RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網(wǎng)絡(luò)虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Axis Security。

1 公司介紹

Axis Security于2018年由Dor Knafo和Gil Azrielant創(chuàng)立，是一家注冊在美國加利福尼亞州的零信任初創(chuàng)公司，目前已經(jīng)過4輪融資，累計獲得近一億美元投資。Axis Security的兩位創(chuàng)始人是以色列赫茲利亞跨學(xué)科研究中心（IDC Herzliya）的校友，Dor Knafo曾在以色列國防軍擔(dān)任高級軟件工程師，后進入賽門鐵克任高級研究員；Gil Azrielant則曾在以色列國防軍8200部隊服役。

?[[402283]]?

Axis Security致力于提供簡單快捷的零信任解決方案，幫助客戶快速落地零信任，避免虛擬專用網(wǎng)絡(luò)（VPN）存在的安全風(fēng)險。

2 背景介紹

在對Axis Security的產(chǎn)品及相關(guān)技術(shù)進行分析之前，我們首先介紹一下“零信任”的概念。零信任是一種新的網(wǎng)絡(luò)安全防護理念，而非具體的某個技術(shù)或產(chǎn)品。

在傳統(tǒng)的網(wǎng)絡(luò)安全概念中，企業(yè)網(wǎng)絡(luò)有內(nèi)外網(wǎng)之分，兩者之間有一條清晰的邊界，邊界內(nèi)通常被認為是更安全的，邊界外則是未知、充滿風(fēng)險的。然而，隨著科技的發(fā)展和網(wǎng)絡(luò)架構(gòu)的演進，人們發(fā)現(xiàn)這樣的“邊界信任假設(shè)”存在缺陷——外網(wǎng)當(dāng)然是充滿風(fēng)險的，但內(nèi)網(wǎng)卻不一定就是安全的，同樣會有威脅。過度信任、依賴這樣的邊界劃分可能導(dǎo)致嚴(yán)重后果，例如，外部的攻擊者突破內(nèi)網(wǎng)后可以輕易地進行橫向移動、內(nèi)網(wǎng)漫游；內(nèi)部的攻擊者則能夠輕易地發(fā)起攻擊。

面對這些問題，在2010年，時任Forrester分析師的John Kindervag提出了零信任（Zero Trust）的概念。零信任強調(diào)默認的信任是不存在的，網(wǎng)絡(luò)位置不再決定訪問權(quán)限，每一個請求，無論來自哪里，都要經(jīng)過檢查，確認擁有合法授權(quán)。

后來，Google于2011年率先開始實施基于零信任模型建設(shè)網(wǎng)絡(luò)安全架構(gòu)的項目BeyondCrop[2]，并于2017對外宣布完成，BeyondCrop廣泛應(yīng)用于Google員工的日常辦公。

2014年，國際云安全聯(lián)盟（Cloud Security Alliance，簡稱CSA）發(fā)布了《軟件定義邊界（Software Defined Perimeter，簡稱 SDP）標(biāo)準(zhǔn)規(guī)范 1.0》，SDP與零信任網(wǎng)絡(luò)的理念是一致的：

1.     無論用戶和服務(wù)器資源在什么位置，確保所有資源訪問是安全的。

2.     記錄和檢查所有的流量。

3.     對于所有授權(quán)執(zhí)行最小權(quán)限原則。

2019年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了《零信任架構(gòu)》草案，于2020年再次修訂，并于同年正式發(fā)布（NIST.SP.800-207）。

根據(jù)《零信任架構(gòu)》[4]，零信任是一種以資源保護為核心的網(wǎng)絡(luò)安全范式，其前提是信任從來不是隱式授予的，而是必須進行持續(xù)評估。零信任體系架構(gòu)是一種端到端的企業(yè)資源和數(shù)據(jù)安全方法，包括身份(人和非人的實體)、憑證、訪問管理、操作、端點、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。零信任要解決的關(guān)鍵問題是防止未經(jīng)授權(quán)訪問數(shù)據(jù)和服務(wù)以及使訪問控制的實施盡可能精細。

零信任架構(gòu)的核心邏輯組件如下圖所示：

??

