分析:Palo Alto在从SASE向SASO演进中定位不佳

摘要

  • 我们通过上一篇文章(Fortinet的愿景——超越SASE)中应用于Fortinet的相同框架来回顾Palo Alto Network在网络和网络安全方面的前景。

  • SASE涉及数据传输的第一英里。不过,随着SASE的发展,投资者还需要考虑中间和最后一英里。

  • 与FTNT相比,PANW在更广泛的网络和网络安全领域处于弱势地位。不过,得益于PANW的其他领域,我们仍然长期看好它。

  • 因此,我们将在本文中讨论PANW在SASE、SASO及其他领域(即广泛的网络/网络安全领域)的前景,并在后续文章中讨论云安全和SecOps。

  • 我们还解释了Nikesh Arora的"平台化"战略背后的理念,但我们将在后续文章中分享自己对其优点和潜在缺点的分析。

利用广度实现新的平台化战略

自2022年以来,Palo Alto Networks(纳斯达克股票代码:PANW)将其业务划分为三个部门,即网络安全、云安全和SecOps平台。每个部门都从Gartner和Forrester等市场分析机构获得了大量领先荣誉。

整个"平台化"战略首次在24财年第二季度的财报中公布,它要求利用这三个平台的广泛性,其中包含许多同类最佳解决方案(BoB)。该战略解决了PANW试图向现有客户交叉销售时遇到的问题,这些客户认识到PANW解决方案的价值,但已经投资于竞争对手提供的类似产品。这些客户发现,如果不首先从最初的选择中获得投资回报,就很难证明在PANW产品上的额外支出是合理的。

本质上,问题在于企业与多个不同厂商的网络安全解决方案存在合同期限不一致的问题,这严重阻碍了PANW在现有客户中扩大业务范围并为其提供统一、整体平台解决方案的能力。"平台化"是指在现有合同到期前,向客户免费提供各自平台内的剩余解决方案。这不仅减轻了客户的认知和财务压力,而且还为PANW提供了充分的机会,在客户必须决定是与现有公司续约还是转投PANW时,证明他们拥有最出色、最具TCO效益的解决方案。

例如,如果一家企业目前只使用了PANW云安全平台中的一个或两个解决方案(如CSPM和Cloud Workload Security),那么它将有机会免费使用云安全平台中的所有其他解决方案,直到与现有客户的合同结束为止。据悉,平台化优惠只针对对PANW有浓厚兴趣的现有客户,但如果Arora将标准放宽到非现有客户,我们也不会感到惊讶。此外,似乎符合条件的客户必须与现有合作方的合同只剩下12-18个月,因为PANW的管理层透露,他们预计在这段时间内会对其顶线(主要是账单)造成显著压力。

在我们的后续文章中,我们将简要讨论平台化战略的优点和潜在障碍,并已向我们的用户分享了详细观点。不过,我们希望用本文的大部分篇幅来讨论网络和网络安全格局,以及我们认为它将如何从SASE演进到SASO(Convequity的一个术语,我们稍后将解释),甚至更远。

这是我们绘制的网络安全图,与您可能在其他地方看到的图很不一样,因为我们试图说明所有领域之间的关系。右下角的调节键显示了我们的标签与PANW的业务描述之间的关系。我们还指出了每个领域内目前最强劲的竞争对手,并将南北部分分为第一英里、中间英里和最后一英里(我们将在下一节讨论)。可以看出,PANW在网络安全的各个领域都有很强的实力。我们将在文章的其余部分讨论南北区域,因为这是员工连接资源(即SASE)的区域,并讨论PANW目前的强项、弱项以及似乎其战略利益所在。

Convequity"s Cybersecurity Landscape

我们将在本文和后续文章中间歇性地引用此图,但本文中的小标题将与PANW的三大平台(网络安全、云安全和安全运营)保持一致。

网络安全

我们不能再在真空中谈论网络安全,因为网络安全正在不断发展并与网络融合,Gartner于2019年发布的SASE(安全接入服务边缘)推动了网络安全的发展,而大流行病期间和之后对企业造成的WFH压力则加速了网络安全的发展。Gartner认识到,企业内部用于执行各种网络和网络安全功能的设备已变得多种多样,而更好的模式是将所有这些设备汇聚到一个由厂商管理的PoP中。这样做的好处包括将资本支出转换为运营支出,从而提高基础设施的利用率,简化部署,降低IT管理成本,提高IT管理效率,以及增强可扩展性(例如,在开设新的办事处或零售店或增加员工人数时)。另一个在COVID-19会议期间备受瞩目的主要优势是,与传统的"城堡加护墙"网络模式相比,SASE可以更有效地为远程工作人员处理网络和安全问题。

