社区

导读：

作为今年美股云计算SaaS赛道表现最好的子领域，云安全，在云计算渗透率不断提升的当下，云安全成为云计算众多子领域中增速最快的，包括$Cloudflare, Inc.(NET)$ 、$Zscaler Inc.(ZS)$ 、$Datadog(DDOG)$ 、$SentinelOne, Inc(S)$ 、$CrowdStrike Holdings, Inc.(CRWD)$ 等都有比较亮眼的表现，近期在加息预期升温的阶段，云计算板块总体波动较大，但我们认为在快速大跌消化估值以后，市场终归会逐步回归理性，成长性强的板块最终会走出来，云安全SaaS是中长期值得重点关注的细分赛道。

越来越多的企业、个人、终端接入云端，云安全成为保障数据与业务安全的重要支点，零信任、网格安全、隐私增强计算等，云安全领域创新层出不穷，核心点都在于要提高全云生态的安全性与可靠性，让更多的组织愿意把业务放到云上。

根据IBM的一份报告显示，随着云生态系统日益成熟，这些平台、技术和服务既让云变得更加强大，但也成为漏洞的来源，这一趋势正变得越来越明显。

安全主管越来越担心一个问题：如何确保在云端的投资取得成效？IBM 商业价值研究院 (IBV) 在 2020 年 6 月进行的一项调研发现，将近 90% 的云开销用于公有云或混合云，40% 的总体工作负载在多云环境中运行。6 我们的安全运营方法必须适应这种实时协商安全边界和信任的新型工作方式。新冠病毒疫情和SolarWinds 黑客事件的影响在领导们的脑海中挥之不去，他们认识到，每一次云对话都必须安全可靠。

图 安全运营的前后对比（来源：IBM）

零信任，应该是2021年网络安全领域中关注度最高的词语了。从十多年前Forrester Research和John Kindervag首次提出这个概念开始逐步有企业开始布局，然而真正将其放到聚光灯下，应该是今年5月，拜登政府发布了一项行政命令，要求美国联邦机构遵守 NIST 800-207 作为零信任实施的必要步骤。NIST 800-207是一项零信任标准，是对供应商最中立、最全面的标准，不仅适用于政府实体，也适用于任何组织。它还包含来自 Forrester 的 ZTX 和 Gartner 的 CARTA 等组织的其他元素。

根据Gartner的分析，ZTNA也就是零信任网络架构现在已经度过了泡沫破灭期，正走入快速成长期的阶段，对应到拜登政府的行政令以及Crowdstrike在今年建立了零信任联盟，确实能感觉到目前零信任应用已经成熟到快速铺开提高渗透率的阶段，而这个阶段也正是相关公司能够释放业绩的时间段。Gartner预计到2023年，60%的企业将会用零信任网络访问方案来替代掉VPN。Garnet团队进一步预测，40%的人将采用ZTNA替代VPN之外，还会用来支持第三方访问、多云访问以及与并购或资产剥离相关的活动。

作为零信任的Leader级别公司，Zscaler使云成为开展业务的安全场所并让用户感到愉快。 社交、移动和云的发展产生了对不同安全要求和连接的需求。Zscaler 专门构建的安全平台可让您防御并控制连接发生的位置（互联网），因此无论用户连接的方式或位置，或他们的应用程序驻留在何处，每个连接都是快速和安全的。在持续的优秀业绩支撑下，成为了今年网络安全赛道上的明星股，公司自20年熔断后至今涨幅高达613.48%，是涨幅最大的云计算公司之一。

本文意在通过复盘zscaler的业务与财务情况，试图回答以下问题，给投资者呈现不一样的云安全分析：

1. 什么是零信任？核心点在哪？
2. Zscaler在零信任赛道中扮演了什么角色？
3. Zscaler公司的历史财务情况如何？
4. Zscaler未来的成长性如何？

