美股 威睿(VMW.US)：服務器虛擬化的王者 2020年6月18日 18:20:51 國泰君安證券

1.威睿(VMW.US)一直是服務器虛擬化的王者

首次出現(xiàn)虛擬化的概念是在20世紀的60年代，可以使用它來進行對稀有而昂貴的資源——大型機硬件的分區(qū)。而隨著時間推移，微型計算機和PC能夠提供更為有效、經(jīng)濟的方法來對資源進行分配和處理，所以到20世紀80年代之后，虛擬技術不再被廣泛使用。但是到了20世紀90年代，研究人員開始探索如何利用虛擬化解決與廉價硬件激增相關的一些問題，例如，利用率不足、管理成本不斷攀升和易受攻擊等。

為解決服務器和PC的虛擬化問題，在1998年，五位具有遠見卓識的技術專家齊聚一堂，成立了威睿(VMware)，并由 Diane Greene 擔任首席執(zhí)行官。

公司的X86虛擬化產(chǎn)品非常成功，一直是整個X86服務器虛擬化市場的龍頭老大，前十年的發(fā)展一直是順風順水，并在2007年成功上市。

2015年前后，單一計算虛擬化產(chǎn)品增長陷入瓶頸。經(jīng)過十幾年的數(shù)據(jù)中心計算虛擬化的發(fā)展，公司在前期保持高速增長，但是產(chǎn)品線以計算虛擬化為主，較為單一，隨著數(shù)據(jù)中心的滲透率逐漸飽和，市占率又達到90%左右，天花板明顯，公司漸漸陷入了增長瓶頸，服務占比擴大而整體收入增速下滑到10%左右。

大刀闊斧，研發(fā)與收購并舉，全方位拓寬產(chǎn)品線，同時繼續(xù)深入網(wǎng)絡安全市場。2012年9月，Pat Gelsinger接任CEO，繼前任CEO花大手筆收購SDN之父創(chuàng)立的Nicira公司之后，繼續(xù)推動公司往云計算、混合多云轉型。

在vSphere的基礎上，內(nèi)生研發(fā)與收購集成，推出網(wǎng)絡虛擬化NSX和分布式存儲vSAN，形成SDDC完整軟件定義數(shù)據(jù)中心解決方案;14年收購AirWatch整合桌面云Horizon，打造數(shù)字化工作產(chǎn)品Workspace ONE;16年先后與世界各地合作伙伴、公有云絕對巨頭 AWS 合作推出自家的混合云產(chǎn)品 VCPP 和 VMware Cloud on AWS，切入混合云市場;19年收購Pivotal，推出原生Kubernetes的vSphere平臺，推出Tanzu這一Kubernetes產(chǎn)品組合，同時收購了Carbon Black，整合自家產(chǎn)品，繼續(xù)深入網(wǎng)絡安全市場。

這幾年來，被收購公司的產(chǎn)品按功能很好集成進入了各個產(chǎn)品線，強化豐富了產(chǎn)品競爭力。

云計算轉型獲得成功，產(chǎn)品授權收入重回兩位數(shù)增長。經(jīng)過大刀闊斧的轉型，隨著 vSAN、NSX 等新產(chǎn)品基數(shù)的快速擴大，渡過之前的低迷后，授權收入重回兩位數(shù)增長。

產(chǎn)品矩陣不斷裂變。在“讓客戶通過同一套架構軟件從任意設備連接到在任意云上運行著的任意應用”的愿景戰(zhàn)略推動下，在目前形成了五大支柱產(chǎn)品線：VMware Cloud Foundation、專門給DevOps開發(fā)人員準備的Tanzu、網(wǎng)絡虛擬化NSX、數(shù)字工作空間Workspace ONE、安全平臺Carbon Black Cloud。

大研發(fā)投入保持產(chǎn)品前瞻性。云計算基礎設施的變化很快，同時也受開源軟件的沖擊，VMware也因此在如此大收入體量下，每年的研發(fā)支出仍舊保持在20%以上，保持產(chǎn)品的前瞻性。

VMware擁有行業(yè)內(nèi)最豐富的生態(tài)合作伙伴。截至目前VMware與1000多家科技公司達成合作，提供集成產(chǎn)品，超過4500家公司進入公司VCPP服務提供商名單，為終端企業(yè)用戶提供基于VMware環(huán)境的混合云服務。

