RSAC 2021年度盛会最终采取了网络虚拟会议方式举行,从5月17开始至5月20日已经圆满落幕。RSA大会作为网络安全领域规模最大的国际会议,本年度会议主题词是“弹性”,在2020年初至今全球疫情肆虐的背景下,这个主题的选择显得尤为贴切。
本篇主要探讨创新沙盒大赛厂商Axis
关键词:RSAC 零信任
01
前言
RSAC 2021年度盛会最终采取了网络虚拟会议方式举行,从5月17开始至5月20日已经圆满落幕。RSA大会作为网络安全领域规模最大的国际会议,本年度会议主题词是“弹性”,在2020年初至今全球疫情肆虐的背景下,这个主题的选择显得尤为贴切。零信任依然是本次RSA大会的热点话题,以零信任作为主题的议程多达19条,并且IBM、微软等多家IT巨头发布了零信任方案和产品。
从会议背景观察,2020年的全球疫情使得原本处于补充地位的居家办公、远程学习成为主流的迫切需要,这种模式同时也带来网络安全上更为严峻的考验,纷至沓来的网络安全重大事故也突显出RSA会议急于寻求安全理论层次、架构体系、创新技术整体上对当下赛博空间威胁的应对具备灵活性、适应性。
2020年末以来重大网络安全事件
根据世界经济论坛全球风险报告,网络攻击名列2020年度全球风险排行榜TOP5,从去年末迄今,影响重大的网络攻击、数据泄漏事件频频发生:
2020年12月,FireEye发布了基础网络管理软件供应商SolarWinds遭遇供应链攻击的通告,攻击者利用该公司Orion网络管理产品的软件更新机制在北美、欧洲、亚洲和中东的许多政府、国防、军事实体及私营企业的IT系统上安装了SunBurst后门,为近年来影响最大的供应链攻击事件。
2021年3月,微软Exchange遭遇黑客攻击高危0Day漏洞窃取用户数据,影响到美国、欧洲数万家企业、政府部门、高等教育机构、国防承包商、智库和非政府组织。
▲黑客攻击后留下的勒索赎金界面
2021年4月,全球约5.33亿Facebook用户的手机号码与个人信息在网上公开售卖,Facebook官方称是由于2019年其平台的功能被误用导致大规模的数据窃取。
2021年5月,美国Colonial Pipeline公司因勒索软件攻击而关闭了美国境内最大输油的管道(约8855公里),白宫宣布17个州和华盛顿特区进入紧急状态,最终以该公司支付DarkSide黑客组织500万美元赎金才得以逐步恢复加油站服务。
03
美国总统令正式推行零信任架构
在疫情阴影持续未消散和网络安全事故频发的背景下,5月12日,美国白宫发布总统行政令,在联邦机构推行网络安全现代化,零信任即作为其中的重要举措,要求各机构遵照NIST制定的标准和指南,在60天内拟定实施零信任架构的计划。并要求迁移到云端的技术必须采用零信任架构以阻止、检测、评估和补救网络安全事故。
▲美国总统提升国家网络安全行政令
04
Axis进入创新沙盒大赛Top10
同时,在RSA会议最富特色的创新沙盒大赛(RSAC Innovation Sandbox Contest)中,今年零信任厂商Axis入选TOP10,位列第4,入选者是受大赛评委认可最有影响力、最有创意和最有预见的创新者。据悉自创新沙盒大赛开办以来,已经累积推动超过50次收购和总计52亿美元的融资。入围者借此大会给其目标客户、投资家、友商留下了深刻印象。
公司 | 产品 | 成立时间 | 总部 | 融资 |
Apiiro Security | 代码风险平台(软件供应链安全) | 2019 | 以色列 | $35M |
Strata | 多云身份管理 | 2019 | 美国 | $11.5M |
Abnormal Security | 高级邮件安全 | 2018 | 美国 | $74M |
Axis Security | 零信任云安全 | 2018 | 美国 | $99.5M |
Cape Privacy | 隐私数据加密 | 2018 | 美国 | $25M |
Deduce | 帐户托管 | 2019 | 美国 | $7.3M |
Open Raven | 数据安全平台 | 2019 | 美国 | $19.1M |
Satori | 云安全数据接入 | 2019 | 以色列 | $5.3M |
Wabbi | 安全开发平台(软件供应链安全) | 2018 | 美国 | $330K |
Wiz | 公共云安全方案 | 2020 | 以色列 | $230M |
▲创新沙盒大赛前10名获奖名单
今年创新沙盒十强企业的诞生与全球疫情的大背景密不可分,疫情加速了各机构组织、企业数字化进程,远程办公、业务云迁移、IoT和BYOD都加速了传统安全“边界”的侵蚀失效,零信任厂家获得青睐也在意料之中,而SolarWinds攻击事件显然是今年软件供应链安全企业Apiiro夺魁的推动因素。
在今年的TOP10入选名单中,Axis是融资资金额度第二高的企业,可见其企业产品、方案获得投资界和市场的认可。Axis所提供的零信任云安全方案称为SAasS(Secure Access as a Service),也可称为应用访问云(Application Access Cloud),当下各类通过私有云、SaaS及企业内网的应用资源访问导致传统企业安全边界遭到侵蚀,带来各类网络入侵、业务安全和数据泄漏的风险,Axis公司依托零信任架构,其应用隔离技术以云接入进行分区从而保障访问安全,其平台可快速部署,为企业员工、合作伙伴和三方人员的接入提供全球任意位置的认证授权和安全接入。