什么是零信任？

零信任是基于一个关键原则所建立起来的架构，这个原则是最低特权访问原则，它假设没有用户和应用程序是天生就应该得到信任的。相反，信任是基于用户身份和上下文（例如用户的位置、端点的安全状况以及所请求的应用程序或服务）建立的，而判定是否可行的策略是每一次信任的守门人。随着云计算化的趋势逐步推进，越来越多的用户通过互联网将非托管设备连接到业务应用程序及数据，对零信任的需求自然也就越来越大。

根据Zscaler官方的定义，零信任是一种网络安全策略，其中安全策略的应用不是基于假设的信任，而是基于通过最低权限访问控制和严格用户身份验证建立的上下文。调整良好的零信任架构可以简化整体网络基础设施、提供更好的用户体验，并最终提高对网络威胁的保护。

网络安全行业协会等对零信任的讨论最终形成了我们上文提到的NIST 800-207标准，这是对供应商最中立、最全面的标准，不仅适用于政府实体，也适用于任何组织。它还包含来自 Forrester 的 ZTX 和 Gartner 的 CARTA 等组织的其他元素。

零信任架构旨在解决NIST指南的一下关键原则：

1. 持续验证。始终验证所有资源的访问权限。
2. 限制“爆炸半径”。如果确实发生外部或内部违规，将影响降至最低。
3. 自动化上下文收集和响应。整合行为数据并从整个IT堆栈（身份、端点、工作负载等）获取上下文，已获得最准确的响应。

其实我们可以这么理解，用简单的话来讲，零信任就是任何访问应用程序和数据的人，都需要通过一道零信任的PaaS或者SaaS验证身份，证实你的设备和环境是安全的后，该零信任PaaS会直接将你接入到你需要访问的特定应用程序或者数据上，而不是让你能够在专网或者内网里自由浏览。并且在你使用特定应用程序和数据的过程中，零信任PaaS会持续验证你的身份，知道你停止使用为止。

· 零信任的基础

零信任其实并非一个单一的技术，不是说解决了现有网络安全的特定问题例如用户身份、远程用户访问或网络分段的一项技术就能称之为零信任。零信任是一种策略，是构建网络安全生态系统的基础。它有三个核心原则：

1. 终止所有连接：许多技术（例如防火墙）使用“直通”方法，这意味着文件会在接受检查的同时发送给收件人。如果检测到恶意文件，则会发送警报，但通常为时已晚。相比之下，零信任终止每个连接，因此它可以在未知文件到达端点之前保存和检查它们。零信任建立在代理架构上，在线运行并以线速检查所有流量，包括加密流量、执行深度数据和威胁分析。
2. 使用基于上下文的细粒度策略保护数据： 零信任应用用户身份和设备状态来验证访问权限，并使用基于上下文的细粒度业务策略，包括用户、设备、所请求的应用程序以及内容类型。策略是自适应的，这意味着随着上下文的变化，例如用户的位置或设备，用户访问权限会不断重新评估。
3. 通过消除攻击面来降低风险： 零信任将用户直接连接到他们需要的应用程序和资源，而永远不会将他们连接到网络。通过启用一对一连接（用户到应用程序和应用程序到应用程序），零信任消除了横向移动的风险，并防止受感染的设备感染其他网络资源。在零信任的情况下，用户和应用程序对 Internet 是不可见的，因此无法被发现或攻击。

· 使用零信任的好处

1.降低业务和组织的风险

零信任假设所有应用程序和服务都是恶意的，在它们可以通过其身份属性（满足预定义信任原则（例如身份验证和授权要求）的软件或服务本身的不可变属性）得到肯定验证之前，不允许进行通信。

因此，零信任降低了风险，因为它揭示了网络上的内容以及这些资产的通信方式。此外，随着基线的创建，零信任策略通过消除过度配置的软件和服务并持续检查每个通信资产的“凭证”来降低风险。

