RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Axis Security。

1 公司介紹

Axis Security[1]於2018年由Dor Knafo和Gil Azrielant創立，是一家註冊在美國加利福尼亞州的零信任初創公司，目前已經過4輪融資，累計獲得近一億美元投資[1]。Axis Security的兩位創始人是以色列赫茲利亞跨學科研究中心（IDC Herzliya）的校友，Dor Knafo曾在以色列國防軍擔任高階軟體工程師，後進入賽門鐵克任高階研究員；Gil Azrielant則曾在以色列國防軍8200部隊[2]服役。

Axis Security致力於提供簡單快捷的零信任解決方案，幫助客戶快速落地零信任，避免虛擬專用網路（VPN）存在的安全風險。

2 背景介紹

在對Axis Security的產品及相關技術進行分析之前，我們首先介紹一下“零信任”的概念。零信任是一種新的網路安全防護理念，而非具體的某個技術或產品。

在傳統的網路安全概念中，企業網路有內外網之分，兩者之間有一條清晰的邊界，邊界內通常被認為是更安全的，邊界外則是未知、充滿風險的。然而，隨著科技的發展和網路架構的演進，人們發現這樣的“邊界信任假設”存在缺陷——外網當然是充滿風險的，但內網卻不一定就是安全的，同樣會有威脅。過度信任、依賴這樣的邊界劃分可能導致嚴重後果，例如，外部的攻擊者突破內網後可以輕易地進行橫向移動、內網漫遊；內部的攻擊者則能夠輕易地發起攻擊。

面對這些問題，在2010年，時任Forrester分析師的John Kindervag提出了零信任（Zero Trust）的概念。零信任強調預設的信任是不存在的，網路位置不再決定訪問許可權，每一個請求，無論來自哪裡，都要經過檢查，確認擁有合法授權。

後來，Google於2011年率先開始實施基於零信任模型建設網路安全架構的專案BeyondCrop[2]，並於2017對外宣佈完成，BeyondCrop廣泛應用於Google員工的日常辦公。

2014年，國際雲安全聯盟（Cloud Security Alliance，簡稱CSA）釋出了《軟體定義邊界（Software Defined Perimeter，簡稱 SDP）標準規範 1.0》，SDP與零信任網路的理念是一致的[3]：

1.     無論使用者和伺服器資源在什麼位置，確保所有資源訪問是安全的。

2.     記錄和檢查所有的流量。

3.     對於所有授權執行最小許可權原則。

2019年，美國國家標準與技術研究院（NIST）釋出了《零信任架構》草案，於2020年再次修訂，並於同年正式釋出（NIST.SP.800-207）。

根據《零信任架構》[4]，零信任是一種以資源保護為核心的網路安全正規化，其前提是信任從來不是隱式授予的，而是必須進行持續評估。零信任體系架構是一種端到端的企業資源和資料安全方法，包括身份(人和非人的實體)、憑證、訪問管理、操作、端點、宿主環境和互聯基礎設施。零信任要解決的關鍵問題是防止未經授權訪問資料和服務以及使訪問控制的實施儘可能精細。

零信任架構的核心邏輯元件如下圖[3]所示：

如欲瞭解更多關於零信任的資訊，可以參考NIST.SP.800-207《零信任架構》標準文獻。

3 產品介紹

作為一家零信任解決方案提供商，Axis Security目前的主打產品（也是唯一產品）名為Application Access Cloud，直譯過來就是“應用訪問雲”。從這個名字似乎還不能夠精確得出產品的功能，我們結合官網的示意圖[4]來分析一下：

上圖左側描繪的是傳統VPN的使用場景，各種終端透過VPN接入企業的雲和網路；右側則描繪了終端透過Axis Cloud接入企業的雲和網路。

按照官方的說法，Application Access Cloud是一個應用層零信任安全訪問解決方案，部署簡單，功能強大。該方案不要求改動原有的應用、伺服器或網路，也不需要改動使用者側終端或在終端側部署agent，只需要在資源側部署一個Connector與Axis Cloud即可。該Connector實質上是一個反向代理[5]。所有零信任訪問功能均由Axis Cloud和Connector完成，終端透過Axis Cloud訪問到業務資源。值得注意的是，Connector是容器化的[5]，便於在Docker或Kubernetes等雲原生環境中部署。

終端側無agent（agentless）確實減少了許多麻煩和開銷。事實上，agentless是相對而言的。根據創始人Gil Azrielant的說法[5]，agentless覆蓋了主流服務，如Web服務、RDP服務、SSH服務、Git服務和資料庫服務等。如果終端只需要訪問這些服務，就不必安裝agent。安裝agent則允許終端訪問幾乎任何形式的網路服務。這兩種方式（安裝agent與否）提供的服務是互補的。

Axis Cloud自身部署在包括Google Cloud、AWS等在內的多家公有云上，這種部署方式提高了整個系統的穩定性，避免單個雲服務商故障導致的業務中斷，同時也提高了不同區域使用者的訪問速度。

