2024计算零信任SaaS应用.docx

计算零信任SaaS应用摘要1、从IP信任到身份信任：扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。现在和未来为零信任SaaS,零信任假设所有人不可信，通过模型对不同设备和不同身份，根据行为实时动态进行认证和评估。2、美国最大的安全公司是零信任SaaS公司：自谷歌2011年内部实施零信任架构开始，过去两年零信任架构渗透率快速提升。已经和正在实施零信任SaaS超过30%,还有44%客户正准备实施。典型零信任公司OKTA采用SaaS订阅模式，市值达250亿美元（超过防火墙等传统安全公司）。3、客户粘性和技术壁垒：客户粘度极高，零信任SaaS深入企业业务流程和人员，如OKTA收入续费率在120%。技术壁垒而言，零信任SaaS要求企业掌握微隔离、数据安全等技术，领军公司通常为对网络管理、防火墙、云安全有深刻理解的公司。4、中国特色：目前仍在导入期，渗透率极低，看好未来三到五年零信任SaaS市场启动。考虑技术积累和客户属性，白马推荐深信服、奇安信、美亚柏科，黑马推荐格尔软件、数字认证。风险提示：传统VPN替代不及预期；零信任SaaS市场竞争激烈；企业上云不及预期。中国ICT技术成熟度曲线报告图1：中国ICT技术成熟度曲线报告HypeCycleforICTinChina,2020suo-m芯dx3InnovationTriOTerPeakofInnatedExpectationsTroughofDisillusionmentSlopeofEnlightenmentPlateauofProductivitytimePlateauwillbreached:Owthan2yars2to5year*Sto10yr*morthan10yar*oboMbforplateauSourceGartnerO448134数据来源：Gartner,安恒信息官网，天风证券研究所目录1、何为零信任2、零信任SaaS过去和未来3零信任SaaS的竞争格局4、中国特色5、投资机会何为零信任1. 1零信任架构：未来安全架构的必然趋势 加码零信任，厂商增加两倍：2019年，RSAC上主打零信任的厂商约有39家。截至目前，RSAC上打着零信任标签的厂商就已经有91家之多，增长133%。 美国防部高度重视，零信任热度加速提升：美国国防创新委员会发布的零信任架构建议白皮书中建议美国国防部应将零信任实施列为最高优先事项。 而美国最大的安全公司不是防火墙公司，是零信任SaaS公司。数据来源：天极网，天风证券研究所图3：美国国防部高度重视零信任架构基于现有国防部（DOD）的网络脆弱性和未来的网络需求，国防创新委员会（DIB）建议国防部开始朝着非机密互联网协议路由器网络（NlPRNET）和机密互联网协议路由器网络（SIPRNEt）的零信任安全架构模型迈进。一零信任架构建议<数据来源：昂楷科技官网，天风证券研究所1.1内涵是基于IP的信任转向基于身份和行为的信任过去企业身份管理为VPN,扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。现在和未来，零信任假设所有人不可信，通过模型对不同设备和不同身份，实时动态进行认证和评估。图4：传统VPN无法识别可疑用户黑客图5：云计算时代网络边界正在消失，VPN已无法提供云安全数据来源：H3C,useit,天风证券研究所数据来源：联软科技官网，天风证券研究所1.l零信任：假设所有人都不可信的新一代网络安全架构 与传统网络安全区别：传统，先访问资源再验证身份；零信任，先验证身份再授权访问资源 以身份为中心：经过预验证"预授权”才能获得访问系统的单次通道。 最小权限原则：每次赋予用户所能完成工作的最小访问权限。 业务安全访问：所有访问通道都是单次的，强制访问控制。图6：零信任架构（ZTA）逻辑示意图图7：零信任必须先验证身份后，再授权5.PKl企业公铜O传统（T）先访问资源（2）再验证身份6.1DMSattma统数据来源：深信服官网，天风证券研究所数据来源：NlST零信任架构草案第二版，天风证券研究所1.2场景价值：云计算业务天然需要零信任SaaS对于员工，单点登录，不用重复输入密码，提高使用效率,更适配不断增长的云应用/Web应用。对于企业，动态认证和授权（授权颗粒度最小化），事中转事前，安全性提升。图8：零信任与传统安全边界防护对比多a三港件件定勉界meNw肝f?M.lS访问云应用替代VPN控制第三方访问其他零信任应用于云应用的案例最多企业上云已成趋势：预计2025年将有85%以上企业将应用部署到云上。传统安全边界模糊：云化业务与移动互联网、IOT等技术的结合使得各类端点设备与业务系统的数据交互不再受地理位置或时间的限制。软件定义边界基于零信任模型：用身份的细粒度访问代替广泛的网络接入。SAAS化的零信任：所有与安全相关的活动都在云中执行，如授予数据中心或公/私有云内的访问权限。只有认证通过后，才能与服务器建立联系。数据来源：深信服宣网，昂楷科技官网，安全内参，CybersecurityInsiders,Zscale,新华网，天风证券研究所附数据输入：八大数据源信息源是零信任架构的输入值，有赖于CDM、SIM.TI、IDMS等系统的强大识别和管理能力表1.