零信任:三⼤大核⼼心组件、六⼤大要素
零信任的实践将为安全⾏行行业带来增量量需求
国内外安全⼚厂商均已积极布局零信任相关产品
投资建议
1.1 零信任架构的兴起与发展
零信任架构是⼀一种端到端的企业资源和数据安全⽅方法,包括身份(⼈人和⾮非⼈人的实体)、凭证、访问管理理、操 作、端点、宿主环境和互联基础设施。
• 零信任体系架构是零信任不不是“不不信任”的意思,它更更像是“默认不不信任”,即“从零开始构建信任”的思想。 零信任安全体系是围绕“身份”构建,基于权限最⼩小化原则进⾏行行设计,根据访问的⻛风险等级进⾏行行动态身份 认证和授权。
防⽕火墙、VPN、UTM、⼊入侵检测等安全⽹网关产品提供了了强⼤大的边界防护能⼒力力,但检测和阻断内部⽹网络攻 击的能⼒力力不不⾜足,并且也⽆无法保护企业边界外的主体(例例如,远程⼯工作者、基于云的服务、边缘设备等)。
于是从2004年年开始,耶利利哥论坛(Jericho Forum)开始为了了定义⽆无边界趋势下的⽹网络安全问题并寻求解 决⽅方案,2010年年零信任术语正式出现,并于2014年年随着移动互联、云环境、微服务等新场景的出现被⼤大 幅采⽤用获得越来越⼴广泛地认可。
1.2 零信任架构的三大核心组件
零信任的核⼼心组件包括策略略 引擎(Policy Engine, PE)、 策略略管理理器器(Policy Administrator, PA)和策略略 执⾏行行点(Policy Enforcement Point, PEP)。
这些核⼼心组件负责从收集、 处理理相关信息到决定是否授 予权限的全过程。
通过这些组件可以实现的零 信任架构的核⼼心能⼒力力有:身 份认证、最⼩小权限、资源隐 藏、微隔离、持续信任评估 和动态访问控制。
1.3 零信任的六大实现要素——身份认证
零信任的身份认证有两⽅方⾯面的含义。⼀一⽅方⾯面是⽹网络中的⽤用户和设备都被赋予了了数字身份,将⽤用户和设备 构建成为访问主体进⾏行行身份认证,另⼀一⽅方⾯面是⽤用户和设备能进⾏行行组合以灵活满⾜足需要。
身份认证是零信任的基⽯石。零信任的整个身份识别、信⽤用评估和权限授予都建⽴立在身份之上。
身份与访问管理理(IAM)可以通过多因⼦子身份验证(MFA)和单点登录(SSO)等身份验证模型实现。
2.1 零信任安全解决方案主要包括四个模块
统⼀一信任管理理平台:统⼀一信任管理理平台⾄至少具备身份认证模块、权限管理理模块和安全审计模块,集合了了⽤用 户、认证、授权、应⽤用、审计的统⼀一管理理功能,是⽤用户身份和访问管理理的平台。其中,统⼀一身份认证 (Identity and Access Management,简称IAM)是平台内最重要的功能组件,包含了了SSO和MFA)。 IAM在⼯工作过程中与零信任各组件之间协调联动,根据安全管理理平台的分析的决策对⽤用户可信度进⾏行行认证, 并将信息传递给安全认证⽹网关,整个过程处于动态之中,实现持续的可信验证。因此IAM是零信任身份认 证的关键。
设备代理理/⽹网关:传统的接⼊入⽅方式为通过VPN接⼊入,⽽而零信任架构下更更多地是基于SDP技术的设备代理理+⽹网关接⼊入。这种部署⽅方式与VPN相⽐比有⼀一定优势,但是由于⽬目前技术很难达到零信任⽅方案要求的全流量量加 密且携带必要标识信息,且⾼高性能VPN也可以根据应⽤用安装从⽽而实现应⽤用层的控制并且⽬目前VPN的普及 程度更更⼴广,所以基于SDP的设备代理理/⽹网关取代VPN还需要⼀一段时间。
安全管理理平台:安全管理理平台相当于零信任架构中的⼤大脑,决定信⽤用评估的策略略引擎就在安全管理理平台之 下。它通过收集情报数据、其他⻛风险数据、使⽤用⽇日志等信息,经过分析评估之后做出决策并将决策下发信 任管理理平台。
