獲取報告請登錄【未來智庫】。
提綱:
- 零信任:三⼤大核⼼心組件、六⼤大要素
- 零信任的實踐將為安全⾏行行業帶來增量量需求
- 國內外安全⼚廠商均已積極佈局零信任相關產品
- 投資建議
報告摘要:
1.1 零信任架構的興起與發展
零信任架構是⼀一種端到端的企業資源和數據安全⽅方法,包括身份(⼈人和⾮非⼈人的實體)、憑證、訪問管理理、操 作、端點、宿主環境和互聯基礎設施。
• 零信任體系架構是零信任不不是“不不信任”的意思,它更更像是“默認不不信任”,即“從零開始構建信任”的思想。 零信任安全體系是圍繞“身份”構建,基於權限最⼩小化原則進⾏行行設計,根據訪問的⻛風險等級進⾏行行動態身份 認證和授權。
- 防⽕火牆、VPN、UTM、⼊入侵檢測等安全⽹網關產品提供了了強⼤大的邊界防護能⼒力力,但檢測和阻斷內部⽹網絡攻 擊的能⼒力力不不⾜足,並且也⽆無法保護企業邊界外的主體(例例如,遠程⼯工作者、基於雲的服務、邊緣設備等)。
- 於是從2004年年開始,耶利利哥論壇(Jericho Forum)開始為了了定義⽆無邊界趨勢下的⽹網絡安全問題並尋求解 決⽅方案,2010年年零信任術語正式出現,並於2014年年隨著移動互聯、雲環境、微服務等新場景的出現被⼤大 幅採⽤用獲得越來越⼴廣泛地認可。
1.2 零信任架構的三大核心組件
- 零信任的核⼼心組件包括策略略 引擎(Policy Engine, PE)、 策略略管理理器器(Policy Administrator, PA)和策略略 執⾏行行點(Policy Enforcement Point, PEP)。
- 這些核⼼心組件負責從收集、 處理理相關信息到決定是否授 予權限的全過程。
- 通過這些組件可以實現的零 信任架構的核⼼心能⼒力力有:身 份認證、最⼩小權限、資源隱 藏、微隔離、持續信任評估 和動態訪問控制。
1.3 零信任的六大實現要素——身份認證
- 零信任的身份認證有兩⽅方⾯面的含義。⼀一⽅方⾯面是⽹網絡中的⽤用戶和設備都被賦予了了數字身份,將⽤用戶和設備 構建成為訪問主體進⾏行行身份認證,另⼀一⽅方⾯面是⽤用戶和設備能進⾏行行組合以靈活滿⾜足需要。
- 身份認證是零信任的基⽯石。零信任的整個身份識別、信⽤用評估和權限授予都建⽴立在身份之上。
- 身份與訪問管理理(IAM)可以通過多因⼦子身份驗證(MFA)和單點登錄(SSO)等身份驗證模型實現。
2.1 零信任安全解決方案主要包括四個模塊
- 統⼀一信任管理理平臺:統⼀一信任管理理平臺⾄至少具備身份認證模塊、權限管理理模塊和安全審計模塊,集合了了⽤用 戶、認證、授權、應⽤用、審計的統⼀一管理理功能,是⽤用戶身份和訪問管理理的平臺。其中,統⼀一身份認證 (Identity and Access Management,簡稱IAM)是平臺內最重要的功能組件,包含了了SSO和MFA)。 IAM在⼯工作過程中與零信任各組件之間協調聯動,根據安全管理理平臺的分析的決策對⽤用戶可信度進⾏行行認證, 並將信息傳遞給安全認證⽹網關,整個過程處於動態之中,實現持續的可信驗證。因此IAM是零信任身份認 證的關鍵。
- 設備代理理/⽹網關:傳統的接⼊入⽅方式為通過VPN接⼊入,⽽而零信任架構下更更多地是基於SDP技術的設備代理理+⽹網關接⼊入。這種部署⽅方式與VPN相⽐比有⼀一定優勢,但是由於⽬目前技術很難達到零信任⽅方案要求的全流量量加 密且攜帶必要標識信息,且⾼高性能VPN也可以根據應⽤用安裝從⽽而實現應⽤用層的控制並且⽬目前VPN的普及 程度更更⼴廣,所以基於SDP的設備代理理/⽹網關取代VPN還需要⼀一段時間。
