作者:程天一
排版:Scout
隨著 SaaS 的普及、企業資料的爆發增長以及全球招聘與混合辦公的興起,傳統網路安全(Network Security)依賴防火牆、堡壘機、VPN 組成的“堡壘與護城河”防護已經很難奏效,不光容易被攻破,效能也很難滿足要求。
試圖解決這一問題的廠商通常會被納入 SASE 的範疇內。這個單詞代表著過去 10 年我們見證的安全和網路的一系列演進:
SWG 從硬體盒子走向 Zscaler 引領的雲交付模式;BeyondCorp 概念被提出,ZTNA 則很快進入每一個 CIO 和 CISO 的視野;CASB 幫助企業更安心地使用在雲上的 M365、Salesforce、Box 等 SaaS;SWG、ZTNA、CASB 與雲上防火牆的融合與統一交付成為大勢所趨;SD-WAN 與這些安全產品的分分合合,SASE 最終被 Gartner 拆分為提供網路能力的 SD-WAN 與提供安全能力的 SSE……
最優秀的一批安全廠商都在 SSE 領域廝殺 —— Broadcom、Fortinet、Palo Alto Networks、Zscaler、Cloudflare 在內的老牌玩家希望捍衛優勢或現金流,Netskope、Cato Network、Perimeter 81、Tailscale 等新興公司則各自有獨特的價值主張和對下一代架構的願景。
在群雄逐鹿這個 35% CAGR、150 億美元市場的過程中,Netskope 先後完成了在 CASB 和 SSE 兩個紅海戰場的逆襲,在 2023 年成為了 Gartner SSE 魔力象限的頭號領導者,成為了一級市場最重要的安全獨角獸之一。
講清楚 Netskope 背後的技術架構和完整的 IT 趨勢需要更大的篇幅,因此本文主要從投資者視角出發,將內部 Memo 脫敏化簡釋出,更簡明和通俗地講述 Netskope 身上獨特的競爭優勢,希望幫助廣大安全投資者和愛好者對 Netskope 增加更多瞭解,也歡迎專業的安全從業者新增我在文末的微信進行更多交流。
* 鑑於許多讀者可能沒有網路安全的行業基礎,在此對本文中的安全概念進行一個簡單科普:
• SASE:安全訪問服務邊緣,SSE + SD-WAN。
• SSE:安全服務邊緣,SWG + CASB + ZTNA + FWaaS。
• SWG:Web 安全閘道器,用來檢查和控制網際網路流量,組織網路威脅和資料洩露。
• CASB:雲訪問安全代理,幫助企業員工安全地使用 SaaS,防止出現影子 IT 和資料洩露。
• ZTNA:零信任網路訪問,可以替換傳統的企業 VPN,在授權每個使用者和裝置訪問內部資源之前對其進行嚴格的驗證。
• FWaaS:防火牆即服務,即雲交付的防火牆,企業無需再自行維護硬體盒子。
• SD-WAN:頂軟體定義廣域網,供應商幫助企業在 MPLS、網際網路、LTE 等網路線路中進行最佳化選擇。
• PoP:入網點,處於企業網路邊緣的接入點。
以下為本文目錄,建議結合要點進行針對性閱讀。
👇
01 Thesis
02 什麼是 Netskope
03 走向真正的 SASE
04 商業化進展
05 結論
01.