在2019-2021年期间,由于Nikesh Arora的果断领导和商业敏锐度,PANW迅速成为SASE的领导者。PANW的SASE过渡和GTM是如此成功,以至于他们很快就赶上了Zscaler(ZS),后者由于在SWG(安全Web网关)方面的突出表现而占据了明显的先机,而SWG在大流行期间成为SASE的最重要部分。其主要原因是知识型员工主要使用互联网(甚至比SaaS或内部应用还要多)。因此,当员工过渡到远程工作时,为他们提供直接、安全的互联网访问自然就变得十分有利。ZS提供了当时最先进、最成熟、最受认可的基于云的SWG,导致大量企业涌向ZS的SWG,然后扩展到其他SASE组件。

SASE包括SSE(即SWG、ZTNA和CASB)和SD-WAN(一种通过MPLS和互联网集中管理企业广域网的技术)。根据Gartner的定义,所有这些都必须融合到离线PoP中的单一堆栈中(这与我们对融合网络和网络安全的定义不同,我们称之为SASO-将"Edge"替换为"Omni")。

很多人可能不知道的是,即使在2019-21年,PANW被认为是一家"传统"防火墙厂商,但从根本上讲,他们的NGFW(下一代防火墙)引擎盖下就有SSE组件。

  • PANW的NGFW已经在进行基于代理的检查,就像SWG所做的那样,这是因为网络流量加密已经变得非常普遍;

  • ZTNA与防火墙和VPN的技术密切相关,事实上,你可以利用防火墙的端口控制功能来实现ZTNA(但不是唯一的方法);

  • 而PANW的NGFW已经是细粒度应用层(OSI参考模型的第7层)控制领域的佼佼者,因此向CASB的过渡非常自然。

Arora的介入改变了PANW的命运,他决定利用谷歌的全球PoP网络,赶上ZS、Cloudflare(NET)和Netskope等公司的PoP密度。这样一来,PANW只需在谷歌的每个PoP设置软件层,就能迅速扩大全球覆盖范围,缩小与其他主要采用主机代管PoP战略(主要与 Equinix合作)(涉及基础设施层和软件层设置)的公司之间的差距。

这是一个对比PANW和Fortinet(FTNT)之间差异的典型例子,因为前者(在Arora掌舵后更是如此)更注重业务,而后者更注重工程,希望进行垂直整合,从头开始构建一切。在这个PoP战略示例中,PANW以业务为导向的思维方式促使他们迅速成为SASE领域的领导者,而FTNT的PoP战略则意味着他们迄今为止一直处于落后状态,但从长远来看,他们可能会拥有更好的SASE和更广泛的网络/网络安全产品。经过比较,PANW在使其SASE在谷歌网络上运行方面仍然表现出了卓越的工程能力,因为他们凭借流程级工程能力成功实现了巨大的可扩展性(这在很大程度上要归功于受Arora影响加入PANW的大量前谷歌人才)。这与ZS的Jay Chaudhry声称PANW和其他防火墙厂商为SASE所做的一切只不过是"将他们的DVD播放器(即防火墙)搬到PoP上,并称之为Netflix"(意译)的说法完全相反

Arora的另一个重大举措是在2020年收购CloudGenix,以获得SASE的SD-WAN部分。这是比较PANW和FTNT的另一个例子。PANW的市场赢家思维敏锐地意识到了遵守Gartner对SASE的定义所带来的GTM影响--融合网络和网络安全必须是云交付的,因此他们斥资4.2亿美元收购了CloudGenix的云交付SD-WAN。因此,他们斥资4.2亿美元购买了CloudGenix的云交付SD-WAN,从而获得了Gartner的领先认可,并为PANW在GTM方面取得巨大成功做出了贡献。另一方面,FTNT长期以来一直坚持自己的融合网络/网络安全理念,在其NGFW设备内开发SD-WAN,以满足企业内部需求,而且在某种程度上,他们一直很固执,迟迟不按照Gartner的云交付定义来塑造自己,结果被Gartner和大多数SASE市场(以及投资者)所抛弃。不过,我们相信,随着时间的推移,人们对FTNT的这种看法会逐渐改变。

因此,在SASE模式下,PANW与FTNT相比明显占优,并且与ZS一起成为市场领导者。不过,市场和行业在分散式架构和集中式架构之间来回转换的历史非常丰富,这让我们相信,从长远来看,FTNT可能会胜出。例如,1880-1990年代的电话网络(集中式)>>20世纪90年代-2000年代的互联网(分散式)>>2000年代至今的Web 2.0(集中式)。具体来说,在网络安全领域(在SASE之前),我们看到终端安全(如杀毒软件)(一种分散式方法)和网络安全(如防火墙)(一种集中式方法)相对于其他方法的重要性时高时低。几十年来,在数据生态系统中,我们看到了从分散(分散的筒仓式数据库)到整合(集中的云数据仓库)的演变过程,现在又有了关于数据网格(一种与数据交互的分散方法)的大量讨论。

