摘要
我们通过上一篇文章(Fortinet的愿景——超越SASE)中应用于Fortinet的相同框架来回顾Palo Alto Network在网络和网络安全方面的前景。
SASE涉及数据传输的第一英里。不过,随着SASE的发展,投资者还需要考虑中间和最后一英里。
与FTNT相比,PANW在更广泛的网络和网络安全领域处于弱势地位。不过,得益于PANW的其他领域,我们仍然长期看好它。
因此,我们将在本文中讨论PANW在SASE、SASO及其他领域(即广泛的网络/网络安全领域)的前景,并在后续文章中讨论云安全和SecOps。
我们还解释了Nikesh Arora的"平台化"战略背后的理念,但我们将在后续文章中分享自己对其优点和潜在缺点的分析。
利用广度实现新的平台化战略
自2022年以来,Palo Alto Networks(纳斯达克股票代码:PANW)将其业务划分为三个部门,即网络安全、云安全和SecOps平台。每个部门都从Gartner和Forrester等市场分析机构获得了大量领先荣誉。
整个"平台化"战略首次在24财年第二季度的财报中公布,它要求利用这三个平台的广泛性,其中包含许多同类最佳解决方案(BoB)。该战略解决了PANW试图向现有客户交叉销售时遇到的问题,这些客户认识到PANW解决方案的价值,但已经投资于竞争对手提供的类似产品。这些客户发现,如果不首先从最初的选择中获得投资回报,就很难证明在PANW产品上的额外支出是合理的。
本质上,问题在于企业与多个不同厂商的网络安全解决方案存在合同期限不一致的问题,这严重阻碍了PANW在现有客户中扩大业务范围并为其提供统一、整体平台解决方案的能力。"平台化"是指在现有合同到期前,向客户免费提供各自平台内的剩余解决方案。这不仅减轻了客户的认知和财务压力,而且还为PANW提供了充分的机会,在客户必须决定是与现有公司续约还是转投PANW时,证明他们拥有最出色、最具TCO效益的解决方案。
例如,如果一家企业目前只使用了PANW云安全平台中的一个或两个解决方案(如CSPM和Cloud Workload Security),那么它将有机会免费使用云安全平台中的所有其他解决方案,直到与现有客户的合同结束为止。据悉,平台化优惠只针对对PANW有浓厚兴趣的现有客户,但如果Arora将标准放宽到非现有客户,我们也不会感到惊讶。此外,似乎符合条件的客户必须与现有合作方的合同只剩下12-18个月,因为PANW的管理层透露,他们预计在这段时间内会对其顶线(主要是账单)造成显著压力。
在我们的后续文章中,我们将简要讨论平台化战略的优点和潜在障碍,并已向我们的用户分享了详细观点。不过,我们希望用本文的大部分篇幅来讨论网络和网络安全格局,以及我们认为它将如何从SASE演进到SASO(Convequity的一个术语,我们稍后将解释),甚至更远。
这是我们绘制的网络安全图,与您可能在其他地方看到的图很不一样,因为我们试图说明所有领域之间的关系。右下角的调节键显示了我们的标签与PANW的业务描述之间的关系。我们还指出了每个领域内目前最强劲的竞争对手,并将南北部分分为第一英里、中间英里和最后一英里(我们将在下一节讨论)。可以看出,PANW在网络安全的各个领域都有很强的实力。我们将在文章的其余部分讨论南北区域,因为这是员工连接资源(即SASE)的区域,并讨论PANW目前的强项、弱项以及似乎其战略利益所在。
Convequity"s Cybersecurity Landscape
我们将在本文和后续文章中间歇性地引用此图,但本文中的小标题将与PANW的三大平台(网络安全、云安全和安全运营)保持一致。
网络安全