2.提供对云和容器环境的访问控制

安全从业人员对迁移到和使用云的最大恐惧是失去可见性和访问管理。尽管云服务提供商 (CSP) 安全性有所发展，但工作负载安全仍然是 CSP 和使用云的组织之间的共同责任。也就是说，一个组织在其他人的云中可以影响的范围有限。

借助零信任安全架构，安全策略是根据通信工作负载的身份应用的，并且直接与工作负载本身相关联。通过这种方式，安全性尽可能接近需要保护的资产，并且不受 IP 地址、端口和协议等网络结构的影响。因此，保护​​不仅随它尝试通信的工作负载一起传播，而且即使环境发生变化也保持不变。

3.有助于降低数据泄露的风险

由于零信任基于最小特权原则，因此假设每个实体（用户、设备、工作负载）都是敌对的。因此，在授予“信任”之前检查每个请求、验证用户和设备并评估权限，并且随着任何上下文变化（例如用户的位置或正在访问的数据）不断重新评估这种“信任”。

如果攻击者通过受损设备或其他漏洞在网络或云实例中立足，则该攻击者将无法访问或窃取数据，因为不受信任。由于创建“一个的安全部分”的零信任模型，因此无法横向移动，这意味着攻击者无处可去。访问始终被锁定。

4.支持合规举措

零信任将所有用户和工作负载连接与互联网隔离开来，因此它们不会被暴露或被利用。这种不可见性使得证明遵守隐私标准和其他法规变得更加简单，并减少了审计中的发现。

此外，通过实施零信任分段（微分段），组织能够使用细粒度控制在某些类型的敏感数据（例如PCI或信用卡数据、数据备份）周围创建边界，使受监管的数据与其他数据分开，非监管数据。当需要进行审计或发生数据泄露时，零信任分段（微分段）策略可提供对提供过度特权访问的扁平网络架构的卓越可见性和控制。

Zscaler在零信任赛道中扮演了什么角色？

我们今天要讨论的公司，是一家成立于2008年，并于2018年3月在纳斯达克上市的云安全独角兽。Zscaler的使命也很直接干脆，Make the cloud a safe place to do business and enjoyable for users（让云成为一个商业的安全地以及用户愉悦的地方）。

公司是ZTNA技术的坚定支持者，该技术也被称之为软件定义边界（SDP），公司被Gartner选入2019年“零信任网络访问市场指南“ZTNA即服务厂商名单。公司通过构建ZERO TRUST EXCHANGE，保护用户和数据而不是网络，从而实现了任意二者之间的安全连接，如用户到APP、APP到APP、IoT之间的链接。

目前公司已经拥有超过4500名客户，其中超过450名客户是G2K的企业。这4500名客户贡献了超过2000万个用户在使用公司的产品。目前该平台已经部署在全球超过150个数据中心当中，每日通过的流量比10倍谷歌的流量还要大。因此公司实现了64%的订单增长，52%的营业收入同比增长，122%的Dollar-based NRR以及在云计算行业里面算是比较高的14%的营业利润率。

而公司的技术能力也持续获得了专业评选机构的认可。公司连续10年获得了Gartner评选的在Web安全门户的魔力象限的Leader位置，并且是唯一一个获得Leader的公司。

公司目前服务的客户覆盖了几乎所有行业，并且都是服务的各行各业的头部公司。例如保护了DHL在186个国家的信息安全、保护了西门子在使用Office365过程当中的数据安全等。

那么从技术上来看，根据Zscaler官方的说法，公司的主要产品Zero Trust Exchange和传统解决方案上存在根本上的不同。公司的产品是以云为首要基础来开发设计的，亦或者说公司的产品叫云原生的网络安全产品。传统的产品都是拓展网络到APP和用户上，使得APP和用户能够在内网环境下被发现和使用，因此在传统结构上需要在每个入口节点安装防火墙来保护内网环境的绝对干净。而Zscaler的产品保护的并不是网络，而是APP和数据，将APP定位为目标点，流量通过Zero Trust Exchange后直接引导到相对应的特定目标点上。我们在下面的图和表格中直观的看到二者的区别。

