Palo Alto Networks、Fortinet是全球网络安全两大龙头,成立初期通过技术革新在防火墙等传统安全领域崭露头角,同时持续迭代产品线,坚定平台化、云化转型战略,形成了软硬件结合、本地与云端一体的综合竞争优势,兑现稳健的收入增长和健康盈利能力。我们认为美国头部安全厂商的转型路径对国内安全行业发展有借鉴意义。
摘要
立足技术创新,拳头产品稳固基本盘。Palo Alto Networks、Fortinet分别以下一代防火墙和UTM产品起家,在传统安全领域巩固市场份额,并通过技术迭代保持在传统市场的竞争优势,Palo Alto Networks在2020年推出全球首款基于机器学习的下一代防火墙,加强安全主动响应和决策功能;Fortinet通过自研芯片提升系统计算能力,内嵌安全SD-WAN、零信任等功能加强防御效果。我们认为稳固大颗粒度拳头产品的市场份额为公司业务转型和新品研发提供了坚实基础。
Palo Alto Networks云化路径坚定。公司2007年起推出防火墙附属订阅服务,通过拓展功能模块增购推动客户粘性及单客价值提升;2019年提出“下一代安全”战略聚焦云原生安全平台Prisma Cloud、安全运营平台Cortex XDR,2019-2021财年下一代安全业务ARR复合增速达到91%。云化战略下,公司2013至2021财年订阅收入占比从18%提升至45%,复合增速51%,远高于整体收入复合增速35%。
Fortinet聚焦平台能力整合。2016年公司推出Security Fabric安全架构降低组网复杂度,解决多种单点网安产品集成不足的问题,安全组件之间形成协作、共享威胁情报,提升防御效率。同时公司重视网络与安全能力的融合,2018年后逐步推出安全SD-WAN、零信任访问产品全面保护广域网和局域网安全,根据Gartner,2021年Fortinet位列全球SD-WAN硬件市场份额第二,顺应分布式网络演变趋势,推动产品和服务收入均衡增长。
复盘历史估值水平,我们认为收入成长性、战略转型进展、现金流及盈利能力是影响估值中枢的重要因素。Palo Alto Networks、Fortinet在2012年以来P/S估值中枢稳定在6-8倍,随着公司云化、平台化布局落地以及市场的网络安全意识增强,2022年P/S估值分别达到9倍和10倍;两家公司P/OCF估值从2016年20倍上升到2021年30倍水平左右,主要由于现金流水平优秀,占收入比重持续保持在30%以上。Palo Alto Networks、Fortinet作为传统安全龙头积极转型开拓市场,顺应网络安全在企业数字化发展中重要性的提升、引领客户对平台化解决方案的需求,从估值层面反映市场溢价。
风险
市场竞争加剧;并购整合风险;宏观经济波动。
正文
投资亮点:传统网安稳步转型,深挖市场空间
坚守传统网安市场,外延平台化、云化能力
Palo Alto Networks、Fortinet是美国两大网络安全龙头,成立于21世纪初,分别提出下一代防火墙和统一威胁管理(UTM)概念,以技术创新推动防火墙产品的演变进程,我们认为两家公司能始终保持市场领先地位,共性在于:一方面基于拳头产品持续创新、提升技术壁垒,稳定基本盘巩固市场份额,Palo Alto Networks嵌入机器学习技术加强防火墙的主动响应和决策功能,Fortinet通过自研芯片提升硬件性能,内嵌安全SD-WAN能力;
另一方面两家公司顺应下游需求积极转型,发挥龙头优势通过并购与自研丰富产品线,借平台化、云化趋势深挖客户价值,但转型路径略有差异。Palo Alto Networks选择在新兴赛道加强创新,坚持云化方向;Fortinet聚焦产品功能的深度集成,创新底层架构,以平台化形式联动各个安全组件;
►Palo Alto Networks深耕大型客户,坚持云化战略。截止2021年末公司客户覆盖77%福布斯全球2000强企业。大型客户对一体化、综合性安全功能的追求是Palo Alto Networks能从本地到云端拓展的重要基础。Palo Alto Networks的云化转型体现在:1)产品交付形式云化。公司以订阅形式增加防火墙产品形态,包括虚拟防火墙、容器防火墙、云端SD-WAN等;2)推出针对云基础设施的安全防护产品,两大新系列云原生安全Prisma和安全运营Cortex XDR构成公司“下一代安全”战略的主要发展方向。
云化提升订阅收入,三大平台扩大市场空间。“下一代安全”产品的高增长推动公司订阅收入占比从2018财年36%提升至2021财年45%;公司预计2024年网络安全、云安全、安全运营的潜在市场空间将达到1100亿美元,对应2019-2024年复合增速16%。三大平台布局满足客户从本地到云的安全需求,2019财年末至2021财年末,公司福布斯2000强客户中同时购买三大平台产品的客户占比从28%上升至43%。
►Fortinet深度整合平台能力,边缘安全优势突出。Fortinet最初以中小型客户为主,痛点在于安全支出预算有限而需求分散。考虑到单点产品的堆砌并不能解决网络攻击面不断扩大的问题,Fortinet2016年推出Security Fabric安全架构,以威胁情报为核心,依托防火墙FortiGate,将沙箱、邮件安全、安全web网关等组件集成在统一操作系统上,增强防御效果。同时,Fortinet积极拓展非防火墙产品领域,2018年推出安全SD-WAN解决方案并搭载业界首款SD-WAN专用芯片,解决了市场上SD-WAN产品安全能力不足、防御效率和高性能无法同时满足的痛点,实现网络和安全的融合。
网络和安全能力融合,向大型客户拓展。2009-2021财年Fortinet的产品收入和服务收入复合增速都保持24%,主要由于公司推出的安全SD-WAN等新产品迅速占领细分市场,非FortiGate产品的订单占比从2016年的22%增长至2020年的28%,复合增速达35%。依托于平台的集成性,Fortinet产品系列从防火墙为主的网络安全,向边缘安全、零信任访问、云安全、安全运营赛道拓展,公司预计2022年至2026年整体潜在市场空间复合增速达9.4%。同时,随着平台化架构逐步完善,公司业务逐步向大客户渗透,大型客户订单占比从2011年37%提升至2021年51%。
图表:Palo Alto Networks、Fortinet对比
资料来源:Factset,IDC,公司官网,中金公司研究部
订阅服务推动收入快速增长