Thesis
Netskope 是一級市場最重要的成長期網路安全資產之一,也是安全投資者們非常期待在不久後 IPO 的明星公司。在持續追蹤研究後,我們基於以下原因對 Netskope 的未來前景非常看好:
1. SASE(SSE + SD-WAN)賽道仍然處於黃金增長期,Gartner 預計其市場將以 35% 以上的 CAGR 在 2025 年增至 150 億美元。
疫情顯著提升了客戶對完整 SSE 套件的需求,各家供應商產品也走向成熟,在爭奪客戶的過程中展現出產品、架構願景、網路效能和 Go-To-Market 上的明顯梯度分層。Netskope 目前成為 SSE 市場的領導者;
2. 整合分散的安全供應商是各大 CISO 的明確任務。
目前平均每個大型企業需要購買 76 個安全工具,並且以接近 20% 的速度增長,因此之前 SSE 下 SWG、CASB、ZTNA、FWaaS 單獨向最佳供應商購買的情況正在轉變,CISO 逐漸更傾向於向同一家供應商採購。CASB 在 23 年初成為了 CISO 最高優先考慮的產品(20 年以前為 SWG,目前逐同質化;疫情期間為 ZTNA),而 Netskope 的 CASB 和 DLP 能力處於絕對領先位置;
(橫軸越靠前代表進入 POC 的機率越大,縱軸越靠上代表 POC 中勝出的機率越大)
02.
什麼是 Netskope
Netskope 有一個非常有趣的成長軌跡。
它首先是一家隨著雲趨勢成長的公司,在 2012 年之後的數年時間裡都是專注於 CASB,幫助 CIO 和 CISO 們克服使用雲和 SaaS 的安全顧慮。
它還是一家一直在紅海戰場中逆襲的公司。儘管有 Greylock、Sequoia Capital、ICONIQ、Accel、Lightspeed 等優秀基金的一路支援,Netskope 在早期一度被 Skyhigh、CloudLock 等玩家壓了一頭,但這些競爭者沒有 CEO Sanjay Beri 的長期願景,在 2016 年後陸續賣身給 Cisco、Macfee 等老牌廠商並且逐漸喪失創新。
Sanjay 是連續成功創業者,在 Netskope 之前將上一家創立的公司賣給了瞻博網路,並且留在那裡操盤數億美元級別的業務線,離職再度創業的願景是打造一家 100 年的公司,因此在 CASB 的收購潮中堅持獨立,並且在過去 5 年不僅站穩了 CASB 方向的獨立第一名位置,還大幅拓展了產品線和 TAM,成為了現在的 SASE Leader。
核心安全產品與網路基礎設施
Netskope 產品背後的 IT 架構演變與客戶遭遇的挑戰
為了讓沒有太多安全領域經驗的讀者也可以更好地理解這部分,我在下面使用了 Netskope 的 Chief Evangelist Bob Gilbet 在 2021 年採用的敘事。儘管 Netskope 產品組合在過去 2 年已經有了更多發展,但是他講述的 IT 趨勢和客戶挑戰仍然存在:
在過去 10 年,每個人都能直觀感受到的變化是雲上應用(SaaS)數量的提升,資料量級的提升,以及全球招聘與混合辦公趨勢的興起。
在這種情況下,防火牆、堡壘機、VPN 等傳統網路安全工具組成的“城牆與護城河”防護已經很難奏效,非常容易被攻破,並且處理流量的效能很難滿足混合辦公時代的企業員工訴求。
企業進行補救的方法是在每個單點購買對應的產品,導致了安全供應商的分割,總預算的上升,同時每個安全工具只是被用來處理單點問題,缺乏上下文和全域性防護。
對這種混亂情況的終極解法是使用一個統一的平臺,同時提供 SWG、CASB、Private Access(ZTNA)、FWaaS(防火牆即服務)這些完整的 SSE 套件,幫助企業一站式地解決對 SaaS、Web 和內網應用資源的訪問、規則設定、DLP 監測等。這樣做的好處是企業無需安裝實體裝置、多次進行復雜部署、使用分散的控制檯等。在這些產品之上,邊緣的 PoP 基礎設施網路則可以幫助客戶最高效能地使用這些服務。
