谷歌分享了BeyondCorp“零信任”安全策略的細節(jié)

谷歌有限責任公司今天發(fā)表了一篇冗長的博客文章，詳細介紹了它如何在其組織內實施BeyondCorp安全方法，以控制誰訪問其系統(tǒng)和數據。

Beyond Corp是一個“零信任”安全框架，它將訪問控制從周邊轉移到單個設備和用戶，允許員工在不需要傳統(tǒng)虛擬專用網絡的情況下安全地從任何地點工作。

谷歌首席技術官辦公室技術總監(jiān)馬克斯·薩頓斯托爾（Max Saltonstall）表示，谷歌正在回應其他組織就如何建立供自己使用的安全模型提出的建議。這些請求是在谷歌發(fā)表了幾篇研究論文描述這一舉措之后提出的。

“他們正在尋找一步的幫助，在他們的特定組織中應用這些基于上下文的訪問實踐，所以我們在谷歌創(chuàng)建了一系列關于我們的一些最佳實踐，”Saltonstall對這些請求說。

Saltonstall說，谷歌早在2010年就創(chuàng)建了Beyond Corp，因為它成為了黑客的受害者，黑客進入了谷歌的網絡并竊取了知識產權。這些攻擊促使谷歌放棄了訪問控制的做法，轉向依賴虛擬專用網絡等舊概念的安全。

對于BeyondCorp，訪問控制不再基于用戶是從公司網絡內部還是外部請求訪問。BeyondCorp認為，從網絡內部請求訪問的用戶與那些尋求遠程訪問的用戶一樣不可信。

因此，訪問請求是根據特定用戶的詳細信息、他們的工作以及他們正在使用的設備的安全狀態(tài)來授予的。簡單地說，這就是所謂的零信任模式，谷歌表示，隨著2010年對其系統(tǒng)的黑客攻擊，傳統(tǒng)的網絡安全控制不再可信，這一模式更為有效。

“從一個特權公司網絡（通常以VPN為核心）轉向一個零信任網絡的第一步是了解你的員工和了解你的設備，”Saltonstall說。

谷歌通過重組其工作角色等級來實現這一點，以便更好地理解不同員工每天需要的訪問級別。該公司還為員工的所有設備創(chuàng)建了新的主目錄。這包括建立一個新的元庫存服務，從其資產管理工具中提取數據，以便建立其所有設備的中心和可信賴的記錄。

最后，谷歌說，希望部署B(yǎng)eyondCorp的組織需要了解他們在內部使用的應用程序，以及哪些安全策略管理對它們的訪問。這需要了解作業(yè)角色，誰可以訪問特定的服務，以及實現身份感知的安全控制以防止未經授權的訪問。

谷歌并不是唯一一家推廣BeyondCorp模式的公司。去年3月，初創(chuàng)公司LumenetSecurity以1，400萬美元的合并種子和A系列的資金，以自己的方式收購了BeyondCorp，走出了隱秘的局面。Lumine為Beyondcorp提供了一個安全治理框架，支持企業(yè)網絡，同時允許員工安全地從任何設備上獲取所需的資源。Lumine還借用了“軟件定義的外圍框架”中的概念。這些框架基于國防部的“需要了解”模型，該模型規(guī)定，所有試圖訪問給定基礎設施的端點必須在進入之前進行身份驗證和授權。