2021财年Palo Alto Networks、Fortinet收入规模分别超过40亿/30亿美元,收入保持~25%稳健增长,受益于传统安全产品技术迭代,公司持续推出云化、平台化新产品交付模式。
►Palo Alto Networks收入包括:产品销售收入(以“下一代防火墙”硬件为主)、订阅收入(防火墙附属订阅服务、虚拟防火墙、Prisma云安全、Cortex XDR)、支持服务收入(设备维护和威胁情报咨询)。2013-2021财年收入复合增速35%,其中产品收入21%,订阅收入51%。产品硬件收入近两年增速较低,主要由于疫情下供应链紧张,影响硬件出货;随着公司云化转型,订阅占比从18%提高至45%,成为公司收入增长主要驱动。
►Fortinet收入主要包括产品、服务收入,产品收入包括FortiGate防火墙系列、Fortinet Security Fabric平台解决方案,服务收入主要包括FortiGuard安全订阅、FortiCare产品维护和技术支持。公司2009-2021财年收入复合增速24%,产品和服务增速相当,由于产品集成性和平台整合能力强。产品收入增长驱动力主要来自防火墙技术升级、SD-WAN平台架构下安全解决方案销量提升,SD-WAN订单占比2021年达到总订单的15%,2019-2021年复合增速85%;服务收入增长体现客户对于安全订阅的升级需求。
图表:Palo Alto Networks、Fortinet收入及增速
资料来源:Palo Alto Networks公司财报,Fortinet公司财报,Factset,中金公司研究部 注:Palo Alto Networks财年截止日为7月31日,Fortinet财年截止日为1月31日
平衡投入与盈利水平,维持健康现金流
Palo Alto Networks、Fortinet防火墙产品增速稳定,业务转型兼顾财务质量。Palo Alto Networks、Fortinet2010年前后上市以来,收入增速与调整后运营利润率之和基本超过40%,达到市场对于SaaS化公司健康程度的标准,即40%法则。
毛利率,Palo Alto Networks基本保持在70%水平,其中成本中包含较高股权激励,同时近两年订阅服务功能拓展,全球布局客户运营和专业咨询成本有所增加,以及部分收购所导致的无形资产摊销增加,调整后的毛利率水平大概在75%;Fortinet毛利率2014财年开始稳步上升,2021财年达到76%,受益于高毛利服务业务收入占比提高。
销售费用率,Palo Alto Networks从2010财年60%降至2021财年41%,其中2016年-2020年销售人员复合增长率为17%,销售人员人均创收从2016财年66万美元提升至2021财年95万美元,大客户基本盘稳固,规模效应释放;Fortinet的销售费用率在2010至2016财年从34%上升至49%,但随着安全架构平台逐渐完善,2021财年费用率优化至40%,且客户结构逐渐从中小型向大型企业拓展,2017-2020财年销售人员复合增长率22%,销售人员人均创收基本保持在62万美元左右,费用率优化得益于人均销售费用从2017财年的30万美元下降至2020财年的25万美元。
研发费用率,Palo Alto Networks研发费用率从2016财年21%增长至2021财年27%,2021财年研发人员数量达到2,595人,占总员工人数25%;Fortinet基本保持在13-14%研发费用率水平。两家公司研发费用率的差距或体现在研发方向上,Palo Alto Networks研发主要投入在云安全、XDR等新赛道,市场需要培育时间,研发投入回报周期相对较长;Fortinet主要面向底层架构和芯片端研发,针对现有产品的性能提升,研发的回报体现更快。
管理费用率,两家公司都体现对管理费用的优化和控制,管理费用率分别稳定在9%和4%。
净利润率,Fortinet上市以来始终保持盈利,2015财年至2016财年由于开发安全架构及SD-WAN等新产品对利润有所拖累,2021财年利润率已恢复至18%。Palo Alto Networks在GAAP净利润层面还未实现盈利,主要由于股权激励费用率较高,同时研发投入更多,随着公司新产品线放量,管理层在业绩会表示未来将逐步提升盈利能力。
现金流状况,2021财年 Palo Alto Networks、Fortinet自由现金流分别达到14亿/12亿美元,自由现金流率皆超过30%,主要和公司订阅模式占比提升相关。
图表:Palo Alto Networks达到40%法则
资料来源:Palo Alto Networks公司财报,Factset,中金公司研究部注:“40%法则”采用收入增速与调整后运营利润率之和
图表:Fortinet 达到40%法则
资料来源:Fortinet公司财报,Factset,中金公司研究部注:“40%法则”采用收入增速与调整后运营利润率之和
估值水平稳中有升
市场对于软件公司常用估值方式包括P/S、P/E、P/OCF、EV/FCF。公司在早期快速成长阶段,市场往往更看重收入增速,P/S是主要判断准绳;随着公司进入成熟发展阶段,市场对盈利能力、现金流逐渐重视,P/E、P/OCF、EV/FCF估值水平成为重要参考方法。随着客户需求从单一产品向综合性安全平台部署转变,以及网络安全意识的重视程度提升,Palo Alto Networks、Fortinet作为本地云端多边缘部署的龙头公司有望享有更高估值溢价。
►收入成长性是影响P/S市销率的核心因素。2012-2013财年公司收入增速达55%,P/S估值中枢约12倍;2013-2018财年收入CAGR42%,2018-2021财年收入CAGR为23%,估值中枢从9倍切换到7倍。Fortinet从成立至今收入增速较为稳定,2009-2015财年收入CAGR26%,2015-2021财年CAGR22%,2020年之前估值中枢稳定在8-10倍。另一方面公司转型战略的落地对估值有催化作用。2014-2015年Palo Alto Networks开始布局云安全,积极并购丰富产品线,P/S估值一度突破15倍;Fortinet2018年的OS系统增加了云安全、安全情报功能,SD-WAN产品初具规模,推动估值上升。
►P/OCF:健康现金流是享有高估值的重要原因。Palo Alto Networks、Fortinet2015年前后向云化、平台化转型,自由现金流率提升到35%左右,得益于订阅模式带来的可持续性收入增长。两家公司P/OCF估值从2016年的20倍上升到2021年30倍的水平。