如欲了解更多關(guān)于零信任的信息，可以參考NIST.SP.800-207《零信任架構(gòu)》標(biāo)準(zhǔn)文獻。

作為一家零信任解決方案提供商，Axis Security目前的主打產(chǎn)品（也是唯一產(chǎn)品）名為Application Access Cloud，直譯過來就是“應(yīng)用訪問云”。從這個名字似乎還不能夠精確得出產(chǎn)品的功能，我們結(jié)合官網(wǎng)的示意圖來分析一下：

??

上圖左側(cè)描繪的是傳統(tǒng)VPN的使用場景，各種終端通過VPN接入企業(yè)的云和網(wǎng)絡(luò)；右側(cè)則描繪了終端通過Axis Cloud接入企業(yè)的云和網(wǎng)絡(luò)。

按照官方的說法，Application Access Cloud是一個應(yīng)用層零信任安全訪問解決方案，部署簡單，功能強大。該方案不要求改動原有的應(yīng)用、服務(wù)器或網(wǎng)絡(luò)，也不需要改動用戶側(cè)終端或在終端側(cè)部署agent，只需要在資源側(cè)部署一個Connector與Axis Cloud即可。該Connector實質(zhì)上是一個反向代理[5]。所有零信任訪問功能均由Axis Cloud和Connector完成，終端通過Axis Cloud訪問到業(yè)務(wù)資源。值得注意的是，Connector是容器化的[5]，便于在Docker或Kubernetes等云原生環(huán)境中部署。 

??

終端側(cè)無agent（agentless）確實減少了許多麻煩和開銷。事實上，agentless是相對而言的。根據(jù)創(chuàng)始人Gil Azrielant的說法，agentless覆蓋了主流服務(wù)，如Web服務(wù)、RDP服務(wù)、SSH服務(wù)、Git服務(wù)和數(shù)據(jù)庫服務(wù)等。如果終端只需要訪問這些服務(wù)，就不必安裝agent。安裝agent則允許終端訪問幾乎任何形式的網(wǎng)絡(luò)服務(wù)。這兩種方式（安裝agent與否）提供的服務(wù)是互補的。

??

Axis Cloud自身部署在包括Google Cloud、AWS等在內(nèi)的多家公有云上，這種部署方式提高了整個系統(tǒng)的穩(wěn)定性，避免單個云服務(wù)商故障導(dǎo)致的業(yè)務(wù)中斷，同時也提高了不同區(qū)域用戶的訪問速度。

Application Access Cloud提供了控制臺界面，從該界面中可以清楚地看到各個終端對應(yīng)用的訪問情況：

除此之外，還能夠針對特定用戶對特定應(yīng)用的具體操作——命令行、屏幕截圖等——進行查看：

??

Application Access Cloud提供了易于理解的策略和安全策略定義方式，便于用戶自定義安全策略：

??

4 產(chǎn)品特點

作為一種基于云的零信任解決方案，Application Access Cloud能夠確保企業(yè)員工從任何地方安全訪問，并具有簡單的云遷移流程。

??

4.1 確保員工能從任何地方安全訪問

無論員工在哪，Axis Application Access Cloud都能向其提供企業(yè)應(yīng)用和資源的訪問服務(wù)。員工只需幾分鐘即可完成配置，不需要修改終端側(cè)的網(wǎng)絡(luò)或安裝客戶端軟件。企業(yè)可以通過中心化的云控制臺管理所有的用戶、應(yīng)用和策略。與網(wǎng)絡(luò)層的解決方案不同，Axis提供完全的可觀察能力和應(yīng)用層級別的細粒度用戶活動控制。Axis通過將應(yīng)用與用戶、終端和互聯(lián)網(wǎng)隔離，避免應(yīng)用遭受攻擊。