我们不能再在真空中谈论网络安全,因为网络安全正在不断发展并与网络融合,Gartner于2019年发布的SASE(安全接入服务边缘)推动了网络安全的发展,而大流行病期间和之后对企业造成的WFH压力则加速了网络安全的发展。Gartner认识到,企业内部用于执行各种网络和网络安全功能的设备已变得多种多样,而更好的模式是将所有这些设备汇聚到一个由厂商管理的PoP中。这样做的好处包括将资本支出转换为运营支出,从而提高基础设施的利用率,简化部署,降低IT管理成本,提高IT管理效率,以及增强可扩展性(例如,在开设新的办事处或零售店或增加员工人数时)。另一个在COVID-19会议期间备受瞩目的主要优势是,与传统的"城堡加护墙"网络模式相比,SASE可以更有效地为远程工作人员处理网络和安全问题。
在2019-2021年期间,由于Nikesh Arora的果断领导和商业敏锐度,PANW迅速成为SASE的领导者。PANW的SASE过渡和GTM是如此成功,以至于他们很快就赶上了Zscaler(ZS),后者由于在SWG(安全Web网关)方面的突出表现而占据了明显的先机,而SWG在大流行期间成为SASE的最重要部分。其主要原因是知识型员工主要使用互联网(甚至比SaaS或内部应用还要多)。因此,当员工过渡到远程工作时,为他们提供直接、安全的互联网访问自然就变得十分有利。ZS提供了当时最先进、最成熟、最受认可的基于云的SWG,导致大量企业涌向ZS的SWG,然后扩展到其他SASE组件。
SASE包括SSE(即SWG、ZTNA和CASB)和SD-WAN(一种通过MPLS和互联网集中管理企业广域网的技术)。根据Gartner的定义,所有这些都必须融合到离线PoP中的单一堆栈中(这与我们对融合网络和网络安全的定义不同,我们称之为SASO-将"Edge"替换为"Omni")。
很多人可能不知道的是,即使在2019-21年,PANW被认为是一家"传统"防火墙厂商,但从根本上讲,他们的NGFW(下一代防火墙)引擎盖下就有SSE组件。
PANW的NGFW已经在进行基于代理的检查,就像SWG所做的那样,这是因为网络流量加密已经变得非常普遍;
ZTNA与防火墙和VPN的技术密切相关,事实上,你可以利用防火墙的端口控制功能来实现ZTNA(但不是唯一的方法);
而PANW的NGFW已经是细粒度应用层(OSI参考模型的第7层)控制领域的佼佼者,因此向CASB的过渡非常自然。
Arora的介入改变了PANW的命运,他决定利用谷歌的全球PoP网络,赶上ZS、Cloudflare(NET)和Netskope等公司的PoP密度。这样一来,PANW只需在谷歌的每个PoP设置软件层,就能迅速扩大全球覆盖范围,缩小与其他主要采用主机代管PoP战略(主要与 Equinix合作)(涉及基础设施层和软件层设置)的公司之间的差距。
这是一个对比PANW和Fortinet(FTNT)之间差异的典型例子,因为前者(在Arora掌舵后更是如此)更注重业务,而后者更注重工程,希望进行垂直整合,从头开始构建一切。在这个PoP战略示例中,PANW以业务为导向的思维方式促使他们迅速成为SASE领域的领导者,而FTNT的PoP战略则意味着他们迄今为止一直处于落后状态,但从长远来看,他们可能会拥有更好的SASE和更广泛的网络/网络安全产品。经过比较,PANW在使其SASE在谷歌网络上运行方面仍然表现出了卓越的工程能力,因为他们凭借流程级工程能力成功实现了巨大的可扩展性(这在很大程度上要归功于受Arora影响加入PANW的大量前谷歌人才)。这与ZS的Jay Chaudhry声称PANW和其他防火墙厂商为SASE所做的一切只不过是"将他们的DVD播放器(即防火墙)搬到PoP上,并称之为Netflix"(意译)的说法完全相反。
