RSAConference2021将于旧金山时间5月17日举行。这将是RSA大会历史上第一次以虚拟会议的形式举行。大会的创新沙盒(Sandbox)大赛作为“安全界的奥斯卡”,每年都备受瞩目,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSA官方公布了最终入选创新沙盒的十大初创公司:WABBI、Satori、AbnormalSecurity、Apiiro、AxisSecurity、CapePrivacy、Deduce、OpenRaven、STARATA、WIZ。绿盟科技将从背景介绍、产品特点、评论分析等方面为大家介绍入围的十大厂商。今天,我们要介绍的厂商是:安讯士。1公司简介AxisSecurity由DorKnafo和GilAzrielant于2018年创立,是一家注册于美国加州的零信任初创公司。历经4轮融资,获得近亿美元投资。AxisSecurity的两位创始人是以色列跨学科研究中心(IDCHerzliya)的校友。DorKnafo曾在以色列国防军担任高级软件工程师,后在赛门铁克担任高级研究员;GilAzrielant在以色列国防军工作过,目前有8200名士兵在服役。AxisSecurity致力于提供简单快速的零信任解决方案,帮助客户快速实现零信任,规避虚拟专用网(VPN)中的安全风险。2背景介绍在分析AxisSecurity的产品及相关技术之前,我们首先介绍一下“零信任”的概念。零信任是网络安全保护的新概念,而不是特定的技术或产品。在传统的网络安全概念中,企业网络分为内部网络和外部网络,两者之间有着明确的界限。界内一般被认为比较安全,而界外则未知且充满风险。然而,随着技术的发展和网络架构的演进,人们发现这样的“边界信任假设”是有缺陷的——当然,外网充满风险,但内网不一定安全,也有也是威胁。对这种边界划分的过度信任和依赖可能会导致严重的后果。例如,外部攻击者突破内网后,可以很容易地在内网内横向移动、漫游;内部攻击者很容易发起攻击。面对这些问题,2010年,时任Forrester分析师的JohnKindervag提出了零信任的概念。零信任强调默认信任不存在,网络位置不再决定访问权限。每个请求,无论来自哪里,都必须进行检查以确认其具有合法授权。随后,谷歌在2011年率先实施了基于零信任模型构建网络安全架构的项目BeyondCrop[2],并于2017年宣布完成。BeyondCrop广泛应用于谷歌员工的日常工作中。2014年,国际云安全联盟(CSA)发布《软件定义边界(Software Defined Perimeter,简称 SDP)标准规范 1.0》,SDP与零信任网络的理念一致:1.无论用户和服务器资源在哪里,确保所有资源访问都是安全的。2.记录并检查所有流量。3.对所有授权执行最小特权原则。2019年,美国国家标准技术研究院(NIST)发布了《零信任架构》的草案,2020年再次修订,同年正式发布(NIST.SP.800-207)。根据《零信任架构》[4],零信任是一种以资源保护为中心的网络安全范式,其前提是信任永远不会被隐式授予,而是必须不断评估。零信任架构是一种端到端的企业资源和数据安全方法,包括身份(人类和非人类实体)、凭证、访问管理、操作、端点、托管环境和互连的基础设施。零信任要解决的关键问题是防止未经授权访问数据和服务,并使访问控制的实施尽可能细化。零信任架构的核心逻辑组件如下图所示:关于零信任的更多信息,可以参考NIST.SP.800-207《零信任架构》标准文档。作为零信任解决方案提供商,AxisSecurity目前的旗舰产品(也是唯一的产品)称为ApplicationAccessCloud,直译为“应用访问云”。似乎无法从名称中准确推导出产品的功能。下面结合官网示意图来分析一下:上图左侧是传统VPN的使用场景,各种终端通过VPN访问企业的云和网络;右侧描绘了终端通过AxisCloud访问企业的云端和网络。据官方介绍,应用接入云是一款部署简单、功能强大的应用层零信任安全接入解决方案。该方案不需要改变原有的应用、服务器或网络,也不需要改变用户侧终端,也不需要在终端侧部署代理。它只需要在资源端部署一个Connector和AxisCloud。连接器本质上是一个反向代理[5]。所有零信任访问功能均由AxisCloud和Connector完成,终端通过AxisCloud访问业务资源。