建議：零信任架構(gòu)的部署模式有望提升國(guó)內(nèi)網(wǎng)安市場(chǎng)集中度，將進(jìn)一步推動(dòng)研發(fā)能力強(qiáng)、擁有全線安全產(chǎn)品的頭部廠商擴(kuò)大市場(chǎng)份額、增加用戶粘性，重點(diǎn)推薦啟明星辰、綠盟科技、深信服、南洋股份，關(guān)注科創(chuàng)新星奇安信、安恒信息。風(fēng)險(xiǎn)提示：技術(shù)發(fā)展進(jìn)度不及預(yù)期；網(wǎng)安行業(yè)景?氣度不及預(yù)期可比公司估值對(duì)比表（深信服、安恒信息盈利預(yù)測(cè)來(lái)自Wind一致預(yù)測(cè)）2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第3頁(yè)。零信任：三大核心組件、六大要素零信任的實(shí)踐將為安全行業(yè)帶來(lái)增量需求國(guó)內(nèi)外安全廠商均已積極布局零信任相關(guān)產(chǎn)品投資建議2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第4頁(yè)。1.1

零信任架構(gòu)的興起與發(fā)展零信任架構(gòu)是一種端到端的企業(yè)資源和數(shù)據(jù)安全方法，包括身份（人和非人的實(shí)體）、憑證、訪問(wèn)管理、操作、端點(diǎn)、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。零信任體系架構(gòu)是零信任不是“不信任”的意思，它更像是“默認(rèn)不信任”，即“從零開(kāi)始構(gòu)建信任”的思想。零信任安全體系是圍繞“身份”構(gòu)建，基于權(quán)限最小化原則進(jìn)行設(shè)計(jì)，根據(jù)訪問(wèn)的風(fēng)險(xiǎn)等級(jí)進(jìn)行動(dòng)態(tài)身份認(rèn)證和授權(quán)。防火墻、VPN、UTM、入侵檢測(cè)等安全網(wǎng)關(guān)產(chǎn)品提供了強(qiáng)大的邊界防護(hù)能力，但檢測(cè)和阻斷內(nèi)部網(wǎng)絡(luò)攻擊的能力不足，并且也無(wú)法保護(hù)企業(yè)邊界外的主體（例如，遠(yuǎn)程工作者、基于云的服務(wù)、邊緣設(shè)備等）。于是從2004年年開(kāi)始，耶利哥論壇（JerichoForum)開(kāi)始為了定義無(wú)邊界趨勢(shì)下的網(wǎng)絡(luò)安全問(wèn)題并尋求解決方案，2010年年零信任術(shù)語(yǔ)正式出現(xiàn)，并于2014年年隨著移動(dòng)互聯(lián)、云環(huán)境、微服務(wù)等新場(chǎng)景的出現(xiàn)被大幅采用獲得越來(lái)越廣泛地認(rèn)可。圖1：零信任的發(fā)展歷史2004年年耶利哥論壇（JerichoForum)開(kāi)始為了定義無(wú)邊界趨勢(shì)下的網(wǎng)絡(luò)安全問(wèn)題并尋求解決方案2010年年零信任術(shù)語(yǔ)最早由Forrester的?首席分析師約翰·金德維（JohnKindervag）正式提出2011-2017年年Google

BeyondCorp實(shí)施落地2017年年業(yè)界廠商大力跟進(jìn)，包括思科、微軟、亞?馬遜、Cyxtera……2018年年至今中央部委、國(guó)家機(jī)關(guān)、中大型企業(yè)開(kāi)始探索實(shí)踐零信任安全架構(gòu)2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第5頁(yè)。1.2

零信任架構(gòu)的三大核心組件零信任的核心組件包括策略引擎（PolicyEngine,PE）、策略管理器（PolicyAdministrator,PA）和策略執(zhí)行點(diǎn)（PolicyEnforcementPoint,PEP）。這些核心組件負(fù)責(zé)從收集、處理相關(guān)信息到?jīng)Q定是否授予權(quán)限的全過(guò)程。通過(guò)這些組件可以實(shí)現(xiàn)的零信任架構(gòu)的核心能力有：身份認(rèn)證、最小權(quán)限、資源隱藏、微隔離、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制。圖2：零信任架構(gòu)資料料來(lái)源：NIST《零信任架構(gòu)》白皮書、招商證券表1：零信任架構(gòu)核心組件組件 功能 工作方式 備注策略引擎（Policy

Engine,PE）最終決定是否授予訪問(wèn)權(quán)限輸入企業(yè)安全策略及外部信息（如IP類名單、威脅情報(bào)服務(wù)），做出授予或拒絕訪問(wèn)的決定與PA配對(duì)使用，PE做出（并記錄）決策，PA執(zhí)行決策（批準(zhǔn)或拒絕）策略管理器（PolicyAdministrator,PA）建?立客戶端與資源之間的連接（是邏輯職責(zé)，而非物理連接）生成針對(duì)具體會(huì)話的身份驗(yàn)證令牌或憑證，供客戶端用于訪問(wèn)企業(yè)資源實(shí)現(xiàn)時(shí)可以將PE和PA作為單個(gè)服務(wù)策略執(zhí)行點(diǎn)（PolicyEnforcementPoint,

PEP）負(fù)責(zé)啟用、監(jiān)視并最終終止主體和企業(yè)資源之間的連接。PE與

PA

通信以轉(zhuǎn)發(fā)請(qǐng)求，或從

PA

接收策略更新策略管理器與策略執(zhí)行點(diǎn)通過(guò)控制面板(ControlPlane)保持通信2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第6頁(yè)。知識(shí)因素（用戶所知道的）密碼PIN手勢(shì)……占有因素（用戶所擁有的）證書軟件硬件口令……固有因素（用戶的特征）生物因素（指紋、五官、聲?音……）行為因素（打字速度、使用?鼠標(biāo)的習(xí)慣……）隱形屬性地理位置設(shè)備特征……該部分單獨(dú)不能成為驗(yàn)證的因素，但是可以增強(qiáng)驗(yàn)證的可信度單點(diǎn)登錄（SSO，SingleSignOn）指的是在一個(gè)多系統(tǒng)共存的環(huán)境下，用戶在一處登錄后同時(shí)也登錄了其他的系統(tǒng)。因此在進(jìn)入其他協(xié)作系統(tǒng)之后無(wú)需重復(fù)登錄，提高了用戶的使用體驗(yàn)。用戶SSO程序1程序2程序3零信任的身份認(rèn)證有兩方面的含義。一方面是網(wǎng)絡(luò)中的用戶和設(shè)備都被賦予了數(shù)字身份，將用戶和設(shè)備構(gòu)建成為訪問(wèn)主體進(jìn)行身份認(rèn)證，另一方面是用戶和設(shè)備能進(jìn)行組合以靈活滿足需要。身份認(rèn)證是零信任的基石。零信任的整個(gè)身份識(shí)別、信用評(píng)估和權(quán)限授予都建?立在身份之上。身份與訪問(wèn)管理(IAM)可以通過(guò)多因?子身份驗(yàn)證(MFA)和單點(diǎn)登錄（SSO）等身份驗(yàn)證模型實(shí)現(xiàn)。MFA指的是身份認(rèn)證過(guò)程中要求用戶提供兩個(gè)或多個(gè)身份驗(yàn)證因素：圖3：多因素認(rèn)證因素圖4：?jiǎn)吸c(diǎn)登錄示意圖1.3零信任的六大實(shí)現(xiàn)要素——身份認(rèn)證2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第7頁(yè)。在將用戶和設(shè)備的身份數(shù)字化之后，系統(tǒng)需要通過(guò)確認(rèn)用戶的身份、用戶的訪問(wèn)權(quán)限、設(shè)備的安全程度、設(shè)備的訪問(wèn)權(quán)限等來(lái)判斷用戶和設(shè)備的信任等級(jí)。確認(rèn)用戶的身份：方式主要為多因素身份認(rèn)證，如推送登錄請(qǐng)求、短信、密碼、指紋等。確認(rèn)設(shè)備的身份：主要通過(guò)設(shè)備的識(shí)別碼、設(shè)備的安全性等確認(rèn)。圖5：用戶/設(shè)備的信任建?立方式1.3