因此,我们认为,融合网络和网络安全不一定要严格按照SASE的定义来进行,因为SASE的定义是集中在离线PoP。相反,应该是怎么经济划算怎么来。如果您是混合型企业,并且正在使用FTNT的FortiGate,这可能是内部部署,而FortiGate是唯一能够实现真正融合SD-WAN和SSE(即SASE)的内部部署设备。由于厂商一直在努力进一步提高性能和改善用户体验,我们已经看到除FTNT之外的其他厂商将部分计算从PoP转移到了终端--从100%集中到部分分散的转变。

因此,我们将继续成为PANW的长期投资者,但在网络和网络安全方面,我们很难想象10年后他们会成为市场的主要赢家。云迁移正在进行,但混合架构也将继续存在,这意味着SASE并不总是处理流量的最佳方式。例如,如果企业使用SASE(PANW的Prisma Access或其他厂商),则员工的数据包需要在两个跳转点(企业内部和PoP)进行联网和安全处理。路由器(出于企业考虑,很可能还有防火墙)需要在企业内部处理数据包,然后将数据包发送到最近的PoP,由SD-WAN选择最佳路径,并由SSE进行安全检查和SaaS/互联网访问控制。显然,与在企业内部通过单一堆栈完成整个路由、防火墙、SD-WAN和SSE相比,这会增加大量延迟。此外,即使是PoP中的SASE协议栈也将SD-WAN和SSE服务连锁在一起,从而增加了更多的延迟,因为除FTNT外,没有任何其他厂商将SASE的两边融合到一个协议栈中。FTNT在这方面的优势源于其20多年的ASIC开发。

在此,我们将介绍SASO(Secure Access Service Omni),这是我们的融合网络和网络安全版本。由于"Omni"指的是无处不在,因此SASO意味着在最经济的地方进行融合网络/安全,这可能是在PoP、on-prem,甚至是在家庭办公室。而实际上,大多数企业都需要这些融合选项的组合,因为传输数据包的经济性取决于源头-目的地,而如今的企业都是混合型员工(远程和办公室)和混合型IT环境(云计算和内部部署),每个数据包都有不同的经济性。

下面我们将分享Convequity Impulse的SASO象限图-我们打算在几周后对其进行更新,使其成为年度回顾。在进行正式更新时,我们认为FTNT在产品实力轴上的位置会更高(可能是最高的),这主要归功于他们多管齐下的全球PoP覆盖进展,同时在市场采用轴上也会向右移动。PANW将在产品实力轴上保持高位,同时可能在市场采用率轴上超过ZS。Netskope仍将是产品实力的绝对领先者,或与FTNT共同领先,这要归功于他们的全球覆盖、网络性能、内部SD-WAN和SSE,以及智能终端SD-WAN部署选项,该选项可解决在PoP中处理SD-WAN所产生的一些延迟问题。至于ZS,我们认为他们可能正在走向衰落,因为他们没有内部SD-WAN,而考虑到最近对单一厂商SASE(即同时提供SD-WAN和SSE的厂商)的需求趋势,这是一个很大的缺点。事实上,ZS确实陷入了困境,因为直到最近,他们还不得不与SD-WAN厂商合作,其中许多厂商也提供SSE,因为市场已经出现了实质性的整合。为了规避这种岌岌可危的局面,ZS创建了自己的设备,将流量连接到最近的ZSPoP,尽管这不是真正的SD-WAN,而且ZS涉足硬件领域可能不是一个好主意。

Convequity"s Impulse for SASO(Convequity)

到目前为止,我们已经讨论了SASE以及我们对向SASO演进的期望,但实际上,这只是网络和网络安全领域的一部分。正如我们在上一篇FTNT文章中指出的,从第一英里、中间英里和最后一英里的角度来审视更广阔的格局是一种很好的方法。为方便起见,我们将再次展示网络安全格局图,以帮助更好地设想数据包所经过的这些阶段。

Convequity"s Cybersecurity Landscape

第一英里基本上是SASE运行的地方--从员工从总部、分支机构、咖啡馆或家中发起请求,到PoP,或在SASO的情况下,到PoP或融合的本地堆栈(如FTNT)。数据包经过SD-WAN和SSE处理后,将进入中间一英里(middle mile),在这里,数据包将通过无数个跳转点进行传输,而这些跳转点是互连网络(又称互联网)的一部分。中间一英里非常重要,因为它覆盖的范围最广。对于企业来说,中间一英里的性能不佳会抵消性能良好的SASE或第一英里所带来的任何好处。当数据包到达最后一跳时,它将经过最后一英里的旅程到达目的地,目的地可能是云中的SaaS应用程序、互联网上的网站服务器或员工的内部数据中心。