►市盈率P/E:盈利能力和收入增速的平衡是估值锚。随着Palo Alto Networks、Fortinet业务布局逐渐成熟,市场对其盈利能力也尤为关注。Palo Alto Networks在云转型方向研发投入更多,利润端尚未实现盈利;Fortinet净利润率维持接近20%。两家公司P/E估值在40-70倍区间。
图表:Palo Alto Networks、Fortinet发展战略下P/S估值走势
资料来源:公司官网,Factset,中金公司研究部
图表:P/E以及P/OCF估值
资料来源:Factset,中金公司研究部
回顾美国网安市场变迁,复盘两大龙头传统业务
美国网络安全市场发展启示
美国网络安全产业的发展基于通信技术演变以及网络攻击和威胁方式的变化,从安全单品向整体解决方案发展,从本地化防护向云端、分布式部署。
图表:美国网络安全发展历史梳理
资料来源:公司官网,美国总务署官网(General Services Administration),美国电子隐私信息中心EPIC,中金公司研究部
►1980-2000年代:反病毒安全厂商诞生,互联网商业化提升网安需求。IBM1981年推出了第一台个人计算机,开启PC时代;域名系统DNS催生商业邮件、商业互联网的发展,同时计算机病毒攻击不断,1988年发生的莫立斯蠕虫事件造成较大损失。80年代末美国Mcafee推出全球首款杀毒软件,Symantec、Trend Micro也进入防病毒领域。1994年攻击者首次使用网络钓鱼的方式发起攻击,防火墙和VPN等防护产品开始快速放量。
►2000-2020年代:攻击复杂化,整体解决方案的需求出现。网络攻击向自动化、智能化发展,网站篡改、针对域名服务器的攻击、分布式拒绝服务攻击(DDoS)涌现,2004年Fortinet提出统一威胁管理UTM技术将传统防火墙、内容安全(防病毒、IPS、URL过滤等)、VPN等功能集合;2007年Palo Alto Networks提出下一代防火墙NGFW将流量检测提升至应用层,进一步提高检测效率。网络边界不断拓展下,零日漏洞攻击、高级持续性威胁(APT)等新一代安全威胁能够绕过传统的安全检测和防御体系,网络攻击的规模、强度不断加大,各龙头公司通过收购细分赛道垂类公司补齐产品线。同时,企业上云趋势拉动对云端防护的需求,新兴云原生安全公司包括OKTA、Zscaler、CrowdStrike、CloudFlare等涌现。
►未来趋势:分布式网络安全防御需要集成性平台替代单一产品,安全产品部署云化。传统单点防御组件协同效果不佳,产生信息孤岛问题,2021年Garter提出“网络安全网格架构(CSMA)”,强调全面覆盖、深度集成、动态协同,整合一系列网络安全服务,提供身份内容及策略等方面的认证,自动适应网络中的动态变化。市面上已有类似于整合性的解决方案出现,如SASE、XDR等概念,也有强调集成性的安全架构如Fortinet自有的Secure Fabric。云环境的成熟是美国安全公司实现技术迭代、商业模式转型的重要基础,Gartner预计2022年美国云服务支出将占IT总支出14%,远高于其他国家,2017-2022年复合增速预计达到20%,企业将工作负载转移到云上,分布式网络环境使得安全防御更加不易,根据Check Point,2020年3月起全球每个组织平均每周遭受的网络攻击数量持续增加,截至2021年9月增幅超过100%,其中北美地区增幅最大,包括未加密的云数据、云资源的公开暴露、不安全的端口配置等。以金融行业为例,2020年1-4月,金融行业云服务使用量增加36%,云威胁事件增加571%,凸显了企业对于云安全的投资不足,安全产品的交付和防御能力远滞后于快速上云的趋势。零信任安全理念、AI赋能的主动防御技术陆续融合到各厂商的安全产品中。
美国网络安全市场格局
美国网络安全产业目前在全球网络安全市场中占比最高,根据Statista数据,2020年美国市场规模达到495亿美元,约占全球市场39%。2021财年美国联邦政府的网络安全预算约为184亿美元,占IT预算比重达到20.4%,其中民事部门的网络安全预算占IT比重16.9%,国防部占25.6%,国土安全部占35.6%。
图表:美国安全市场规模
资料来源:Statista, Financial Statements of Key Players,中金公司研究部注:截止2022年3月
图表:全球安全市场规模持续扩大
资料来源:Gartner,IDC<2018 U.S. State of Cybercrime Survey>,中金公司研究部
美国网安市场发展至今格局仍较为分散,集中度略有提升。龙头安全厂商依托规模、资金、技术优势,持续高研发、M&A补充产品线,稳固龙头地位,实现市占率提升。根据收入/市场规模计算,2021年美国网安公司Palo Alto Networks、Fortinet分别占美国市场份额约7.9%/6.2%,2020年为6.9%/5.2%。
图表:美国网络安全市场格局
资料来源:Statista, Financial Statements of Key Players,Factset,中金公司研究部,注:根据各公司收入/美国网络安全市场规模计算
图表:全球安全设备市场份额
资料来源:IDC,中金公司研究部注:安全设备包括防火墙、UTM、VPN、IDS/IPS等
Palo Alto Networks:机器学习赋能下一代防火墙,奠定三大战略平台
从防火墙向云端一体化解决方案演进
2007-2013年立足核心产品下一代防火墙,拓展附属订阅服务:Palo Alto Networks成立于2005年,2007年推出下一代防火墙,并推出以防火墙为核心的一系列订阅服务功能,从应用识别、IPS等基础能力到集成云沙盒WildFire、URL过滤、远程端点保护服务Global Protect,在下一代防火墙市场中位于领先地位。
2014-2018年布局云安全:随着美国企业上云率提升、网络攻击复杂化,面对客户更多云端部署的需求,2014年公司开始布局云、网络、终端全方位安全能力。2014年推出虚拟防火墙产品、通过收购整合推出端点平台Traps;2015年推出威胁情报云服务Auto Focus;2017年推出PAN-OS 8.0为后续云安全产品布局奠定系统基石,支持亚马逊AWS和Azure公有云、增强与VMware NSX的集成性、提升私有云部署的自动化水平。