公司目前銷售模式采取的是直銷和分銷兩種模式。其中，分銷模式是分銷商通過代理商將公司的產(chǎn)品和技術支持銷售出去，并負責實施。代理商屬于公司VPC(VMware Partner Connect)一部分。

根據(jù)FY2020披露的信息，通過前兩大分銷商，ArrowElectronics,Inc，Tech Data Corporation賣出的產(chǎn)品分別占公司營收的12%，10%。作為Dell科技(DELL.US)控股公司，VMware充分運用了Dell強大的渠道體系，占31%左右的收入通過Dell以分銷、零售、OEM等形式售出。

良好的銷售投入保證公司成功的銷售策略。公司的走向市場戰(zhàn)略也非常成功，每年在不少地域舉辦國際性的VMworld/vForum大會，同時也給予銷售人員、渠道良好的激勵。FY2018到FY2020，銷售費用占比保持在30%以上。

2. 一切產(chǎn)品的基礎VMware Cloud Foundation

VMware Cloud Foundation是一切產(chǎn)品的最底層，脫胎于云計算平臺vSphere。引用Pat的一句話來說，vSphere被VMware Cloud Foundation替代，VCF就是新的vSphere。VCF由計算虛擬化vSphere、網(wǎng)絡虛擬化NSX、軟件定義存儲vSAN、以及云管理平臺vRealize所組成。這套產(chǎn)品是高度標準化的，不僅可以部署在本地，在邊緣節(jié)點，也可以在部署在云中心，與公有云巨頭，形成諸如VMware Cloud on AWS等混合云解決方案。

VCF瞄準的是比傳統(tǒng)本地部署的超融合更大的市場空間。目前VCF已經(jīng)發(fā)展到了4.0版本，它的vSphere、NSX、vSAN、vRealize組件也都各自更新到了最新版本，版本的研發(fā)更迭賦予了VCF更多能力，它不止是一款簡單的超融合，4.0版本更是啟用了嵌入內(nèi)核中的原生Kubernetes的能力，更好的服務現(xiàn)代化應用，加強了基礎設施管理員和開發(fā)人員的溝通，當然這也是要額外收費;除了原生Kubernetes之外，VCF也向上支持Tanzu企業(yè)級的Kubernetes容器平臺，創(chuàng)造了更好的搭售機會;另外VCF也切入了公有云/混合云的領域，它與四大公有云巨頭、VCPP合作，在他們的裸金屬上運行VMware Cloud環(huán)境，更好的服務最終客戶。所以，VCF切的是比單純超融合基礎設施軟件要更大的市場空間。簡單的總結，VCF比普通超融合可以搭售更多產(chǎn)品和服務。

各條產(chǎn)品線增速很快。根據(jù)公告，我們可以大致推算出近幾年內(nèi)各個產(chǎn)品線的同比增長情況。其中，vSAN和NSX 的景氣度非常高，前者在 FY2016 和 FY2018 基本保持翻倍的增長，主要得益于超融合市場的高速滲透;而核心基礎產(chǎn)品計算虛擬化vSphere已經(jīng)在數(shù)據(jù)中心的滲透率非常高，市場本身也非常成熟，基本保持較低的增長。同樣的，CMP與vSphere的相關性較高。

2.1. 積極擁抱容器，計算虛擬化原生支持K8S

服務器計算虛擬化領域當之無愧的第一，滲透率已經(jīng)很高。計算虛擬化的市場已經(jīng)非常成熟， 2016年整體市場規(guī)模增長只有5.7%，目前來看，X86服務器的虛擬化滲透率已經(jīng)超過90%。同時，根據(jù)Gartner預測，計算虛擬化市場未來將維持個位數(shù)的增長。

如前文所提到的，作為虛擬化的龍頭老大，IDC估計VMware在傳統(tǒng)X86服務器虛擬化 的市占率達到85%以上，但是由于整個服務器虛擬化市場較為成熟，近幾年license成長趨勢也趨緩，并且不少客戶本地license的更新，會被VMware的混合云/公有云方案所捕獲。

