获取报告请登录【未来智库】。
提纲:
零信任:三⼤大核⼼心组件、六⼤大要素零信任的实践将为安全⾏行行业带来增量量需求国内外安全⼚厂商均已积极布局零信任相关产品投资建议报告摘要:
1.1 零信任架构的兴起与发展
零信任架构是⼀一种端到端的企业资源和数据安全⽅方法,包括身份(⼈人和⾮非⼈人的实体)、凭证、访问管理理、操 作、端点、宿主环境和互联基础设施。
• 零信任体系架构是零信任不不是“不不信任”的意思,它更更像是“默认不不信任”,即“从零开始构建信任”的思想。 零信任安全体系是围绕“身份”构建,基于权限最⼩小化原则进⾏行行设计,根据访问的⻛风险等级进⾏行行动态身份 认证和授权。
防⽕火墙、VPN、UTM、⼊入侵检测等安全⽹网关产品提供了了强⼤大的边界防护能⼒力力,但检测和阻断内部⽹网络攻 击的能⼒力力不不⾜足,并且也⽆无法保护企业边界外的主体(例例如,远程⼯工作者、基于云的服务、边缘设备等)。于是从2004年年开始,耶利利哥论坛(Jericho Forum)开始为了了定义⽆无边界趋势下的⽹网络安全问题并寻求解 决⽅方案,2010年年零信任术语正式出现,并于2014年年随着移动互联、云环境、微服务等新场景的出现被⼤大 幅采⽤用获得越来越⼴广泛地认可。1.2 零信任架构的三大核心组件
零信任的核⼼心组件包括策略略 引擎(Policy Engine, PE)、 策略略管理理器器(Policy Administrator, PA)和策略略 执⾏行行点(Policy Enforcement Point, PEP)。这些核⼼心组件负责从收集、 处理理相关信息到决定是否授 予权限的全过程。通过这些组件可以实现的零 信任架构的核⼼心能⼒力力有:身 份认证、最⼩小权限、资源隐 藏、微隔离、持续信任评估 和动态访问控制。1.3 零信任的六大实现要素——身份认证
零信任的身份认证有两⽅方⾯面的含义。⼀一⽅方⾯面是⽹网络中的⽤用户和设备都被赋予了了数字身份,将⽤用户和设备 构建成为访问主体进⾏行行身份认证,另⼀一⽅方⾯面是⽤用户和设备能进⾏行行组合以灵活满⾜足需要。身份认证是零信任的基⽯石。零信任的整个身份识别、信⽤用评估和权限授予都建⽴立在身份之上。身份与访问管理理(IAM)可以通过多因⼦子身份验证(MFA)和单点登录(SSO)等身份验证模型实现。2.1 零信任安全解决方案主要包括四个模块
统⼀一信任管理理平台:统⼀一信任管理理平台⾄至少具备身份认证模块、权限管理理模块和安全审计模块,集合了了⽤用 户、认证、授权、应⽤用、审计的统⼀一管理理功能,是⽤用户身份和访问管理理的平台。其中,统⼀一身份认证 (Identity and Access Management,简称IAM)是平台内最重要的功能组件,包含了了SSO和MFA)。 IAM在⼯工作过程中与零信任各组件之间协调联动,根据安全管理理平台的分析的决策对⽤用户可信度进⾏行行认证, 并将信息传递给安全认证⽹网关,整个过程处于动态之中,实现持续的可信验证。因此IAM是零信任身份认 证的关键。2.2 零信任的主要部署场景
由于企业的架构与业务开展⽅方式不不同,部署零信任的⽅方式也有差异。2.3 零信任将会对部分安全产品带来增量效应
零信任作为⼀一种⽹网络安全解决⽅方案的思路路,它的部署需要⼀一系列列的产品配合,有些产品是零信任特有的, 有些功能则只需要建⽴立在原来设备的基础上整合⼊入零信任平台即可。具体来看,零信任的实践需要各类安全产品组合,将对相关产品形成增量量需求:1)IAM/IDaaS等统⼀一身 份认证与权限管理理产品/服务;2)安全接⼊入⽹网关:基于SDP实现的安全接⼊入⽹网关与VPN相⽐比有⼀一定优势, 但是由于⽬目前技术很难达到零信任⽅方案要求的全流量量加密且携带必要标识信息,因为⾼高性能VPN也可以 根据应⽤用安装从⽽而实现应⽤用层的控制并且⽬目前VPN的普及程度更更⼴广;3)态势感知、TIP等安全平台类产 品是零信任的⼤大脑,帮助实时对资产状态、威胁情报数据等进⾏行行监测;4)EDR、云桌⾯面管理理等终端安全 产品的配合,实现将零信任架构拓拓展到终端和⽤用户;(5)⽇日志审计:汇聚企业终端、⽹网络设备、主机、 应⽤用、安全系统等产⽣生的⽇日志,并进⾏行行审计,为策略略引擎提供数据输⼊入 。此外,NGFW、WAF、可信 API代理理等产品也在其中发挥重要⽀支撑作⽤用。2.4 零信任将会成为安全行业未来的重要发展方向