4.2 簡單的遷移流程

在零信任建設(shè)過程中，企業(yè)通常非常關(guān)心業(yè)務(wù)連續(xù)性。Axis Application Access Cloud提供可擴展的企業(yè)級服務(wù)，減輕企業(yè)已有網(wǎng)絡(luò)資源的工作負載。使用Axis能夠減小重要資源被隨意訪問的風(fēng)險；集中訪問管理方案避免了企業(yè)基礎(chǔ)設(shè)施的重新配置。

5 總結(jié)

Axis Security提供的Application Access Cloud解決方案依托于云計算，終端側(cè)實現(xiàn)agentless，應(yīng)用服務(wù)側(cè)只需部署connector，大大減少了企業(yè)從傳統(tǒng)VPN接入方式向零信任網(wǎng)絡(luò)遷移的技術(shù)阻礙。這些技術(shù)轉(zhuǎn)型過程中的阻礙也正是許多企業(yè)遲遲沒有轉(zhuǎn)向零信任的重要原因。Axis Security的官方網(wǎng)站上提到，超過54%的組織不知道怎樣開始落地零信任。因此，從技術(shù)角度而言，Axis Security提供的方案降低了零信任的應(yīng)用門檻，對于想要用零信任解決VPN帶來的弊病的企業(yè)來說十分具有吸引力。

然而，筆者注意到Axis Security的零信任方案與老牌CDN服務(wù)商Akamai發(fā)布的Enterprise Application Access零信任解決方案[6]在架構(gòu)和功能上具有一定相似度。如何找到并確定自己的創(chuàng)新性及技術(shù)上的領(lǐng)先優(yōu)勢，繼而將優(yōu)勢保持下去，對于Axis Security這樣的初創(chuàng)公司來說十分重要。

從另一個角度來看，Axis Security提供的是基于公有云云計算的零信任訪問服務(wù)，這是否會給潛在客戶帶來其他顧慮？公有云的引入，意味著企業(yè)必須將所有訪問流量轉(zhuǎn)移到第三方，而非自己采購、部署的零信任軟硬件設(shè)備。企業(yè)必須仔細了解在云計算“責(zé)任共擔(dān)模型”[7]中自身、Axis Security和公有云廠商各自的權(quán)利和責(zé)任，充分評估潛在風(fēng)險及風(fēng)險觸發(fā)后的損失及求償可能性。

除此之外，Axis Security的多云部署形態(tài)可能會使情況變得更加復(fù)雜——多云部署誠然提高了系統(tǒng)的魯棒性，但是不同的公有云廠商提供的安全防護能力及防護程度可能不同，責(zé)任模型也會有些許差異。企業(yè)只需要與Axis Security對接？還是要充分考察Axis Security依賴的每一個公有云廠商，確保其提供的服務(wù)滿足自己的安全等級需求？

最后，世界各國和組織都在相繼出臺或完善數(shù)據(jù)安全標(biāo)準(zhǔn)及法規(guī)，這些標(biāo)準(zhǔn)法規(guī)細則不盡相同，如歐洲通用數(shù)據(jù)保護條例（GDPR）、中國《數(shù)據(jù)安全法（草案）》等。Axis Security能否滿足各地區(qū)的數(shù)據(jù)安全法規(guī)要求？這也是企業(yè)需要考慮的問題。

總的來看，“零信任”的概念已經(jīng)存在了十年，但這一技術(shù)理念在現(xiàn)實中的落地卻是緩慢的。Axis Security以簡潔優(yōu)雅的方式解決了企業(yè)的技術(shù)痛點，具有很大創(chuàng)新性和價值。如果能打消企業(yè)在其他方面的顧慮，也許能將許多傳統(tǒng)行業(yè)變?yōu)樗麄兊目蛻簦蟠笸苿恿阈湃蔚穆涞剡M程。