零信任的六大實(shí)現(xiàn)要素——身份認(rèn)證2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第8頁(yè)。用戶設(shè)備程序單獨(dú)授權(quán)用戶設(shè)備程序整體授權(quán)傳統(tǒng)架構(gòu)零信任架構(gòu)例如，允許員工通過(guò)企業(yè)發(fā)放的工作筆記本電腦提交源代碼，但是禁止員工使用手機(jī)進(jìn)行類似操作，說(shuō)明權(quán)限是基于“員工信息+工作用筆記本電腦”這個(gè)實(shí)體所授予的，若采用“員工信息+手機(jī)”則不符合授權(quán)的實(shí)體，因此不能提交源代碼，從而終端的風(fēng)險(xiǎn)可以得到很好控制。而傳統(tǒng)架構(gòu)下，不論終端如何，只要員工提供了賬號(hào)和密碼均能提交，安全風(fēng)險(xiǎn)很難得到控制。最小權(quán)限指的是一個(gè)實(shí)體被授予的權(quán)限僅限于完成任務(wù)所需要的；并且如果需要更高訪問(wèn)權(quán)限，則只能在需要的時(shí)候獲得。權(quán)限授予的主體是一個(gè)信息集合，集合內(nèi)包括用戶、應(yīng)用程序和設(shè)備3類實(shí)體信息。傳統(tǒng)架構(gòu)一般單獨(dú)對(duì)各個(gè)實(shí)體；但是在零信任網(wǎng)絡(luò)中，將3類實(shí)體組成的網(wǎng)絡(luò)代理作為整體授權(quán)，這3類實(shí)體形成密不可分的整體，共同構(gòu)成用戶訪問(wèn)上下?文。網(wǎng)絡(luò)代理具有短時(shí)性特征，授權(quán)時(shí)按需臨時(shí)生成，因此在用戶請(qǐng)求權(quán)限時(shí)根據(jù)實(shí)時(shí)狀態(tài)臨時(shí)生成相應(yīng)的網(wǎng)絡(luò)代理即可實(shí)現(xiàn)當(dāng)下的最小權(quán)限。圖6：零信任架構(gòu)授權(quán)方式與傳統(tǒng)架構(gòu)的區(qū)別1.3

零信任的六大實(shí)現(xiàn)要素——最小授權(quán)2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第9頁(yè)。資產(chǎn)隱藏指的是核心資產(chǎn)的各種訪問(wèn)路路徑被零信任架構(gòu)隱藏在組件之中，默認(rèn)情況對(duì)訪問(wèn)主體不可?見(jiàn)，只有經(jīng)過(guò)認(rèn)證、具有權(quán)限、信任等級(jí)符合安全策略要求的訪問(wèn)請(qǐng)求才予以放行，保護(hù)的是從用戶到服務(wù)器的南北北向的數(shù)據(jù)流。資產(chǎn)的訪問(wèn)路路徑的隱藏是通過(guò)隱藏業(yè)務(wù)端口的方式實(shí)現(xiàn)的。端口可以認(rèn)為是打開(kāi)業(yè)務(wù)的?門，因此是攻擊者攻擊的目標(biāo)。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)中，用戶需要通過(guò)客戶端先建?立與服務(wù)器的連接，因此服務(wù)器的端口就被暴露露在公網(wǎng)中，若客戶端存在漏漏洞洞則很容易易被利用，企業(yè)為了抵抗攻擊，有兩種應(yīng)對(duì)策略。第一種為將端口暴露露在公網(wǎng)上，對(duì)訪問(wèn)進(jìn)行過(guò)濾，即WAF。由于WAF是公開(kāi)的，因此每個(gè)人都可以研究如何繞過(guò)防御或者對(duì)WAF進(jìn)行攻擊。第?二種策略為通過(guò)VPN接入，不把業(yè)務(wù)端口暴露露在公網(wǎng)。雖然可以減少暴露露面，但是由于VPN本身還有暴露露一個(gè)VPN的端口，因此仍舊存在危險(xiǎn)。零信任架構(gòu)下資產(chǎn)的訪問(wèn)需要先通過(guò)可信應(yīng)用代理/可信API代理/網(wǎng)關(guān)認(rèn)證，再被授予相應(yīng)的訪問(wèn)權(quán)限，這部分流程與企業(yè)資源無(wú)關(guān)，因此企業(yè)的資源被隱藏在零信任的組件之后。圖7：傳統(tǒng)的先連接后認(rèn)證授權(quán)方式圖8：零信 任的預(yù)認(rèn)證、預(yù)授權(quán)方式1.3