- 安全管理理平臺:安全管理理平臺相當於零信任架構中的⼤大腦,決定信⽤用評估的策略略引擎就在安全管理理平臺之 下。它通過收集情報數據、其他⻛風險數據、使⽤用⽇日誌等信息,經過分析評估之後做出決策並將決策下發信 任管理理平臺。
- 終端安全:終端安全類產品提供設備的安全狀態信息,分為終端安全服務平臺和可信終端Agent兩部分。 可信終端Agent負責收集終端環境信息、保護終端安全與提供終端訪問代理理的功能,終端安全服務平臺則通過處理理終端信息與統⼀一信任管理理平臺進⾏行行數據傳輸。
2.2 零信任的主要部署場景
- 由於企業的架構與業務開展⽅方式不不同,部署零信任的⽅方式也有差異。
- 擁有多分⽀支機構的企業:在擁有總部和位於各地的分⽀支機構或遠程⼯工作的員⼯工的企業部署⽅方式為,策略略 引擎(PE)/策略略管理理器器(PA)通常作為雲服務託管,終端資產安裝代理理或訪問資源⻔門戶。
- 多雲/雲到雲的企業:企業有⼀一個本地⽹網絡,但使⽤用多個雲服務提供商承載應⽤用、服務和數據。此時需要 企業架構師了了解各個雲提供商的基礎上,在每個資源訪問點前放置策略略執⾏行行點,PE和PA可以位於雲或第 三⽅方雲提供商上的服務,客戶端直接訪問策略略執⾏行行點。
- 存在外包服務或⾮非員⼯工訪問的企業:企業有時需要外包在現場為企業提供服務,或⾮非員⼯工會在會議中⼼心與 員⼯工交互。這種情況下,PE和PA可以作為雲服務或在局域⽹網上託管,企業可以安全代理理或通過⻔門戶訪問 資源,沒有安全代理理的系統不不能訪問資源但可訪問互聯⽹網。
- 跨企業協作:企業A、B員⼯工協作,其中企業B的員⼯工需要訪問企 業A的數據庫,這種情況與擁有多分⽀支機構企業相似,作為雲服務 託管的PE和PA允許各⽅方訪問數據庫,且企業B的員⼯工需安裝代理理 或通過Web代理理⽹網關訪問。
- ⾯面向公眾或客戶提供服務的企業:零信任只對企業的客戶或註冊 ⽤用戶適⽤用,但由於請求的資產很可能不不是企業所有所以零信任的 實施受限。
2.3 零信任將會對部分安全產品帶來增量效應
- 零信任作為⼀一種⽹網絡安全解決⽅方案的思路路,它的部署需要⼀一系列列的產品配合,有些產品是零信任特有的, 有些功能則只需要建⽴立在原來設備的基礎上整合⼊入零信任平臺即可。
- 具體來看,零信任的實踐需要各類安全產品組合,將對相關產品形成增量量需求:1)IAM/IDaaS等統⼀一身 份認證與權限管理理產品/服務;2)安全接⼊入⽹網關:基於SDP實現的安全接⼊入⽹網關與VPN相⽐比有⼀一定優勢, 但是由於⽬目前技術很難達到零信任⽅方案要求的全流量量加密且攜帶必要標識信息,因為⾼高性能VPN也可以 根據應⽤用安裝從⽽而實現應⽤用層的控制並且⽬目前VPN的普及程度更更⼴廣;3)態勢感知、TIP等安全平臺類產 品是零信任的⼤大腦,幫助實時對資產狀態、威脅情報數據等進⾏行行監測;4)EDR、雲桌⾯面管理理等終端安全 產品的配合,實現將零信任架構拓拓展到終端和⽤用戶;(5)⽇日誌審計:匯聚企業終端、⽹網絡設備、主機、 應⽤用、安全系統等產⽣生的⽇日誌,並進⾏行行審計,為策略略引擎提供數據輸⼊入 。此外,NGFW、WAF、可信 API代理理等產品也在其中發揮重要⽀支撐作⽤用。
2.4 零信任將會成為安全行業未來的重要發展方向
零信任抓住了了⽬目前⽹網絡安全⽤用戶的痛點, 零信任是未來⽹網絡安全技術的重要發展⽅方 向。根據Cybersecurity的調查,⽬目前⽹網絡 安全的最⼤大的挑戰是私有應⽤用程序的訪問 端⼝口⼗十分分散,以及內部⽤用戶的權限過多。 62%的企業認為保護遍佈在各個數據中⼼心 和雲上的端⼝口是⽬目前最⼤大的挑戰,並且 61%的企業最擔⼼心的是內部⽤用戶被給予的 權限過多的問題。這兩點正是零信任專注 解決的問題,現在有78%的⽹網絡安全團隊 在嘗試採⽤用零信任架構。
3、投資建議