值得注意的是,Connector是容器化的[5],可以轻松部署在Docker或Kubernetes等云原生环境中。终端侧的Agentless确实减少了很多麻烦和开销。其实无代理是相对的。据创始人GilAzrielant介绍,Agentless涵盖了Web服务、RDP服务、SSH服务、Git服务、数据库服务等主流服务。如果终端只需要访问这些服务,则无需安装代理。安装代理允许终端访问几乎任何形式的网络服务。这两种方式(安装或不安装代理)提供的服务是互补的。AxisCloud本身部署在包括GoogleCloud、AWS等多个公有云上,这种部署方式提高了整个系统的稳定性,避免了单一云服务商故障导致的业务中断,也提高了用户在网络中的安全性。不同地区。访问速度。应用接入云提供控制台界面,从中可以清晰的看到各个终端对应用的接入状态:此外,还可以针对特定用户对特定应用的特定操作——命令行、截图等。——去观点:应用接入云提供通俗易懂的策略和安全策略定义方式,方便用户自定义安全策略:4产品特点作为基于云的零信任解决方案,应用接入云可以确保员工企业可以通过简单的云迁移过程访问安全的本地访问。4.1确保员工随时随地安全访问无论员工身在何处,安讯士应用访问云都可以为他们提供企业应用和资源的访问服务。工作人员可以在几分钟内完成配置,无需在端点侧修改网络或安装客户端软件。企业可以通过集中式云控制台管理所有用户、应用程序和策略。与网络层的解决方案不同,Axis在应用层级别提供完整的可观察性和细粒度的用户活动控制。Axis通过将应用程序与用户、端点和互联网隔离开来保护应用程序免受攻击。4.2简单的迁移过程在构建零信任的过程中,企业通常非常关注业务的连续性。AxisApplicationAccessCloud提供可扩展的企业级服务,可减轻企业现有网络资源的工作负载。使用Axis可以降低随机访问重要资源的风险;集中访问管理解决方案避免了企业基础设施的重新配置。5总结AxisSecurity提供的ApplicationAccessCloud解决方案依赖于云计算。终端侧无代理,应用服务侧只需部署一个连接器,大大降低了企业从传统VPN接入方式向零信任网络迁移的技术障碍。技术改造过程中的这些障碍,也是很多企业长期没有转向零信任的重要原因。根据AxisSecurity官网显示,超过54%的组织不知道如何开始实施零信任。因此,从技术角度来看,AxisSecurity提供的解决方案降低了零信任的应用门槛,这对于希望利用零信任来解决VPN带来的问题的企业来说非常有吸引力。但笔者注意到,AxisSecurity的零信任解决方案与老牌CDN服务商Akamai发布的EnterpriseApplicationAccess零信任解决方案[6]在结构和功能上存在一定的相似性。对于像安讯士这样的初创公司来说,如何找到并确定自己的创新和技术领先优势,进而保持优势,是非常重要的。从另一个角度来看,AxisSecurity提供基于公有云计算的零信任访问服务。这会不会给潜在客户带来其他顾虑?公有云的引入意味着企业必须将所有的访问流量都转移给第三方,而不是自己购买和部署零信任的软硬件设备。企业必须认真了解自身、AxisSecurity、公有云厂商在云计算“责任分担模式”[7]中各自的权利和责任,充分评估潜在风险以及风险触发后损失和索赔的可能性。此外,AxisSecurity的多云部署形式可能会使情况复杂化——多云部署确实提高了系统的健壮性,但不同公有云厂商提供的安全防护能力和防护等级可能有所不同。型号也会略有不同。企业只需要与AxisSecurity交互?或者我们是否应该全面检查AxisSecurity所依赖的每个公共云供应商,以确保他们提供的服务满足他们自己的安全级别要求?最后,世界各国和组织都在陆续颁布或完善数据安全标准和法规。这些标准和法规的细节各不相同,例如欧洲通用数据保护条例(GDPR)、中国《数据安全法(草案)》等,AxisSecurity能否满足各个地区的数据安全法规?这也是企业需要考虑的问题。总的来说,“零信任”的概念已经存在了十年,但这一技术概念在现实中的落地却进展缓慢。AxisSecurity以简洁优雅的方式解决了企业的技术痛点,具有很大的创新性和价值。如果企业能够在其他方面打消他们的顾虑,或许可以将很多传统行业变成他们的客户,极大地推动零信任的进程。