零信任抓住了了⽬目前⽹网络安全⽤用户的痛点, 零信任是未来⽹网络安全技术的重要发展⽅方 向。根据Cybersecurity的调查,⽬目前⽹网络 安全的最⼤大的挑战是私有应⽤用程序的访问 端⼝口⼗十分分散,以及内部⽤用户的权限过多。 62%的企业认为保护遍布在各个数据中⼼心 和云上的端⼝口是⽬目前最⼤大的挑战,并且 61%的企业最担⼼心的是内部⽤用户被给予的 权限过多的问题。这两点正是零信任专注 解决的问题,现在有78%的⽹网络安全团队 在尝试采⽤用零信任架构。
3、投资建议
企业业务复杂度增加、信息安全防护压⼒力力增⼤大,催⽣生零信任架构。
企业上云、数字化转型加速、⽹网络基 础设施增多导致访问资源的⽤用户/设备数量量快速增⻓长,⽹网络边界的概念逐渐模糊;⽤用户的访问请求更更加复 杂,造成企业对⽤用户过分授权;攻击⼿手段愈加复杂以及暴暴露露⾯面和攻击⾯面不不断增⻓长,导致企业安全防护压 ⼒力力加⼤大。⾯面对这些新的变化,传统的基于边界构建、通过⽹网络位置进⾏行行信任域划分的安全防护模式已经 不不能满⾜足企业要求。零信任架构通过对⽤用户和设备的身份、权限、环境进⾏行行动态评估并进⾏行行最⼩小授权, 能够⽐比传统架构更更好地满⾜足企业在远程办公、多云、多分⽀支机构、跨企业协同场景中的安全需求。
零信任架构涉及多个产品组件,对国内⽹网安⾏行行业形成增量量需求。
零信任的实践需要各类安全产品组合, 将对相关产品形成增量量需求:1)IAM/IDaaS等统⼀一身份认证与权限管理理系统/服务,实现对⽤用户/终端的 身份管理理;2)安全⽹网关:⽬目前基于SDP的安全⽹网关是⼀一种新兴技术⽅方向,但由于实现全应⽤用协议加密流 量量代理理仍有较⼤大难度,也可以基于现有的NGFW、WAF、VPN产品进⾏行行技术升级改造;3)态势感知、 SOC、TIP等安全平台类产品是零信任的⼤大脑,帮助实时对企业资产状态、威胁情报数据等进⾏行行监测;4)EDR、云桌⾯面管理理等终端安全产品的配合,实现将零信任架构拓拓展到终端和⽤用户;5)⽇日志审计:汇聚各 数据源⽇日志,并进⾏行行审计,为策略略引擎提供数据。此外,可信API代理理等其他产品也在其中发挥重要⽀支撑 作⽤用。
零信任的实践将推动安全⾏行行业实现商业模式转型,进⼀一步提⾼高⼚厂商集中度。
⽬目前国内⽹网安产业已经经过 多年年核⼼心技术的积累,进⼊入以产品形态、解决⽅方案和服务模式创新的新阶段。零信任不不是⼀一种产品,⽽而 是⼀一种全新的安全技术框架,通过重塑安全架构帮助企业进⼀一步提升防护能⼒力力。基于以太⽹网的传统架构 下安全设备的交互相对较少,并且能够通过标准的协议进⾏行行互联,因⽽而导致硬件端的采购⾮非常分散,但 零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享,加速推动安全⾏行行业从堆砌安全 硬件向提供解决⽅方案/服务发展,同时对客户形成强粘性。我们认为研发能⼒力力强、产品线种类⻬齐全的⼚厂商 在其中的优势会越发明显。
由于中美安全市场客户结构不不同以及企业上公有云速度差异,美国零信任SaaS公司的成功之路路在国内还 缺乏复制基础。
美国⽹网络安全需求⼤大头来⾃自于企业级客户,这些企业级客户对公有云的接受程度⾼高,过 去⼏几年年上云趋势明显。根据Okta发布的《2019⼯工作报告》,Okta客户平均拥有83个云应⽤用,其中9%的 客户拥有200多个云应⽤用。这种多云时代下企业级⽤用户统⼀一身份认证管理理难度⼤大、企业内外⽹网边界极为 模糊的环境,是Okta零信任SaaS商业模式得以发展的核⼼心原因。⽬目前国内⽹网络安全市场需求主要集中于 政府、⾏行行业(⾦金金融、运营商、能源等),这些客户⽬目前上云主要以私有云为主,⽹网安产品的部署模式仍 未进⼊入SaaS化阶段。但随着未来我国公有云渗透率的提升,以及⽹网安向企业客户市场扩张,零信任相关 的SaaS业务将会迎来成⻓长机会。
投资建议:
零信任架构的部署模式有望提升国内⽹网安市场集中度,将进⼀一步推动研发能⼒力力强、拥有全线 安全产品的头部⼚厂商扩⼤大市场份额、增加⽤用户粘性,重点推荐启明星⾠辰辰、绿盟科技、深信服、南洋股份, 关注科创新星奇安信、安恒信息。
报告节选:
(报告观点属于原作者,仅供参考。作者:招商证券,刘⽟萍、范昳蕊)
如需完整报告请登录【未来智库】。