零信任的六大實(shí)現(xiàn)要素——資產(chǎn)隱藏2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第10頁(yè)。NIST白皮書提到的一種實(shí)現(xiàn)方式為SDP（軟件定義邊界，software-defined

perimeter）技術(shù)，SDP使用中在部署安全邊界的技術(shù)，可以將服務(wù)與不安全的網(wǎng)絡(luò)隔離開(kāi)來(lái)。它可以實(shí)現(xiàn)對(duì)端口的隱藏，攻擊者接入發(fā)現(xiàn)IP地址上沒(méi)有內(nèi)容，然而有權(quán)限的業(yè)務(wù)人員卻可以正常訪問(wèn)。SDP實(shí)現(xiàn)隱藏端口的效果是通過(guò)SDP客戶端和SDP網(wǎng)關(guān)實(shí)現(xiàn)的。SDP網(wǎng)關(guān)的默認(rèn)規(guī)則為關(guān)閉所有端口，拒絕一切連接，因此實(shí)現(xiàn)“隱身”的效果。而用戶要求連接的時(shí)候需要SDP客戶端使用帶有用戶身份和申請(qǐng)?jiān)L問(wèn)的端口的數(shù)據(jù)包“敲?門”，SDP網(wǎng)關(guān)驗(yàn)證通過(guò)后來(lái)自該用戶IP的流量才能訪問(wèn)端口。因此通過(guò)將訪問(wèn)業(yè)務(wù)的端口放在SDP網(wǎng)關(guān)之后就可以實(shí)現(xiàn)將業(yè)務(wù)隱藏在組件之中的效果，只有先通過(guò)認(rèn)證、獲得授權(quán)才能獲取資源。即使端口對(duì)用戶開(kāi)放之后，由于攻擊者的IP與用戶的IP不同，因此仍舊無(wú)法訪問(wèn)。并且該端口對(duì)用戶只是暫時(shí)開(kāi)放，需要SDP客戶端定期敲?門保持端口開(kāi)放。圖9：攻擊者直接攻擊VPN的端口圖10：SDP下攻擊者無(wú)法找到端口攻擊1.3

零信任的六大實(shí)現(xiàn)要素——資產(chǎn)隱藏2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第11頁(yè)。微隔離技術(shù)指的是將服務(wù)器與服務(wù)器之間隔離，一個(gè)服務(wù)器訪問(wèn)另一個(gè)服務(wù)器之前需要認(rèn)證身份是否可信。微隔離是零信任架構(gòu)的重要組成部分，SDP保護(hù)的是用戶與服務(wù)器之間的安全，微隔離技術(shù)是用于實(shí)現(xiàn)服務(wù)器與服務(wù)器之間的東西向數(shù)據(jù)流安全。微隔離目前主要應(yīng)用于數(shù)據(jù)中心，該技術(shù)通常面向工作負(fù)載而不是面向用戶。對(duì)于在外部的攻擊者，防火墻可以發(fā)揮作用；但是對(duì)于已經(jīng)進(jìn)入內(nèi)網(wǎng)的攻擊者，在沒(méi)有實(shí)現(xiàn)微隔離的時(shí)候，攻擊者會(huì)攻擊到所有服務(wù)器；而實(shí)現(xiàn)微隔離之后攻擊范圍大大減少。微隔離有點(diǎn)像疫情時(shí)期的口罩。面對(duì)大量的人口流動(dòng)，每棟大樓?門前的體溫檢測(cè)機(jī)有時(shí)候作用有限，很容易易有無(wú)癥狀的感染者進(jìn)入大廈。如果每個(gè)人都帶上口罩，互相隔離就能很好地防止病毒的傳播。圖11：傳統(tǒng)隔離模式 圖12：微隔離模式1.3

零信任的六大實(shí)現(xiàn)要素——微隔離2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第12頁(yè)。基于agent客戶端的實(shí)現(xiàn)基于云原生的實(shí)現(xiàn)基于第三方防火墻的實(shí)現(xiàn)優(yōu)點(diǎn)與底層無(wú)關(guān)，支持多云隔離功能與基礎(chǔ)架構(gòu)都是云提供的，所以兩者兼容性更好，操作界面也類似網(wǎng)絡(luò)人員更熟悉缺點(diǎn)必須在每個(gè)服務(wù)器上安裝agent客戶端，可能有資源占用問(wèn)題無(wú)法跨越多個(gè)云環(huán)境進(jìn)行統(tǒng)一管控防火墻本身跑在服務(wù)器上，缺少對(duì)底層的控制目前主要有三種方式可以實(shí)現(xiàn)微隔離，分別為基于agent客戶端的實(shí)現(xiàn)、基于云原生的實(shí)現(xiàn)和基于第三方防火墻的實(shí)現(xiàn)基于agent客戶端的實(shí)現(xiàn)：這種實(shí)現(xiàn)方法指的是在每個(gè)服務(wù)器上安裝agent客戶端，在需要的時(shí)候agent調(diào)用主機(jī)的防火墻實(shí)現(xiàn)服務(wù)器之間訪問(wèn)的控制；基于云原生的實(shí)現(xiàn)：這種實(shí)現(xiàn)方法指的是使用云平臺(tái)基礎(chǔ)設(shè)備自身的防火墻實(shí)現(xiàn)訪問(wèn)控制；基于第三方防火墻的實(shí)現(xiàn)：這種實(shí)現(xiàn)方法指的是給重要的或有需要的服務(wù)器配備單獨(dú)防火墻。圖13：從左到右分別為基于agent客戶端的實(shí)現(xiàn)、基于云原生的實(shí)現(xiàn)和基于第三方防火墻的實(shí)現(xiàn)示意圖這三種方法具有各自的優(yōu)點(diǎn)和缺點(diǎn)，因此企業(yè)需要根據(jù)自己的業(yè)務(wù)和需求進(jìn)行配置。表2：三種方法的優(yōu)缺點(diǎn)1.3

零信任的六大實(shí)現(xiàn)要素——微隔離2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第13頁(yè)。持續(xù)信任評(píng)估是構(gòu)建零信任架構(gòu)的關(guān)鍵，是通過(guò)策略引擎（PolicyEngine，PE）來(lái)實(shí)現(xiàn)的。持續(xù)信任評(píng)估指的是在用戶訪問(wèn)的過(guò)程中的設(shè)備安全和安全變化、訪問(wèn)行為都被記錄下來(lái)用于評(píng)估實(shí)時(shí)的安全等級(jí)，并用來(lái)評(píng)估當(dāng)下的可信任程度。它基于數(shù)字身份形成初步評(píng)估，并形成主體信任，然后在此基礎(chǔ)上再根據(jù)主體和設(shè)備的認(rèn)證強(qiáng)度、設(shè)備風(fēng)險(xiǎn)和周圍環(huán)境等進(jìn)行動(dòng)態(tài)信任程度的調(diào)整。傳統(tǒng)的信任評(píng)估是靜態(tài)的，一旦獲得權(quán)限就不再變動(dòng)，而持續(xù)信任評(píng)估則會(huì)根據(jù)主體狀態(tài)進(jìn)行調(diào)整。PE負(fù)責(zé)最終決定是否授予指定訪問(wèn)主體對(duì)資源（訪問(wèn)客體）的訪問(wèn)權(quán)限。在確定好企業(yè)安全策略，并將IP?黑名單、威脅情報(bào)服務(wù)等信息輸入PE后，PE決定授予或拒絕對(duì)該資源的訪問(wèn)，策略引擎的核心作用是信任評(píng)估。總之，獲得權(quán)限只是開(kāi)始，零信任架構(gòu)還會(huì)在訪問(wèn)進(jìn)程中持續(xù)判定主體當(dāng)下的情況是否適合訪問(wèn)，動(dòng)態(tài)地決定下一步的動(dòng)作，比如阻斷回話、允許會(huì)話、進(jìn)一步判定、有限制的允許等。訪問(wèn)行為周圍環(huán)境終端環(huán)境持續(xù)信任評(píng)估策略引擎允許訪問(wèn)阻斷訪問(wèn)進(jìn)一步判定圖14：持續(xù)信任評(píng)估引擎工作原理示意圖圖15：信任引擎計(jì)算信任評(píng)分并授權(quán)1.3