作為VMware產(chǎn)品最基礎的部分，多年來一直霸榜Gartner X86魔力象限直到2016年最后一期，與一眾基于開源軟件Xen、KVM的商業(yè)化廠家，相比來說，技術實力與市場地位無可厚非的第一。

容器在一些應用場景優(yōu)于虛擬機。數(shù)字化轉型正在改變企業(yè)的業(yè)務運營方式，加快應用發(fā)布速度非常重要，能否快速且更加頻繁地開發(fā)和交付新一代應用已成為各行各業(yè)創(chuàng)造價值和贏得競爭優(yōu)勢的關鍵。因此，企業(yè)開始探索使用云原生解決方案，利用容器來打包和運行應用，以便從開發(fā)到生產(chǎn)全程加速軟件的交付。工程師完成應用開發(fā)后通過打包了運行應用所需的程序，組件，運行環(huán)境。使得應用在混合云的一些不同的環(huán)境下運行不受到影響。大大增強了應用部署在混合云不同環(huán)境下的遷移能力。

相比傳統(tǒng)的虛擬化(裸金屬)技術，容器技術不需要為每個容器抽象OS，性能損耗都有同樣水平甚至更優(yōu)的表現(xiàn)，其快速創(chuàng)建、啟動、銷毀的功能性大受好評。通俗的說，容器就像一個個集裝箱，在一艘大船上，可以把貨物規(guī)整的擺放起來。并且各種各樣的貨物被集裝箱標準化了，集裝箱和集裝箱之間不會互相影響。那么我就不需要專門運送水果的船和專門運送化學品的船了。只要這些貨物在集裝箱里封裝的好好的，那我就可以用一艘大船把他們都運走。

VMware 積極擁抱革新技術，將容器視為 VMware 基礎架構中的一員。收購Pivotal后，數(shù)百工程師加緊研發(fā)，在最新版vSphere7.0中，在VCF4.0支持下，推出原生Kubernetes的vSphere平臺，但目前僅提供本地部署。vSphere with Kubernetes是一個企業(yè)的現(xiàn)代化應用平臺，是一個內(nèi)置Kubernetes的vSphere，不僅能支持現(xiàn)代化應用，還能支持傳統(tǒng)應用，與之前vSphere最大不同的特點可以用Kubernetes的“聲明式交付”方式去調用虛擬機傳統(tǒng)基礎設施，并賦予了開發(fā)人員一個新的基礎設施管理的控制平面(不同于vCenter)。

VMware的原生Kubernetes的vSphere平臺上，虛擬機和容器的關系像兩兄弟。整體架構上，虛擬機和容器屬于同一層級，跑在主管集群(supervisor cluster)上，又可以聲明式的創(chuàng)建很多個guest cluster，同樣在里面可以跑虛擬機和容器。和其他廠商的有何不同?VMware的原生Kubernetes的vSphere平臺上，虛擬機和容器的關系像兩兄弟，其他廠商的容器一般運行在虛擬機上，虛擬機和容器更像是父子。

聲明式交付可以同時用于虛擬機和容器。聲明式交付：直接提需求，不需要一步步的命令步驟。就像下圖所示，我們需要什么類型的漢堡直接提里面的成分就可以了。不需要一步步寫命令指導如何做漢堡。

安全策略也可以根據(jù)應用的邊界去下發(fā)?，F(xiàn)代化的業(yè)務場景的應用很多時候由部署在容器的服務和部署在虛擬機中的同時構成，如果只把聲明式的方式用在容器，虛擬機還是由傳統(tǒng)的方式去部署管理，那個整體應用就無法獲取聲明式交付的優(yōu)勢。比如在DevOps流水線上，無法用統(tǒng)一的方式驅動基礎設施資源，那就要提前置備好虛擬機，然后才能調用Kubernetes的API去部署應用。同時，安全策略可以用應用為邊界進行下發(fā)，打破了傳統(tǒng)以虛擬機或容器的邊界。簡單來說，這是目前唯一原生K8S的計算虛擬化平臺，相比其他競品，效率更高，使用更方便，打破了虛擬機和容器之間的界限。