终端安全:终端安全类产品提供设备的安全状态信息,分为终端安全服务平台和可信终端Agent两部分。 可信终端Agent负责收集终端环境信息、保护终端安全与提供终端访问代理理的功能,终端安全服务平台则通过处理理终端信息与统⼀一信任管理理平台进⾏行行数据传输。
2.2 零信任的主要部署场景
由于企业的架构与业务开展⽅方式不不同,部署零信任的⽅方式也有差异。
拥有多分⽀支机构的企业:在拥有总部和位于各地的分⽀支机构或远程⼯工作的员⼯工的企业部署⽅方式为,策略略 引擎(PE)/策略略管理理器器(PA)通常作为云服务托管,终端资产安装代理理或访问资源⻔门户。
多云/云到云的企业:企业有⼀一个本地⽹网络,但使⽤用多个云服务提供商承载应⽤用、服务和数据。此时需要 企业架构师了了解各个云提供商的基础上,在每个资源访问点前放置策略略执⾏行行点,PE和PA可以位于云或第 三⽅方云提供商上的服务,客户端直接访问策略略执⾏行行点。
存在外包服务或⾮非员⼯工访问的企业:企业有时需要外包在现场为企业提供服务,或⾮非员⼯工会在会议中⼼心与 员⼯工交互。这种情况下,PE和PA可以作为云服务或在局域⽹网上托管,企业可以安全代理理或通过⻔门户访问 资源,没有安全代理理的系统不不能访问资源但可访问互联⽹网。
跨企业协作:企业A、B员⼯工协作,其中企业B的员⼯工需要访问企 业A的数据库,这种情况与拥有多分⽀支机构企业相似,作为云服务 托管的PE和PA允许各⽅方访问数据库,且企业B的员⼯工需安装代理理 或通过Web代理理⽹网关访问。
⾯面向公众或客户提供服务的企业:零信任只对企业的客户或注册 ⽤用户适⽤用,但由于请求的资产很可能不不是企业所有所以零信任的 实施受限。
2.3 零信任将会对部分安全产品带来增量效应
零信任作为⼀一种⽹网络安全解决⽅方案的思路路,它的部署需要⼀一系列列的产品配合,有些产品是零信任特有的, 有些功能则只需要建⽴立在原来设备的基础上整合⼊入零信任平台即可。
具体来看,零信任的实践需要各类安全产品组合,将对相关产品形成增量量需求:1)IAM/IDaaS等统⼀一身 份认证与权限管理理产品/服务;2)安全接⼊入⽹网关:基于SDP实现的安全接⼊入⽹网关与VPN相⽐比有⼀一定优势, 但是由于⽬目前技术很难达到零信任⽅方案要求的全流量量加密且携带必要标识信息,因为⾼高性能VPN也可以 根据应⽤用安装从⽽而实现应⽤用层的控制并且⽬目前VPN的普及程度更更⼴广;3)态势感知、TIP等安全平台类产 品是零信任的⼤大脑,帮助实时对资产状态、威胁情报数据等进⾏行行监测;4)EDR、云桌⾯面管理理等终端安全 产品的配合,实现将零信任架构拓拓展到终端和⽤用户;(5)⽇日志审计:汇聚企业终端、⽹网络设备、主机、 应⽤用、安全系统等产⽣生的⽇日志,并进⾏行行审计,为策略略引擎提供数据输⼊入 。此外,NGFW、WAF、可信 API代理理等产品也在其中发挥重要⽀支撑作⽤用。
2.4 零信任将会成为安全行业未来的重要发展方向
零信任抓住了了⽬目前⽹网络安全⽤用户的痛点, 零信任是未来⽹网络安全技术的重要发展⽅方 向。根据Cybersecurity的调查,⽬目前⽹网络 安全的最⼤大的挑战是私有应⽤用程序的访问 端⼝口⼗十分分散,以及内部⽤用户的权限过多。 62%的企业认为保护遍布在各个数据中⼼心 和云上的端⼝口是⽬目前最⼤大的挑战,并且 61%的企业最担⼼心的是内部⽤用户被给予的 权限过多的问题。这两点正是零信任专注 解决的问题,现在有78%的⽹网络安全团队 在尝试采⽤用零信任架构。
3、投资建议
企业业务复杂度增加、信息安全防护压⼒力力增⼤大,催⽣生零信任架构。
