無論員工在Google辦公大樓、咖啡廳還是在家,都是一樣的訪問方式。過去從外網(wǎng)訪問需要的 VPN 已經(jīng)被廢棄。而所有員工到企業(yè)應(yīng)用的連接都要進(jìn)行加密,包括在辦公大樓里面的訪問??梢哉f,Google 的這種模式已經(jīng)徹底打破了內(nèi)外網(wǎng)之別。
發(fā)展了5年以上的BeyondCorp模型就是一個零信任的網(wǎng)絡(luò)模型,此模型中,用戶就是上帝,從哪個地方登錄的根本無關(guān)緊要。
BeyondCorp的理念基礎(chǔ)是,內(nèi)部網(wǎng)絡(luò)實(shí)際上跟互聯(lián)網(wǎng)一樣危險。因?yàn)椋?/p>
1)一旦內(nèi)網(wǎng)邊界被突破,攻擊者就很容易訪問到企業(yè)內(nèi)部應(yīng)用。
2)現(xiàn)在的企業(yè)越來越多采用移動和云技術(shù),邊界保護(hù)變得越來越難。所以干脆一視同仁,不外區(qū)分內(nèi)外網(wǎng),用一致的手段去對待。
員工設(shè)備,包括筆記本電腦和手機(jī),都要登錄設(shè)備清單服務(wù),在服務(wù)中保存一段時間的信任信息和設(shè)備快照。員工被賦予不同的信任級別,保證他們能以最小權(quán)限履行職責(zé),既減少了運(yùn)維開支,又改善了設(shè)備可用性。谷歌BeyondCorp計(jì)劃的目標(biāo),就是從員大工和設(shè)備怎樣訪問內(nèi)部應(yīng)用出發(fā),改善企業(yè)安全環(huán)境。
與傳統(tǒng)的邊界安全模型不同,BeyondCorp不是以用戶的物理登錄地點(diǎn)或來源網(wǎng)絡(luò)作為訪問服務(wù)或工具的判定標(biāo)準(zhǔn),其訪問策略是建立在設(shè)備信息、狀態(tài)和關(guān)聯(lián)用戶的基礎(chǔ)上,更偏向用戶行為和設(shè)備狀態(tài)的分析。
BeyondCorp將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都認(rèn)為是完全不可信的,通過動態(tài)判定和執(zhí)行訪問層級來為應(yīng)用訪問設(shè)置安全門。
集中化的設(shè)備目錄服務(wù)納入了谷歌員工設(shè)備上億的數(shù)據(jù)集,數(shù)據(jù)來源共15個,包括:活動目錄、Puppet軟件自動化配置和部署工具和Simian冗余代碼檢查工具;各種配置和企業(yè)資產(chǎn)管理系統(tǒng);漏洞掃描器;證書管理,以及像是ARP地址解析表等網(wǎng)絡(luò)基礎(chǔ)設(shè)施元素。
這一零信任架構(gòu)給依賴于滲透進(jìn)邊界的傳統(tǒng)攻擊設(shè)置了難題,讓它們很難如入無人之境般地在開放的內(nèi)部網(wǎng)絡(luò)中翩翩起舞。
谷歌發(fā)布的文檔《BeyondCorp: 谷歌的設(shè)計(jì)到部署》(https://static.googleusercontent.com/media/research.google.com/en//pubs/archive/44860.pdf) 中詳細(xì)描述了這一安全模型,以便其他安全公司可以跟進(jìn)。
谷歌認(rèn)為,BeyondCorp在不犧牲可用性的前提下從本質(zhì)上改善了谷歌的安全態(tài)勢,并且提供了一種不受技術(shù)限制地根據(jù)策略應(yīng)用授權(quán)決策的彈性基礎(chǔ)設(shè)施。
BeyondCorp在谷歌范圍內(nèi)對谷歌的系統(tǒng)應(yīng)用良好,但其原則和過程也可用于其他公司進(jìn)行安全部署和改進(jìn)。
BeyondCorp基礎(chǔ)設(shè)施組件
對被賦予了最小化破壞性的安全團(tuán)隊(duì)而言,工作量巨大是他們面臨的一大挑戰(zhàn)。他們通常會采用雙管齊下的方式,在模擬器中將流量根據(jù)服務(wù)進(jìn)行分類,并為每個平臺的防火墻解釋安全策略,找出無目的滯留的空轉(zhuǎn)服務(wù)。
谷歌安全團(tuán)隊(duì)同時警告:這樣的一個項(xiàng)目,如果溝通不良,會讓用戶迷惑,但若說太多,又會促使員工申請例外對待。因此最重要的是保持平衡。