深信服:SASE蓝海中的耀眼新星(深度)| 国君计算机
公司深度系列
— 作者:钱劲宇 —
1. 深信服首发国内SASE平台:Sangfor Access
2020年9月10日,深信服首发的Sangfor Access为一个以SASE模型为核心的安全服务平台。提供了上网安全(SIA)、内网接入安全(SPA)、安全智能分析(SAP)三大安全SaaS服务。Sangfor Access围绕SASE通过集成“SD-WAN接入服务+完整的云交付安全产品栈”以及部署在全球的多个 POP节点,为海内外用户提供更灵活、更稳定、更有效的端到端网络及安全服务。直观的说,企业采用了Sangfor Access后,无论业务在云上,还是在本地数据中心或分支机构,甚至是跨云服务、在线SaaS应用或移动终端,企业员工、合作伙伴只需通过就近访问安全节点,即可实现随时随地、低延迟、更安全的业务动态访问。
1.1.SASE:网络与安全新式解决方案
2019年底,Gartner 首次提出 SASE(安全访问服务边缘)的概念。定义是将基于软件定义广域网(SD-WAN)的基础设施与网络安全功能结合,以云的方式交付,在企业数字化转型的场景下,满足企业动态访问网络的安全需求。SASE的WAN端依赖于SD-WAN提供商、运营商、内容交付网络、网络即服务提供商、带宽聚合器和网络设备供应商提供的功能;安全方面依靠云访问安全代理、云安全Web网关、零信任网络访问、防火墙即服务、Web API保护即服务、DNS和远程浏览器隔离。其中,五大核心组件分别是:SD-WAN,SWG,CASB,ZTNA和FWaaS,均具有识别敏感数据、恶意软件的能力,并能够用线速大规模地对内容进行加密、解密的能力,并能够持续监控会话的风险水平。
SASE降低了复杂性和成本,并且提升了安全性。其减少了所需的物理或虚拟分支机构设备以及最终用户设备代理。SASE服务商能够替企业检视安全状况、处置网络攻击、系统扩展、安全库更新等问题,让IT运维团队能够从繁琐的工作中解放出来,为更重要的业务创造价值。另一方面,服务商将能够在全球范围内的PoP之间提供延迟优化的路由,协作、视频、VoIP、网络会议等延迟敏感型应用将大幅提升使用体验,并且在每个用户中应用数据策略,改善访问安全。
SASE新趋势成就新机遇。Gartner 预计,到2023年,将有20%的企业采用同一供应商的SWG,CASB,ZTNA和分支FWaaS功能,而2019年该比例不到5%。到2024年,至少40%的企业将有明确的策略采用SASE,高于2018年底的不到1%。到2025年,至少一个领先的IaaS提供商将提供一套具有竞争力的SASE功能。
1.2.Sangfor Access提供三大安全SaaS服务
根据设计,Sangfor Access用于贴合网络、身份、访问和安全性的三个主要支柱。首先,Sangfor Access将通过身份验证来验证用户身份,并且仅基于预配置的策略和用户配置文件授予对授权业务应用程序的访问权限。Sangfor Access为分支机构和远程用户提供24x7全天候保护,使其免受已知和未知威胁的威胁,包括网络钓鱼,恶意软件和勒索软件。它还具有审核功能,可以监视是否滥用公司应用程序或违反数据泄漏,并为远程用户提供生产力监视。
Sangfor Internet Access(SIA)着力解决终端到整个上网侧以及访问SaaS应用的安全问题。SIA通过SD-WAN标准的引流器或者是白盒路由器,能将用户终端的流量传输到pop节点上来实现安全的交付,减少了不必要的回程的同时,其在PC端可以提供一体化的安全插件来保障终端的流量可管、可控、可视。针对SaaS应用的访问,为了减少暴露面,深信服基于可信云的建设将整个的云平台设定为SaaS应用的黑白名单,从而实现对每一个终端用户访问SaaS的可管可控。此外,通过整个的云平台来管理终端的用户,实现对整个用户访问SaaS应用,以及通过SaaS应用获取的安全数据,阻止恶意的内部行为以及数据的外发泄密,从而实现端到端的安全方式来保障数据安全。
Sangfor Private Access(SPA)聚焦内网接入安全问题的解决。SPA提供基于SDP的云VPN接入,基于身份的权限控制、认证等模块,确保企业员工、合作伙伴在任何地方、任何时间通过全球各地 POP 点网络访问业务时更安全、更隐私、更稳定的访问体验。
Sangfor Analytics Platform(SAP)提供整体的网络安全和数据分析能力。SAP通过端到端的大数据分析平台,在短期也能够实现泄密的分析。深信服通过构建用户的访问基线进行场景化建模分析、内置常见的泄密规则、对用户进行综合风险评分等,通过机器学习和深度学习能够发现泄密事件和泄密风险。未来也将整合云端的外部威胁情报、云脑等安全平台交付能力,实现安全事件的分析与发现能力,打造一体化的安全服务平台。
SASE具有网安融合、简化运维、弹性灵活等优势。传统的IT架构中由于网络维护通常呈线性、甚至呈指数在增加,由于设备升级困难、运维人员稀缺,造成的运维工作量十分庞大,SASE采用了分布式PoP (Points of Presence)布局,在理想情况下,分布式PoP位于企业数据中心、分支机构、设备和员工附近。每个PoP运行一个专门构建的软件栈,在所有流量上应用路由、加密、优化和高级安全服务。无论企业资源连接到附近的哪个PoP, 云始终维护一个一致的逻辑企业网络,创建相应程度的可用性和弹性。实现了将运维工作从管理一堆设备转变为到管理一个节点,利用统一的管理界面、策略、日志中心实行集中管理,达成分支零运维、即插即用、实施简单。
2.网络产品融合安全性能敲开增量市场