這種統一的 SASE 平臺目前來看是網路安全領域皇冠上的明珠之一,對供應商要求很高,因此 Netskope、Zscaler、Palo Alto Networks、Cloudflare 等最優秀的安全和網路公司都在角逐成為贏家。
Netskope 的 SSE 產品
SSE 包含 3 個核心產品:
• SWG:
幫助公司員工和 Web 流量之間安全互動,比如老闆希望普通員工在上班期間無法訪問 YouTube,而社交媒體運營員工可以瀏覽 YouTube 但無法上傳影片,就可以透過 SWG 進行 URL 過濾以及限制 HTML 中的 POST 來實現。
• CASB:
幫助公司員工和 SaaS 安全互動。比如透過 CASB 設定某些員工可以建立一項 Salesforce 活動而別人只能瀏覽,或是讓營銷 團隊可以在 Linkedin 上發帖而研發團隊只能編輯不能發新帖。SaaS 沒有固定的編寫方式,可以是 HTML、JavaScript、JSON,需要 CASB 供應商做許多解析邏輯。
• ZTNA:
幫助公司員工和企業部署在自己資料中心或雲上的內網應用高效能和安全地互動。比如透過使用 ZTNA 來限制已提交離職員工在週五晚上訪問內網的某個存有敏感表的應用。
從現有的產品矩陣來看,Netskope 的佈局已經相當完善,不光涵蓋了 SSE 的 3 個核心組成部分,在 RBI(遠端瀏覽器隔離,被視作下一代 SWG 的核心)和 CSPM(即 Wiz 的核心業務)等延伸領域也已經有資產佈局:
我們之前在雲安全的文章中將 Netskope 作為 CASB 的代表者展示,而 CASB 目前仍然是 Netskope 的安身立命之本,不管是寬度還是深度都有絕對優勢:
• 寬度:
Netskope CASB 支援的總應用數超 5 萬,最接近的 Palo Alto Networks 的 CASB 只有 2.5 萬,預計年底到 3 萬,Zscaler 的 CASB 則在 2021 年才起步,還差距狠大。
• 深度:
Netskope 對於 Out-Of-Band C ASB的整合、SaaS 的攻擊威脅上都理解非常深,在最核心的 SaaS 上,比如 Dropbox、Salesforce、M365 等,Netskope 提供的可見度和許可權控制顆粒度都是最強大的。
*Out-of-Band CASB 透過連線到各個 SaaS 的 API 來檢查檔案以實現安全,而 In-Line CASB 則透過安裝代理講 SaaS 的所有流量轉給代理來實現 CASB 能力。Out-Of-Band 需要極深的 Know-How,而 In-Line CASB 則興起於疫情期間。
在狹義的 SWG 和 ZTNA 產品上,這兩類產品的供應商本身已經相當同質化,很難做出差異點,更多是全球 PoP 基礎設施的基本功比拼。在被視作 SWG 的下一個核心戰場的 RBI 上,Netskope 在 21 年收購了 Randem 獲得了伺服器端渲染用將影片訊號傳輸到本地的基礎技術,和 Zscaler、Palo Alto Networks 的架構沒有太大差異,但略落後於收購了 S2 Systems 並獲得了本地渲染能力的 Cloudflare。
NewEdge 全球網路
構建一個全球分散式的 PoP 邊緣基礎設施本應是一件極其困難的事情,Cloudflare、Zscaler、Fastly 等公司花費了數年還是十幾年的時間實現這一點。
Netskope 從 19 年開始補足自己的全球 PoP,挖到了 AWS 的 Global Network 和 Amazon carrier 負責人 Joe DePalo 操刀。得益於已經發展成熟的資料中心託管服務商,Joe 基本上只花了一年的時間就在 Netskope 建立起構建了 50 個全球 PoP 網點和 100Tbps 的網路容量。目前跟 Zscaler 等競爭對手相比已經不落下風。
Netskope 也是少數在中國有 PoP 的公司,分別在北京、上海、深圳有 1 個 PoP —— 核心原因是 Netskope 對於使用者體驗的重視,只要發現某個區域的網路請求達到一定量級就會去開 PoP。由於一直這樣比較激進地開 PoP,Netskope 的 PoP 網路利用率可能平均只有 20%+,比行業均值要低很多,它靠透過比競爭對手更高的定價來維持這種奢華的網路效能。