零信任的六大實(shí)現(xiàn)要素——持續(xù)信任評(píng)估2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第14頁(yè)。動(dòng)態(tài)訪問(wèn)控制體現(xiàn)了零信任架構(gòu)的安全閉環(huán)能力，它根據(jù)信任評(píng)估持續(xù)調(diào)整用戶的權(quán)限。它使用了RBAC（以?角?色為基礎(chǔ)的存取控制）和ABAC（基于屬性的訪問(wèn)控制）的組合授權(quán)實(shí)現(xiàn)靈活的訪問(wèn)控制。舉個(gè)例?子，假如疫情期間有人想要進(jìn)辦公樓，辦公樓相當(dāng)于企業(yè)的數(shù)據(jù)，網(wǎng)絡(luò)攻擊相當(dāng)于病毒：?jiǎn)T工A 路路人B路路人員工?角?色判別高級(jí)權(quán)限：進(jìn)辦公樓（健康狀況未知）中級(jí)權(quán)限：在街上溜溜達(dá)中級(jí)權(quán)限：在街上溜溜達(dá)ABAC基于用戶+設(shè)備+其他要素管理，

細(xì)粒度，但操作復(fù)雜且占用資源較大員工A 健康碼 通行證 路路人B高級(jí)權(quán)限：進(jìn)辦公樓（健康）圖16：RBAC與ABAC的工作原理示意圖RBAC基于用戶?角?色管理，粗粒度，但是操作簡(jiǎn)便便1.3

零信任的六大實(shí)現(xiàn)要素——?jiǎng)討B(tài)訪問(wèn)控制2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第15頁(yè)。1.4

Google

BeyondCorp體系是零信任最成功的實(shí)踐之一在零信任發(fā)展過(guò)程中，谷歌的BeyondCorp模式是最成功的的實(shí)踐之一。BeyondCorp是一種無(wú)企業(yè)網(wǎng)絡(luò)特權(quán)的新模式，用戶和設(shè)備的訪問(wèn)都基于權(quán)限，與網(wǎng)絡(luò)位置無(wú)關(guān)，無(wú)論是在公司、家庭網(wǎng)絡(luò)、酒店或是咖啡店。所有對(duì)企業(yè)資源的訪問(wèn)都是基于設(shè)備狀態(tài)和用戶權(quán)限進(jìn)行全面認(rèn)證、授權(quán)和加密的。因此員工無(wú)需使用傳統(tǒng)的VPN即可實(shí)現(xiàn)在任何地點(diǎn)的安全訪問(wèn)。圖17：BeyondCor組件和工作流2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第16頁(yè)。機(jī)場(chǎng)wifi訪問(wèn)企業(yè)內(nèi)網(wǎng)訪問(wèn)代理訪問(wèn)代理（持有設(shè)備證書和單點(diǎn)登錄令牌）訪問(wèn)控制引擎授權(quán)檢查指向設(shè)備證書小明提供雙因素認(rèn)證重定向通過(guò)重定向到SSO持續(xù)認(rèn)證獲取服務(wù)谷歌大樓內(nèi)訪問(wèn)企業(yè)內(nèi)網(wǎng)電腦提供設(shè)備證書電腦提供1.4GoogleBeyondCorp體系是零信任最成功的實(shí)踐之一在BeyondCorp系統(tǒng)改造過(guò)程中有?幾個(gè)關(guān)鍵點(diǎn)：安全識(shí)別設(shè)備：只有受控設(shè)備（managed

devices）才能訪問(wèn)企業(yè)應(yīng)用，并且所有受控設(shè)備都有唯一標(biāo)識(shí)安全識(shí)別用戶：用戶/群組數(shù)據(jù)庫(kù)與谷歌的員工信息形成密切的數(shù)據(jù)集成消除基于網(wǎng)絡(luò)位置的信任：即使是在谷歌辦公大樓內(nèi)部的客戶端設(shè)備也被分配到無(wú)特權(quán)網(wǎng)絡(luò)中，介入這個(gè)網(wǎng)絡(luò)只有經(jīng)過(guò)代理網(wǎng)關(guān)的認(rèn)證授權(quán)后才能繼續(xù)訪問(wèn)企業(yè)應(yīng)用訪問(wèn)控制：通過(guò)查詢多個(gè)數(shù)據(jù)來(lái)源持續(xù)推斷每個(gè)用戶/設(shè)備的權(quán)限，權(quán)限可能隨時(shí)改變，并且本次訪問(wèn)權(quán)限的級(jí)別將為后續(xù)級(jí)別提供參考信息那么接下來(lái)我們看看員工是如何使用BeyondCorp的：假設(shè)員工在谷歌大樓內(nèi)接入內(nèi)網(wǎng)，則電腦需與RADIUS服務(wù)器進(jìn)行802.1x握手，無(wú)需通過(guò)訪問(wèn)代理訪問(wèn)。假如該員工在出差過(guò)程中需要在機(jī)場(chǎng)登錄內(nèi)網(wǎng)就會(huì)經(jīng)歷以下的過(guò)程：圖18：?jiǎn)T工接入內(nèi)網(wǎng)流程示意圖2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第17頁(yè)。零信任：三大核心組件、六大要素零信任的實(shí)踐將為安全行業(yè)帶來(lái)增量需求國(guó)內(nèi)外安全廠商均已積極布局零信任相關(guān)產(chǎn)品投資建議2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第18頁(yè)。2.1