数据源系统的能力决定了权限决策的能力序号数据源数据内容1CDM系统持续诊断和缓解系统关于企业系统当前状态的信息，并对配置和软件组件应用已有的更新2行业合规系统企业遵守可能需要遵守的任何监管制度（如FISMA.HIPAA、PCI-DSS等），包括企'也内部制定的合规策略规则3TI威胁情报源外部威胁信息，帮助策略引擎做出访问决策，如DNS黑名单、发现的恶意软件、以及已知的其他设备攻击4数据访问策略企业围绕着企业资源而创建的数据访问的属性、规则和策略5SIM系统安全信息管理系统以安全为核心、可用于后续分析的信息，用于优化策略并预警。6IMS系统身份管理系统企业用户账户和身份记录7网络与系统行为日志资产日志、网络流量、资源授权行为和其他事件8PKI企业公钥基础设施由企业颁发给资源、访问主体和应用程序的证书数据来源：NlST零信任架构草案第二版，天风证券研究所附数据输出：信任算法信任算法(TrUStAIgorithm):PE决策引擎的实现过程，根据数据源做出决策，传递给PA决策管理器。根据NlST标准第二版，基于上下文和分数的TA安全效果最好。防止时间不一致性和访问者对系统的恶意训练图9：基于分数的信任算法：绝对合法性W而1得分1权重1条件2得分2权重2图10：基于上下文的信任算法：相对历史记录合法性条件3得分3权重3用户历史访问记录数据库管理员：每天进行策略开发、交付得分X权重X加权得分高于企业设置的阈值用户行为分析用户行为方式行为建模：数据调用是合法的，删库是不合法的PA配置PEP,授权或拒绝该主体、设备、环境对资源A的请耒新请求VS建模结果拒绝删库跑路数据来源：NlST零信任架构草案第二版，天风证券研究所数据来源：NIST零信任架构草案第二版，天风证券研究所零信任SaaS过去和未来2.1零信任SaaS新蓝海：已诞生如OKTA等行业巨头萌芽于美国国防部门，近10年从概念到成功商业化。当前美国有三家零信任SaaS企业登陆资本市场，以OKTA为例,市场高度看好，三年股价成长10倍，07.06统计市值约250亿美金（PS约40倍）图I1.零信任是一片新蓝海2013年!CSA云安全联；盟成立SDP工作小组，次年发布SDP标淮规范1.o2018年FOrreSter提出ZTX架构，从微隔离拓展到可视化、自动化编排2018年、2019年美国三家初创零信任企业完成IPC）,零信任成功商业化300I市值（亿美元）07.06统计PS602504320042010201120172018j20020192020P11402019942004年探讨无界化网络安全架构与方案；2004年NAC架构出现2010年ForresterResearch第一次提出“零信任概念JT美国国耐T笄晨丢边黑花丁的研究工作数据来源：安全牛，wind,天风证券研究所20112017年BeyondCOrP在Google内部部：署，成为第一!个成功的零信任实践2019年、2020年美国商务部下属的NlST连续发布零信任架构标准（草案）的第一版、第二版OKTAZscalercloudflare2.1美国零信任SaaS行业发展历程零信任SaaS行业的发展基本上是美国零信任SaaS行业发展的历程：国防部在概念成型之前已开始相关研究；概念提出后，谷歌、微软、Akamai内部实践基础上推出相关产品；思科、赛门铁克、派拓等企业通过收购建立能力；三家零信任SaaS初创企业于20182019年集中上市，市值在100250亿美元。表2：零信任SaaS的企业类型企业类型代表企业内部实践转换为商业产品谷歌、微软、Akamai通过收购建立能力思科CiSe。、赛门铁克Symantec,派拓PalOAltoNetworks、优利UniSys、Proofpoint初创企业Zscaler>Okta>Cloudflare>IllUmi。、Cyxtera数据来源：缔盟云实验室，天风证券研究所2.2发展现状：多方参与教育市场，市场接受度较高多方参与教育市场市场接受度高：根据CyberSeCUritymSider的调查，15%的受访IT团队已经实施零信任SaaS,44%表示准备部署，这与联邦政府、咨询机构、各类企业共同教育市场不无关系。图12：美国企业IT从业者对零信任架构接受度高美国企业IT达78%接受零信任图13：多方参与教育市场2018年Forrester开始发布零信任扩展生态系统ZTX报告，企业中的应用，将市场!教育作为企业关键能力2018年、2019年3家初创企业之中IPc),思科、赛门铁克、派拓、PrOOfPrint完成零信任领域收购，引起：关注!2017年Gartner推出自适应安全!3.0的版本CARTA框架，其进了产业界的投入和研究2018年Gartner提出零信任是实践持续自适应的风险和信任评估(CARTA)的第一步，推动零信任的市场认知已经部署正在部署准备部署暂无计划不知道零信任2019年、2020年美国商务部下属NIST连续推出两版零信任架构标准(草案)，达零信任架构的逻辑和价值数据来源：网络安全白皮书，缔盟云实验室，天风证券研究所数据来源：安全内参，Cybe