05
Axis公司零信任平台产品介绍
从Axis官网介绍中看,其平台针对的是传统网络边界失效的问题,当下依赖于IT软件系统的工作已经不可能再局限于企业内网,对于众多企业、其业务接入需要全球范围内的易用可达,但是传统的业务应用的接入和保护方式已经不能满足这种场景需求,可从下图看出使用传统的VPN多地接入导致的网络复杂性和风险。
▲传统企业VPN多地接入方式
这种传统接入方式需要通过VPN和代理工具将用户的所有访问流量借助隧道来进行传输,由于传输路径复杂,无论用户在哪里都需要从企业内网绕行,对于异地和国际的访问非常不友好,往往网络延迟严重,使用体验很糟糕、经常不可用(甚至出现二次认证时由于业务延迟而过期无法登录系统),带来的挫折感使普通用户相当抵触,并导致内网需要承载大量流量,易拥塞,单点故障的概率高,这类系统配置管理复杂、扩展性差,而另一方面,由于这种接入方式将用户直接置于企业的网络内部,其核心敏感的网络资源遭受攻击的暴露面很大,是对企业网络、业务和数据的极大威胁,给企业平衡运营带来不可控风险。
▲Application Access Cloud多地接入方式
Axis则提出Application Access Cloud零信任接入的新方式,简化企业业务应用的接入和使用,终端用户不再需要通过VPN隧道连接服务,其设备上也不需要安装端工具软件,企业员工、合同商、伙伴及三方人员可以从任意地点使用任意设备直接连接Axis部署在AWS、Google Cloud等多家公用云上的Axis Cloud,进而访问企业授权的任意应用,依托于这些公有云的全球部署可以保障用户本地最快接入。并且平台根据每次访问收集用户、设备和上下文环境数据,动态自适应的进行细粒度访问控制,保障用户访问正确授权的应用。同时平台提供用户简单易用的WEB门户供其便捷访问应用,目前已经支持HTTP(S)、SSH、RDP、DB类访问,同时包括各类TCP、UDP应用,甚至包括VOIP、视频和点对点应用的使用。
▲Application Access Cloud部署模式
如上图,Axis零信任的部署不改变企业原网络结构,无论应用是在内网、数据中心还是公网,仅需要在靠近业务资源的位置安装轻量级软件连接器,这是唯一需要企业方安装的组件,而连接器会与Axis Cloud进行双向认证后加密连接,随之即可将应用资源发布到Axis Cloud平台供企业用户使用。整个部署过程十分简单,仅需10分钟,而部署在企业资源侧的连接器3分钟即可安装完毕。这种模式下,用户不会直接连入企业的业务网络,更不能直接接到应用,企业的防火墙上不需要额外开端口,网络暴露面完全得到收敛,保护了企业内易受攻击的业务资源。所有应用的访问都会默认转换为安全级别更高的TLS1.3,这意味着原HTTP应用也能够同时得到TLS加密传输的保护。
总体而言,Axis主打的Application Access Cloud平台提供了基于零信任架构的云安全解决方案,支持不用安装端软件的情况下,将任何设备上的各类用户安全连接到企业应用,App Access Cloud不需要更改现有网络架构,其独特的应用程序隔离技术可将用户与公司网络和应用资源隔离,并在连接过程中以灵活自适应的策略保障企业网络和业务资源的安全。其对企业业务云迁移的平滑支持、极速的部署过程,能够更有力支持企业进行数字化、云化的转型和零信任架构的实施落地。
06
结语
在今年这场会议上,RSA CEO Rohit Ghai致辞说,在网络安全领域,仅仅具备“弹性”是不够的,相反,你还必须擅长于“弹性”。这意味着更少的跌倒,更好地承受跌倒,并且每一次都更强大地站起来。我们不可能预测到攻击事件,所以必须保持期待那不可预期的事件,不要相信任何事物并需要划分好失败区域。
而正是基于“永不信任、始终验证”核心准则的零信任架构,将可以在嘈杂混乱的网络环境中抵御欺骗和攻击,赋予网络、系统、实体以“弹性”,削减网络空间的脆弱性,带来全球网络安全领域的观念革新和基础设施演进。
随着全球范围内数字化转型在疫情大背景下的加速进行,远程办公已经成为新常态,而云计算、物联网、移动办公等新技术与业务场景的应用推广,都让传统网络安全边界变得更加不安全,层出不穷的网络安全事件威胁着世界各国的政治、经济和社会秩序,造成不可控的风险和损失。
▲最新零信任领域风向标事件
零信任的兴起应了这一挑战,它绝不仅仅是一种心态,它更是一种彻底更新的安全治理理念,严格要求将每个请求访问资源的用户、设备、服务都视为不可信,传统的边界加固的做法如今升级到对资产、用户和资源的关注和保护。
从国内零信任发展趋势来看,以SDP标准为基础的零信任体系建设可作为一种最佳实践路线,以实体身份管理、端侧安全空间隔离、用户实体行为分析、动态细粒度策略控制、数据泄漏防护、应用资源隔离等构建多维度纵深防护机制,打造覆盖云、管、端安全一体化的全景零信任解决方案,从而为企业提供灵活可选的零信任迁移路径,方能助力企业安全便捷地进行数字化转型和规避风险,让连接更值得信任。