企業(yè)級容器市場競爭中，VMware卡位優(yōu)勢明顯，適用面最廣。在VCF的基礎上，Tanzu得以切入PaaS市場。在當前，這個市場主要有5個大玩家：IBM紅帽，三個公有云AWS、Azure、Google的云原生服務，以及VMware。VMware在混合多云策略中卡位優(yōu)勢明顯，和三家公有云都有很深的合作關系，vSphere能夠同時原生的使用虛擬機和容器，無縫的讓客戶擁抱容器和Kubernetes。

從剛剛過去的FY2021Q1來看，基于VCF/vSphere之上的另一個容器產(chǎn)品組合Tanzu賣的很好，最大的10筆單子中5筆都有Tanzu的身影。我們認為，隨著現(xiàn)代化的應用不斷增多，企業(yè)級容器和容器編排管理的市場空間還非常大。

2.2.全球領先的超融合vSAN

為了把一切的物理資源進行虛擬化和池化，VMware推出vSAN來解決軟件定義存儲的需求。vSAN是超融合HCI的核心之一，形成的超融合架構解決方案可以在合作伙伴的超融合一體機上搭售，關于超融合的好處和特性，這里就不一一贅述了，詳見我們之前發(fā)布的超融合報告。但是vSAN并不完全是傳統(tǒng)SAN或者其他獨立式存儲的替代品，很多場景下，vSAN可以和其他存儲一起使用。

公司分布式存儲產(chǎn)品vSAN與vSphere緊密集成：vSAN內(nèi)置在vSphere內(nèi)核中，可以優(yōu)化數(shù)據(jù)I/O路徑，從而提供最高級別的性能，同時最大限度地減少對CPU和內(nèi)存的影響。用戶也可以將其視為vSphere中的一個收費功能，用戶可以需求選擇使用這個功能。

vSAN的功能還在不停進化，適用范圍在不斷拓寬。vSAN除了在數(shù)據(jù)中心，也可以作為兩節(jié)點的集群部署在邊緣計算節(jié)點，大大增強了適用范圍。目前vSAN也和vSphere同步，更新到了7.0版本，其中有許多重大的更新。比如在之前的版本中，vSAN在超融合場景下基本是提供塊存儲服務，在7.0版本中，vSAN也開始提供原生文件存儲了，適用的范圍更廣。簡單的來說，這樣用戶就不需要像之前一樣，采購第三方的文件存儲服務，從而節(jié)省費用。

公司是目前超融合產(chǎn)業(yè)的領導者。隨著CPU性能的提高，數(shù)據(jù)中心的構建模式可以重新回到了計算和存儲融合。超融合的推廣，逐步替換傳統(tǒng)私有云三層架構的趨勢直接推動了vSAN銷售增長，根據(jù)最新披露的數(shù)據(jù)，我們推算，vSAN的FY2020收入已經(jīng)超過12億美元。全球超融合市場主要由VMware和Nutanix所占據(jù)，從IDC調查的數(shù)據(jù)來看，兩者在 2019Q4 市占率分別為41.1%和27%(Nutanix短期收入受訂閱制轉型影響)。就整個超融合市場增速，依照目前趨勢，未來還將保持20%左右的增速。

VMware在中國區(qū)的表現(xiàn)也超出平均增速。另外，2019年，VMware在中國區(qū)的表現(xiàn)也非常的好，同比增速達到91.8%。遠超34.8%的平均增速。

VMware的超融合在第三方魔力象限的前瞻性評價無出其右。在Gartner 發(fā)布的 2019 年超融合系統(tǒng)魔力象限中，借助一系列的K8S產(chǎn)品矩陣研發(fā)的支持，相比2018年的象限在前瞻能力橫坐標向右繼續(xù)領先，目前仍舊處在領導者位置。

兩家的策略各有不同，VMware不會開放vSAN使得其王牌計算虛擬化拱手讓人。和Nutanix 對比起來，VMware的vSAN有較強的排他性，與Hypervisor緊緊鎖死，不兼容其他第三方的計算虛擬化產(chǎn)品，但可以和其他第三方獨立SDS存儲產(chǎn)品一起使用，在vSphere 霸占虛擬化市場的情況下，能較好的推動vSAN的銷售。目前采用VMware vSAN的客戶數(shù)量超過20000個，涵蓋金融、教育、零售、公共事業(yè)等行業(yè)，支撐的工作負載已經(jīng)從最早的桌面云到數(shù)據(jù)庫、SAP 4/HANA和各種生產(chǎn)環(huán)境。此外，依靠母公司Dell科技的強大渠道，搭載VMware的HCI系統(tǒng)的，Dell品牌的VxRail超融合一體機在 2017 年就已經(jīng)實現(xiàn)10億美元的收入。