最近,随着SD-WAN和SSE厂商之间的大量并购,我们看到了第一英里领域的整合,但中间和最后一英里领域仍然支离破碎,创新和积极扩张战略的时机已经成熟。在接下来的章节中,我们将讨论PANW在网络和网络安全的第一、中间和最后一英里的优缺点。

第一英里:SASE、SASO或广域网边缘

第一英里通常被称为SASE或广域网边缘,但谁知道呢,也许我们的术语SASO在将来也会被使用(或其变体)。PANW在第一英里方面实力雄厚,因为它有一款适用于企业内部的NGFW设备,可以实现所有SSE功能。由于其密集的全球覆盖(确保最近的PoP不会太远)以及集成了SD-WAN,该公司在PoP交付的SASE方面也非常稳健。然而,在SASO领域,PANW却落在后面(尤其是落后于FTNT),因为该厂商尚未将SD-WAN集成到其内部NGFW设备中。这确实说明了PANW的战略利益所在。如果该公司完全专注于最大限度地发挥其未来在网络安全领域的潜力,那么它应该会花必要的时间将CloudGenix的SD-WAN技术集成到其Strata平台内的NGFW中。我们认为,这要么是因为PANW没有像FTNT一样预见市场,要么是因为他们确实看到了与FTNT类似的网络安全愿景,但过于专注于云安全和SecOps,没有投入足够的资源。因此,从目前的情况来看,如果/当SASE真的发展为SASO时,PANW的定位并不理想。对于使用PANW的NGFW在企业内部实现SSE,但同时又希望实现SD-WAN的企业来说,他们将需要PANW的PoP来处理SD-WAN的繁重工作。从本质上讲,流量将由用于SSE的NGFW处理,然后转移到用于SD-WAN的PoP,从而产生两跳重型处理。当然,这并不是融合网络和安全。此外,PANW不愿将SD-WAN集成到Strata中,这意味着客户需要使用多个视图来管理他们的PANW协议栈,而FTNT经过精心策划的集成实现了真正的单视图管理。

此外,由于没有将SD-WAN完全集成到内部堆栈中,PANW在SD-Branch(Software-Defined Branch的缩写)趋势中不可避免地落后于FTNT。随着企业不断寻求各种方法来降低在不同地点管理多种网络功能(如路由/SD-WAN、Wi-Fi、安全和广域网优化)的复杂性,SD-Branch提供了一种通过单一界面管理这些功能的统一方法。这不仅有助于简化操作,还能提高整体网络性能和安全性。SD-Branch并非所有企业的必由之路,但对于相当一部分企业(即那些混合型企业)来说,FTNT的深度集成和真正统一的平台是理想的解决方案。这不仅是因为集成了内部部署SD-WAN,还因为集成了交换机、Wi-Fi和其他LAN(局域网)技术,可以大大减轻在单一分支机构中使用多个厂商所带来的IT管理压力。而PANW并不具备局域网技术,这充分说明,普及网络和安全并不是它的首要战略利益。使FTNT在SD-Branch领域处于领先地位的另一个原因是,他们已将融合网络/安全压缩到小型且经济实惠的FortiGate设备中。这非常适合规模较小的分支机构,也许只有50名或更少的员工。而PANW或其他厂商用于SD-Branch的堆栈对于小型分支机构来说则过于昂贵。

在批评PANW的定位可能转向某种分散化之后,恰恰相反,他们确实拥有令人印象深刻的客户端代理能力,并将其用于端点安全。Netskope开发了一种智能终端代理,用于以纯软件方式管理SD-WAN的一部分,与此类似,拥有软件代理技术的PANW或许也可以仿效这种方式,使用终端代理来优化计算,并从PoP上卸载部分处理工作,以提高性能和用户体验。

因此,如果网络安全确实在某种程度上将注意力从集中式SASE模式转移到SASO模式中的集中与分散相结合的模式,那么PANW的净损失可能会更大。不过,企业浏览器是确保PANW未来SASE主导地位的一大利器。Island和Talon是两家以色列初创公司,它们率先推出了企业浏览器,有可能彻底改变网络安全,而PANW于2023年11月以6.25亿美元收购了后者。