Arora的另一个重大举措是在2020年收购CloudGenix,以获得SASE的SD-WAN部分。这是比较PANW和FTNT的另一个例子。PANW的市场赢家思维敏锐地意识到了遵守Gartner对SASE的定义所带来的GTM影响--融合网络和网络安全必须是云交付的,因此他们斥资4.2亿美元收购了CloudGenix的云交付SD-WAN。因此,他们斥资4.2亿美元购买了CloudGenix的云交付SD-WAN,从而获得了Gartner的领先认可,并为PANW在GTM方面取得巨大成功做出了贡献。另一方面,FTNT长期以来一直坚持自己的融合网络/网络安全理念,在其NGFW设备内开发SD-WAN,以满足企业内部需求,而且在某种程度上,他们一直很固执,迟迟不按照Gartner的云交付定义来塑造自己,结果被Gartner和大多数SASE市场(以及投资者)所抛弃。不过,我们相信,随着时间的推移,人们对FTNT的这种看法会逐渐改变。
因此,在SASE模式下,PANW与FTNT相比明显占优,并且与ZS一起成为市场领导者。不过,市场和行业在分散式架构和集中式架构之间来回转换的历史非常丰富,这让我们相信,从长远来看,FTNT可能会胜出。例如,1880-1990年代的电话网络(集中式)>>20世纪90年代-2000年代的互联网(分散式)>>2000年代至今的Web 2.0(集中式)。具体来说,在网络安全领域(在SASE之前),我们看到终端安全(如杀毒软件)(一种分散式方法)和网络安全(如防火墙)(一种集中式方法)相对于其他方法的重要性时高时低。几十年来,在数据生态系统中,我们看到了从分散(分散的筒仓式数据库)到整合(集中的云数据仓库)的演变过程,现在又有了关于数据网格(一种与数据交互的分散方法)的大量讨论。
因此,我们认为,融合网络和网络安全不一定要严格按照SASE的定义来进行,因为SASE的定义是集中在离线PoP。相反,应该是怎么经济划算怎么来。如果您是混合型企业,并且正在使用FTNT的FortiGate,这可能是内部部署,而FortiGate是唯一能够实现真正融合SD-WAN和SSE(即SASE)的内部部署设备。由于厂商一直在努力进一步提高性能和改善用户体验,我们已经看到除FTNT之外的其他厂商将部分计算从PoP转移到了终端--从100%集中到部分分散的转变。
因此,我们将继续成为PANW的长期投资者,但在网络和网络安全方面,我们很难想象10年后他们会成为市场的主要赢家。云迁移正在进行,但混合架构也将继续存在,这意味着SASE并不总是处理流量的最佳方式。例如,如果企业使用SASE(PANW的Prisma Access或其他厂商),则员工的数据包需要在两个跳转点(企业内部和PoP)进行联网和安全处理。路由器(出于企业考虑,很可能还有防火墙)需要在企业内部处理数据包,然后将数据包发送到最近的PoP,由SD-WAN选择最佳路径,并由SSE进行安全检查和SaaS/互联网访问控制。显然,与在企业内部通过单一堆栈完成整个路由、防火墙、SD-WAN和SSE相比,这会增加大量延迟。此外,即使是PoP中的SASE协议栈也将SD-WAN和SSE服务连锁在一起,从而增加了更多的延迟,因为除FTNT外,没有任何其他厂商将SASE的两边融合到一个协议栈中。FTNT在这方面的优势源于其20多年的ASIC开发。
在此,我们将介绍SASO(Secure Access Service Omni),这是我们的融合网络和网络安全版本。由于"Omni"指的是无处不在,因此SASO意味着在最经济的地方进行融合网络/安全,这可能是在PoP、on-prem,甚至是在家庭办公室。而实际上,大多数企业都需要这些融合选项的组合,因为传输数据包的经济性取决于源头-目的地,而如今的企业都是混合型员工(远程和办公室)和混合型IT环境(云计算和内部部署),每个数据包都有不同的经济性。