企业上云、数字化转型加速、⽹网络基 础设施增多导致访问资源的⽤用户/设备数量量快速增⻓长,⽹网络边界的概念逐渐模糊;⽤用户的访问请求更更加复 杂,造成企业对⽤用户过分授权;攻击⼿手段愈加复杂以及暴暴露露⾯面和攻击⾯面不不断增⻓长,导致企业安全防护压 ⼒力力加⼤大。⾯面对这些新的变化,传统的基于边界构建、通过⽹网络位置进⾏行行信任域划分的安全防护模式已经 不不能满⾜足企业要求。零信任架构通过对⽤用户和设备的身份、权限、环境进⾏行行动态评估并进⾏行行最⼩小授权, 能够⽐比传统架构更更好地满⾜足企业在远程办公、多云、多分⽀支机构、跨企业协同场景中的安全需求。
零信任架构涉及多个产品组件,对国内⽹网安⾏行行业形成增量量需求。
零信任的实践需要各类安全产品组合, 将对相关产品形成增量量需求:1)IAM/IDaaS等统⼀一身份认证与权限管理理系统/服务,实现对⽤用户/终端的 身份管理理;2)安全⽹网关:⽬目前基于SDP的安全⽹网关是⼀一种新兴技术⽅方向,但由于实现全应⽤用协议加密流 量量代理理仍有较⼤大难度,也可以基于现有的NGFW、WAF、VPN产品进⾏行行技术升级改造;3)态势感知、 SOC、TIP等安全平台类产品是零信任的⼤大脑,帮助实时对企业资产状态、威胁情报数据等进⾏行行监测;4)EDR、云桌⾯面管理理等终端安全产品的配合,实现将零信任架构拓拓展到终端和⽤用户;5)⽇日志审计:汇聚各 数据源⽇日志,并进⾏行行审计,为策略略引擎提供数据。此外,可信API代理理等其他产品也在其中发挥重要⽀支撑 作⽤用。
零信任的实践将推动安全⾏行行业实现商业模式转型,进⼀一步提⾼高⼚厂商集中度。
⽬目前国内⽹网安产业已经经过 多年年核⼼心技术的积累,进⼊入以产品形态、解决⽅方案和服务模式创新的新阶段。零信任不不是⼀一种产品,⽽而 是⼀一种全新的安全技术框架,通过重塑安全架构帮助企业进⼀一步提升防护能⼒力力。基于以太⽹网的传统架构 下安全设备的交互相对较少,并且能够通过标准的协议进⾏行行互联,因⽽而导致硬件端的采购⾮非常分散,但 零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享,加速推动安全⾏行行业从堆砌安全 硬件向提供解决⽅方案/服务发展,同时对客户形成强粘性。我们认为研发能⼒力力强、产品线种类⻬齐全的⼚厂商 在其中的优势会越发明显。
由于中美安全市场客户结构不不同以及企业上公有云速度差异,美国零信任SaaS公司的成功之路路在国内还 缺乏复制基础。
美国⽹网络安全需求⼤大头来⾃自于企业级客户,这些企业级客户对公有云的接受程度⾼高,过 去⼏几年年上云趋势明显。根据Okta发布的《2019⼯工作报告》,Okta客户平均拥有83个云应⽤用,其中9%的 客户拥有200多个云应⽤用。这种多云时代下企业级⽤用户统⼀一身份认证管理理难度⼤大、企业内外⽹网边界极为 模糊的环境,是Okta零信任SaaS商业模式得以发展的核⼼心原因。⽬目前国内⽹网络安全市场需求主要集中于 政府、⾏行行业(⾦金金融、运营商、能源等),这些客户⽬目前上云主要以私有云为主,⽹网安产品的部署模式仍 未进⼊入SaaS化阶段。但随着未来我国公有云渗透率的提升,以及⽹网安向企业客户市场扩张,零信任相关 的SaaS业务将会迎来成⻓长机会。
投资建议:
零信任架构的部署模式有望提升国内⽹网安市场集中度,将进⼀一步推动研发能⼒力力强、拥有全线 安全产品的头部⼚厂商扩⼤大市场份额、增加⽤用户粘性,重点推荐启明星⾠辰辰、绿盟科技、深信服、南洋股份, 关注科创新星奇安信、安恒信息。
(报告观点属于原作者,仅供参考。作者:招商证券,刘⽟萍、范昳蕊)
如需完整报告请登录【未来智库】。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