能够敲开一些认为SD-WAN安全性不足的增量客户大门。原先市场中一些客户率先采用了SD-WAN技术组网,但是它缺乏关键的安全功能、全球连接能力以及对云资源和移动用户的支持。一些客户也因为安全性问题,没有开始WAN转型,市场上的SD-WAN和硬件盒子串联法或者一些厂商在硬件防火墙上集成SD-WAN等诸多方法,复杂不便、存在潜在安全问题,无法满足客户对轻便和安全的双重要求,存在客户获取问题,而SASE架构一体化地推出了SD-WAN和安全栈融合的解决方案,给客户提供了一个新方案,有望敲开增量市场大门。
订阅模式降低使用门槛。SASE按年付费的软件订阅模式也意味着更低门槛、更多的客户与更大的增量市场。深信服构建了一个安全的云平台和一体化的安装,来实现整个终端的零配置弹性扩容,按需购买随时升级的模式,为用户提供了极大的便利,不仅是大幅降低用户硬件折旧成本,使得其无需担心带宽升级导致设备投资浪费,而且将内容安全、边界安全、身份安全、终端安全通过云服务的模式按需、按模块提供给最终用户。
SASE市场是一片千亿蓝海。根据我们产业调研截止2021年1月,Sangfor Access已经集成了AC功能,未来还将陆续集成FWaaS等安全功能模块,单一集成AC,先开始向中小企业试点推广,单价在几千至几万不等,随着越来越多模块的集成和面向中大型客户,产品单价和市场规模能到多少?我们参考了Zscaler的客单价在10万美元左右,如果考虑中美企业购买力和软件定价的差异,我们可以估算成熟的SASE产品会在每年25万人民币左右。若仅仅考虑全国规模以上工业企业数量约40万家,得到的远期潜在规模也超千亿,若深信服在SASE市场也可以保持传统安全市场的头部市占率,远期收入增量非常可观。
3.深信服发力Sangfor Access具有独特优势
我们认为深信服的SASE未来可以成功,因为有得天独厚的优势:SASE需要厂商同时提供综合性的云安全和SD-WAN软件定义广域网等能力等,海外代表厂商分别是Zscaler和VMware,而深信服也恰好满足。SASE是一个一体化平台,需要供应商涵盖所有组网和安全能力,深信服是网络安全和云计算综合厂商,Sangfor Access通过融合了公司的全网行为管理、移动行为管理、下一代防火墙,包括认证中心和数据泄密行为分析等功能丰富不断增长的安全栈,并且未来将有趋势融合零信任、统一身份认证等等,随着平台的规模的增长而不断叠加提供更多的安全服务,凭借不断拓展的弹性给最终用户全方位威胁防护,同时从安全设备的堆积(AC、AF、VPN)转变成统一的云化安全管理,降低网络接入的复杂性,提供一体化的安全防控与管理,提升用户对“SASE一体化供应商”的认可度。
海外SASE已经风生水起,国内发展也是大势所趋,深信服凭借先发优势有利于抢占市场。随着疫情影响,居家办公、移动办公将成为常态化,Cato SASE Cloud建立在全球60多个PoPs节点之上,与Amazon AWS等云供应商集成了安全的IPSec安全加密链路,服务了四十多家零售、制造、医疗、金融等公司。Zscaler Cloud Security Platform是一项从零开始构建的SASE服务,提供全面的SSL检查,其体系架构涵盖全球150个数据中心,为国内外各个领域企业(包括西门子等)提供服务。VMware通过内置的SD-WAN提供SASE服务,其SASE平台,其业务通过全球最大SASE网络(130多个PoP节点)以提供项云服务。而深信服首发Sangfor Access占据国内先发优势,有望快速抢占中国市场、获得业务领导地位。
具有全球性PoP节点布局。SASE基于云,由软件定义和管理,需要借助全球性的PoPs,因此PoP的布局就对于确保尽可能多的企业流量直接访问SASE网络,避免公共互联网的延迟和安全性问题至关重要。Sangfor Access部署在全球的多个 POP节点有利于提供海内外地区更低延时、更灵活的端到端网络及安全服务。最新消息,深信服正在扩展其在亚太地区的全球服务,除了北京、上海、广州、浙江等一线城市外,2020年12月31日深信服最新在香港建立的新的接入点(PoP)设施,这无疑将改善香港企业和其他企业的全球连通性,并助力深信服成为亚太地区领先的SASE提供商。
SASE产品需要跨部门协作。在SASE产品研发集成过程中,跨产品线协作是面临的难题,部门之间各自为政、画地为牢将合作碎片化、人员和部门成为一座座孤岛,深信服管理层在组织架构上相比友商会更为灵活,有助于预防Gartner所提示的SASE模块协作问题,力求协同合作、最大化团队效益。
合规声明:本文节选自国泰君安正式研究报告《深信服:SASE蓝海中的耀眼新星》,如需报告原文PDF请后台留言。
网络安全相关报告
3. 海外网络安全和云计算大厂发展趋势(百页PPT) | 国君计算机
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
12. 绿盟科技:有一种上车机会叫低于预期(深度)| 国君计算机
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)| 国君计算机
18. 奇安信基本面及虎符生态战略解密(30页PPT)| 国君计算机
19. 迪普科技:中国应用交付产业的希望(深度)| 国君计算机
20. 为什么网络安全公司纷纷布局EDR(深度)| 国君计算机
22. Zscaler:云安全服务与接入领头羊(30页PPT)| 计算机文艺复兴
- end -
欢迎加入行业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的行业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。