基于上下文的安全访问:谷歌公布BeyondCorp最佳实践
BeyondCorp是谷歌采用的一种基于上下文的安全访问方法,可供员工从任意网络快速而方便地切入工作。那么,该如何着手实现适合自家公司的BeyondCorp最佳实践呢?前不久,谷歌安全工程师在官方博客上公布了其零信任网络的做法:
一、了解你的人员和设备
从需权限的公司网络(通常基于VPN技术)转型成零信任网络的第一步,就是要了解公司的人员与设备情况。当网络不再提供访问公司重要信息所需的信任时,谷歌选择根据手中掌握的员工及其设备的信息来决定是否允许访问。如果缺乏员工及其设备的可靠实时数据,便无法做出明智的决策。
为实现这一点,谷歌在员工端重构了工作角色层次结构,重新划定了工作分类以便更准确地捕捉员工的日常实际工作,核定各职能角色所需的访问类型。
该过程需要答出一些很难回答但非常合理的问题,比如:
谁需要查看内部漏洞信息?
谁需要访问源代码?
谁需要跟踪客户关系?
理清这些需要对现有工作作出调整,有时候要简化和合并职能类似的现有角色。有时候则需要调整工作分类,确保捕捉到同一工作角色下执行不同任务的各组员工之间的差异。
除此之外,还需要准确及时地掌握所有用户设备的信息。谷歌的访问机制下,设备与人同样重要。受感染设备不应获得信任。
二、维护统一的记录清单
刚开始的时候,谷歌有各种各样的系统来跟踪并维护其设备清单——资产管理工具、DHCP服务器、无线访问日志、技术支持系统等等,但都不够全面。最终,谷歌设置了元清单服务,从这些系统中吸纳数据,再关联整合成一份统一的设备清单,避免了记录冲突和重复现象。
创建该主清单服务花费了谷歌大量的时间精力,但总算能整编起谷歌的众多设备,更加全面细致地了解设备的当前状态了。由此,也就能根据设备状态,基于其所安装的软件、补丁情况和其他特征进行信任评估了。
三、后续建议
从谷歌的经验和最佳实践中还可得出以下几条关于后续工作的建议:
了解公司内部在用哪些App
决定或调整访问这些服务的安全策略
了解公司员工及其工作内容
决定谁有权访问什么东西
设置基于身份的访问控制(例如 Identity-Aware Proxy)
相关阅读