汇森投资(Vision Capital)原创
全球SD-WAN市场在2016、2017年前后开始发展,并在2019、2020年前后开始快速增长。根据全球市场研究公司Global Market Insights和市场调研机构PMR预测,SD-WAN全球市场空间在500亿美元左右。如今,国内市场规模大概10多亿美元,泛行业渗透率只有3%左右,并且还在以接近每年翻倍的速度持续增长。
换句话说,SD-WAN市场现在看起来似乎还不够大,但正在迅速膨胀之中,市场天花板还很高。
那么,目前SD-WAN国内市场能否对标欧美市场?SD-WAN国内的诸多玩家在发展路线上各自做出了怎样的选择?谁将在市场中获胜?
在很多细分赛道,很多人都试图拿国内市场/企业对标欧美市场/企业(比如SaaS)。在SD-WAN市场,我们可以看到,因为中美两国的通讯网络基础环境并不一样,需要厂商解决的问题也不太一样。
美国企业用户的网络布局基本都是以美国为中心、主要分布在以发达国家为主的网络环境中;而中国企业用户,更倾向于往亚非拉、中东市场发展。这两个不同的“网络世界”,对SD-WAN产品/服务商的能力和资源要求天然就有着很大差异。在不同的通讯网络基础环境中,企业客户关注的需求痛点并不一样。比如在欧美市场,因为网络基础较好,网络能接通就问题不大,需要SD-WAN厂商考虑的其他需求并不多;但是在亚非拉、中东市场,因为各国的通讯网络基础参差不齐,对于SD-WAN厂商来说,除了解决基本的节点部署之外,网络稳定性等方面的要求就非常高,对网络质量的保证也变得非常重要。具体来说,欧美企业用户比较关注的是安全防护、安全控制。这块市场在国内的主要需求大多集中政府、政企市场,安全设备商的用户主要是政企客户(看下国内主流安全设备厂商的主要客群即可)。但在另一方面,我国民企对通信专线的应用很多(这点和政企市场一样),专线因为本质上可以与互联网实现物理隔离,安全得到保障。也正因此,当SD-WAN产品/服务开始替代专线市场,也就需要很好的回应客户对安全问题的关切。因为SD-WAN的组网环境是一种混合链路,“要保障数据在互联网跑的时候,不要被拿走”,这就不是安全防护能搞定的,必然会涉及密码类技术产品。如果做个对比:在纯专线环境中,潜在危险源的确进不来;但在互联网环境中,用户直接暴露在风险环境中,端到端的专有隧道技术加密码学是目前较为有效的方法。即:提供一条点到点的虚拟通路,极端情况下即便被攻击,“密文”也看不到、拿不走,同时密码技术也会保证秘钥得到很好的保护。如果能实现这一点,站在用户的角度看,SD-WAN的安全性就是可以与专线媲美。换句话说,目前SD-WAN产品服务两个最核心的要素(一是如何组网更稳定,二是安全),其实也正是国内企业用户原先在专线市场的购买逻辑。SD-WAN产品服务商同样要给予完美回应。
海外SD-WAN厂商玩家众多、出身各有不同,有的属于独立新创企业(有不少已经被大厂收购),有的是从传统网络设备、网络安全领域拓展过来,以下三家颇具代表性。
其一是Aryaka。
Aryaka公司成立于2009年,创始人Ashwath Nagaraj出身美国网络设备大厂思科。
该公司定位为托管型的SD-WAN厂商,可以从软件、硬件、网络等层面,为客户提供一条龙的SD-WAN连接、优化服务,满足企业客户高品质的全球组网需求。同时,Aryaka也制定了Cloud First云优先的策略,专注于公有云连接。
Aryaka公司的历史融资总额近2亿美元,早在2017年估值就达到10亿美元,号称要做“SD-WAN第一股”。该公司曾表示2018年就要实现上市,不过后来未果。目前其年营收据悉在1亿美金左右。
其二是Fortinet。
Fortinet的定位其实是一家网络安全公司,成立于 2000 年,2009年在美股上市。这家公司打造了多形态的安全产品,包括接入防火墙(UTM)、边界防火墙(NGFW,即下一代防火墙)、数据中心防火墙(核心防火墙)等。
2019年4月,Fortinet宣布计划提供SD-WAN ASIC,与其FortiGate安全设备集成在一起。从那以后,这家安全厂商在SD-WAN市场占有了一席之地,主打诸如自我修复功能和精细分析之类的功能。