2019年至今深化云安全,打造一体化解决方案:2019年公司推出云安全套件Prisma平台,集成旗下云端安全产品,为企业在多云、混合云环境下提供持续统一的安全策略。同年,公司提出XDR安全运营概念,推出对端点、网络、云上数据全面集成的检测与响应平台Cortex XDR,以解决单点产品带来的盲点问题。2022财年公司提出三大战略——网络安全、云安全平台、安全运营中心,尤其强调以云安全平台和安全运营平台为核心的下一代安全产品,以凸显公司在新业务中的成长性。
图表:Palo Alto Networks产品结构及发展路径
资料来源:Palo Alto Networks公司财报,公司官网,中金公司研究部
引入机器学习技术,提升防火墙技术壁垒
2007年Palo Alto Networks依托PAN-OS系统建立的下一代防火墙显著提升流量监测的精准度和安全防御效率,其中流量识别和单通道并行处理架构是主要的技术创新点。
►流量识别维度更广,可视性加强。传统防火墙的过滤策略是基于端口和访问地址,过于粗放,而下一代防火墙可以通过应用程序App-ID、用户User-ID、内容Content-ID识别网络流量,将流量检测层级从网络层和传输层提升至应用层。其中App-ID识别是一种流量机制,来判断应用程序的确切身份并持续监视,根据功能对流量进行重新分类;User-ID识别实现了对每个用户网络活动的可见性;Content-ID识别实现对于文件数据的筛选,细化流量监测的颗粒度。
►单通道并行处理架构提高性能。Palo Alto Networks下一代防火墙通过单通道软件体系对数据包一次性进行包括策略查找、签名匹配等多种检测,显著减少事件响应时间。同时,下一代防火墙中的各种功能(包括User-ID、App-ID等)都在专门的处理器上执行,实现并行处理,为每个主要功能模块提供硬件加速,提高硬件性能。
丰富物理防火墙型号,逐步推出虚拟、容器防火墙。2007年公司推出的第一款防火墙PA-4000产品,主要聚焦于大型客户;2017年公司推出PA-5260、PA-800和PA-220三种型号的硬件防火墙,根据吞吐量高低分别适用于大型数据中心、中型多据点办公室环境、小型企业,通过不同系列扩大客户群体的覆盖。随着客户工作环境向云端部署,公司推出不同形式的防火墙满足客户业务部署环境变化的需求,2014年推出虚拟防火墙(VM-Series)提供与硬件设备相同的安全功能,可部署在虚拟机程序和云环境中;2020年基于机器学习技术发布容器防火墙,专门为主流的容器化平台Kubernetes设计。
机器学习加强对于未知攻击的主动预测和防御。公司依托多年安全大数据的积累,真实用户提交的数据和样本奠定了机器学习技术的基础。2020年发布全球首款基于机器学习技术的下一代防火墙,将机器学习模型部署在防火墙平台上,实现零延迟的数据分析并且自动提供安全策略建议,可帮助企业即时防范高达95%的未知文件和Web威胁。2022年公司继续将机器学习技术融入到整个PAN-OS系统中,PAN-OS 10.2 Nebula可以实时收集、分析和破解潜在的零日攻击威胁,系统软件的升级可以优化旗下包括DNS安全、URL过滤、威胁防御等一系列防火墙服务功能,较上一版本系统的防御速度提高了六倍,检测到的隐蔽威胁增加48%。
Fortinet:自研芯片构筑技术壁垒,搭建平台型安全架构
从UTM向平台化安全架构的发展路径
2000-2015年以UTM为核心:Fortinet成立于2000年,为降低中小企业用户TCO,公司首创UTM(统一威胁管理)概念,即在传统防火墙中加入VPN、IDS/IPS、Web过滤、防病毒、反垃圾邮件、流量调控等功能。根据IDC数据,2009年Fortinet占UTM市场15%的份额。
2015年至今,建立安全架构Fortinet Security Fabric,打造一体化平台。Security Fabric基于公司自研安全芯片和Forti-OS系统支持,将分散的安全模块和网络功能结合,形成了完整的服务平台,防火墙产品能够在平台上协同联动WAF、邮件网关、沙箱、威胁情报等多种安全组件,实现对高级威胁的体系化防御,2017年公司正式进入Gartner企业防火墙领导者象限[1]。2016年公司提出安全SD-WAN概念,根据Gartner[2],2021年Fortinet的SD-WAN硬件产品占全球市场份额20%位列第二。同时,SD-WAN技术也成为公司其他产品的基石,Fortinet将SD-WAN芯片内置于防火墙,形成网络与安全的真正融合。2018-2021年,公司通过收购各垂直领域公司,拓宽对云安全、威胁情报、XDR等产品布局,将新产品进一步部署到Security Fabric平台上,提供全面的可视性,强化实时威胁检测、同步协调响应的能力。
图表:Fortinet产品结构及历史发展
资料来源:Fortinet公司财报,Fortinet公司官网,中金公司研究部
自研芯片提升计算能力,性价比优势突出
考虑到通用芯片(CPU)能力有限,计算密集型任务处理导致对CPU占用率过高而造成防火墙故障或不稳定问题,2006年Fortinet在CPU的基础上引入了独立的安全芯片,即硬件加速器,FortiGate将处理负载从CPU转移到专门的处理器上,以提高防火墙策略执行等处理速度。自研芯片赋能下,Fortinet产品具有高性价比优势,其防火墙产品价格大约是同类产品的八折。大多数FortiGate防火墙都包含网络处理器ASIC NP芯片和内容处理器ASIC CP芯片:
►网络处理器ASIC NP芯片:NP芯片提供低延迟数据路径,实现数据转发和控制管理完全分离,大幅提高防火墙吞吐量。2021年Fortinet网络处理器升级至NP7版本,相比通用CPU(如Xeon Gold6152)的吞吐量表现是其30倍;包转发率方面,NP7单芯片达250Mpps,是通用芯片50倍。搭载该芯片的防火墙性能远高于行业平均水平,如ForiGate-1800F、4200F搭载NP7芯片基础上可达到198Gbps/800Gbps的吞吐量,是同类产品的8倍。
►内容处理器ASIC CP芯片:CP芯片主要提供高速加密和内容检查服务。当前越来越多的网络攻击基于SSL加密,企业防火墙需要同时满足加密流量安全检测功能和高性能。目前Fortinet的CP9版本对SSL流量中的证书和加解密具备强大的处理能力,也使得FortiGate在Gartner测评中的SSL流量检测方面凸显了领先优势。
