谷歌分享了BeyondCorp“零信任”安全策略的細(xì)節(jié)

谷歌有限責(zé)任公司今天發(fā)表了一篇冗長(zhǎng)的博客文章，詳細(xì)介紹了它如何在其組織內(nèi)實(shí)施BeyondCorp安全方法，以控制誰訪問其系統(tǒng)和數(shù)據(jù)。

Beyond Corp是一個(gè)“零信任”安全框架，它將訪問控制從周邊轉(zhuǎn)移到單個(gè)設(shè)備和用戶，允許員工在不需要傳統(tǒng)虛擬專用網(wǎng)絡(luò)的情況下安全地從任何地點(diǎn)工作。

谷歌首席技術(shù)官辦公室技術(shù)總監(jiān)馬克斯·薩頓斯托爾（Max Saltonstall）表示，谷歌正在回應(yīng)其他組織就如何建立供自己使用的安全模型提出的建議。這些請(qǐng)求是在谷歌發(fā)表了幾篇研究論文描述這一舉措之后提出的。

“他們正在尋找一步的幫助，在他們的特定組織中應(yīng)用這些基于上下文的訪問實(shí)踐，所以我們?cè)诠雀鑴?chuàng)建了一系列關(guān)于我們的一些最佳實(shí)踐，”Saltonstall對(duì)這些請(qǐng)求說。

Saltonstall說，谷歌早在2010年就創(chuàng)建了Beyond Corp，因?yàn)樗蔀榱撕诳偷氖芎φ?，黑客進(jìn)入了谷歌的網(wǎng)絡(luò)并竊取了知識(shí)產(chǎn)權(quán)。這些攻擊促使谷歌放棄了訪問控制的做法，轉(zhuǎn)向依賴虛擬專用網(wǎng)絡(luò)等舊概念的安全。

對(duì)于BeyondCorp，訪問控制不再基于用戶是從公司網(wǎng)絡(luò)內(nèi)部還是外部請(qǐng)求訪問。BeyondCorp認(rèn)為，從網(wǎng)絡(luò)內(nèi)部請(qǐng)求訪問的用戶與那些尋求遠(yuǎn)程訪問的用戶一樣不可信。

因此，訪問請(qǐng)求是根據(jù)特定用戶的詳細(xì)信息、他們的工作以及他們正在使用的設(shè)備的安全狀態(tài)來授予的。簡(jiǎn)單地說，這就是所謂的零信任模式，谷歌表示，隨著2010年對(duì)其系統(tǒng)的黑客攻擊，傳統(tǒng)的網(wǎng)絡(luò)安全控制不再可信，這一模式更為有效。

“從一個(gè)特權(quán)公司網(wǎng)絡(luò)（通常以VPN為核心）轉(zhuǎn)向一個(gè)零信任網(wǎng)絡(luò)的第一步是了解你的員工和了解你的設(shè)備，”Saltonstall說。

谷歌通過重組其工作角色等級(jí)來實(shí)現(xiàn)這一點(diǎn)，以便更好地理解不同員工每天需要的訪問級(jí)別。該公司還為員工的所有設(shè)備創(chuàng)建了新的主目錄。這包括建立一個(gè)新的元庫(kù)存服務(wù)，從其資產(chǎn)管理工具中提取數(shù)據(jù)，以便建立其所有設(shè)備的中心和可信賴的記錄。

最后，谷歌說，希望部署B(yǎng)eyondCorp的組織需要了解他們?cè)趦?nèi)部使用的應(yīng)用程序，以及哪些安全策略管理對(duì)它們的訪問。這需要了解作業(yè)角色，誰可以訪問特定的服務(wù)，以及實(shí)現(xiàn)身份感知的安全控制以防止未經(jīng)授權(quán)的訪問。

谷歌并不是唯一一家推廣BeyondCorp模式的公司。去年3月，初創(chuàng)公司LumenetSecurity以1，400萬美元的合并種子和A系列的資金，以自己的方式收購(gòu)了BeyondCorp，走出了隱秘的局面。Lumine為Beyondcorp提供了一個(gè)安全治理框架，支持企業(yè)網(wǎng)絡(luò)，同時(shí)允許員工安全地從任何設(shè)備上獲取所需的資源。Lumine還借用了“軟件定義的外圍框架”中的概念。這些框架基于國(guó)防部的“需要了解”模型，該模型規(guī)定，所有試圖訪問給定基礎(chǔ)設(shè)施的端點(diǎn)必須在進(jìn)入之前進(jìn)行身份驗(yàn)證和授權(quán)。