企业浏览器使IT管理人员能够集中设置与互联网和SaaS访问相关的细粒度策略,并通过在用户启动连接时执行安全措施,有可能降低主要SSE组件的需求或重要性。例如,如果可以在浏览器层面(即在用户的终端设备上)设置策略并创建批准和不批准的URL列表,那么为什么还需要进行SWG所涉及的繁重处理呢?同样的道理也适用于ZTNA和CASB,原因很简单,如果使用企业浏览器来确保安全,理论上就可以减少数据包在到达目的地途中需要解密和重新加密的次数。数据包可以在用户终端加密,然后在目的地解密。但实际上,企业浏览器不太可能使其他SSE组件过时,因为网络安全的核心是层层防御和保护。尽管如此,这是网络安全模式的潜在转变,而PANW则是BoB解决方案的前沿和中心。

第一英里比赛

除FTNT外,PANW在第一英里领域的最大竞争对手依次是Broadcom(AVGO)、Netskope、NET、HPE和ZS。AVGO现在有潜力开发深度集成的网络和安全堆栈,包括自己的网络芯片、SD-WAN和SSE,这在很大程度上要归功于它的并购。

Netskope、NET和ZS都是采用云交付方式的强势企业,不过随着网络/安全的发展,我们已经看到它们试图通过功能更强的客户端SASE代理和创建内部SD-WAN连接器来进行调整。这表明,在混合世界中,100%的云交付是不可行的。

HPE收购Juniper后的发展也值得关注。尽管HPE可以从并购中获得大量的市场和财务机会,但并购中的大量重叠可能会阻碍协同效应的发挥。

中间一英里:WANaaS

从长远来看,谁拥有最佳的PoP战略,谁就能在第一英里、中间英里和最后一英里(尤其是中间英里,即通常所说的WANaaS(广域网即服务))范围内获得最大的机会。由于PANW采用了积极的PoP战略,利用谷歌的全球网络,该公司拥有良好的覆盖范围,确保了第一英里不太远,中间英里相当优化,最后一英里距离很短。除了需要利用谷歌快速建立网络,以便在2019-21年期间与ZS在SASE竞争外,PANW还认为谷歌(与AWS一样)拥有最密集的全球私有骨干网,可以提供最佳的转接服务,因此有理由采取这种方法。此外,由于大多数企业的大部分流量都是云端流量,因此使用谷歌的PoPs更有意义。

问题在于,这使得PANW的PrismaSASE对客户而言更加昂贵,因为客户需要同时支付PANW和Google的毛利率。假设谷歌向PANW出售IaaS的毛利率为40%(假定PANW的交易很划算),而PrismaSASE的毛利率为80%,那么客户将为1美元的原始传输/处理成本实际支付8.33美元(1美元/(1-40%)/(1-80%)=8.33美元)。让我们与FTNT对比一下,后者的PoP战略四管齐下,但其主要的长期PoP重点是购买、自建或与服务提供商共建。在这一战略下,FTNT客户无需向超级分销商或主机托管服务提供商支付毛利,而只需支付FTNT的毛利。例如,如果FortiSASE的毛利率为80%,那么对于1美元的原始传输/处理成本,客户只需支付5美元(1美元/(1-80%)=5美元)。但实际上,由于FTNT将在其PoP上部署ASIC芯片,因此其原始COGS会更低。这意味着,举例来说,PANW可以1美元的价格提供X数量的原始传输/处理成本,而FTNT可以0.5美元甚至更低的价格提供相同数量的传输/处理成本,从而为厂商提供了更大的空间来匹配PANW的毛利率,同时也降低了COGS,使客户更能负担得起。

PANW使用GooglePoP进行SASE的另一个问题是,第一英里PoP往往不是进行重型SSE处理的PoP。这是因为Google的一些PoP规模较小,不具备进行重型处理的能力。相反,这些PoP只是谷歌网络的入口点,它们会将数据包路由到最近的PoP,因为这些PoP配备了完成繁重任务的基础设施。显然,对于PANW的SASE客户来说,这将增加延迟,现在可能还不太明显,但相对而言,当其他厂商完全执行其主机托管或专有PoP战略时,这可能会成为一个明显的缺点。

中间一英里比赛

尽管已经成熟,但这仍是一个非常分散的网络和安全领域。然而,随着网络和网络安全领域的厂商纷纷向SASE进军,导致大量并购,与第一英里领域的整合类似,中间一英里领域也可能经历同样的情况。目前,中间一英里的参与者包括SASE、网络即服务(NaaS)厂商、互联网服务提供商、超级扩张者和CDN。对PoP的硬件、基础设施和软硬件集成有更大控制权的企业最有机会通过降低成本和提高性能来创造更多价值。当然,中间一英里更多涉及的是网络而非网络安全,而这并不在PANW的基因中,因此他们不太可能成为这一领域的侵略者。就SASE公司而言,NET、Netskope和FTNT看起来实力最强,而后者将在未来创造最大的增量价值。