图表:Fortinet在入门级别和中端产品上性价比更优
资料来源:公司官网,ITprice,中金公司研究部 注:价格为零销商挂网价格与产品原价或稍有出入,统计日期为2022/6/30
Palo Alto Networks转型:坚定云化方向,夯实立体防御
一方面,公司以下一代防火墙产品为入口,深化SaaS订阅制安全服务;另一方面,公司通过收购和自研搭建云原生安全平台和生态,包括CSPM、CWPP、XDR等云端安全产品,云化纵横延伸使Palo Alto Networks形成了综合且全面的产品体系。
防火墙附属订阅服务试水云化交付
2007年起公司以防火墙产品为核心,陆续推出十大订阅制安全服务,包括威胁防御、URL过滤、WildFire恶意软件防御、DNS寻域服务器安全、SD-WAN、物联网安全、AIOps等。
图表:基于下一代防火墙的十大订阅制安全服务
资料来源:Palo Alto Networks公司官网,中金公司研究部
根据不同防火墙型号,订阅服务价格也有差异,价格一般会根据硬件价值的一定比例收取。例如,较为基础的安全服务威胁防御、URL过滤、WildFire恶意软件防御等收取所附属防火墙硬件价格的15%-20%,高级防御功能比如DLP、IoT物联网安全价格更高,约为硬件价格的30%-40%。订阅合同按年续费,期限通常为1-5年,一次性购买周期越长价格会相对优惠。
下一代安全:布局云原生,打造安全运营中心
Palo Alto Networks在虚拟防火墙产品以及GlobalProtect 云访问服务的功能上已较早具备云化能力,2019年公司推出Prisma系列整合旗下的云端防护产品,包括Prisma Access(提供安全的云访问)、Prisma SD-WAN、Prisma Cloud云原生安全。2018年Palo Alto Networks首次提出扩展检测与响应(XDR)概念,将安全检测、响应、数据湖集中在同一平台上,解决企业工具过载导致安全运营效率低下的问题。
Palo Alto Networks作为传统安全龙头,通过积极并购补齐云端能力的短板,积累细分赛道优势。2018年至今,公司陆续收购云安全服务商Evident.io和Red Lock、无服务器安全公司PureSec、容器安全公司Twistlock、云SD-WAN公司CloudGenix,将创新技术整合到已有平台产品中,加强在云安全领域的产品和技术布局。
图表:Palo Alto Networks潜在市场规模
资料来源:Palo Alto Networks公司业绩会材料,中金公司研究部
图表:Palo Alto Networks并购路径
资料来源:Palo Alto Networks公司业绩会材料,中金公司研究部
Prisma SASE
SASE将网络和安全服务融合到统一的云平台,核心功能包括软件定义广域网(SD-WAN)、防火墙即服务、安全Web网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)。Palo Alto Networks2019年成为最先采用SASE架构的安全厂商之一,SASE产品由Prisma Access和Prisma SD-WAN组成,为移动用户和分支机构在上云、混合办公场景下提供安全解决方案。
与其他SASE厂商相比,Palo Alto Networks优势在于:1)节点规模。Prisma Access全球设置了150个点,通过与AWS、GCP云厂商合作,建立了托管式流量站点,扩大了边缘范围;2)安全性更强。Prisma SASE是单租户架构,即针对每个客户的虚拟设备,具有更好的隔离效果,同时复用防火墙的服务能力,内置URL过滤、威胁防护、WildFire恶意软件防御功能,提高安全防护能力和可视性。2019-2021财年Prisma SASE订单增长154%,下一代安全ARR中,约44%来自SASE及虚拟防火墙。截至4Q21,SASE客户达到2470个,同比增长50%。
Prisma Cloud
Prisma Cloud云原生安全平台在整个开发周期以及跨混合云和多云环境中,为应用、数据、云原生技术堆栈提供了广泛的安全性和合规性覆盖。平台提供的集成模块包括:可视性、合规性以及工作负载防护的模块云安全态势管理CSPM、云工作负载防护CWPP;负责防护边缘网络和身份认证的云基础设施等;以及拓展应用安全的组件DevSecOps等。在2022年最新功能上,Prisma Cloud推出了供应链安全功能,不仅提供全生命周期可见性和保护,还能提供云架构各层中的漏洞位置。截止2022财年3季度,Prisma Cloud有1847个账户,同比增长23%;覆盖26%的福布斯全球2000强企业,数量同比增长39%。
Cortex XDR
2019年Palo Alto Networks推出Cortex系列,包括扩展检测与响应套件Cortex XDR、扩展的安全编排自动化和响应平台Cortex XSOAR、专为安全分析创建的优质数据湖Cortex Data Lake、情景威胁情报服务AutoFocus。XDR包括在前端阻止攻击,同时Cortex将防火墙、终端、云安全产品采集可用的数据汇集到数据湖,归类不同的警报,发现潜在威胁和未知攻击手段,后端借助AI和机器学习技术形成自动化响应流程,提供检测、调查、自动响应能力。
与其他XDR厂商相比,PA的Cortex优势在于:1)数据源安全且全面:Cortex属于原生XDR,即根据自有遥测数据源进行监测,安全稳定性高;同时基于防火墙所积累的本地数据,能收集和检测更全面的威胁与攻击。2)检测率高:Cortex内置防火墙相关服务,比如Wildfire沙盒分析,同时将端点产品Traps也融入到Cortex中,作为Cortex数据湖的一个终端数据收集传感器,借助单个代理可将检测和响应功能应用于数字基础设施中。
图表:Cortex XDR客户增长迅速
资料来源:Palo Alto Networks公司业绩会材料,中金公司研究部
图表:Prisma平台客户增长迅速
资料来源:Palo Alto Networks公司业绩会材料,中金公司研究部
转型效果:订阅服务高增长,深挖市场机会
订阅及支持服务业务支撑收入持续高增长。2013-2021财年公司收入复合增速约35%,其中订阅业务收入(部分虚拟防火墙产品、防火墙附属订阅服务、Prisma SASE、Prisma Cloud、Cortex XDR)复合增速达到51%,占收入比从18%提高至45%。支持服务业务主要包括客户升级、Unit42等安全咨询服务。