下面我们将分享Convequity Impulse的SASO象限图-我们打算在几周后对其进行更新,使其成为年度回顾。在进行正式更新时,我们认为FTNT在产品实力轴上的位置会更高(可能是最高的),这主要归功于他们多管齐下的全球PoP覆盖进展,同时在市场采用轴上也会向右移动。PANW将在产品实力轴上保持高位,同时可能在市场采用率轴上超过ZS。Netskope仍将是产品实力的绝对领先者,或与FTNT共同领先,这要归功于他们的全球覆盖、网络性能、内部SD-WAN和SSE,以及智能终端SD-WAN部署选项,该选项可解决在PoP中处理SD-WAN所产生的一些延迟问题。至于ZS,我们认为他们可能正在走向衰落,因为他们没有内部SD-WAN,而考虑到最近对单一厂商SASE(即同时提供SD-WAN和SSE的厂商)的需求趋势,这是一个很大的缺点。事实上,ZS确实陷入了困境,因为直到最近,他们还不得不与SD-WAN厂商合作,其中许多厂商也提供SSE,因为市场已经出现了实质性的整合。为了规避这种岌岌可危的局面,ZS创建了自己的设备,将流量连接到最近的ZSPoP,尽管这不是真正的SD-WAN,而且ZS涉足硬件领域可能不是一个好主意。
Convequity"s Impulse for SASO(Convequity)
到目前为止,我们已经讨论了SASE以及我们对向SASO演进的期望,但实际上,这只是网络和网络安全领域的一部分。正如我们在上一篇FTNT文章中指出的,从第一英里、中间英里和最后一英里的角度来审视更广阔的格局是一种很好的方法。为方便起见,我们将再次展示网络安全格局图,以帮助更好地设想数据包所经过的这些阶段。
Convequity"s Cybersecurity Landscape
第一英里基本上是SASE运行的地方--从员工从总部、分支机构、咖啡馆或家中发起请求,到PoP,或在SASO的情况下,到PoP或融合的本地堆栈(如FTNT)。数据包经过SD-WAN和SSE处理后,将进入中间一英里(middle mile),在这里,数据包将通过无数个跳转点进行传输,而这些跳转点是互连网络(又称互联网)的一部分。中间一英里非常重要,因为它覆盖的范围最广。对于企业来说,中间一英里的性能不佳会抵消性能良好的SASE或第一英里所带来的任何好处。当数据包到达最后一跳时,它将经过最后一英里的旅程到达目的地,目的地可能是云中的SaaS应用程序、互联网上的网站服务器或员工的内部数据中心。
最近,随着SD-WAN和SSE厂商之间的大量并购,我们看到了第一英里领域的整合,但中间和最后一英里领域仍然支离破碎,创新和积极扩张战略的时机已经成熟。在接下来的章节中,我们将讨论PANW在网络和网络安全的第一、中间和最后一英里的优缺点。
第一英里:SASE、SASO或广域网边缘
第一英里通常被称为SASE或广域网边缘,但谁知道呢,也许我们的术语SASO在将来也会被使用(或其变体)。PANW在第一英里方面实力雄厚,因为它有一款适用于企业内部的NGFW设备,可以实现所有SSE功能。由于其密集的全球覆盖(确保最近的PoP不会太远)以及集成了SD-WAN,该公司在PoP交付的SASE方面也非常稳健。然而,在SASO领域,PANW却落在后面(尤其是落后于FTNT),因为该厂商尚未将SD-WAN集成到其内部NGFW设备中。这确实说明了PANW的战略利益所在。如果该公司完全专注于最大限度地发挥其未来在网络安全领域的潜力,那么它应该会花必要的时间将CloudGenix的SD-WAN技术集成到其Strata平台内的NGFW中。