最后一英里:应用边缘

最后一英里是从最终PoP到应用程序所在的位置,可能在云中,也可能在企业内部--企业内部的应用程序可能是DMZ区域中面向互联网消费者的网络服务器,也可能是面向员工的内部应用程序。与FTNT一样,PANW在这方面也非常强大。他们拥有基于软件的NGFW,是企业云环境入口的理想选择,当然,他们的BoB on-premNGFW也采用了软件或设备的形式,可以对最后一英里的流量进行筛选。不过,与FTNT相比,它们确实缺少一些保护应用程序的内部部署解决方案,如WAF(Web应用程序防火墙)、DDoS防护和僵尸防护。尽管如此,PANW拥有比FTNT更多的解决方案,其中许多都被视为BoB,用于云原生应用保护。这种比较再次说明了PANW的战略利益所在--他们非常关注云计算,这在过去几年中彻底扭转了公司的命运,但如果内部部署重新占据重要地位,这可能会在某种程度上成为一种阻碍。

最后一英里比赛

在云计算应用的最后一英里方面,PANW可能仅次于NET。当涉及到混合需求时,FTNT也会加入讨论。其他CDN公司,尤其是Fastly(FSLY),在最后一英里领域前景广阔,因为他们正在为应用构建一个从开发、计算、网络、安全到可观察性的综合平台。

整个网络和网络安全的融合

从目前的情况来看,PANW过于专注于软件,因此无法成为网络和网络安全这一广泛而深入领域的主要胜利者之一。即使在向SASO演进的过程中,他们也将继续成为SASE的领导者,并在第一英里内获得市场份额,因为无论在内部部署还是在PoP中,他们都是安全方面的佼佼者。但对于混合型企业和/或有特殊需求的企业来说,PANW的灵活性远不如FTNT。最后一英里也是PANW的大本营。在中间一英里,PANW可能会失去一些相关性,因为有其他厂商可以提供更好的用户体验和更低的成本。

财务指标与估值

近期,我们用一个变体——X规则,取代了我们之前的40法则分析。Bessemer Ventures在2023年底引入了这一指标,他们在观察后发现,从统计学角度来说,增长与投资者回报的相关性要大于自由现金流(FCF)利润率。为了纳入增长对回报有更大影响的概念,BessemerVentures建议对40法则中的非年度(NTM)增长部分应用一个乘数。他们指出,对于上市公司来说,这个乘数大多在2倍到3倍之间,中位数是2.3倍。我们已经调整了X规则,以纳入SBC(股票补偿费用)百分比,得出以下公式:X规则(含SBC)=NTM增长*2.3+(FCF利润率-SBC百分比)。

下表列出了我们在网络安全、数据、生产力和可观察性等覆盖范围内的41只股票,并按照X规则(包括SBC)进行了排名。然后,我们的分析将X规则与相对估值、DCF估值折扣和价格变化进行交叉参考。正如您可能推断的那样,这是一种逆向分析,试图找出X规则所显示的不受青睐但财务业绩出色的股票。如果价格变化也是绿色的,那就更有吸引力了;不过,鉴于近期市场的繁荣,这种情况不太可能出现。因此,琥珀色的价格变化--意味着相对较小的变化--可能是与绿色X规则和绿色估值相一致的最佳价格变化。

Rule of X, valuation, and price change analysis (Convequity)

基于这项分析,我们认为PANW仍然值得持有,尤其是考虑到围绕平台化战略的疑虑导致最近股价有所回落。该公司得益于中等十几岁的非年度(NTM)增长预期,以及非常高的30多岁TTM(过去12个月)自由现金流(FCF)利润率,和14%的TTM(过去12个月)SBC(股票补偿费用)百分比,后者在最近几个季度已迅速下降,拥有出色的X规则。从相对角度来看,估值仍然不算极端,尽管这取决于你应用的投资风格类型。而我们最新的DCF(折现现金流)估值显示,由于最近的回调,大约有30%的上升空间。

Arora相信,尽管由于平台化战略的实施,未来12个月的账单收入暂时会减少,但由于公司在降低运营成本方面有很大的空间,他们仍有信心维持30%左右的FCF利润率。在平台化战略实施的最初12-18个月里,PANW基本上允许其所有客户免费使用其平台的大部分功能,Arora预计在这之后,公司的增长将重新加速。我们将在后续报告中简要讨论平台化战略的优点和潜在缺点,但Arora的增长预测是可信的,FCF利润率的可持续性也是可信的,这意味着我们认为PANW的X规则(包括SBC)不会恶化,这对缩小价格/估值差距非常重要。