图表:Palo Alto Networks收入构成及增速
资料来源:Palo Alto Networks公司财报,中金公司研究部
驱动订阅收入快速增长的业务主要有两部分:2019年公司提出防火墙即平台(Firewall-as-a-Platform,FwaaP)和下一代安全(Next-Generation Security,NGS)新的订单分类,2019-2021财年,下一代安全订单占比从13%上升至28%,订单复合增速高达77%。
· 防火墙即平台包括:实体防火墙、防火墙附属订阅服务、软件防火墙(包括Prisma Access与CloudGenix SD-WAN)。软件占防火墙即平台订单比重从2019财年11%提升至2022财年2季度40%,软件订单增速远高于硬件增速,公司以防火墙为核心的增长逐渐从硬件设备的售卖转向软件及服务形态交付。
· 下一代安全包括Prisma平台、Cortex安全运营平台、虚拟防火墙产品。从ARR角度,2021财年下一代安全ARR同比增速达到70%,其中约44%来自Prisma SASE+虚拟防火墙,24%来自Prisma Cloud,32%来自Cortex XDR。
Palo Alto Networks三大平台联动。从网络安全、云安全、安全运营三个细分市场总规模看,2019-2024年对应市场容量CAGR达到16%。福布斯2000强企业客户中同时购买三大平台产品的客户占比从4QFY19的28%上升至4QFY21的43%。
图表:订单角度:下一代安全占比持续提升
资料来源:Palo Alto Networks业绩会材料,中金公司研究部注:下一代安全产品的 ARR(年化经常性收入) 是截止报告期最后一天的所有有效合同的年化分配收入
图表:订单角度:软件占防火墙即平台比重提升
资料来源:Palo Alto Networks业绩会材料,中金公司研究部注:预测数据为公司指引
图表:ARR角度:下一代安全构成
资料来源:Palo Alto Network业绩会材料,中金公司研究部注:预测数据为公司指引
图表:G2000客户购买多个平台占比增加
资料来源:Palo Alto Networks业绩会材料,中金公司研究部
Fortinet转型:深度整合平台功能,网络和安全能力融合
在转型战略上,和Palo Alto Networks的侧重点不同,Fortinet并没有选择大力深挖云安全、XDR等新兴赛道,而是更加重视对于功能集成平台的建立。2016年公司开始构建Fortinet Security Fabric架构,以低组网复杂度建立各个产品之间的协同,同时通过收购和自研不断推出新产品模块,将安全和组网的融合作为关键发展方向推出SD-WAN、零信任解决方案。
Security Fabric安全架构:低组网复杂度,共享生态
Fortinet Security Fabric平台可以实现安全产品联动、无缝集成。Security Fabric平台基于FortiOS系统,将所有网络设备集成到统一管理的自动化防御系统中,并且提供跨设备、用户、端点、多云网络、SaaS、基础设施的实时保护。Security Fabric平台搭建核心依托于FortiGate和FortiAnalyzer,此外客户可以根据需求添加FortiManager、FortiClient、FortiSandbox、FortiMail、FortiWeb等拓展服务。在Security Fabric连接器的帮助下,所有设备和功能统一配置,单品之间的数据和功能相互协同。平台中的自动探针(Automation Stitches)通过一个事件触发多个设备操作,比如受到警告后,FortiNAC会隔离终端设备、系统同时发送Email警告、防火墙可以执行禁用或拦截IP地址等响应操作。
Security Fabric通过开放式架构扩展网络边缘,零信任访问了解并控制企业网络外流量。Fortinet通过外部连接器Fabric Connectors,将Security Fabric的优势扩展到合作伙伴解决方案,目前已经与450多家第三方合作伙伴实现了集成和互操作。比如公司零信任网络存取模块FortiNAC可以根据其他安全产品收集的信息在网络中采取强制措施,FortiNAC还能够将Security Fabric的功能扩展到FortiNAC支持的多个第三方交换和无线网络产品,同时提供应用编程接口API,以确保未安装在本地平台上的第三方解决方案也可以集成到统一平台中。
服务支持:部署情报节点,捆绑安全设备销售
Fortinet的服务和支持主要包括FortiGuard订阅服务、FortiCare技术支持。其中FortiGuard订阅服务主要包括应用控制、防病毒、IPS入侵防护系统、网络过滤、VPN功能、沙盒;FortiCare技术支持主要是设备维护、FortiOS系统升级。客户以订阅制购买服务,通常合同为1-5年。在安全平台架构下,FortiGuard也会为整个平台提供自动化统一的安全服务。2022年Forti-OS7.2系统推出后,FortiGuard功能加入了AI和机器学习技术,同时成立了FortiGuard威胁研究与响应实验室,全球部署超过300万情报节点。
Fortinet服务商针对不同企业类型和需求推出捆绑组合:统一威胁保护(Unified Threat Protection)、企业保护(Enterprise Protection)、高级威胁保护(Advanced Threat Protection)、中小型业务(Small Medium Business)。四款捆绑组合集成了不同的层次的安全防护功能,以匹配不同层级的终端设备,比如统一威胁保护订阅和企业保护订阅主要搭配入门级别和中级级别的防火墙和设备,高级威胁保护主要适配于高端防火墙和设备。订阅服务收入一般按设备价格的一定比例制定,截至2022年6月30日在经销商网站统计结果,统一威胁防护型服务订阅价大概在设备价格65%,企业防护型服务订阅价格约设备价格的80%。
拓宽新兴赛道:引领SD-WAN发展,深化网络与安全融合
Fortinet通过不断并购,并辅以自研技术整合的模式扩宽新的安全产品种类,聚焦于安全SD-WAN、零信任网络访问、安全运营、自适应云安全领域。
图表:Fortinet历史并购
