揭秘谷歌企業(yè)安全防護(hù)策略:BeondCorp

責(zé)任編輯:editor005

作者:nana

2016-04-15 15:18:46

摘自:安全牛

無論員工在Google辦公大樓、咖啡廳還是在家,都是一樣的訪問方式。BeyondCorp將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都認(rèn)為是完全不可信的,通過動態(tài)判定和執(zhí)行訪問層級來為應(yīng)用訪問設(shè)置安全門。

無論員工在Google辦公大樓、咖啡廳還是在家,都是一樣的訪問方式。過去從外網(wǎng)訪問需要的 VPN 已經(jīng)被廢棄。而所有員工到企業(yè)應(yīng)用的連接都要進(jìn)行加密,包括在辦公大樓里面的訪問??梢哉f,Google 的這種模式已經(jīng)徹底打破了內(nèi)外網(wǎng)之別。

 

640.webp (3)

 

發(fā)展了5年以上的BeyondCorp模型就是一個零信任的網(wǎng)絡(luò)模型,此模型中,用戶就是上帝,從哪個地方登錄的根本無關(guān)緊要。

BeyondCorp的理念基礎(chǔ)是,內(nèi)部網(wǎng)絡(luò)實(shí)際上跟互聯(lián)網(wǎng)一樣危險。因?yàn)椋?/p>

1)一旦內(nèi)網(wǎng)邊界被突破,攻擊者就很容易訪問到企業(yè)內(nèi)部應(yīng)用。

2)現(xiàn)在的企業(yè)越來越多采用移動和云技術(shù),邊界保護(hù)變得越來越難。所以干脆一視同仁,不外區(qū)分內(nèi)外網(wǎng),用一致的手段去對待。

員工設(shè)備,包括筆記本電腦和手機(jī),都要登錄設(shè)備清單服務(wù),在服務(wù)中保存一段時間的信任信息和設(shè)備快照。員工被賦予不同的信任級別,保證他們能以最小權(quán)限履行職責(zé),既減少了運(yùn)維開支,又改善了設(shè)備可用性。谷歌BeyondCorp計(jì)劃的目標(biāo),就是從員大工和設(shè)備怎樣訪問內(nèi)部應(yīng)用出發(fā),改善企業(yè)安全環(huán)境。

與傳統(tǒng)的邊界安全模型不同,BeyondCorp不是以用戶的物理登錄地點(diǎn)或來源網(wǎng)絡(luò)作為訪問服務(wù)或工具的判定標(biāo)準(zhǔn),其訪問策略是建立在設(shè)備信息、狀態(tài)和關(guān)聯(lián)用戶的基礎(chǔ)上,更偏向用戶行為和設(shè)備狀態(tài)的分析。

BeyondCorp將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都認(rèn)為是完全不可信的,通過動態(tài)判定和執(zhí)行訪問層級來為應(yīng)用訪問設(shè)置安全門。

 

640.webp (4)

 

集中化的設(shè)備目錄服務(wù)納入了谷歌員工設(shè)備上億的數(shù)據(jù)集,數(shù)據(jù)來源共15個,包括:活動目錄、Puppet軟件自動化配置和部署工具和Simian冗余代碼檢查工具;各種配置和企業(yè)資產(chǎn)管理系統(tǒng);漏洞掃描器;證書管理,以及像是ARP地址解析表等網(wǎng)絡(luò)基礎(chǔ)設(shè)施元素。

這一零信任架構(gòu)給依賴于滲透進(jìn)邊界的傳統(tǒng)攻擊設(shè)置了難題,讓它們很難如入無人之境般地在開放的內(nèi)部網(wǎng)絡(luò)中翩翩起舞。

谷歌發(fā)布的文檔《BeyondCorp: 谷歌的設(shè)計(jì)到部署》(https://static.googleusercontent.com/media/research.google.com/en//pubs/archive/44860.pdf) 中詳細(xì)描述了這一安全模型,以便其他安全公司可以跟進(jìn)。

谷歌認(rèn)為,BeyondCorp在不犧牲可用性的前提下從本質(zhì)上改善了谷歌的安全態(tài)勢,并且提供了一種不受技術(shù)限制地根據(jù)策略應(yīng)用授權(quán)決策的彈性基礎(chǔ)設(shè)施。

BeyondCorp在谷歌范圍內(nèi)對谷歌的系統(tǒng)應(yīng)用良好,但其原則和過程也可用于其他公司進(jìn)行安全部署和改進(jìn)。

 

640.webp (5)

 

BeyondCorp基礎(chǔ)設(shè)施組件

對被賦予了最小化破壞性的安全團(tuán)隊(duì)而言,工作量巨大是他們面臨的一大挑戰(zhàn)。他們通常會采用雙管齊下的方式,在模擬器中將流量根據(jù)服務(wù)進(jìn)行分類,并為每個平臺的防火墻解釋安全策略,找出無目的滯留的空轉(zhuǎn)服務(wù)。

谷歌安全團(tuán)隊(duì)同時警告:這樣的一個項(xiàng)目,如果溝通不良,會讓用戶迷惑,但若說太多,又會促使員工申請例外對待。因此最重要的是保持平衡。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號