零信任安全解決方案主要包括四個(gè)模塊目前零信任安全解決方案主要包括統(tǒng)一信任管理平臺(tái)、安全訪問(wèn)網(wǎng)關(guān)、安全管理平臺(tái)和可信終端套件四個(gè)產(chǎn)品組成。圖19：零安全解決方案主要產(chǎn)品及其架構(gòu)2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第19頁(yè)。設(shè)備代理/網(wǎng)關(guān)：傳統(tǒng)的接入方式為通過(guò)VPN接入，而零信任架構(gòu)下更多地是基于SDP技術(shù)的設(shè)備代理+網(wǎng)關(guān)接入。這種部署方式與VPN相比有一定優(yōu)勢(shì)，但是由于目前技術(shù)很難達(dá)到零信任方案要求的全流量加密且攜帶必要標(biāo)識(shí)信息，且高性能VPN也可以根據(jù)應(yīng)用安裝從而實(shí)現(xiàn)應(yīng)用層的控制并且目前VPN的普及程度更廣，所以基于SDP的設(shè)備代理/網(wǎng)關(guān)取代VPN還需要一段時(shí)間。安全管理平臺(tái)：安全管理平臺(tái)相當(dāng)于零信任架構(gòu)中的大腦，決定信用評(píng)估的策略引擎就在安全管理平臺(tái)之下。它通過(guò)收集情報(bào)數(shù)據(jù)、其他風(fēng)險(xiǎn)數(shù)據(jù)、使用日志等信息，經(jīng)過(guò)分析評(píng)估之后做出決策并將決策下發(fā)信任管理平臺(tái)。終端安全：終端安全類產(chǎn)品提供設(shè)備的安全狀態(tài)信息，分為終端安全服務(wù)平臺(tái)和可信終端Agent兩部分?？尚沤K端Agent負(fù)責(zé)收集終端環(huán)境信息、保護(hù)終端安全與提供終端訪問(wèn)代理的功能，終端安全服務(wù)平臺(tái)則通過(guò)處理終端信息與統(tǒng)一信任管理平臺(tái)進(jìn)行數(shù)據(jù)傳輸。2.1

零信任安全解決方案主要包括四個(gè)模塊統(tǒng)一信任管理平臺(tái)：統(tǒng)一信任管理平臺(tái)至少具備身份認(rèn)證模塊、權(quán)限管理模塊和安全審計(jì)模塊，集合了用戶、認(rèn)證、授權(quán)、應(yīng)用、審計(jì)的統(tǒng)一管理功能，是用戶身份和訪問(wèn)管理的平臺(tái)。其中，統(tǒng)一身份認(rèn)證（Identityand

AccessManagement，簡(jiǎn)稱IAM）是平臺(tái)內(nèi)最重要的功能組件，包含了SSO和MFA）。IAM在工作過(guò)程中與零信任各組件之間協(xié)調(diào)聯(lián)動(dòng)，根據(jù)安全管理平臺(tái)的分析的決策對(duì)用戶可信度進(jìn)行認(rèn)證，并將信息傳遞給安全認(rèn)證網(wǎng)關(guān)，整個(gè)過(guò)程處于動(dòng)態(tài)之中，實(shí)現(xiàn)持續(xù)的可信驗(yàn)證。因此IAM是零信任身份認(rèn)證的關(guān)鍵。圖20：IAM功能2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第20頁(yè)。由于企業(yè)的架構(gòu)與業(yè)務(wù)開(kāi)展方式不同，部署零信任的方式也有差異。擁有多分支機(jī)構(gòu)的企業(yè)：在擁有總部和位于各地的分支機(jī)構(gòu)或遠(yuǎn)程工作的員工的企業(yè)部署方式為，策略

引擎(PE)/策略管理器(PA)通常作為云服務(wù)托管，終端資產(chǎn)安裝代理或訪問(wèn)資源?門戶。多云/云到云的企業(yè)：企業(yè)有一個(gè)本地網(wǎng)絡(luò)，但使用多個(gè)云服務(wù)提供商承載應(yīng)用、服務(wù)和數(shù)據(jù)。此時(shí)需要企業(yè)架構(gòu)師了解各個(gè)云提供商的基礎(chǔ)上，在每個(gè)資源訪問(wèn)點(diǎn)前放置策略執(zhí)行點(diǎn)，PE和PA可以位于云或第三方云提供商上的服務(wù)，客戶端直接訪問(wèn)策略執(zhí)行點(diǎn)。存在外包服務(wù)或非員工訪問(wèn)的企業(yè)：企業(yè)有時(shí)需要外包在現(xiàn)場(chǎng)為企業(yè)提供服務(wù)，或非員工會(huì)在會(huì)議中心與員工交互。這種情況下，PE和PA可以作為云服務(wù)或在局域網(wǎng)上托管，企業(yè)可以安全代理或通過(guò)?門戶訪問(wèn)資源，沒(méi)有安全代理的系統(tǒng)不能訪問(wèn)資源但可訪問(wèn)互聯(lián)網(wǎng)。跨企業(yè)協(xié)作：企業(yè)A、B員工協(xié)作，其中企業(yè)B的員工需要訪問(wèn)企業(yè)A的數(shù)據(jù)庫(kù)，這種情況與擁有多分支機(jī)構(gòu)企業(yè)相似，作為云服務(wù)托管的PE和PA允許各方訪問(wèn)數(shù)據(jù)庫(kù)，且企業(yè)B的員工需安裝代理或通過(guò)Web代理網(wǎng)關(guān)訪問(wèn)。面向公眾或客戶提供服務(wù)的企業(yè)：零信任只對(duì)企業(yè)的客戶或注冊(cè)用戶適用，但由于請(qǐng)求的資產(chǎn)很可能不是企業(yè)所有所以零信任的實(shí)施受限。圖22：擁有多分支機(jī)構(gòu)的企業(yè)圖23：多云/云到云的企業(yè)圖24：存在外包服務(wù)或非員工訪問(wèn)的企業(yè)圖21：跨企業(yè)協(xié)作2.2

零信任的主要部署場(chǎng)景2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第21頁(yè)。2.3

零信任將會(huì)對(duì)部分安全產(chǎn)品帶來(lái)增量效應(yīng)零信任作為一種網(wǎng)絡(luò)安全解決方案的思路路，它的部署需要一系列列的產(chǎn)品配合，有些產(chǎn)品是零信任特有的，有些功能則只需要建?立在原來(lái)設(shè)備的基礎(chǔ)上整合入零信任平臺(tái)即可。具體來(lái)看，零信任的實(shí)踐需要各類安全產(chǎn)品組合，將對(duì)相關(guān)產(chǎn)品形成增量需求：1）IAM/IDaaS等統(tǒng)一身份認(rèn)證與權(quán)限管理產(chǎn)品/服務(wù)；2）安全接入網(wǎng)關(guān)：基于SDP實(shí)現(xiàn)的安全接入網(wǎng)關(guān)與VPN相比有一定優(yōu)勢(shì)，但是由于目前技術(shù)很難達(dá)到零信任方案要求的全流量加密且攜帶必要標(biāo)識(shí)信息，因?yàn)楦咝阅躒PN也可以根據(jù)應(yīng)用安裝從而實(shí)現(xiàn)應(yīng)用層的控制并且目前VPN的普及程度更廣；3）態(tài)勢(shì)感知、TIP等安全平臺(tái)類產(chǎn)品是零信任的大腦，幫助實(shí)時(shí)對(duì)資產(chǎn)狀態(tài)、威脅情報(bào)數(shù)據(jù)等進(jìn)行監(jiān)測(cè)；4）EDR、云桌面管理等終端安全產(chǎn)品的配合，實(shí)現(xiàn)將零信任架構(gòu)拓拓展到終端和用戶；（5）日志審計(jì)：匯聚企業(yè)終端、網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用、安全系統(tǒng)等產(chǎn)生的日志，并進(jìn)行審計(jì)，為策略引擎提供數(shù)據(jù)輸入