我们认为,这要么是因为PANW没有像FTNT一样预见市场,要么是因为他们确实看到了与FTNT类似的网络安全愿景,但过于专注于云安全和SecOps,没有投入足够的资源。因此,从目前的情况来看,如果/当SASE真的发展为SASO时,PANW的定位并不理想。对于使用PANW的NGFW在企业内部实现SSE,但同时又希望实现SD-WAN的企业来说,他们将需要PANW的PoP来处理SD-WAN的繁重工作。从本质上讲,流量将由用于SSE的NGFW处理,然后转移到用于SD-WAN的PoP,从而产生两跳重型处理。当然,这并不是融合网络和安全。此外,PANW不愿将SD-WAN集成到Strata中,这意味着客户需要使用多个视图来管理他们的PANW协议栈,而FTNT经过精心策划的集成实现了真正的单视图管理。
此外,由于没有将SD-WAN完全集成到内部堆栈中,PANW在SD-Branch(Software-Defined Branch的缩写)趋势中不可避免地落后于FTNT。随着企业不断寻求各种方法来降低在不同地点管理多种网络功能(如路由/SD-WAN、Wi-Fi、安全和广域网优化)的复杂性,SD-Branch提供了一种通过单一界面管理这些功能的统一方法。这不仅有助于简化操作,还能提高整体网络性能和安全性。SD-Branch并非所有企业的必由之路,但对于相当一部分企业(即那些混合型企业)来说,FTNT的深度集成和真正统一的平台是理想的解决方案。这不仅是因为集成了内部部署SD-WAN,还因为集成了交换机、Wi-Fi和其他LAN(局域网)技术,可以大大减轻在单一分支机构中使用多个厂商所带来的IT管理压力。而PANW并不具备局域网技术,这充分说明,普及网络和安全并不是它的首要战略利益。使FTNT在SD-Branch领域处于领先地位的另一个原因是,他们已将融合网络/安全压缩到小型且经济实惠的FortiGate设备中。这非常适合规模较小的分支机构,也许只有50名或更少的员工。而PANW或其他厂商用于SD-Branch的堆栈对于小型分支机构来说则过于昂贵。
在批评PANW的定位可能转向某种分散化之后,恰恰相反,他们确实拥有令人印象深刻的客户端代理能力,并将其用于端点安全。Netskope开发了一种智能终端代理,用于以纯软件方式管理SD-WAN的一部分,与此类似,拥有软件代理技术的PANW或许也可以仿效这种方式,使用终端代理来优化计算,并从PoP上卸载部分处理工作,以提高性能和用户体验。
因此,如果网络安全确实在某种程度上将注意力从集中式SASE模式转移到SASO模式中的集中与分散相结合的模式,那么PANW的净损失可能会更大。不过,企业浏览器是确保PANW未来SASE主导地位的一大利器。Island和Talon是两家以色列初创公司,它们率先推出了企业浏览器,有可能彻底改变网络安全,而PANW于2023年11月以6.25亿美元收购了后者。
企业浏览器使IT管理人员能够集中设置与互联网和SaaS访问相关的细粒度策略,并通过在用户启动连接时执行安全措施,有可能降低主要SSE组件的需求或重要性。例如,如果可以在浏览器层面(即在用户的终端设备上)设置策略并创建批准和不批准的URL列表,那么为什么还需要进行SWG所涉及的繁重处理呢?同样的道理也适用于ZTNA和CASB,原因很简单,如果使用企业浏览器来确保安全,理论上就可以减少数据包在到达目的地途中需要解密和重新加密的次数。数据包可以在用户终端加密,然后在目的地解密。但实际上,企业浏览器不太可能使其他SSE组件过时,因为网络安全的核心是层层防御和保护。尽管如此,这是网络安全模式的潜在转变,而PANW则是BoB解决方案的前沿和中心。
第一英里比赛