目前 Netskope 正在探索的 Container Service 可以幫助客戶在其 PoP 裡部署應用,起到類似邊緣雲計算的效果。這最終可以幫助 Netskope 提升 PoP 的利用率並且向客戶追加銷售。
市場機會
單純看 Netskope 的天花板比較簡單,起碼有能做到 Zscaler 的 15 億美元 ARR 的空間,現在離這個里程碑還有數倍的空間。
從更大的 TAM 視角看:
• 最寬泛的 TAM 是全球 10 億知識工作者 * 150 美元/年的定價,對應 1500 億美元的市場;
• Gartner、G2、Netskope CFO 的口徑是整個 SASE 在未來 2-3 年達到 150 億美元,30% 左右的複合增速。
從比較保守的客戶角度估計,Netskope 和它的主要競爭者基本都不做 SMB:
• 從地域視角看:
– 最核心的是美國,它的 SMB/SME 沒太大 SSE 的需求,所以 1.5 億工作群體裡有 30% 的 Mid-Market 和 Enterprise 僱員,按照 150 美元/年對應 70 億美元左右的年收入池子;
– EMEA 的大型企業基數較少,但是 SMB/SME 從過去來看購買意願反而比較強,對應也有 50 億美元的年收入池子;
– APEC 和 Latam 基本可以忽略,日本屬於有一定潛力的市場,但是會比較偏向 Cisco、Fortinet 這種老牌廠商,暫時在 Netskope 射程之外。
• 從行業看:
主要的 SSE 需求是金融服務、能源、零售、科技以及醫療公司和機構。
客戶
Netskope 從 Mid-Market 切入市場,在追求效能、對定價沒那麼在意的客戶群中享有很高的聲譽,發展了幾年時間就已經完全 Enterprise Ready,在大型企業市場擁有一席之地,很早就獲得了財富 500 強的客戶。
目前 Netskope 擁有超過 2000 家客戶,包含 25 家財富 100 強客戶 —— 全球 4 家最大商業銀行中的 2 家,全球 7 家最大醫療保健提供商中的 5 家,全球 3 大電信公司中的 2 家。當紅炸子雞 NVIDIA 也是 Netskope 的客戶。
由於 Netskope 過去以 CASB 見長,Zscaler 過去以 SWG 見長,許多客戶過去需要同時採購它們的產品才能真的滿足需求,但是隨著 SASE 統一平臺的趨勢被 CISO 接受,Netskope 和 Zscaler 互相 Land & Expand 的情況更加明顯。
根據 Netskope 前 Field CTO 和 Zscaler VP 的觀察,Zscaler 的客戶在採用它的 CASB 方面會遲疑一些,而 Netskope 的客戶在 CASB 之上購買 SWG 或者 FWaaS 則更順暢,正好可以替換掉 Blue Coat 的硬體,但 Netskope 本身的客戶基數仍小於 Zscaler —— 後者在全球擁有超 5600 個客戶。
競爭
Netskope 最大的對標和競爭對手仍然是 Zscaler,SSE 的業務佈局幾乎一模一樣,但是在經營的勢頭上已經有分化的趨勢:Zscaler 是 07 年的公司,系統都不是基於 Linux 的,也不是最新一代底層架構,更像是大型跨國企業落後技術堆疊的膠水,幫助客戶把內部破碎的、陳舊的系統聯合在一起,非常適合在疫情期間滲透,但是效能和安全性都在實際使用中較 Netskope 已經沒有領先。
包括 Zscaler 在內,Netskope 的核心、正面競爭對手主要包括以下兩類:
值得注意的是微軟在 2023 年 7 月宣佈其 Entra 業務線推出了 SSE 產品,提供 SWG 和 ZTNA,但是缺少 CASB。鑑於微軟的競爭策略一向是價格和客戶服務,這可能對 Zscaler 帶來更大沖擊,而 Netskope 和 Palo Alto Network 的客戶群反應還有待觀察。
03.