。此外，NGFW、WAF、可信API代理等產(chǎn)品也在其中發(fā)揮重要支撐作用。圖25：零信任解決方案架構(gòu)2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第22頁(yè)。2.4

零信任將會(huì)成為安全行業(yè)未來(lái)的重要發(fā)展方向圖26：未來(lái)是否會(huì)采用零信任架構(gòu)？零信任抓住了目前網(wǎng)絡(luò)安全用戶的痛點(diǎn)，零信任是未來(lái)網(wǎng)絡(luò)安全技術(shù)的重要發(fā)展方向。根據(jù)Cybersecurity的調(diào)查，目前網(wǎng)絡(luò)安全的最大的挑戰(zhàn)是私有應(yīng)用程序的訪問(wèn)端口?十分分散，以及內(nèi)部用戶的權(quán)限過(guò)多。62%的企業(yè)認(rèn)為保護(hù)遍布在各個(gè)數(shù)據(jù)中心和云上的端口是目前最大的挑戰(zhàn)，并且61%的企業(yè)最擔(dān)心的是內(nèi)部用戶被給予的權(quán)限過(guò)多的問(wèn)題。這兩點(diǎn)正是零信任專注解決的問(wèn)題，現(xiàn)在有78%的網(wǎng)絡(luò)安全團(tuán)隊(duì)在嘗試采用零信任架構(gòu)。圖27：目前端口防護(hù)面臨的最大的挑戰(zhàn)？圖28：目前企業(yè)安全最擔(dān)憂的事情？2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第23頁(yè)。零信任：三大核心組件、六大要素零信任的實(shí)踐將為安全行業(yè)帶來(lái)增量需求國(guó)內(nèi)外安全廠商均已積極布局零信任相關(guān)產(chǎn)品投資建議2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第24頁(yè)。海?外零信任市場(chǎng)蓬勃發(fā)展，眾多安全廠商已通過(guò)自研或收購(gòu)?fù)瞥鐾暾鉀Q方案。Google

BeyondCorp、微軟的Azure

ZeroTrust

Framework都經(jīng)過(guò)了公司內(nèi)部的實(shí)踐后推出的產(chǎn)品。Okta為代表的身份安全廠商推出的零信任解決方案以“身份認(rèn)證”為重點(diǎn)。思科、賽?門鐵克等公司推出的方案則以網(wǎng)絡(luò)實(shí)施方式為主。另外外延并購(gòu)也常?見(jiàn)于零信任產(chǎn)品發(fā)展的過(guò)程中，如OKTA在2018年年并購(gòu)ScaleFT。3.1

海外眾多安全廠商通過(guò)自研或收購(gòu)切入零信任市場(chǎng)供應(yīng)商產(chǎn)品或服務(wù)名稱AkamaiEnterpriseApplication

AccessCato

NetworksCatoCloud思科DuoBeyond（收購(gòu)）CloudDeeTechnologyDeepCloud

SDPCloudflareCloudflare

AccessInstaSafeSecure

AccessMeta

NetworksNetworkasaService

PlatformNew

EdgeSecureApplication

NetworkOktaOkta身份云SAIFEContinuum賽?門鐵克Luminate安全訪問(wèn)云（收購(gòu)）VerizonVidder

Precision

Access（收購(gòu)）ZscalerPrivate

AccessGoogleBeyondCorp供應(yīng)商產(chǎn)品或服務(wù)名稱BlackRidgeTechnologyTransportAccess

ControlCertes

NetworksZeroTrust

WANCyxteraAppGate

SDPGoogleCloudPlatform

(GCP)云身份感知代理（云IAP）Microsoft

（僅Windows

系統(tǒng)）AzureADApplication

ProxyPulse

SecurePulse

SDPSafe-TSoftware-DefinedAccess

SuiteUnisysStealthWaverley

LabsOpenSourceSoftwareDefinedPerimeterZentera

SystemsCloud-Over-I(COiP)

Access表3：海?外零信任服務(wù)的代表提供商表4：海?外零信任產(chǎn)品的代表提供商2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第25頁(yè)。2009年年

2010年年公司成?立推出SSO產(chǎn)品推出IAM產(chǎn)品Okta身份云（IdentityCloud））2013年年推出通用目錄（UniversalDirectory）產(chǎn)品2014年年推出移動(dòng)管理（MobilityManagement）產(chǎn)品身份云與SSO和通用目錄集成提供身份云API對(duì)外開(kāi)放，可與合作伙伴或第三方產(chǎn)品集成2015年年推出自適應(yīng)多因素身份認(rèn)證（AdaptiveMulti-FactorAuthentication），并集成于身份云2016年年推出生命周期管理（LifecyleManagement），擴(kuò)展所有產(chǎn)品系列列的預(yù)配置功能2018年年收購(gòu)零信任安全公司ScaleFT，訪問(wèn)管理平臺(tái)可實(shí)現(xiàn)無(wú)VPN的遠(yuǎn)程安全訪問(wèn)2019年年收購(gòu)工作流程自動(dòng)化公司Azuqua以簡(jiǎn)化身份創(chuàng)建流程3.2

海外零信任公司——專注身份認(rèn)證產(chǎn)品的OktaOkta以身份管理起家，通過(guò)內(nèi)生外延成為零信任領(lǐng)域的領(lǐng)導(dǎo)廠商。Okta的兩位創(chuàng)始人曾擔(dān)任Salesforce早期高管，后因意識(shí)到多云多終端時(shí)代統(tǒng)一身份管理的重要性而創(chuàng)辦Okta。Okta于2009年年創(chuàng)?立，在身份認(rèn)證領(lǐng)域持續(xù)深耕成為領(lǐng)先廠商。Okta在2018年年收購(gòu)零信任安全公司ScaleFT，ScaleFT的技術(shù)和VPN這種邊界防護(hù)技術(shù)不一樣，是通過(guò)用戶狀態(tài)、用戶權(quán)限去進(jìn)行安全管理。Okta核心競(jìng)爭(zhēng)力在于與多款云應(yīng)用產(chǎn)品集成。與企業(yè)客戶常用的6500多款云應(yīng)用進(jìn)行了集成，這是Okta最強(qiáng)力的競(jìng)爭(zhēng)優(yōu)勢(shì)，通過(guò)Okta可以登錄包括AWS、Office365等多個(gè)應(yīng)用。此外公司產(chǎn)品標(biāo)準(zhǔn)化程度高，通過(guò)?鼠標(biāo)點(diǎn)擊即可安裝，操作簡(jiǎn)單；企業(yè)管理員可以為全公司配置通用內(nèi)部系統(tǒng)，配置時(shí)間短；可滿足企業(yè)用戶對(duì)?頁(yè)面的個(gè)性化需求等。圖29：Okta不斷通過(guò)內(nèi)生外延深耕身份管理資料料來(lái)源：Okta招股書、招商證券圖30：IAM產(chǎn)品的Gartner魔力象限圖31：Okta身份認(rèn)證平臺(tái)支持的部分軟件2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第26頁(yè)。Okta的商業(yè)模式以訂閱制為主。Okta給客戶提供服務(wù)主要是以Saas的方式進(jìn)行并收取訂閱費(fèi)，輔以少量的開(kāi)發(fā)服務(wù)，目前其訂閱收入占到總收入的95%左右。由于美國(guó)企業(yè)上云進(jìn)度快，Okta過(guò)去?幾年年收入增速迅猛。美國(guó)信息安全需求大頭來(lái)自于企業(yè)級(jí)客戶，這些企業(yè)級(jí)客戶對(duì)公有云的接受程度高，過(guò)去?幾年年上云趨勢(shì)明顯：根據(jù)Okta發(fā)布的《