Application Access Cloud提供了控制檯介面，從該介面中可以清楚地看到各個終端對應用的訪問情況：

除此之外，還能夠針對特定使用者對特定應用的具體操作——命令列、螢幕截圖等——進行檢視：

Application Access Cloud提供了易於理解的策略和安全策略定義方式，便於使用者自定義安全策略：

4 產品特點

作為一種基於雲的零信任解決方案，Application Access Cloud能夠確保企業員工從任何地方安全訪問，並具有簡單的雲遷移流程。

4.1 確保員工能從任何地方安全訪問

無論員工在哪，Axis Application Access Cloud都能向其提供企業應用和資源的訪問服務。員工只需幾分鐘即可完成配置，不需要修改終端側的網路或安裝客戶端軟體。企業可以透過中心化的雲控制檯管理所有的使用者、應用和策略。與網路層的解決方案不同，Axis提供完全的可觀察能力和應用層級別的細粒度使用者活動控制。Axis透過將應用與使用者、終端和網際網路隔離，避免應用遭受攻擊。

4.2 簡單的遷移流程

在零信任建設過程中，企業通常非常關心業務連續性。Axis Application Access Cloud提供可擴充套件的企業級服務，減輕企業已有網路資源的工作負載。使用Axis能夠減小重要資源被隨意訪問的風險；集中訪問管理方案避免了企業基礎設施的重新配置。

5 總結

Axis Security提供的Application Access Cloud解決方案依託於雲端計算，終端側實現agentless，應用服務側只需部署connector，大大減少了企業從傳統VPN接入方式向零信任網路遷移的技術阻礙。這些技術轉型過程中的阻礙也正是許多企業遲遲沒有轉向零信任的重要原因。Axis Security的官方網站上提到，超過54%的組織不知道怎樣開始落地零信任。因此，從技術角度而言，Axis Security提供的方案降低了零信任的應用門檻，對於想要用零信任解決VPN帶來的弊病的企業來說十分具有吸引力。

然而，筆者注意到Axis Security的零信任方案與老牌CDN服務商Akamai釋出的Enterprise Application Access零信任解決方案[6]在架構和功能上具有一定相似度。如何找到並確定自己的創新性及技術上的領先優勢，繼而將優勢保持下去，對於Axis Security這樣的初創公司來說十分重要。

從另一個角度來看，Axis Security提供的是基於公有云雲端計算的零信任訪問服務，這是否會給潛在客戶帶來其他顧慮？公有云的引入，意味著企業必須將所有訪問流量轉移到第三方，而非自己採購、部署的零信任軟硬體裝置。企業必須仔細瞭解在雲端計算“責任共擔模型”[7]中自身、Axis Security和公有云廠商各自的權利和責任，充分評估潛在風險及風險觸發後的損失及求償可能性。

除此之外，Axis Security的多雲部署形態可能會使情況變得更加複雜——多雲部署誠然提高了系統的魯棒性，但是不同的公有云廠商提供的安全防護能力及防護程度可能不同，責任模型也會有些許差異。企業只需要與Axis Security對接？還是要充分考察Axis Security依賴的每一個公有云廠商，確保其提供的服務滿足自己的安全等級需求？

最後，世界各國和組織都在相繼出臺或完善資料安全標準及法規，這些標準法規細則不盡相同，如歐洲通用資料保護條例（GDPR）、中國《資料安全法（草案）》等。Axis Security能否滿足各地區的資料安全法規要求？這也是企業需要考慮的問題。

總的來看，“零信任”的概念已經存在了十年，但這一技術理念在現實中的落地卻是緩慢的。Axis Security以簡潔優雅的方式解決了企業的技術痛點，具有很大創新性和價值。如果能打消企業在其他方面的顧慮，也許能將許多傳統行業變為他們的客戶，大大推動零信任的落地程式。

參考資料

[1] https://www.crunchbase.com/organization/axis-security

[2] https://cloud.google.com/beyondcorp

[3] 《軟體定義邊界（SDP）：安全架構技術指南》，CSA大中華區SDP工作組編著

[4] http://blog.nsfocus.net/wp-content/uploads/2020/08/NIST-SP-800-207-Zero-Trust-Architecture-202008.pdf

[5] https://www.youtube.com/watch?v=Ye21RvqKpqM

[6] https://www.akamai.com/us/en/multimedia/documents/product-brief/enterprise-application-access-product-brief.pdf

[7] 《雲端計算關鍵領域安全指南 V4.0》，雲安全聯盟（CSA）

[1] https://www.axissecurity.com

[2] 著名的以色列網路部隊，誕生過許多網路安全公司的創始人或高管。

[3] 圖片來自http://blog.nsfocus.net/wp-content/uploads/2020/08/NIST-SP-800-207-Zero-Trust-Architecture-202008.pdf

[4] 圖片來自https://www.axissecurity.com/technology

[5] https://www.youtube.com/watch?v=Ye21RvqKpqM