Fortinet公司上市前后发展一直不错,在2023年2月份公布的2022财年财报数据显示,公司全年营收44.2亿美金,同比增长32%;全年GAAP营业利润9.70亿美金,同比增长49%,连续14年实现盈利。
总起来看,Fortinet卖设备起家,后来开始售卖SD-WAN设备,营收起量路径平滑。
其三是Zscaler。
Zscaler是一家成立于2008年、并于2018年3月在纳斯达克上市的云安全独角兽。公司是ZTNA(零信任)技术的坚定支持者,该技术也被称之为软件定义边界(SDP)。公司通过构建了一个ZERO TRUST EXCHANGE云平台,保护用户和数据而不是网络,从而实现了任意二者之间的安全连接,如用户到APP、APP到APP、IoT之间的链接。
Zscaler是美国市场上做安全访问服务边缘(Secure Access Service Edge,简称“SASE”)做得最好的公司之一。
当企业用户纷纷从VPN转向SASE或者SSE(Security Service Edge,安全服务边缘)时,往往都需要找到相应的无缝集成的SD-WAN产品。Zscaler不断通过收购和大力支持API与SaaS应用程序集成来巩固市场地位。目前该公司的网络平台已经部署在全球超过150个数据中心当中,每日通过的流量据称超过谷歌流量的10倍。Gartner表示,Zscaler的三大优点是:易用性、庞大的市场份额以及与SD-WAN供应商的密切合作和更紧密的集成。
Zscaler产品、营收做得都很好,不过放眼目前国内市场,并没有一家类似的公司,国内企业客户对其产品方案的接受度也不高。
国内参与争夺SD-WAN市场的玩家基本可以分为四类。这类厂商主要收入来自于运营商和其它网络服务商,他们的优势在于产品,可以为客户提供硬件设备以快速接入SD-WAN网络,由于其主要收入来自运营商和其它网络服务商,决定了他们只能做产品型SD-WAN,不能做SD-WAN网络运营,这极大限制了这些厂商参与SD-WAN市场的前景。另外,技术路线也不适合做SD-WAN。如果这类设备大厂要做SD-WAN势必要“高举高打”,要在现有的体系(面向政企卖设备、比较标准化)之外,另行设计一套交付服务体系,顾虑会比较多。他们拥有自己的网络资源,也会搭建自己的SD-WAN网络,但因为与其他运营商的竞争关系、反而限制了其资源扩展能力,基本只能基于自有资源发展,犹如当初移动飞信不敌腾讯微信,其中一个重要原因是其用户网络和传输网络的局限性。云厂商类似运营商,但同样由于缺乏中立性,也限制了资源扩张。而且云服务商基本都是集中式数据中心架构,不适合地域广泛分散的SD-WAN网络特点。另外,不同云厂商的互联互通,也难以展开,对稍具规模的企业来讲都是无法接受的。业内的确有观点认为,云平台还是适合做平台,不适合做服务,做SD-WAN的前景可能并不乐观,因为就目前来看,国内云厂商做SD-WAN尚未有堪称成功的。四是 SD-WAN服务商。这种服务商也分为两种类型。一种是主要靠资源转卖、靠集成来赚取差价的厂商,这类服务商往往可以短时间内把营收做上去,但没有太多技术能力,无意深耕技术。这类服务商虽然起量很快,但因为缺乏技术含量,也让SD-WAN服务商的口碑受到质疑和挑战;另外,由于这类厂商没有自己的核心技术以及能力,发展到一定规模后,他们往往会与运营商产生直接冲突,要么成为代理商利润空间被压缩,要么最终市场份额逐渐被运营商蚕食。另一种是真正的技术服务商,站在客户需求角度出发,对客户的需求了解足够深入,并且不断的投入研发,技术能力也不断完善,并且在更多的场景中形成独特的服务能力,成为运营商不可或缺的增值服务商,与运营商一道服务中国各类国央企、大型泛制造业、工业、能源及各类实体企业,为我国下一代信息技术的发展奠定了坚实的基础。