企業業務複雜度增加、信息安全防護壓⼒力力增⼤大,催⽣生零信任架構。
企業上雲、數字化轉型加速、⽹網絡基 礎設施增多導致訪問資源的⽤用戶/設備數量量快速增⻓長,⽹網絡邊界的概念逐漸模糊;⽤用戶的訪問請求更更加復 雜,造成企業對⽤用戶過分授權;攻擊⼿手段愈加複雜以及暴暴露露⾯面和攻擊⾯面不不斷增⻓長,導致企業安全防護壓 ⼒力力加⼤大。⾯面對這些新的變化,傳統的基於邊界構建、通過⽹網絡位置進⾏行行信任域劃分的安全防護模式已經 不不能滿⾜足企業要求。零信任架構通過對⽤用戶和設備的身份、權限、環境進⾏行行動態評估並進⾏行行最⼩小授權, 能夠⽐比傳統架構更更好地滿⾜足企業在遠程辦公、多雲、多分⽀支機構、跨企業協同場景中的安全需求。
零信任架構涉及多個產品組件,對國內⽹網安⾏行行業形成增量量需求。
零信任的實踐需要各類安全產品組合, 將對相關產品形成增量量需求:1)IAM/IDaaS等統⼀一身份認證與權限管理理系統/服務,實現對⽤用戶/終端的 身份管理理;2)安全⽹網關:⽬目前基於SDP的安全⽹網關是⼀一種新興技術⽅方向,但由於實現全應⽤用協議加密流 量量代理理仍有較⼤大難度,也可以基於現有的NGFW、WAF、VPN產品進⾏行行技術升級改造;3)態勢感知、 SOC、TIP等安全平臺類產品是零信任的⼤大腦,幫助實時對企業資產狀態、威脅情報數據等進⾏行行監測;4)EDR、雲桌⾯面管理理等終端安全產品的配合,實現將零信任架構拓拓展到終端和⽤用戶;5)⽇日誌審計:匯聚各 數據源⽇日誌,並進⾏行行審計,為策略略引擎提供數據。此外,可信API代理理等其他產品也在其中發揮重要⽀支撐 作⽤用。
零信任的實踐將推動安全⾏行行業實現商業模式轉型,進⼀一步提⾼高⼚廠商集中度。
⽬目前國內⽹網安產業已經經過 多年年核⼼心技術的積累,進⼊入以產品形態、解決⽅方案和服務模式創新的新階段。零信任不不是⼀一種產品,⽽而 是⼀一種全新的安全技術框架,通過重塑安全架構幫助企業進⼀一步提升防護能⼒力力。基於以太⽹網的傳統架構 下安全設備的交互相對較少,並且能夠通過標準的協議進⾏行行互聯,因⽽而導致硬件端的採購⾮非常分散,但 零信任的實踐需要安全設備之間相互聯動、實現多雲環境下的數據共享,加速推動安全⾏行行業從堆砌安全 硬件向提供解決⽅方案/服務發展,同時對客戶形成強粘性。我們認為研發能⼒力力強、產品線種類⻬齊全的⼚廠商 在其中的優勢會越發明顯。
由於中美安全市場客戶結構不不同以及企業上公有云速度差異,美國零信任SaaS公司的成功之路路在國內還 缺乏複製基礎。
美國⽹網絡安全需求⼤大頭來⾃自於企業級客戶,這些企業級客戶對公有云的接受程度⾼高,過 去⼏幾年年上雲趨勢明顯。根據Okta發佈的《2019⼯工作報告》,Okta客戶平均擁有83個雲應⽤用,其中9%的 客戶擁有200多個雲應⽤用。這種多雲時代下企業級⽤用戶統⼀一身份認證管理理難度⼤大、企業內外⽹網邊界極為 模糊的環境,是Okta零信任SaaS商業模式得以發展的核⼼心原因。⽬目前國內⽹網絡安全市場需求主要集中於 政府、⾏行行業(⾦金金融、運營商、能源等),這些客戶⽬目前上雲主要以私有云為主,⽹網安產品的部署模式仍 未進⼊入SaaS化階段。但隨著未來我國公有云滲透率的提升,以及⽹網安向企業客戶市場擴張,零信任相關 的SaaS業務將會迎來成⻓長機會。
投資建議:
零信任架構的部署模式有望提升國內⽹網安市場集中度,將進⼀一步推動研發能⼒力力強、擁有全線 安全產品的頭部⼚廠商擴⼤大市場份額、增加⽤用戶粘性,重點推薦啟明星⾠辰辰、綠盟科技、深信服、南洋股份, 關注科創新星奇安信、安恆信息。
報告節選:
(報告觀點屬於原作者,僅供參考。作者:招商證券,劉⽟萍、範昳蕊)
如需完整報告請登錄【未來智庫】。