风险

商业

PANW面临着巨大的商业风险,这与我们在本文中所涉及的内容以及平台化战略有关。作为投资者,我们担心PANW无法像FTNT那样专注于网络和网络安全的可能发展。PANW的设备收入已经出现下滑(注:PANW报告的产品收入增长不仅包括设备,还包括基于软件的防火墙和相关订阅,这两项业务的增长势头都很好),而FTNT的设备收入,除了最近因供应链中断而出现下滑外,仍在增长。这很能说明问题,因为它有力地表明FTNT更适合混合环境,而且随着人们的注意力从SASE扩展到SASO,再扩展到更广泛的领域,FTNT在混合环境方面的优势只会越来越强。

从本质上讲,PANW在网络和安全方面的重点是基于软件,这提供了极大的灵活性,但在性能方面却无法与采用定制ASIC的集成硬件/软件设备相媲美。归根结底,随着人们越来越关注第一、中间和最后一英里的融合与整合,性能将成为首要问题。

我们将在后续文章中分享关于平台化的更多想法,但主要风险在于,相当一部分客户在预计的12-18个月免费服务期后决定不再转用PANW。最有可能出现这种情况的原因是,现有公司为他们提供了无法拒绝的巨额折扣。作为回应,PANW可能需要在提供了12-18个月的免费服务后再提供巨额折扣,这将对公司的盈亏造成巨大打击,也会令投资者非常失望。

宏观

我们对PANW的宏观看法与上一篇文章中对FTNT的看法非常相似。PANW的产品多样性将有助于减轻经济恶化和预算进一步紧缩的影响。不过,与FTNT相比,PANW面临的额外宏观风险是地域多样化程度较低,这意味着他们没有那么多的产品来抵消其主要北美市场的下滑。不过,一个很大的利好因素是,PANW的FCF利润率非常高,如果我们确实经历了严重的经济衰退,这对投资者来说将非常有吸引力。

结论

PANW是一家优秀的网络安全公司,拥有一位优秀的领导者,他正在进行大胆而必要的投资,以便在非常艰难的网络安全行业中继续为股东创造价值。作为投资者,我们感到有些失望的是,我们没有看到PANW在网络和安全领域更加专注和有远见。根据我们过去的观察,简单、盲目地追随Gartner的市场和技术理念不利于长期的差异化和竞争力。通常情况下,PANW会引领潮流,而不是一味追随,尤其是在云安全和SecOps领域,以及早在2010年代的NGFW领域,但现在它在网络安全领域似乎只是一味追随,这让我们感到沮丧。

尽管如此,其核心业务的任何衰退都将是非常漫长和渐进的,而更高的增长机会确实是在云安全和SecOps方面。有鉴于此,再加上诱人的财务状况、不太昂贵的估值和最近的价格下跌,我们仍然持有PANW,并打算成为长期投资者,随时准备在大幅回调时买入。

原文链接:

https://convequity.substack.com/p/palo-alto-networks-sase-saso-and

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/7166.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【JavaScript】数据类型转换

JavaScript 中的数据类型转换主要包括两种:隐式类型转换(Implicit Type Conversion)和显式类型转换(Explicit Type Conversion)。 1. 隐式类型转换(自动转换): js 是动态语言&…

Docker搭建LNMP+Wordpress的实验

目录 一、项目的介绍 1、项目需求 2、服务器环境 3、任务需求 二、Linux系统基础镜像 三、部署Nginx 1、建立工作目录 2、编写Dockerfile 3、准备nginx.conf配置文件 4、设置自定义网段和创建镜像和容器 5、启动镜像容器 6、验证nginx 三、Mysql 1、建立工作目录…

Kalign 3:大型数据集的多序列比对

之前一直用的是muscle,看到一个文章使用了Kalign,尝试一下吧 安装 wget -c https://github.com/TimoLassmann/kalign/archive/refs/tags/v3.4.0.tar.gz tar -zxvf v3.4.0.tar.gz cd kalign-3.4.0 mkdir build cd build cmake .. make make test su…

【数据结构与算法】之五道链表进阶面试题详解!