以上四类玩家,经过过去几年的市场洗礼,竞争态势正在逐步明晰。“整体来看,掉队的不少,新进来的不多;基础打得好的正在陆续浮出水面;那些想蹭市场热点、靠拿来主义挣快钱的,则正在消失/出清”。那么,一家SD-WAN服务商的基础打得好主要指的是什么?主要包含两点,最关键一点就是拥有自研核心技术。细分来看,SD-WAN核心技术主要体现在稳定、安全和管理调度灵活方便这三个方面,尤其以前两者为根本。SD-WAN网络是一个混杂链路,其中既有互联网,也有专线、4G、5G等,多种复杂网络混在一起,不可避免的存在一些波动。如何始终提供稳定的网络服务、不影响用户应用体验,是衡量一项SD-WAN产品技术的核心。SD-WAN和互联网紧密的结合在一起,通过互联网必然会触达SD-WAN。此时要保证网络安全,通信协议该如何设计?对此,业内已经出现了截然不同的选择。一种是传统网络设备商的做法,主要通过传统的VPN协议。其核心是IPsec协议包,它可以通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。在SD-WAN实际应用中,有些厂商在POP点上会通过加入网络安全防护来实现安全(这一系列的防护会使得POP点负载变重),但由于IPsec的特性在每到达一个POP点的时候都需要进行加解密操作,所以一旦在某个点上被入侵,所有的数据就会被暴露,这就给用户带来极大的安全隐患。同时,采用这类解决方案,在POP节点成本和租户隔离会带来很大的挑战。在市场上,这类技术产品方案同质化严重,竞争层面相当内卷。另一种做法则是另起炉灶,根据市场需求,重新设计通信协议,代表厂商是轻网科技。轻网科技利用对TCP协议的多年理解和独特的解析能力,开发出一种LTT隧道技术。模仿MPLS的方式,在POP点上只做转发,不做加解密操作,这就避免了信息泄露的风险。另外,为了更加接近绝对安全,公司还叠加了一种国产商用密码技术,相当于“端到端”的封死了被入侵的漏洞,即便在POP点被攻破的情况下,攻击者得到的也只是一串密文。这种做法受到了大型国央企、国际商业客户等各种类头部客户的肯定,目前公司客户近2000家,续约率和续费率均在90%以上。事实上,因为自研一种新协议的难度极大,所以目前在市场上,除了轻网科技之外,国内绝大多数SD-WAN厂商都没有这样做。轻网科技联合创始人童锡鹏介绍,子公司华夏创新科技从2006年就开始做协议优化,算法现已融入LTT技术,“我们一开始也用IPsec协议,也想省事。但在实践中发现,IPsec的交付缺点非常明显:一是非常复杂、不灵活,尤其是在客户量起来后无法实现各种性能要求;二是安全隔离无法实现,需要在POP点上做加解密操作”。“2017年我们开始服务欧洲某家通信设备大厂。客户对网络的要求很高,购买我们这样一家纯中国民企的SD-WAN服务,对我们挑战很大”。但也正是在服务这些大客户的过程中,轻网科技对自研协议这条路线越发笃定,协议产品迅速打磨成型。“这一协议的核心意义在于产品服务商最终还是回归‘市场需求’的本质。真正的安全网络不是安全防护那套东西(那种做法在安全上只能算是‘尽力而为’),我们是从根儿上解决安全问题,基于我们自研协议的产品方案才是一种能‘和专线媲美’的一种安全网络。”市场也证明,轻网科技的自研协议方案已经获得客户认可,如今轻网科技的市占率已经达到行业30%。展望未来,完全有机会成为国产标准。
在核心自研技术之外,一家SD-WAN产品服务商的服务是否已成“体系”是另一项关键基本功。从业务本质上讲,SD-WAN产品虽然都会强调易部署,交付成本在逐步降低,但最终依然需要人做交付。尤其在国内,很多客户的网络环境都不是理想环境,各种供应商的设备都有,安装SD-WAN的过程中基本都会出现各种bug,交付不可能特别标准化。与零售电商领域非常关键的单店单量/开店密度类似,一家SD-WAN产品服务商要实现营收利润、交付效率的健康成长,如何在客户需求与网络资源/服务体系之间尽快找到一个平衡点也至为关键。在现场服务层面,如果平均每名员工(涵盖售前、售后、工程师等)能支撑500万上下的本地客户订单体量,对SD-WAN产品服务商来说,基本属于已经进入比较健康成熟的阶段。在资源层面,SD-WAN所需的网络资源并不是一成不变的,需要不断调整。很多新创SD-WAN服务商最开始开展业务都是基于手头的资源“将就”服务客户;后续随着客户量逐步增加,就从几家云计算大厂采购计算资源,因为是弹性计费,还算灵活;但当业务量涨到一定程度,云服务的成本就会变得很贵,如果不谋求改变,最终只能沦为给云厂商打工。这个阶段,SD-WAN服务商要保证自己的利润,往往就需要“下云”(不再采购云服务),转而直接购买IDC资源。