Zero Trust 正在从"安全理念"变成"基础设施默认"——VPN 替换、勒索软件防御、多云合规三重驱动,催生 $92–102B 2030年TAM。但品类加速整合:ZTNA/CASB/SWG 独立市场已实质消亡,全部并入 SSE/SASE 平台。
Zero Trust 整体 TAM
$102B
2030年预测,CAGR 16–17%
SASE 市场
$44.7B
2030年,最快子市场 23–27% CAGR
IGA 市场
$27–33B
2033年,CAGR 13–15%
独立 ZTNA
萎缩中
已成 SSE 标配组件,不再独立定价
VPN 替换意愿
62%
企业有主动 ZTNA 替换计划
平台化采购偏好
61%
企业倾向单一厂商 SASE/SSE
技术栈分层地图
第四层 — 治理与合规层(IGA / PAM / AI Agent 身份)
SailPoint ✅✅✅ IGA专业
PANW ✅ (CyberArk)
Okta OIG ◐
Microsoft Entra Governance ◐
第三层 — 身份与认证层(IAM / SSO / MFA / ITDR)
Okta ✅✅✅ WIC/CIC
Microsoft Entra ✅✅
CrowdStrike Identity ✅✅ ITDR
PANW GlobalProtect ◐
第二层 — 网络访问层(SSE / SASE / ZTNA / SWG / CASB / FWaaS)
Zscaler ✅✅✅ ZIA+ZPA
PANW Prisma ✅✅ SASE全栈
Cloudflare ZT ✅✅ 边缘SSE
Cisco Umbrella ✅
CrowdStrike ◐
第一层 — 端点与检测层(EDR / XDR / SIEM / CNAPP)
CrowdStrike ✅✅✅ Threat Graph
PANW Cortex ✅✅ XSIAM
Microsoft Defender ✅✅
PANW Prisma Cloud ✅ CNAPP
SentinelOne ◐
| 公司 | 身份认证 | IGA治理 | 网络访问(SSE) | 端点/XDR | 云安全(CNAPP) | SD-WAN |
|---|---|---|---|---|---|---|
| PANW | ◐ | ✅✅ | ✅✅ | ✅✅ | ✅ | ✅✅ |
| Zscaler | ◐ | — | ✅✅✅ | ◐ | ◐ | ◐ |
| Cloudflare | ◐ | — | ✅✅ | — | — | ◐ |
| CrowdStrike | ✅✅ | — | ◐ | ✅✅✅ | ✅ | — |
| Okta | ✅✅✅ | ✅ | — | — | — | — |
| SailPoint | — | ✅✅✅ | — | — | — | — |
| Microsoft | ✅✅ | ✅ | ◐ | ✅✅ | ✅ | — |
| Cisco | ◐ | — | ✅ | ◐ | — | ✅✅ |
主要 Player 营收对比
最新年化营收($B)
营收增速(YoY %)
| 公司 | 代码 | 最新营收 | 增速 | ARR / 核心指标 | 估值 P/S | 主要产品 |
|---|---|---|---|---|---|---|
| Palo Alto Networks | PANW | $11.4B | +24% | NGS ARR $8.1B | ~11x | Strata / Prisma / Cortex |
| Cisco Security | CSCO | $8.1B | +4% 有机 | SASE ~20% 份额 | 捆绑 | Umbrella / Duo / Splunk |
| CrowdStrike | CRWD | $5.9B 指引 | +26% | ARR $5.51B | ~18x | Falcon Platform |
| Zscaler | ZS | $3.33B | ~25% | ARR $3.74B | ~12x | ZIA / ZPA / ZDX |
| Okta | OKTA | $3.2B 指引 | +9–10% | RPO $4.72B | ~5x | WIC / CIC / OIG |
| Cloudflare | NET | $2.81B 指引 | +29–30% | NRR 118% | ~25x | Cloudflare One / Magic WAN |
| SailPoint | SAIL | $1.07B | +24% | ARR $1.125B | ~14x | IdentityNow / IGA |
Gorilla Game 分析
专有架构 + 切换成本最高的是真 Gorilla;平台整合力强但非单类垄断的是强 King;差异化空间被吞噬的是被整合者。
CrowdStrike
TRUE GORILLA
65%
Threat Graph 万亿级事件图 + 单 Agent 架构 + 端点×身份×云三层数据垄断。2024年史上最大产品故障后毛留存仍 97% ——最严苛压力测试实证。
⚠️ 主要威胁:Microsoft E5 中端市场结构性价格俘获
Zscaler
GORILLA(待验证)
50%
Gartner SSE MQ 执行力第一。Inside-Out 架构(应用不暴露公网 IP)是最纯粹的 Zero Trust 网络实现,架构上不可复制。
⚠️ FY2027 增速指引骤降至 16–17%;SD-WAN 2024 年才 GA,SASE 整合趋势下处于防守
Palo Alto Networks
STRONG KING
45%