除FTNT外,PANW在第一英里领域的最大竞争对手依次是Broadcom(AVGO)、Netskope、NET、HPE和ZS。AVGO现在有潜力开发深度集成的网络和安全堆栈,包括自己的网络芯片、SD-WAN和SSE,这在很大程度上要归功于它的并购。
Netskope、NET和ZS都是采用云交付方式的强势企业,不过随着网络/安全的发展,我们已经看到它们试图通过功能更强的客户端SASE代理和创建内部SD-WAN连接器来进行调整。这表明,在混合世界中,100%的云交付是不可行的。
HPE收购Juniper后的发展也值得关注。尽管HPE可以从并购中获得大量的市场和财务机会,但并购中的大量重叠可能会阻碍协同效应的发挥。
中间一英里:WANaaS
从长远来看,谁拥有最佳的PoP战略,谁就能在第一英里、中间英里和最后一英里(尤其是中间英里,即通常所说的WANaaS(广域网即服务))范围内获得最大的机会。由于PANW采用了积极的PoP战略,利用谷歌的全球网络,该公司拥有良好的覆盖范围,确保了第一英里不太远,中间英里相当优化,最后一英里距离很短。除了需要利用谷歌快速建立网络,以便在2019-21年期间与ZS在SASE竞争外,PANW还认为谷歌(与AWS一样)拥有最密集的全球私有骨干网,可以提供最佳的转接服务,因此有理由采取这种方法。此外,由于大多数企业的大部分流量都是云端流量,因此使用谷歌的PoPs更有意义。
问题在于,这使得PANW的PrismaSASE对客户而言更加昂贵,因为客户需要同时支付PANW和Google的毛利率。假设谷歌向PANW出售IaaS的毛利率为40%(假定PANW的交易很划算),而PrismaSASE的毛利率为80%,那么客户将为1美元的原始传输/处理成本实际支付8.33美元(1美元/(1-40%)/(1-80%)=8.33美元)。让我们与FTNT对比一下,后者的PoP战略四管齐下,但其主要的长期PoP重点是购买、自建或与服务提供商共建。在这一战略下,FTNT客户无需向超级分销商或主机托管服务提供商支付毛利,而只需支付FTNT的毛利。例如,如果FortiSASE的毛利率为80%,那么对于1美元的原始传输/处理成本,客户只需支付5美元(1美元/(1-80%)=5美元)。但实际上,由于FTNT将在其PoP上部署ASIC芯片,因此其原始COGS会更低。这意味着,举例来说,PANW可以1美元的价格提供X数量的原始传输/处理成本,而FTNT可以0.5美元甚至更低的价格提供相同数量的传输/处理成本,从而为厂商提供了更大的空间来匹配PANW的毛利率,同时也降低了COGS,使客户更能负担得起。
PANW使用GooglePoP进行SASE的另一个问题是,第一英里PoP往往不是进行重型SSE处理的PoP。这是因为Google的一些PoP规模较小,不具备进行重型处理的能力。相反,这些PoP只是谷歌网络的入口点,它们会将数据包路由到最近的PoP,因为这些PoP配备了完成繁重任务的基础设施。显然,对于PANW的SASE客户来说,这将增加延迟,现在可能还不太明显,但相对而言,当其他厂商完全执行其主机托管或专有PoP战略时,这可能会成为一个明显的缺点。
中间一英里比赛
尽管已经成熟,但这仍是一个非常分散的网络和安全领域。然而,随着网络和网络安全领域的厂商纷纷向SASE进军,导致大量并购,与第一英里领域的整合类似,中间一英里领域也可能经历同样的情况。目前,中间一英里的参与者包括SASE、网络即服务(NaaS)厂商、互联网服务提供商、超级扩张者和CDN。对PoP的硬件、基础设施和软硬件集成有更大控制权的企业最有机会通过降低成本和提高性能来创造更多价值。当然,中间一英里更多涉及的是网络而非网络安全,而这并不在PANW的基因中,因此他们不太可能成为这一领域的侵略者。就SASE公司而言,NET、Netskope和FTNT看起来实力最强,而后者将在未来创造最大的增量价值。