2019工作報(bào)告》，Okta客戶平均擁有83個(gè)云應(yīng)用，其中9%的客戶擁有200多個(gè)云應(yīng)用，并且這一數(shù)字還在繼續(xù)增長(zhǎng)。Okta通過(guò)統(tǒng)一身份認(rèn)證產(chǎn)品很好地解決了多云時(shí)代部署越來(lái)越多應(yīng)用的企業(yè)級(jí)應(yīng)用用戶單點(diǎn)登錄管理的需求，幫助其營(yíng)收在過(guò)去?幾年年大幅增長(zhǎng)。3.2

Okta充分受益于美國(guó)企業(yè)上云大趨勢(shì)0.41010.85911.60335.860793%89%89%2.599993%92%3.992586%87%88%89%90%91%92%93%94%94%95%012345672015 2016 2017 2018 2019 2020營(yíng)業(yè)收入（億美元） 訂閱收入占比圖32：Okta營(yíng)業(yè)收入與訂閱收入/總收入情況圖33：Okta平均每位用戶擁有的應(yīng)用數(shù)圖34：Okta平均每位用戶擁有的應(yīng)用數(shù)（對(duì)用戶規(guī)模分類）2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第27頁(yè)。持續(xù)不斷地集成多云應(yīng)用，是Okta的核心競(jìng)爭(zhēng)力。在2020年年7?月底，被Okta集成的云應(yīng)用多達(dá)6500款。客戶和高價(jià)值客戶數(shù)量持續(xù)增長(zhǎng)，高續(xù)費(fèi)率顯示極強(qiáng)客戶黏性。在2020年年7?月底，Okta的客戶數(shù)高達(dá)8950家，其中給Okta貢獻(xiàn)10萬(wàn)美元年年合同以上的客戶數(shù)量達(dá)到1685家。公司過(guò)去12個(gè)?月的凈續(xù)費(fèi)率達(dá)到119%，顯示出良好的客戶黏性。3.2

OKTA具有良好的財(cái)務(wù)數(shù)據(jù)表現(xiàn)500055006000650040004500500055006000650070002017201820192020120%123%121%120%119%123%122%121%120%119%118%117%124%20162017201820192020凈續(xù)費(fèi)率圖35：Okta大客戶數(shù)量及其占總客戶數(shù)比重圖36：Okta凈續(xù)費(fèi)率圖37：Okta第三方軟件集成數(shù)目第三方軟件集成數(shù)目（個(gè)）443691103814671959266267136595062648312%14%16%17%16%14%12%10%8%6%4%2%0%18%

18%20%900080007000600050004000300020001000020162017201820192020合同價(jià)值≤10萬(wàn)美元客戶數(shù)（個(gè)）合同價(jià)值＞10萬(wàn)美元客戶數(shù)（個(gè)）合同價(jià)值＞10萬(wàn)美元客戶/總客戶2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第28頁(yè)。3.2

零信任Saas企業(yè)Zscaler也顯示出良好的財(cái)務(wù)數(shù)據(jù)28003250390010%15%20%0%5%10%15%20%010002000300040005000201720182019客戶數(shù)（位）53.7125.7190.2805.30%57%51%302.859%60%58%56%54%52%50%48%46%44%25% 35030025020015010050020152016201720182019收入（百萬(wàn)美元）116%115%115%117%118%113%114%115%116%117%118%119%2019續(xù)費(fèi)率67.096.5156.4390.044%62%65%257.651%0%20%40%60%80%0.0100.0200.0300.0400.0500.0201720182019訂單數(shù)（百萬(wàn)美元） 增長(zhǎng)率Zscaler零信任產(chǎn)品ZAP客戶持續(xù)增長(zhǎng)，并且黏性很強(qiáng)。Zscaler成?立于2008年年。Zscaler通過(guò)云平臺(tái)提供安全服務(wù)，其安全節(jié)點(diǎn)分布在全球100個(gè)數(shù)據(jù)中心。截止2019年年7?月底為3900個(gè)客戶提供服務(wù)，其中400家為全球2000強(qiáng)，且新增訂單金額仍在快速增長(zhǎng)。Zscaler主要產(chǎn)品包括Web網(wǎng)關(guān)解決方案Internet

Access（ZIP）和提供遠(yuǎn)程訪問(wèn)云上內(nèi)部應(yīng)用程序功能的Private

Access（ZAP），前者主要功能是保護(hù)客戶免受惡意流量攻擊，后者是零信任，收費(fèi)方式基本是訂閱制。Zscaler的續(xù)費(fèi)率為118%，同樣顯示出了良好的客戶黏性。圖38：公司續(xù)費(fèi)率情況 圖38：公司新增訂單情況2015 2016 2017 2018圖38：公司客戶數(shù)及福布斯世界2000強(qiáng)覆蓋率2015 2016圖38：公司收入情況2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第29頁(yè)。由于中美安全市場(chǎng)客戶結(jié)構(gòu)不同以及企業(yè)上公有云速度差異，美國(guó)零信任SaaS公司的成功之路路在國(guó)內(nèi)還缺乏復(fù)制基礎(chǔ)。美國(guó)網(wǎng)絡(luò)安全需求大頭來(lái)自于企業(yè)級(jí)客戶，這些企業(yè)級(jí)客戶對(duì)公有云的接受程度高，過(guò)去?幾年年上云趨勢(shì)明顯。根據(jù)Okta發(fā)布的《2019工作報(bào)告》，Okta客戶平均擁有83個(gè)云應(yīng)用，其中9%的客戶擁有200多個(gè)云應(yīng)用。這種多云時(shí)代下企業(yè)級(jí)用戶統(tǒng)一身份認(rèn)證管理難度大、企業(yè)內(nèi)外網(wǎng)邊界極為模糊的環(huán)境，是Okta零信任SaaS商業(yè)模式得以發(fā)展的核心原因。目前國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)需求主要集中于政府、行業(yè)（金融、運(yùn)營(yíng)商、能源等），這些客戶目前上云主要以私有云為主，網(wǎng)安產(chǎn)品的部署模式仍未進(jìn)入SaaS化階段。但隨著未來(lái)我國(guó)公有云滲透率的提升，以及網(wǎng)安向企業(yè)客戶市場(chǎng)擴(kuò)張，零信任相關(guān)的SaaS業(yè)務(wù)將會(huì)迎來(lái)成長(zhǎng)機(jī)會(huì)。3.3

