谷歌的“零信任模式”要革防火墙的命！

2017-02-16 云头条

从某些方面来看，谷歌与其他大型企业毫无二致。它具有典型的防御安全姿态，并基于这一概念：企业就是你的城堡；搞好安全需要建造城壕和墙壁，以保护边界。

然而，随着时间的推移，由于谷歌流动性越来越强的员工队伍（遍布世界各地）需要访问网络，这个边界逐渐千疮百孔。员工对于必须通过有时缓慢、不可靠的VPN来访问这种做法颇有怨言。除此之外，与其他每家公司一样，谷歌也在向云进军，而云也在城堡外面。

而在其他方面，谷歌与其他任何公司又有所不同。不需要详细的业务计划或成本/效益分析，谷歌高管就对一个旨在彻底重塑公司安全基础设施的雄心勃勃的项目大开绿灯。

基本前提很简单：“墙壁不管用，”谷歌的安全主管希瑟·阿德金斯（Heather Adkins）说。阿德金斯在RSA大会上发言时表示，目的是淡化防火墙及其他边界防御系统的重要性，改而采用一种“零信任”（zero trust）模式。

这就意味着每个设备一开始是不受信任的，无论设备在公司总部里面，还是在某个地方的星巴克店面。按照这种新模式，一切围绕用户和设备。基于谷歌对于最终用户及其设备的了解来授予访问权。而针对服务的所有访问都必须通过验证、授权和加密。

她补充道，这个为期多年的项目名为BeyondCorp，其最终目的是，每个员工不需要使用VPN，就能够从不受信任的网络顺利地工作。这意味着单点登录或其他类型的访问代理。

这个项目分多个步骤来开展。首先，他们必须编制一份用户清单，详细列出每个员工的工作分类以及该员工应该可以访问哪些服务。下一步是为设备编制一份类似的清单，包括跟踪每个设备，从采购到报废，全程跟踪。

接下来，谷歌构建了自己的访问控制引擎，该引擎能够检查来自世界上任何地方的任何员工和任何设备的每次网络访问。为了制定访问控制策略，谷歌需要获取来自20个不同来源的数据。

谷歌的网站可靠性工程经理罗里·沃德（Rory Ward）表示，全部系统构建好花了两三年的时间。而这甚至还不是最难的部分。

沃德表示，现在，他们不得不将人员从旧的网络迁出来，迁入到新的“零信任”网络上，而且是在没有“干扰任何人”的情况下。换句话说，这么做的过程中没有影响任何人正常访问他们完成工作所需要的应用程序或服务。

据沃德声称，迁移工作本身又花了两年时间。工作团队在全球200个谷歌建筑物安装了这套新系统，但并没有立马启用。他们使用嗅探器（sniffer）获取与该位置的特权网络有关的所有实际流量，并且重新让该流量通过新的非特权系统来传送，新系统暂时保持离线状态。

沃德及其团队对新系统一点点地树立起了信心，开始让人员迁移过去。沃德表示，随着时间的推移，他领导的团队已积累了“一个庞大的数据库，知道哪些部分在新网络上行不通。”

但他们在奋力前行。他说：“我们不断改进该系统，直到它行为止。我们设法重塑了世界，而且在此过程中并没有干扰任何人。”

阿德金斯表示，该团队学到了几个宝贵的经验教训，可能有助于想要作一番尝试的其他公司。实际上，谷歌已公开发布了关于BeyondCorp的信息（https://research.google.com/pubs/pub43231.html）。

关键的几点启示就是，你需要企业高管坚定不移的支持；需要获得准确的数据；迁移过程不能带来痛苦。此外，还需要向用户清楚地传达内容；底层系统需要做到高度可靠。

阿德金斯表示，结果是，谷歌的员工更快乐、工作起来更高效。而新系统让IT更简单，这有助于降低成本。

一些安全厂商已经开始积极采用这种默认情况下不信任的安全模式。受BeyondCorp的启示，Duo Security这家双因子验证提供商上周推出了自己的产品；企业软件初创公司ScaleFT也暂时拥有基于同样原理的动态访问管理服务。

连思科等网络和安全设备生产商也已开始将传统的边界安全网关移到云端，以便为四处移动的员工提供更好的服务。

Duo Security新的Duo Beyond服务包括一个软件包，该软件包为一家公司所有基于Web的应用程序充当验证网关，无论这些应用程序托管在本地网络里面还是托管在云端。它可以部署在公司网络的非军事区（DMZ），提供一种单点登录服务，执行基于设备和用户的访问策略。

实际上，许多公之于众的安全事件表明，一旦攻击者闯入网络，常常就能够在网络里面横向移动。大多数黑客一开始只是通过网络钓鱼或其他手法攻击低级员工，然后一旦潜入到网络里面，就从一个系统跳到另一个系统，钻安全漏洞的空子，一路窃取访问登录信息，直至他们找到企业的最宝贵数据。

谷歌自己的网络在2009年底遭到入侵。那伙黑客一开始找公司的员工下手，后来设法闯入了人权活动家的帐户。

其他安全厂商也在积极接受BeyondCorp；虽然实施方法有所不同，但目标大体一致：让安全不仅限于严格定义的网络边界。

如果企业安全方面的这条新思路深得人心，它甚至也许有助于加快企业采用IPv6的步伐。IPv6的采用遭到了很大的阻力，一方面是由于有人担心因此会给网络边界带来漏洞，另一方面是由于许多公司仍拥有旧的防火墙和设备，这些旧设备对于IPv6缺乏适当的支持。

云头条编译｜未经授权谢绝转载