2.3.軟件定義網(wǎng)絡與內(nèi)生安全

2.3.1.NSX-T軟件定義網(wǎng)絡現(xiàn)代化數(shù)據(jù)中心

VMware的網(wǎng)絡虛擬化/軟件定義網(wǎng)絡產(chǎn)品家族NSX仍在不斷拓展，目前覆蓋安全、終端、分支機構、數(shù)據(jù)中心等。VMware的網(wǎng)絡虛擬化技術經(jīng)歷了vSwitch，VDS，vCNS，收購Nicira，到最終演變?yōu)镹SX。早期的 vSwitch 就是一個虛擬交換機，其主要功能就是實現(xiàn)數(shù)據(jù)包的交換，vCNS 顧名思義其主要解決的是云環(huán)境中的網(wǎng)絡和安全問題，其可提供的服務包括虛擬防火墻、VPN、負載均衡等。而目前的 NSX 則是在收購Nicira公司之后 VMware 推出的SDN產(chǎn)品平臺，是軟件定義數(shù)據(jù)中心的解決方案的構成之一，也是一個可以提供從完整的從L2-L7層的網(wǎng)絡虛擬化和安全功能的平臺。

NSX功能豐富多樣。NSX可以為數(shù)據(jù)中心提供虛擬路由、虛擬交換機、虛擬分布式防火墻、負載均衡、VPN、微隔離等功能，還可以集成云管平臺vRealize，實現(xiàn)幫助客戶使用AWS、Azure等第三方公有云時，與本地數(shù)據(jù)中心統(tǒng)一下放一致的網(wǎng)絡和安全策略，消除網(wǎng)絡配置等管理的復雜性。

專注軟件是VMware和競爭者在企業(yè)數(shù)據(jù)中心網(wǎng)絡差異之一。根據(jù) Gartner 發(fā)布的數(shù)據(jù)中心網(wǎng)絡魔力象限，VMware 處在遠見者象限。我們可以發(fā)現(xiàn)，除了 VMware 為軟件公司，魔力象限上基本都是通信設備制造商。相比傳統(tǒng)通信廠商，VMware 在技術上也是領先的，作為計算虛擬化的絕對王者，公司有著傳統(tǒng)通信設備廠商所不具備的整合軟件棧和網(wǎng)絡虛擬化的能力?？ㄎ环掌魈摂M化市場，下游客戶重新購買vSphere授權的同時，也帶給公司搭售NSX 的機會。

NSX是大企業(yè)客戶的首選產(chǎn)品。NSX 產(chǎn)品家族目前有超過15000 家客戶，并覆蓋了全球財富 100 強公司中的 89 家，目前從披露的數(shù)據(jù)來看，NSX在FY2021Q1仍舊保持20%左右的快速增長， 我們推算FY2020全年NSX收入超過20億美元。相比公司其他產(chǎn)品，NSX 的生態(tài)較為開放，可以和其他的計算虛擬化平臺、裸金屬等兼容，并不局限于 vSphere。除了企業(yè)傳統(tǒng)數(shù)據(jù)中心，近年來，通信服務商(CSPs)需要對網(wǎng)絡基礎設施進行數(shù)字化轉型，并構建更多以客戶為中心的業(yè)務模式。它們的數(shù)據(jù)中心也在加速網(wǎng)絡轉型，采用軟件定義的網(wǎng)絡原則，并以虛擬化的形式部署網(wǎng)絡功能是戰(zhàn)略的需要。CSPs 這個市場剛開始起步，未來對計算、網(wǎng)絡虛擬化的需求將會加速。