目录 1、链表的回文结构 2、相交链表 3、随机链表的复制 4、环形链表 5、环形链表(||) 6、完结散花 个人主页:秋风起,再归来~ 数据结构与算法 个人格言:悟已往之不谏,知…

【搜索技能】外链

文章目录 前言一、外链是什么?二、如何进行外链调查?总结 前言 今儿因为在搜索一个很感兴趣的软件,但是软件信息所在的网址非常有限。因此产生了一个念头:我能不能找到所有的包含了或者是引用了这个网站的网站呢? 调查之下&…

解密SSL/TLS:密码套件扫描仪的深度解析(C/C++代码实现)

解密SSL/TLS流量通常是为了分析和审计加密通信,以确保数据传输的安全性和合规性。密码套件扫描仪是实现这一目的的一种工具,它可以提供关于SSL/TLS配置的详细信息,帮助安全专家评估潜在的风险。 SSL/TLS协议基础 SSL/TLS协议是网络安全中不…

select,poll,epoll

在 Linux Socket 服务器短编程时,为了处理大量客户的连接请求,需要使用非阻塞I/O和复用,select,poll 和 epoll 是 Linux API 提供的I/O复用方式。 \selectpollepoll操作方式遍历遍历回调底层实现数组链表哈希表IO效率每次调用都进…

C语言/数据结构——每日一题(环形链表的约瑟夫问题)

一.前言 今天在牛客网上面看到了一道环形链表题,想着和大家们分享一下。可能我有点笨,那道题的链接我没搞好,所以很抱歉,只能麻烦大家们看一下截屏的题目信息了。废话不多数,让我们开始今天的题目分享吧。 二.正文 …

ComfyUI中的图像稀释处理

用下面的节点对图片进行稀释处理,如下 为0表示不变,我设置大一点,设置为0.5看看,如下 图像就暗淡了一些,但是还是有一些彩色的,相当于把它放在水里浸泡了一样,掉色了,这就是稀释&…

公网tcp转流

之前做过几次公网推流的尝试, 今天试了UDP推到公网, 再用TCP从公网拉下来, 发现不行, 就直接改用TCP转TCP了. 中间中转使用的python脚本, 感谢GPT提供技术支持: import socket import threadingdef tcp_receiver(port, forward_queue):"""接收TCP数据并将其放入…

LLM应用:工作流workflow创建自定义模版使用

参考: https://www.coze.cn/ 本案例是在coze平台上操作的,也有其他工具支持工作流的创建例如dify;也例如图像生成的comfyui工作流工具 创建自定义模版 可以根据自己需求创建自己的工作流工具;本文案例是创建一个联网搜索的LLM应用: 创建工作流页面: https://www.coze.c…

X 推出 Stories 功能,由 Grok AI 生成新闻摘要

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

Python自动化测试【selenium面试题】

一、selenium中如何判断元素是否存在? expected_conditions模块提供了16种判断方法,以下方法是判断元素存在DOM中: presence_of_element_located """ An expectation for checking that an element is present on the DOM of…

分布式与一致性协议之ZAB协议(三)

ZAB协议 主节点崩溃了,怎么办? 众所周知,系统在运行中不可避免会出现各种各样的问题,比如进程崩溃了、服务器死机了,这些问题会导致很严重的后果,让系统没办法继续运行。在ZAB协议中,写请求是…

深度学习论文: DMAD: Dual Memory Bank for Real-World Anomaly Detection

深度学习论文: DMAD: Dual Memory Bank for Real-World Anomaly Detection DMAD: Dual Memory Bank for Real-World Anomaly Detection PDF: https://arxiv.org/pdf/2403.12362 PyTorch代码: https://github.com/shanglianlm0525/CvPytorch PyTorch代码: https://github.com/sh…

数智先锋 | 多场景数据治理案例,释放数据要素生产力

数据作为第五大生产要素,成为释放新质生产力的关键基础。 当前各个行业数字化建设如火如荼,全力挖掘数据价值以驱动行业高质量应用发展。数据治理成为数据要素价值发挥的重要基础和前提。 数据治理不单是技术问题,不是依赖工具就能解决的&a…

JVM之内存分配的详细解析

内存分配 两种方式 不分配内存的对象无法进行其他操作,JVM 为对象分配内存的过程:首先计算对象占用空间大小,接着在堆中划分一块内存给新对象 如果内存规整,使用指针碰撞(Bump The Pointer)。所有用过的内…

链式队列基本操作

链式队列的基本概念 链式队列是一种常见的数据结构,它使用链表作为其底层数据存储结构。链式队列的特点是动态的内存分配,可以有效地处理队列的入队和出队操作。下面,我将介绍链式队列的实现方法,并提供相应的C语言代码示例。 链…

C语言-设置控制台信息

Win_API Win_API是Windows应用程序接口(Windows Application Programming Interface)的缩写,它是一组函数、系统服务和程序接口,允许开发者在微软Windows操作系统上创建应用程序。Win32 API 是Windows API的一个主要部分&#xff…

Linux PXE高效批量网络装机

系统初始化 systemctl disable --now firewalld.service setenforce 0 vim /etc/selinux/config 安装软件 yum install -y tftp-server xinetd dhcp vsftpd syslinux 复制 vmlinuz initrd.img pxelinux.0 到 /var/lib/tftpboot/ 目录 [rootlocalhost ~]# cd /mnt/…