谷歌的工程师表示，网络边界问题（network perimeter）已经过时。

谷歌披露了将其所有企业IT系统迁移到云上的计划，并跟上通过“BeyondCorp项目”引领的移动办公潮流。

该公司发言人告诉《华尔街日报》，谷歌已经将约90%的企业应用迁移到远程数据中心当中。

就安全保障而言，这种模式依靠管理服务和用户证书，而非使用VPN、防火墙和其他技术，因为这些手段会对非授权的公司网络访问进行限制。

“网络边界”之死

BeyondCorp项目最先在12月出版的白皮书中进行了描述，它可通过三个步骤代替传统的网络安全机制，即验证、授权和加密。

该白皮书的作者们还注意到，虽然防火墙可能成功阻碍攻击者进入网络内部，却无法在它们成功入侵后，阻碍它们的自由移动。

“虽然不少企业认为在内部网络公开企业应用是安全的做法，谷歌的经验却证明这个看法是不对的，”谷歌工程师Rory Ward和Betsy Beyer在白皮书里写道。

“相反，我们应该认为内部网络就像公共网络一样充满危险，并基于这个假设构建企业应用。”

和传统模式相反的是，BeyondCorp将可让谷歌员工在世界的任何一个地方工作，前提是使用该公司分配并管理的笔记本电脑、智能电话和平板电脑。它还引入了加密技术，这种技术甚至可以应用到谷歌办公室内部的连接。

这个新系统的核心是该公司所有员工的数据库。这个数据库会随着新员工的加入，老员工的离开或职位的变更而持续进行更新，并列出他们所有相关账户的设备。当用户签约的时候，他们会获得特定资源的临时授权。

此外，每个设备还会就采取的安全措施接受持续的评估。例如，没有进行重要更新的智能电话会无法访问高价值数据。该系统还会追踪设备所在的位置信息，因此如果迁移到异常的地方可能也会导致访问受限——这和主要银行目前采用的旨在防止信用卡和借记卡违规欺诈的做法类似。

这篇论文写道，虽然大部分迁移工作已经完成，但将剩下的10%的应用迁移到云上的难度要大很多。

“我们预计会有很多工作需要做，迁移到BeyondCorp还需要一段时间。比如，采用专有协议与服务器通信的胖客户端（fat-client）就是一个挑战，”这篇论文总结道。

“我们正在研究将这些应用迁移到 BeyondCorp的方法，其中一种可能的方式是采用验证服务将它们配对。”

文章来源：DatacenterDynamics