零信任對(duì)國(guó)內(nèi)安全廠商格局的影響與美國(guó)存在一定差異啟明星6%奇安信6%深信服

5%天融信5%綠盟科技3%其他75%目前零信任技術(shù)發(fā)展給國(guó)內(nèi)廠商帶來(lái)的機(jī)會(huì)，在于提升市場(chǎng)份額的集中度，利好產(chǎn)品線齊全的?龍頭廠商如奇安信、啟明星辰、綠盟科技、深信服等。在零信任技術(shù)之前，信息安全通常是被動(dòng)防御，以獨(dú)?立、堆砌的方式去部署各種各樣的盒?子（防火墻、IPS、IDS等）。在這樣的情況下，各個(gè)廠商之間的設(shè)備相互獨(dú)?立，不需要很強(qiáng)的聯(lián)動(dòng)能力，因此我們看到安全市場(chǎng)是一個(gè)較為分散的市場(chǎng)。但是隨著客戶面臨的安全環(huán)境越發(fā)復(fù)雜，以及以零信任、云原生為代表的新技術(shù)出現(xiàn)，使得信息安全向主動(dòng)防御轉(zhuǎn)變。這個(gè)時(shí)候需要信息安全設(shè)備之間相互聯(lián)動(dòng)、數(shù)據(jù)共享，研發(fā)能力強(qiáng)、產(chǎn)品種類齊全的廠商優(yōu)勢(shì)會(huì)越發(fā)明顯，不斷蠶??食研發(fā)能力弱、產(chǎn)品單一的廠商的份額。我們可以從各個(gè)公司官網(wǎng)看到，包括奇安信、啟明星辰、綠盟科技、深信服等多家廠商都推出了零信任的整體解決方案。圖38：國(guó)內(nèi)網(wǎng)安行業(yè)競(jìng)爭(zhēng)格局仍然相對(duì)分散2020-2021網(wǎng)絡(luò)安全行業(yè)研究報(bào)告全文共35頁(yè)，當(dāng)前為第30頁(yè)。3.3

國(guó)內(nèi)網(wǎng)安公司已紛紛開(kāi)始布局零信任相關(guān)產(chǎn)品目前我國(guó)眾多網(wǎng)安廠商均提供了零信任安全平臺(tái)或者在產(chǎn)品中采用了零信任思路路：表5：國(guó)內(nèi)網(wǎng)安公司的零信任產(chǎn)品布局、企業(yè)名稱主要產(chǎn)品/方案產(chǎn)品特點(diǎn)啟明星辰零信任安全管控平臺(tái)將人、設(shè)備、服務(wù)和應(yīng)用的身份均抽象成主體身份，以身份為中心，通過(guò)對(duì)主體身份屬性的持續(xù)身份認(rèn)證動(dòng)態(tài)授權(quán)，保障資源和數(shù)據(jù)的訪問(wèn)和使用安全綠盟科技零信任安全解決方案組合終端安全，身份識(shí)別與管理，網(wǎng)絡(luò)安全，應(yīng)用和數(shù)據(jù)安全，安全分析協(xié)作與響應(yīng)等模塊，構(gòu)建自適應(yīng)訪問(wèn)控制的零信任安全架構(gòu)奇安信奇安信零信任安全解 基于數(shù)字身份，對(duì)所有訪問(wèn)請(qǐng)求進(jìn)行加密、認(rèn)證和強(qiáng)制授權(quán)，進(jìn)行持續(xù)信任評(píng)估，并動(dòng)態(tài)調(diào)整權(quán)限，建?立決方案 一種動(dòng)態(tài)的信任關(guān)系深信服深信服aTrust安全解決方案在零信任的基礎(chǔ)上做了增強(qiáng)，通過(guò)信任和風(fēng)險(xiǎn)的反饋控制，實(shí)現(xiàn)“精確而足夠”的信任。同時(shí)，終端、邊界、外網(wǎng)的已有安全設(shè)備可以基于信任和風(fēng)險(xiǎn)的閉環(huán)進(jìn)行聯(lián)動(dòng)零信任VPN圍繞“以身份為中心，構(gòu)建可信訪問(wèn)、智能權(quán)限、極簡(jiǎn)運(yùn)維的零信任安全架構(gòu)”的核心價(jià)值理念，實(shí)現(xiàn)全面能力升級(jí)，助力用戶實(shí)現(xiàn)規(guī)模化、全員遠(yuǎn)程辦公天融信軟件定義安全SDSec解決方案該系統(tǒng)基于縱深防御模型，東西向微分段、零信任機(jī)制幫助云平臺(tái)解決虛機(jī)間東西向流量深度防護(hù)問(wèn)題，為用戶云上業(yè)務(wù)保駕護(hù)航天融信虛擬化分布式 零信任，微分段保護(hù)東西向流量；分布式部署，無(wú)安全處理

“瓶頸”，線速轉(zhuǎn)發(fā)，?水平擴(kuò)展；安全策略部署防火墻 貼近應(yīng)用，保障安全；虛機(jī)隨意遷移，策略全程有效安恒信息明御主機(jī)安全及管理系統(tǒng)集成了豐富的系統(tǒng)防護(hù)與加固、網(wǎng)絡(luò)防護(hù)與加固等功能的主機(jī)安全產(chǎn)品；通過(guò)內(nèi)核級(jí)東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；觸發(fā)登錄防護(hù)后，自動(dòng)聯(lián)動(dòng)添加微隔離規(guī)則迪普科技網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控平 幫助用戶實(shí)現(xiàn)資產(chǎn)測(cè)繪、漏漏洞洞感知及運(yùn)營(yíng)管理的產(chǎn)品，基于零信任安全理念，借助實(shí)時(shí)采集技術(shù)監(jiān)控資產(chǎn)臺(tái) 上下線狀態(tài)，確保只有可信資產(chǎn)接入網(wǎng)絡(luò)?山石網(wǎng)科?山石云·格通過(guò)虛機(jī)微分域（微隔離）及可視化技術(shù)，為用戶提供云安全服務(wù)，包括流量及應(yīng)用可視化，虛機(jī)之間威脅檢測(cè)與隔離，網(wǎng)絡(luò)攻擊審計(jì)與溯源安博通基于“零信任+”的流量

平臺(tái)融合應(yīng)用微隔離、攻擊面收斂、權(quán)限最小化等方法，實(shí)現(xiàn)更精準(zhǔn)的應(yīng)用控制；數(shù)據(jù)來(lái)源更豐富，包括