NSX幫助企業(yè)無縫連接本地數(shù)據(jù)中心、云、邊緣。除此之外，在基于NSX，VMware 和 Intel 攜手網(wǎng)絡和安全轉型，共同打造虛擬云網(wǎng)絡 (Virtual Cloud Network)，為數(shù)字化時代確定網(wǎng)絡發(fā)展前景。虛擬云網(wǎng)絡基于運行在 Intel 架構上的 NSX 技術而構建， 跨數(shù)據(jù)中心、云、邊緣環(huán)境和任意硬件基礎架構提供無處不在的基于軟件的網(wǎng)絡連接，具有以下特點：1)跨云的網(wǎng)絡架構為用戶提供端到端的連接;2)內(nèi)置于基礎架構的原生安全性;3)基于軟件而交付的網(wǎng)絡具有最大的靈活性。利用這一平臺，無論應用運行在哪里 (本地或是云端)，用戶都能夠保證應用架構的安全;并且統(tǒng)一所有分支機構和邊緣環(huán)境的網(wǎng)絡連接，以支撐業(yè)務運行。

2.3.2.從數(shù)據(jù)中心到分支機構，發(fā)力SD-WAN

傳統(tǒng)數(shù)據(jù)中心和分支機構的組網(wǎng)方案昂貴且低效。傳統(tǒng)上，大型企業(yè)一般都是通過昂貴的專線來連接多個地區(qū)的區(qū)域總部和散布各地的分支機構，員工通過廣域網(wǎng)絡來訪問異地的企業(yè)數(shù)據(jù)中心。一般意義上的寬帶網(wǎng)絡由于可靠性較低和安全上的顧慮，僅被用于備份。

隨著云計算技術的發(fā)展，企業(yè)應用已經(jīng)不僅僅在數(shù)據(jù)中心里運行，很多企業(yè)開始采用SaaS ，這些服務存在于企業(yè)專線網(wǎng)絡之外的互聯(lián)網(wǎng)中，訪問速度難以保證。傳統(tǒng)的企業(yè)廣域網(wǎng)架構不僅價格昂貴，而且?guī)捰邢?，很難滿足 SaaS 服務和實時應用的要求，企業(yè)需要一種新型的網(wǎng)絡架構來滿足新一代應用的運行要求。

SD-WAN(軟件定義的廣域網(wǎng) )正是在這種背景下應運而生，它和數(shù)據(jù)中心的SDN源于同一種思想。在企業(yè)現(xiàn)有的物理廣域網(wǎng)基礎上，虛擬化出一層完全基于軟件的廣域網(wǎng)絡，通過軟件來提高虛擬廣域網(wǎng)的數(shù)據(jù)傳輸效率。

VMware的SD-WAN由三個組件構成。在收購整合VeloCloud后，將其納入NSX/Virtual Cloud Network產(chǎn)品家族，推出SD-WAN by Velocloud，通過這一收購，VMware 將網(wǎng)絡虛擬化從傳統(tǒng)的數(shù)據(jù)中心進一步拓展到了廣域網(wǎng)，為企業(yè)用戶提供 SD-WAN 服務。VeloCloud 的體系架構主要由管理平臺Orchestrator、部署在云數(shù)據(jù)中心的網(wǎng)關Gateway、部署在各個站點分支機構的接入設備edge，這三部分組成。

VeloCloud優(yōu)化廣域網(wǎng)，改善用戶體驗。通過 VeloCloud 把整個廣域網(wǎng)虛擬化后可以大大提高網(wǎng)絡的敏捷性，因為這個時候整個廣域網(wǎng)都變成了基于軟件的，可以對網(wǎng)絡中的各種突發(fā)事件做出靈活響應，例如當某一段網(wǎng)絡發(fā)生故障或延遲時，動態(tài)改變數(shù)據(jù)路由來繼續(xù)保證應用層數(shù)據(jù)傳輸?shù)馁|量?？偨Y來說，使用VeloCloud SD-WAN可以降低成本：企業(yè)不再需要為了業(yè)務增長而租用昂貴的專線帶寬，只需要用原來的專線帶寬，配合其他一些低成本的網(wǎng)絡接入如寬帶、LTE 等就可以實現(xiàn)更好的性能;保證性能：通過 VeloCloud 對于廣域網(wǎng)的優(yōu)化，員工在使用視頻會議、SalesForce 等應用完成工作時的用戶體驗大為改善。