最后一英里:应用边缘
最后一英里是从最终PoP到应用程序所在的位置,可能在云中,也可能在企业内部--企业内部的应用程序可能是DMZ区域中面向互联网消费者的网络服务器,也可能是面向员工的内部应用程序。与FTNT一样,PANW在这方面也非常强大。他们拥有基于软件的NGFW,是企业云环境入口的理想选择,当然,他们的BoB on-premNGFW也采用了软件或设备的形式,可以对最后一英里的流量进行筛选。不过,与FTNT相比,它们确实缺少一些保护应用程序的内部部署解决方案,如WAF(Web应用程序防火墙)、DDoS防护和僵尸防护。尽管如此,PANW拥有比FTNT更多的解决方案,其中许多都被视为BoB,用于云原生应用保护。这种比较再次说明了PANW的战略利益所在--他们非常关注云计算,这在过去几年中彻底扭转了公司的命运,但如果内部部署重新占据重要地位,这可能会在某种程度上成为一种阻碍。
最后一英里比赛
在云计算应用的最后一英里方面,PANW可能仅次于NET。当涉及到混合需求时,FTNT也会加入讨论。其他CDN公司,尤其是Fastly(FSLY),在最后一英里领域前景广阔,因为他们正在为应用构建一个从开发、计算、网络、安全到可观察性的综合平台。
整个网络和网络安全的融合
从目前的情况来看,PANW过于专注于软件,因此无法成为网络和网络安全这一广泛而深入领域的主要胜利者之一。即使在向SASO演进的过程中,他们也将继续成为SASE的领导者,并在第一英里内获得市场份额,因为无论在内部部署还是在PoP中,他们都是安全方面的佼佼者。但对于混合型企业和/或有特殊需求的企业来说,PANW的灵活性远不如FTNT。最后一英里也是PANW的大本营。在中间一英里,PANW可能会失去一些相关性,因为有其他厂商可以提供更好的用户体验和更低的成本。
财务指标与估值
近期,我们用一个变体——X规则,取代了我们之前的40法则分析。Bessemer Ventures在2023年底引入了这一指标,他们在观察后发现,从统计学角度来说,增长与投资者回报的相关性要大于自由现金流(FCF)利润率。为了纳入增长对回报有更大影响的概念,BessemerVentures建议对40法则中的非年度(NTM)增长部分应用一个乘数。他们指出,对于上市公司来说,这个乘数大多在2倍到3倍之间,中位数是2.3倍。我们已经调整了X规则,以纳入SBC(股票补偿费用)百分比,得出以下公式:X规则(含SBC)=NTM增长*2.3+(FCF利润率-SBC百分比)。
下表列出了我们在网络安全、数据、生产力和可观察性等覆盖范围内的41只股票,并按照X规则(包括SBC)进行了排名。然后,我们的分析将X规则与相对估值、DCF估值折扣和价格变化进行交叉参考。正如您可能推断的那样,这是一种逆向分析,试图找出X规则所显示的不受青睐但财务业绩出色的股票。如果价格变化也是绿色的,那就更有吸引力了;不过,鉴于近期市场的繁荣,这种情况不太可能出现。因此,琥珀色的价格变化--意味着相对较小的变化--可能是与绿色X规则和绿色估值相一致的最佳价格变化。
Rule of X, valuation, and price change analysis (Convequity)
基于这项分析,我们认为PANW仍然值得持有,尤其是考虑到围绕平台化战略的疑虑导致最近股价有所回落。该公司得益于中等十几岁的非年度(NTM)增长预期,以及非常高的30多岁TTM(过去12个月)自由现金流(FCF)利润率,和14%的TTM(过去12个月)SBC(股票补偿费用)百分比,后者在最近几个季度已迅速下降,拥有出色的X规则。从相对角度来看,估值仍然不算极端,尽管这取决于你应用的投资风格类型。而我们最新的DCF(折现现金流)估值显示,由于最近的回调,大约有30%的上升空间。