问题是,IDC资源在达到一定体量之后,虽然可以降低成本、但弹性不够强,此时如何从技术上,将IDC和云服务结合在一起就成了一个难题。面对这一难题,有些玩家可能会很难实现这种网络资源的切换——此时,SD-WAN中所谓的“软件定义”的能力就会真切的体现出来了。像前文提到的使用IPsec协议的Aryka。一开始做业务时,云服务还没起来,系统多租户隔离依赖特定的技术,但这种隔离在云服务中就无法实现——除非从协议底层进行改动。反观像轻网科技,通过其自研开发出的LTT隧道技术,就能很好的将不同的IDC、云服务等多种网络资源充分融合,在保障用户体验的同时,还可以获得合理的利润。换句话说,SD-WAN服务商一开始选择的路线至为关键,架构一定要足够灵活。业务开展初期用户量少,不同路线做法体现不出来太大差别;但等客户达到一定体量时,差别就体现出来了。从这点上看,SD-WAN这桩生意与其他某些传统生意类似,规模/体量会让不同阶段的企业产生本质的不同。因为这种规模/体量的追逐不是一种简单的直线加速,而是涉及底层技术的重构。
SD-WAN依然在继续发展,那么,站在今天讨论这个市场,最值得行业关注和讨论的问题是什么呢?“与安全融合”是一个核心话题。2022年,Gartner的《SD-WAN关键能力报告》评估项目数量从9个增长到11个,其中主要把评估安全能力拆分为On-Premises Security(Native),Cloud-Delivered Security(Native)与Partner-Integrated Cloud Security三个不同的评估项。项目拆分得更加细致,也代表了市场对SD-WAN产品的安全能力的关注度在继续提升。Gartner 预计2024 年全球60%的企业将会部署SD-WAN,市场具备较高成长性。另外,Gartner的调研发现,72%的企业客户认为安全是广域网架构中最需要关心的问题,其次才是性能和成本。SD-WAN 为代表的广域网融合模糊了边界,带来了不可知的安全风险。SD-WAN未来发展的方向就是集成安全功能的数字化网络服务,这构成了 SASE 的基础架构。在Gartner看来,SASE等于“组网能力+安全能力”,且直接将“组网能力”等同于SD-WAN。换句话说,SASE就是安全的SD-WAN。据该机构测算,未来将有50%的SD-WAN的采购会通过SASE的形式进行交付。比如前文提到的Zscaler的相关产品已经属于业内一流水平;Fortinet公司也认为,在数字化转型大趋势下,安全不再是网络的“从属”,二者正在并驾齐驱、融为一体;像Cato Network等SD-WAN独立新创公司已经在SASE和SD-WAN相结合的道路上走出了自己的特色,Aryaka等厂商也都开始推出SASE相关的产品方案。在国内,关于SASE的讨论也越来越多,但国内的SASE与国外的SASE似乎并不一样。国内一些设备大厂在VPN业务受到巨大挑战之后,试图在SASE概念模型下,结合VPN技术和安全建立一个新的方向(据说内部投资很大);但也有些大厂,本身并没有SD-WAN产品,提出的SASE方案也不涉及POP点部署,都是基于应用的控制——简单点说,就是把各种安全软件攒在一起,做法上更原始了。轻网科技作为国内SD-WAN的头部厂商,表示依然会坚持自研协议叠加商用密码的做法(也可以称为“符合商用密码规范的SD-WAN服务”),甚至会进入一个新的领域——商用密码市场。童锡鹏表示说,“最关键还是客户会接受”,无论做自研协议还是引入商用密码,无一不是以用户的需求为依归。目前,部分政府、金融等行业用户已经对于SD-WAN产品的采购需求中明确提出需要厂商通过国密认证,预计未来这一趋势将愈发普及。展望未来一段时间的SD-WAN市场,存量市场空间正在加速释放,国网收口行动等政策红利、央国企进军海外市场的刚需,都将给行业内供应商带来实实在在的订单收益;随着国家“一带一路”战略的发展,越来越多的中国企业走出国门,企业及时开展跨地域信息沟通越发重要;另外像工业互联网场景等增量市场也正在加速启动;这些需求必将需要更大规模SD-WAN网络的支撑,也将给相关产品服务商带来更多的机遇和挑战。
【END】
京公网安备11010802032838号