资料来源:Fortinet官网,业绩会材料,中金公司研究部
网络边缘安全SD-WAN
Fortinet是业界首创安全SD-WAN(Software Defined Wide Area Network)的公司。SD-WAN产品通过甄别应用流量,让普通互联网链路达到专线的网络质量,具有灵活组网优势;但也由于网络接口更多更灵活,面临着分布式网络的安全问题。Fortinet2016年提出了“SD-WAN+安全”的概念,2018年正式耕耘SD-WAN,2021年SD-WAN产品订单占比达到总订单15%,复合增速85%。根据Gartner全球企业网络设备市场数据,4Q19Fortinet SD-WAN硬件市占率为10.4%,排名第三,2021年Fortinet市占率达到20%,位居第二。
Fortinet快速在SD-WAN市场占据领先地位,竞争优势在于提供满足“安全+广域网+局域网”需求的解决方案。1)大部分SD-WAN供应商仅支持状态防火墙和VPN基础安全防护,安全能力不足,而作为网络安全厂商,Fortinet的SD-WAN植入了下一代防火墙功能且Fortinet SD-WAN在控制器层面一键控制URL过滤、DNS过滤、IPSec、防病毒、SSL检测等。2)自研芯片仍是公司产品性能的主要竞争力。公司2019年推出了业界首款SD-WAN专用芯片SD-WAN ASIC,SD-WAN性能是传统设备的10倍,可以识别超过5000种应用,快速甄别应用SLA级别,为流量设置不同的优先级,并分流到对应线路(VPN/专网/互联网),实现了SD-WAN感知大规模应用的流量、保障应用响应速度。3)随着远程办公模式兴起,为了提升复杂场景的网络部署能力,Fortinet推出了SD-Branch(为所有分支机构提供安全防护)、Cloud on Ramp(优化云服务)、SD-WAN Orchestrator(零接触部署组网编排)等技术。
除了单独SD-WAN硬件外,2019年公司将SD-WAN功能整合在Forti OS 6.2版本,使SD-WAN技术可以内置于其他硬件设备中。2021年推出的Fortigate-200F防火墙中就搭载了SD-WAN ASIC,搭载SD-WAN芯片的防火墙在IPsec VPN性能评测中比行业平均水平高出14倍,充分实现网络与安全功能深度融合。
图表:安全SD-WAN订单占比达到15%
资料来源:Fortinet业绩会材料,中金公司研究部
图表:2021年Fortinet SD-WAN市场份额20%
资料来源:Fortinet业绩会材料,Gartner,中金公司研究部
零信任网络访问
Fortinet零信任解决方案实现对于整个企业安全(包括离网设备)的可视性和控制力,其本质是以身份为中心进行访问控制。
►零信任网络存取模块NAC实时统计所有网络设备。FortiNAC主要用于识别连接网络或正在寻求访问网络的设备是什么,并对其进行扫描。扫描后,FortiNAC使用动态网络微分段,根据设备类型、功能和网络中的用途等多种因素将每台设备分配到适当的网络分区。如果设备表现异常,FortiNAC会将其分配到隔离区,阻止目标访问或感染其他设备。
►用户身份管理是零信任网络访问的核心。零信任网络访问的目标是确定每个用户的身份,以及他们在组织中扮演的角色。FortiToken和FortiAuthenticator根据用户在组织中的角色,寻找和应用适当的访问策略,比如保障仅允许用户访问其角色或工作所需的资源。FortiAuthenticator在2019-2021年三年内客户数量增长三倍,FortiToken2019-2021年三年复合增长率达到73%。
零信任网络访问需要解决离网设备的访问安全。FortiClient(包括Fabric Agent)与基于云的FortiGuard Cloud相互配合,提供连续的端点保护,防止设备在连接或断开公司网络时受到感染。它还通过VPN连接、流量扫描、URL过滤、沙盒以及共享端点安全状态(作为身份验证和授权流程的一部分),对网络资源进行安全的远程访问。
安全运营
传统端点防护都是采取已知特征码进行比对,无力阻止未知威胁。Fortinet通过并购终端安全厂商并且以自研技术进行整合,逐步布局从端点安全到SIEM、XDR的解决方案。
►Fortinet的SIEM和SOAR产品线源自其2016年收购的AccelOps、2018年收购ZoneFox的UEBA产品、2019年收购安全编配、自动化和响应(SOAR)平台提供商CyberSponse,确保企业可以不间断地处理不断增加的日志和事件数据量。
►2019年Fortinet收购端点安全提供商enSilo后,与FortiSIEM和FortiClient Fabric Agent进行整合,推出FortiEDR。FortiEDR不同于传统需要手动分类和响应的EDR,Fortinet整合AI技术能够预先阻断勒索软件的非法行为,同时还采用称之为“代码跟踪”的独创性系统活动深度监视方法。这项专利技术能够将被篡改、被伪装的操作系统出站通信或文件指令与未经修改的原指令流相关联,实时检测并阻止恶意操作。
►2021年Fortinet推出XDR解决方案,利用AI技术降低复杂性、加快检测速度,并协调响应跨整个组织的网络攻击。FortiXDR可以自动化完成通常由经验丰富的安全分析人员处理的安全运营流程,因而能够跨广泛的攻击面更快速地缓解威胁。
自适应云安全
Fortinet在云安全部署上入场较晚,2019年Fortinet收购云原生企业OPAQ后有效补充了云端产品能力。Fortinet云解决方案通过四个关键产品实现云安全防护层层递进:1)通过FortiCWP(云端工作负载保护)执行云平台的安全管理;2)通过应用防火墙FortiWeb保护部署在云端的应用及其云端存储数据;3)将FortiGate防火墙集成在云平台上,即推出虚拟防火墙FortiGate VM;4)通过集成连接器加强多云生态的云安全,由于云与本地之间、云特定工具与专用安全工具之间可能出现不兼容而导致安全漏洞的出现,Fortinet的云安全解决方案中通过云原生驱动器Fabric Connector、Fabric API可以为不同安全对象提供架构的一致性、实现跨云端和本地的安全部署。Fortinet通过云原生的集成方式将安全能力全面地覆盖到公有云、私有云、混合云等各种环境之中,实现安全功能自动化编排。
转型效果:非防火墙业务增长迅速,扩大市场空间