Arora相信,尽管由于平台化战略的实施,未来12个月的账单收入暂时会减少,但由于公司在降低运营成本方面有很大的空间,他们仍有信心维持30%左右的FCF利润率。在平台化战略实施的最初12-18个月里,PANW基本上允许其所有客户免费使用其平台的大部分功能,Arora预计在这之后,公司的增长将重新加速。我们将在后续报告中简要讨论平台化战略的优点和潜在缺点,但Arora的增长预测是可信的,FCF利润率的可持续性也是可信的,这意味着我们认为PANW的X规则(包括SBC)不会恶化,这对缩小价格/估值差距非常重要。
风险
商业
PANW面临着巨大的商业风险,这与我们在本文中所涉及的内容以及平台化战略有关。作为投资者,我们担心PANW无法像FTNT那样专注于网络和网络安全的可能发展。PANW的设备收入已经出现下滑(注:PANW报告的产品收入增长不仅包括设备,还包括基于软件的防火墙和相关订阅,这两项业务的增长势头都很好),而FTNT的设备收入,除了最近因供应链中断而出现下滑外,仍在增长。这很能说明问题,因为它有力地表明FTNT更适合混合环境,而且随着人们的注意力从SASE扩展到SASO,再扩展到更广泛的领域,FTNT在混合环境方面的优势只会越来越强。
从本质上讲,PANW在网络和安全方面的重点是基于软件,这提供了极大的灵活性,但在性能方面却无法与采用定制ASIC的集成硬件/软件设备相媲美。归根结底,随着人们越来越关注第一、中间和最后一英里的融合与整合,性能将成为首要问题。
我们将在后续文章中分享关于平台化的更多想法,但主要风险在于,相当一部分客户在预计的12-18个月免费服务期后决定不再转用PANW。最有可能出现这种情况的原因是,现有公司为他们提供了无法拒绝的巨额折扣。作为回应,PANW可能需要在提供了12-18个月的免费服务后再提供巨额折扣,这将对公司的盈亏造成巨大打击,也会令投资者非常失望。
宏观
我们对PANW的宏观看法与上一篇文章中对FTNT的看法非常相似。PANW的产品多样性将有助于减轻经济恶化和预算进一步紧缩的影响。不过,与FTNT相比,PANW面临的额外宏观风险是地域多样化程度较低,这意味着他们没有那么多的产品来抵消其主要北美市场的下滑。不过,一个很大的利好因素是,PANW的FCF利润率非常高,如果我们确实经历了严重的经济衰退,这对投资者来说将非常有吸引力。
结论
PANW是一家优秀的网络安全公司,拥有一位优秀的领导者,他正在进行大胆而必要的投资,以便在非常艰难的网络安全行业中继续为股东创造价值。作为投资者,我们感到有些失望的是,我们没有看到PANW在网络和安全领域更加专注和有远见。根据我们过去的观察,简单、盲目地追随Gartner的市场和技术理念不利于长期的差异化和竞争力。通常情况下,PANW会引领潮流,而不是一味追随,尤其是在云安全和SecOps领域,以及早在2010年代的NGFW领域,但现在它在网络安全领域似乎只是一味追随,这让我们感到沮丧。
尽管如此,其核心业务的任何衰退都将是非常漫长和渐进的,而更高的增长机会确实是在云安全和SecOps方面。有鉴于此,再加上诱人的财务状况、不太昂贵的估值和最近的价格下跌,我们仍然持有PANW,并打算成为长期投资者,随时准备在大幅回调时买入。
原文链接:
https://convequity.substack.com/p/palo-alto-networks-sase-saso-and
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