唯一跨 SSE + SASE + EPP 三个 Gartner MQ Leader 的厂商。平台化 NRR 119%,$21B RPO 锁定,FCF 利润率 37.5%。
⚠️ 有机增速被 CyberArk 收购稀释;Platformization 新增速度是关键变量
Microsoft Security
STRUCTURAL KING
∞ / 特殊
$25B+ 安全规模,E5 捆绑使安全成本边际归零(Entra + Defender + Sentinel 内含于 $57–65/用户/月)。对非微软生态场景深度仍弱。
⚠️ 混合云/macOS/Linux 场景是真正护城河边界,这是竞争对手的生存空间
SailPoint
DEEP NICHE KING
40%
SOX/HIPAA 精细权限合规场景 IGA 深度仍领先 Entra Governance。SaaS ARR +38% YoY。AI Agent 身份治理布局最激进(Agentic Fabric)。
⚠️ 中低端 IGA 被 Entra Governance 蚕食;盈利早期
Okta
被整合中
30%
CIAM(Auth0/CIC)是最难被微软替代的护城河——跨平台客户身份管理。WIC 在纯微软栈客户中被 Entra 结构性挤压。
⚠️ 增速从 21% 台阶降至 9–10%,Entra E5 结构性压缩定价空间
竞争格局动态(2026)
路径 A — 安全主导整合
CrowdStrike × Zscaler 联盟
CRWD 信号层 → 威胁评分输出
ZS 访问决策 → 动态权限联动
结果 → 互补不竞争,共同对抗 PANW
ZS 访问决策 → 动态权限联动
结果 → 互补不竞争,共同对抗 PANW
路径 B — 平台全栈整合
PANW Platformization
NGFW 入口 → 存量客户锁定
Prisma SASE → 网络层上卖
Cortex SOC → 检测层上卖
CyberArk 身份 → 治理层上卖
Prisma SASE → 网络层上卖
Cortex SOC → 检测层上卖
CyberArk 身份 → 治理层上卖
路径 C — 捆绑免费整合
Microsoft E5 杀手效应
M365 E5 → $57–65/用户/月
内含 → Entra P2 + Defender P2 + Sentinel
成本 → 对 1500 万用户零增量
受害者 → Okta > SIEM > CRWD中端 > SAIL低端
内含 → Entra P2 + Defender P2 + Sentinel
成本 → 对 1500 万用户零增量
受害者 → Okta > SIEM > CRWD中端 > SAIL低端
正在消失的细分市场
| 细分市场 | 状态 | 被谁替代 | 置信度 |
|---|---|---|---|
| 独立 CASB | 实质消亡 | 并入 SSE 平台(Gartner 已停 MQ) | HIGH |
| 独立 SWG | 消亡中 | 并入 SSE | HIGH |
| 独立 ZTNA | 萎缩中 | SSE/SASE 标配组件 | HIGH |
| 本地部署 SIEM | 快速替代 | PANW XSIAM / MS Sentinel / Falcon LogScale | HIGH |
| 传统 VPN | 替换中 | ZTNA 全面接管(62% 有主动替换计划) | HIGH |
投资判断
| 公司 | 判断 | P/S | 核心逻辑 | 最大风险 |
|---|---|---|---|---|
| CrowdStrike (CRWD) | 最优先深研 | ~18x | 信号层不可替代 + 97% 留存验证 + FalconFlex 锁定 | E5 中端侵蚀速度 |
| Palo Alto (PANW) | 第二优先 | ~11x | 唯一真平台整合 + $21B RPO + 37.5% FCF 利润率 | 收购消化后有机增速 |
| Zscaler (ZS) | 减速风险未出清 | ~12x | SSE 第一执行,跌 31% 后有吸引力 | FY27 16–17% 指引能否守住 |
| SailPoint (SAIL) | IGA 溢价合理 | ~14x | SaaS ARR +38%,AI Agent 布局激进 | On-Prem SaaS 迁移节奏 |
| Cloudflare (NET) | DO NOT CHASE | ~25x | 29% 增速但估值透支,企业 SASE 深度不足 | 估值回归压力 |
| Okta (OKTA) | 价值陷阱风险 | ~5x | 便宜但增速台阶降至 9–10%,Entra 长期挤压 | 增速中枢是否稳定 |
| Cisco (CSCO) | 有机增速 4% | 捆绑 | Splunk 是规模买单,安全业务被低估 | 有机整合能力 |
核心风险矩阵
| 风险 | 影响最大 | 伪证条件 | 置信度 |
|---|---|---|---|
| Microsoft E5 捆绑加速渗透 | Okta > CRWD 中端 > SAIL | Okta 毛留存跌破 90% | HIGH |
| PANW 收购整合失败 | PANW | Platformization 净新增跌至 <60/季 | MED |
| Zscaler 销售组织持续不稳 | ZS | FY27 实际增速低于 16% 指引 | HIGH |
| 宏观压缩安全预算 | NET(估值最贵) | 行业 ARR 净新增普降 | MED |
| AI Agent 攻击重新洗牌防御架构 | 全行业 | 现有架构对 AI Agent 攻击防护不足 | LOW / 尾部大 |