VMware SD-WAN在行業(yè)里面屬于領導者。VMware的SD-WAN銷售非常火熱，目前已為超過225000個客戶分支機構部署了邊緣接入設備Edge。不管是從IHS或者Frost&Sullivan的報告數(shù)據(jù)來看，VMware占據(jù)著SD-WAN這一細分市場的2019年的份額第一。這個市場上的玩家主要分為三類：第一類是VMware這樣的IT基礎設施軟件公司，第二類為通信設備制造商，其組網(wǎng)設備天然對客戶有很強的吸引人;第三類為一些網(wǎng)絡安全公司，將SD-WAN集成進他們的網(wǎng)絡安全設備，同時提供組網(wǎng)和安全功能。我們認為，SD-WAN的核心還是在于軟件定義，在于如何把廣域網(wǎng)虛擬化，如何將IT基礎設施簡單化，如何更好的與多云集成。這些也正是VMware所擅長的領域。在最新的一期廣域網(wǎng)邊緣的魔力象限中，VMware也是當之無愧的第一。

SD-WAN基礎架構市場空間巨大，增長迅速，未來可達50億美元。隨著多云連接、SaaS的連接性需求增多，SD-WAN加速取代傳統(tǒng)WAN解決方案，目前來看市場空間還非常大，根據(jù)IDC預測，2023年市場空間可達52.5億美元。

2.3.3.內(nèi)生安全已全線布局

VMware內(nèi)生安全已基本涵蓋各類安全產(chǎn)品，有望改變傳統(tǒng)網(wǎng)絡安全的格局。目前市面上的網(wǎng)絡安全產(chǎn)品以外掛形式的居多，由于網(wǎng)絡安全的復雜性，需要從很多個維度來保護安全，所以需要采用多種安全方案和技術，企業(yè)所采用的安全產(chǎn)品和方案平均多達80多種，過多的安全產(chǎn)品和技術帶來了管理上的復雜性。

不同的安全產(chǎn)品都需要在受保護的節(jié)點上部署自己的代理 (Agent)，引起過多的資源消耗，從而給性能帶來負面影響;更糟糕的是不同的代理軟件相互之間可能發(fā)生沖突，導致某些安保功能失效。在VMware收購Carbon Black之后，可以集成入之前的產(chǎn)品，形成業(yè)界獨一無二的：嵌入vSphere內(nèi)核agentless的工作負載安全，集成安全UEM的Workspace ONE。以及一系列與NSX結合的產(chǎn)品，同時也補足了網(wǎng)絡安全的AI與分析能力。

目前產(chǎn)品線已經(jīng)基本齊全，涵蓋了集成入侵檢測的分布式防火墻、端點防護EDR、帶WAF功能的負載均衡等。VMware一直致力于打造內(nèi)生安全，何為內(nèi)生?拿防火墻來說，將防火墻集成進入底層基礎架構內(nèi)核中，能夠對每一臺虛機的網(wǎng)絡通訊進行控制，對虛機實現(xiàn)全面的安全保護。舉個通俗的例子來說，就像住家阿姨和鐘點工阿姨的區(qū)別，住家阿姨更知道家里衛(wèi)生的實時狀況。

VMware NSX防火墻不像傳統(tǒng)防火墻監(jiān)測東西向流量時，大幅降低降低虛擬機的通信效率。傳統(tǒng)的邊界防火墻一般都是放在數(shù)據(jù)中心的出口處，控制數(shù)據(jù)中心對外的網(wǎng)絡通信。雖然能夠很好地控制來自于外部的攻擊風險，但是對于數(shù)據(jù)中心內(nèi)部的攻擊卻沒有任何的防范措施。所以理想情況是在數(shù)據(jù)中心內(nèi)部也部署防火墻，從而有效保護每一個系統(tǒng)和應用。就像為小區(qū)的住戶每一個都配備專職保鏢一樣。

此外，傳統(tǒng)的邊界防火墻能夠比較好地監(jiān)控南北向流量，雖然也可以用于監(jiān)控東西向流量，但是會降低數(shù)據(jù)中心內(nèi)部的網(wǎng)絡通信效率。分布式防火墻對于東西向流量的管理更為高效，同一臺物理服務器上的兩臺虛機，它們之間的網(wǎng)絡通信就可以就近由虛擬防火墻來處理，網(wǎng)絡數(shù)據(jù)包甚至都不需要出物理服務器，就可以直接通過虛擬交換機傳送到目的地。