Fortinet产品与服务增速平衡。和Palo Alto Networks以订阅服务为主要驱动力不同,Fortinet 2009-2021财年收入复合增速为24%,产品收入和服务收入增速平衡,共同驱动增长,主要源于Fabric Security架构下产品集成性和平台整合能力强。公司产品收入包括FortiGate防火墙系列、Fortinet Security Fabric平台解决方案;服务收入主要包括FortiGuard系列安全订阅、FortiCare产品维护和技术支持。
图表:Fortinet收入构成及分类增速
资料来源:Fortinet公司财报,中金公司研究部
产品收入增长的驱动力主要来自两部分:一方面FortiGate防火墙订单增长,2021年产品收入增量中防火墙收入增量贡献超过50%。从订单占比看,FortiGate订单在2020年占到72%,其中SD-WAN订单占总订单比例约11%。防火墙能够保持稳定增长得益于公司不断迭代优势产品,比如通过内置SD-WAN等新功能拉动需求,尤其是芯片赋能下公司防火墙产品具有高性价比的优势,即使在疫情背景下,公司FortiGate等产品出货量仍市场领先。另一方面,Fortinet Security Fabric下,非防火墙产品的解决方案得到客户认可,从订单占比来看,平台上非FortiGate产品的订单从2016年的22%增长至2020年的28%,复合增速达到35%。这主要得益于平台架构下单个安全事件带来的损失降低、大大提高安全防护效果。2019年单一订单中超过70%销售了5个以上的Security Fabric解决方案中的模块,反映现有客户不断扩展其安全基础设施,提高了平台上安全解决方案模块。
图表:Fortinet订单增长
资料来源:Fortinet业绩会材料,中金公司研究部注:2016、2018、2019中Non-Fortigate Fabric云部署订单数以及2021年Fortigate订单数公司未披露,基于历史占比的假设计算
图表:中大型企业占比提升
资料来源:Fortinet业绩会材料,中金公司研究部
Fortinet安全架构扩大市场空间,大型客户订单增加。目前Fortinet平台上集成了上百种安全功能,以及开放生态下云服务合作伙伴。依托于平台的集成性,Fortinet产品系列从防火墙为主的网络安全,向边缘安全、零信任访问、云安全、安全运营领域拓展,公司预测2022-2026年潜在市场空间复合增速将达到9.4%。同时,在集成平台的赋能下,Fortinet超过一百万美元的订单数量持续增长,大型客户订单占比从2011年的37%提升至2021年51%,反映客户安全部署由多公司分产品单独购买逐步转变为单一供应商的一体化平台。
[1] https://www.gartner.com/en/documents/3891177
[2] Gartner : Market Share: Enterprise Network Equipment by Market Segment, Worldwide, 4Q21 and 2021
文章来源
本文摘自:2022年7月5日已经发布的《海外安全龙头之鉴:云化、平台化延续成长》
李虹洁 SAC 执业证书编号:S0080120080094
曹弘毅 SAC 执业证书编号:S0080121030057
钱 凯 SAC 执业证书编号:S0080513050004 SFC CE Ref:AZA933
袁佳妮 SAC 执业证书编号:S0080121060073
法律声明
特别提示
本公众号不是中国国际金融股份有限公司(下称“中金公司”)研究报告的发布平台。本公众号只是转发中金公司已发布研究报告的部分观点,订阅者若使用本公众号所载资料,有可能会因缺乏对完整报告的了解或缺乏相关的解读而对资料中的关键假设、评级、目标价等内容产生理解上的歧义。订阅者如使用本资料,须寻求专业投资顾问的指导及解读。
本公众号所载信息、意见不构成所述证券或金融工具买卖的出价或征价,评级、目标价、估值、盈利预测等分析判断亦不构成对具体证券或金融工具在具体价位、具体时点、具体市场表现的投资建议。该等信息、意见在任何时候均不构成对任何人的具有针对性的、指导具体投资的操作意见,订阅者应当对本公众号中的信息和意见进行评估,根据自身情况自主做出投资决策并自行承担投资风险。
中金公司对本公众号所载资料的准确性、可靠性、时效性及完整性不作任何明示或暗示的保证。对依据或者使用本公众号所载资料所造成的任何后果,中金公司及/或其关联人员均不承担任何形式的责任。
本公众号仅面向中金公司中国内地客户,任何不符合前述条件的订阅者,敬请订阅前自行评估接收订阅内容的适当性。订阅本公众号不构成任何合同或承诺的基础,中金公司不因任何单纯订阅本公众号的行为而将订阅人视为中金公司的客户。
一般声明
本公众号仅是转发中金公司已发布报告的部分观点,所载盈利预测、目标价格、评级、估值等观点的给予是基于一系列的假设和前提条件,订阅者只有在了解相关报告中的全部信息基础上,才可能对相关观点形成比较全面的认识。如欲了解完整观点,应参见中金研究网站(http://research.cicc.com)所载完整报告。
本资料较之中金公司正式发布的报告存在延时转发的情况,并有可能因报告发布日之后的情势或其他因素的变更而不再准确或失效。本资料所载意见、评估及预测仅为报告出具日的观点和判断。该等意见、评估及预测无需通知即可随时更改。证券或金融工具的价格或价值走势可能受各种因素影响,过往的表现不应作为日后表现的预示和担保。在不同时期,中金公司可能会发出与本资料所载意见、评估及预测不一致的研究报告。中金公司的销售人员、交易人员以及其他专业人士可能会依据不同假设和标准、采用不同的分析方法而口头或书面发表与本资料意见不一致的市场评论和/或交易观点。
在法律许可的情况下,中金公司可能与本资料中提及公司正在建立或争取建立业务关系或服务关系。因此,订阅者应当考虑到中金公司及/或其相关人员可能存在影响本资料观点客观性的潜在利益冲突。与本资料相关的披露信息请访http://research.cicc.com/disclosure_cn,亦可参见近期已发布的关于相关公司的具体研究报告。
本订阅号是由中金公司研究部建立并维护的官方订阅号。本订阅号中所有资料的版权均为中金公司所有,未经书面许可任何机构和个人不得以任何形式转发、转载、翻版、复制、刊登、发表、修改、仿制或引用本订阅号中的内容。
| 留言与评论(共有 0 条评论) “” |