就像我们讨论其他SaaS公司一样，每家公司都有自己特有的Go-to-Market的方式，组成自身的业务增长飞轮。对于Zscaler来说，公司的飞轮构成由三方面组成，分别是ZTNA的思想领导者公司产品持续领先市场、优秀的落地解决方案、然后在客户满意的情况下持续扩张。这个飞轮的基础在于公司的战略导向、数据导向、信任导向和咨询化的方式来做业务的。因此在客户满意度评价中，公司取得了76的NPS分数。

因为云安全服务即使称之为云原生，公司的商业模式都是基于云的，但是这项业务并非那么软，想要做成这项业务还是需要在各地的数据中心里面进行部署。因此公司超过10年的经验让公司的业务覆盖了全球150个数据中心，这些覆盖所需要的时间成本和财务成本都是公司坚固的壁垒。这些积累，我们可以类比CDN的机房数量，并非一个新进入玩家短期内能够快速解决的。

所以总结来看，公司自己归纳了几点公司能够在零信任时代胜出的理由：

1. 市场开始向零信任迁移
2. 与全球最大的机构之间建立的信任伙伴关系
3. 公司的战略定位——处理和保护公司级别的流量安全
4. 多租户云的灵活性和云效应
5. 优秀的Go-to-Market策略
6. 经验丰富的团队驱动优秀的企业文化
7. 公司财务报表非常优秀使其边际效益很高

历史财务表现良好，云计算指标优秀

对于一家云计算公司来说，特别是我们作为二级市场投资者最为关注的上市后的云计算公司来说，我们对其在财务表现上的期待，可以总结为以下几点：

1. 收入增速保持在高位，增速可以下滑，但是幅度千万不能太大
2. NRR能够提升最好，不能提升的话千万不能降低
3. 营业亏损要逐年逐季度收窄到开始盈利，其中各项成本中销售费用率占比下降应该为主要贡献
4. 自由现金流为正，并且逐季逐年改善

这四条条件分别一一对应这我们基于云计算商业模式的一系列思考，这些思考在我们以前的报告中都会有所提及，我也就不在这里重复了。而我们今天讨论的公司Zscaler的财务表现，从以上的几个角度来看，zscaler的表现非常好，下面我们一一剖析。

首先我们看到收入及收入增速，按年度来看，收入的绝对值持续在增加，收入增速也能够常年保持在55%左右这个级别，除了2020年财年比较特殊的年份除外。

我们看到最近两年按照季度的收入以及收入增速的话，表现会更为惊人。特别是收入增速在持续提高的过程当中。结合我们上文的分析，21年是零信任被放到聚光灯下的一年，以拜登政府的行政令作为标志。在最新一个季度，公司的营业收入增速达到了61%，创下了自2019年4月以来的新高。

而收入稳定增长的原因是来自于Billings和NRR二者的优秀表现。NRR方面，Zscaler的表现和大部分PLG公司相比，并没有特别优秀，特别是和一些Usage-Based Compensation的公司比，没有太多优秀，他们大部分都能有一个130%-140%的DBNNR。但是却很少能够看到一家公司的DBNNR是在持续提升了，而且这个提升在近几年还在加速，这就非常神奇。另外，从Billings增速角度来看，增速基本和营业收入同步，但是公司在2021年财年的Billings的收入增速创下了历史新高。

毛利率的话，就持续保持在优秀的水平，对于这类相对还是比较硬的云计算公司来说，GAAP下毛利率在稳定期间能够保持在77%左右已经相对非常优秀了。另一家比较硬的云计算公司，Cloudflare的毛利率也是在77%±2%波动。而Non-GAAP和GAAP之间的差距在扩大主要是股权激励费用作为员工薪酬派发在变多，因此公司节省了自由现金流。