位于不同服務器的虛機之間，網(wǎng)絡數(shù)據(jù)包也可以通過機柜內(nèi)部的交換機和內(nèi)部的虛擬防火墻來傳輸，網(wǎng)絡路由從6跳降低到了2跳，網(wǎng)絡傳輸效率大大提高，也有效降低了邊界防火墻的工作負載。

而傳統(tǒng)防火墻無論是虛擬化部署的還是硬件的，都會改變數(shù)據(jù)中心的網(wǎng)絡流向，這是最大的不同之處。舉個通俗的例子來說，傳統(tǒng)防火墻想要監(jiān)測東西向流量，就像你和隔壁鄰居串門一樣，傳統(tǒng)防火墻需要你出小區(qū)的大門，保安那里檢查一下，再回小區(qū)到鄰居家，效率較低。

VMware分布式防火墻解決方案由AppDefense和NSX Data Center聯(lián)合實現(xiàn)。AppDefense通過人工智能、機器學習方法學習虛擬機上正常應用的行為，之后將學習的結果上傳到應用程序驗證云。由于AppDefense在全球有數(shù)萬家的用戶，在每家用戶都針對不同的應用進行學習，這些學習模式的結果匯總在一起，就使得AppDefense的判斷結果更加準確，所以本質上講，AppDefense是一個SaaS形式的云服務。之后，AppDefense會將學習的匯總結果傳至NSX Data Center，NSX Data Center根據(jù)這些匯總結果自動生成防火墻的規(guī)則，并將這些規(guī)則下發(fā)，從而實現(xiàn)了在全網(wǎng)針對各種應用可能的惡意行為的防護。

總結來說，本質上，VMware 服務定義防火墻解決方案采用了與傳統(tǒng)防火墻完全不同的防火墻策略，它重點關注企業(yè)熟悉的資產(chǎn)，而不是詳細檢查未知的應用程序。它使得傳統(tǒng)被動的防御手段進化成了主動的防御手段，將會對未來未知、可能的各種針對虛擬機平臺應用或者服務的攻擊手段，都能夠提供很好的防護。

VMware防火墻可以在多種環(huán)境部署。作為VMware底層基礎設施VCF的一部分，目前防火墻可以在裸機、虛擬機和基于容器的應用程序環(huán)境中運行，還將支持VMware Cloud on AWS、AWS Outposts等混合云環(huán)境。防火墻是網(wǎng)絡安全市場上占比最大的細分市場，目前虛擬化防火墻在整體企業(yè)級防火墻市場的占比還很低，未來的發(fā)展空間還很大，在物理底層走向標準化的趨勢下，我們認為純軟件的虛擬化分布式的防火墻將高速發(fā)展。

云原生終端防護，形態(tài)與CrowdStrike相似。VMware Carbon Black Cloud是一個云原生的端點防護平臺產(chǎn)品(EPP)，借助在終端部署的輕量級的代理，與云端安全分析產(chǎn)生聯(lián)動，對防范和阻止未知威脅。是EPP/EDR市場上，Carbon Black Cloud產(chǎn)品形態(tài)與另一家端點防護巨頭CrowdStrike較為類似。在目前最新的2020Q1的Forrester WAVE象限中，屬于強勢表現(xiàn)者，具體在產(chǎn)品布局的前瞻性方面獲得高分，并且客戶在威脅追蹤和反惡意軟件的功能上的評價非常好。

Carbon Black與VMware的協(xié)同性良好，客戶數(shù)量大幅上升。在最新披露的FY2021Q1的數(shù)據(jù)中，Carbon Black與VMware的協(xié)同性非常好，業(yè)務同比增幅超過100%，同時客戶數(shù)量經(jīng)過收購后的兩個季度，從5000個上升到15000個，作為內(nèi)生安全中不可或缺的一環(huán)，Carbon Black的安全能力將繼續(xù)滲透在各條產(chǎn)品線中，未來有望發(fā)揮更強的協(xié)同效應。

(編輯：楊杰)