走向真正的 SASE
一旦談及到零信任或者 SASE,往往會牽扯到 SD-WAN。但是在過去 3-5 年時間裡,從業務敘事和競爭的角度看,兩者的關係發生了幾個大的變化:
1. 網路和安全銷售分離;
SASE 一開始由 Gartner 在 19 年提出,試圖將網路(Network)和安全捆綁在一起,大量公司衝向 SASE 概念並且試圖真的貫徹這種捆綁銷售,但是很快發現銷售結果並不理想,因為 SD-WAN 需要對企業主幹網進行重塑,考慮到整個轉換專案的成本和週期,大多數時候 SD-WAN 並不比 MPLS 便宜,所以企業擁抱的動力並不強。同時一部分 CISO 也並不是負責網路的決策者,反而是安全的部分更好賣,因此 Gartner 在 2021 年開始放棄了 SASE 這個術語,單獨定義了 SSE。
2. 網路和安全能力的再整合;
儘管在銷售上分離,SD-WAN 本身在 19 年前後已經變成了成熟市場,VMWare、Cisco、Fortinet、Versa、Palo Alto 等 6-7 家頭部公司透過收購整合瓜分大部分市場份額,並逐漸深入安全領域,比如 VMWare 在 20 年推出了 SSE 產品,成為最年輕的 SASE 解決方案。
SSE 廠商也在做針對性防守。Zscaler 沒做太多 SD-WAN 的佈局,但是 Netskope 在 22 年很聰明地收購了 Infiot,這是 Velo Cloud 的早期團隊。目前它提供無邊界 SD-WAN 服務,還在 SSE 的捆綁中提供提供類似企業私有的、用於計算而非儲存的 CDN 服務。
3. 敘事從降低成本變成“安全必備”;
從 IT Spending 角度看,使用其他廠商或 Netskope 的 SSE 並不能幫助企業省錢。對大型企業客戶來說,反而比傳統的安全硬體盒子+ VPN 的組合貴 20% 左右。所以目前各大 SSE 廠商的銷售賣點不再是降成本,而是“更好的員工/使用者體驗”以及“雲時代、混合辦公新常態下的安全性”。
4. Netskope 和 Zscaler 的戰略逐漸分化。
基於以上幾點,Netskope 和 Zscaler 目前處於戰略分化的路口 —— Netskope 把負責網路建設的 Global VP Joe 晉升為了 Chief Platform Officer,負責全球資料中心(最強效能的 PoP 和解決 First-Mile 的 SD-WAN/Infinot)和內部中臺(Unified Engine)的建設,下面團隊的核心都來自 AWS 的全球網路建設團隊,積累和經驗不比 Cloudflare 差,而 Zscaler 暫時沒有把 SD-WAN 以及更多的網路屬性產品作為下一階段重點。
04.
商業化進展
鑑於最新的財務資料較為敏感,下面可以對 Netskope CFO 在投行活動中分享過的 22 年上半年數字跟 Zscaler 的情況做個對比:
Zscaler 在 IPO 時擁有 50% 的增速,至今沒有失速。
這種情況背後的原因是網路安全(Network Security)的特殊性 —— 這不是那種 PMF 未驗證的新興市場或者客戶的預算未達到穩定的藍海市場,而是一個紅海市場,客戶往往已經擁有相似功能的產品,新的供應商需要說服客戶更換、放棄已有產品的投資、花成本切換到新的解決方案,只有擁有極強產品力的供應商才能做到這一點。
而一旦達成了這一目標,網路安全領域的創新公司就有機會享受一個較長的增長期,持續佔據客戶的 IT Spending,增速從 50% 級別縮減到 30% 需要數年的時間。
05.
結論
Netskope 展現出了極強的長期願景、韌性和執行力。在 CASB 領域實現逆襲之後,Netskope 又在 SASE 領域復刻了同一劇本,在紅海級別的網路安全領域實現了這一戰果。創始人 Sanjay 不光懂產品和技術,還從 Day One 就非常重視文化建設和為招募人才制定標準。總體而言,每一個安全投資者、從業者和愛好者都非常值得關注 Netskope 並且期待它走向二級市場的那一天。
延伸閱讀
關鍵詞
網路
公司
廠商
供應商
雲上