从各项营业费用和营业利润来看，公司还是一直处于营业亏损的状态，其中各项费用都有所增加。随着公司的收入增加，各项费用都有所增加，增长绝对值最大的还是销售费用和研发费用。这些其实都可以理解，为了扩规模就扩销售费用，保持技术领先性就扩研发费用。所以我们更应该关注这二者占收入比例和营业利润率。

具体看到占比的话，销售费用占比保持不变，体现了公司在扩大规模的过程当中持续的高投入。研发费用也能保持基本不变，公司在研发上也是高投入。因此从GAAP的营业利润率来看，公司的亏损程度没怎么改善。但是我们看到Non-GAAP的营业利润率，在2018年开始转正，并且有上升的趋势。Non-GAAP和GAAP之间的差值主要来自于最大头的股权激励费用，以及一部分的非实物资产的摊销。这些都是成本，但是并不影响经营性现金流以及自由现金流。所以我们会更为关注Non-GAAP的经营利润率。

最后我们看到评判一家云计算公司的通用法则Rule of 40上，收入增速我们上文看到过了，公司收入增速一直优秀。而FCF margin是我们最惊喜的部分，公司的自由现金流处于持续变好的过程，公司的现金流非常健康。

这与我们前面提到的几个成本项中股权激励有比较大的关系，同时也是公司云计算商业模式的精彩之处。

因此在自由现金流的优秀表现下，公司的Rule of 40的计算结果非常漂亮，在最新一个季度收入增速+FCF margin达到97.84%。

未来展望

• 估值情况

那么这样一家公司的估值水平处于什么地步了，和自身相比，公司的估值处于历史最高的地方，超过了历史均值的2倍标准差。经历了前段时间的下跌后依旧处于2倍标准差往上。

考虑到网安行业的特殊性，近期被放入的关注度太高，所以可能行业整体估值都较贵，所以我们看看网安赛道上其他公司的估值如何。看到其他三家同赛道公司的估值水平，只能说，目前Zscaler的估值还是偏贵的。

放到行业整体里面对比的话，从PSG的角度来看，公司处于行业均线的上演，目前估值倍数为0.88的PSG，远高于行业平均的0.51倍PSG。

• 市场容量与未来机会

从市场空间来看，根据公司投资者日的公布的数据显示，公司处在的市场细分赛道的容量超过720亿美金，行业的TAM足够大， 720 亿美元的核心服务机会，包括：

• 490 亿美元的用户 SAM专注于企业，拥有 2k+ 名员工

• 230 亿美元的工作负载 SAM，用于顶级公共云中的工作负载。

而对于zscaler来说， 越来越多的SaaS应用，越来越多的IOT设备包括5G等上云，应用场景会越来越多，Zscaler Cloud 每日交易量按月峰值每隔20个月翻倍，这表明zscaler的应用场景在不断扩展，Zscaler 是目标中立的并构建为边缘云服务云和移动大转变的交集。

因此，对于zscaler来说，主要的看点包括以下方面：

1.行业TAM大

目前，网络、应用程序和安全转型的早期阶段。每年总可寻址市场 (TAM) 机会高达 720 亿美元。

2.先锋和市场领导者

拥有超过 5,600 名客户的大型安全平台。一直被 Forrester 和 Gartner 公认为领导者。历史收入每年增长约 50%。

3.经过验证的差异化云架构

超过 275 项已发布和正在申请的专利。全球 150 多个数据中心。独特的多租户架构，在我们客户的数据路径中。

4.强大的财务模型

高增长的SaaS模式。通过更高价值的产品、ZPA、ZDX 和工作负载保护进行验证和扩展。独特的多维渠道模型。

所以总结来看，公司目前估值相对较高，和同行业的估值绝对值比，和行业整体的PSG比，都是较贵的。但是鉴于公司处于最优质的云计算赛道以及非常漂亮的财务表现，我们认为公司目前估值是处于合理偏贵，值得密切关注。