廢棄防火墻：Google決定不再區(qū)分內(nèi)外網(wǎng)

Google在自身企業(yè)安全實踐方面邁出了大膽的一步——不再將自身的企業(yè)應(yīng)用置于防火墻等安全設(shè)備的保護(hù)之下，不再有內(nèi)外網(wǎng)之分。

BeyondCorp計劃：徹底打破內(nèi)外網(wǎng)之別

Google的這項行動計劃名為BeyondCorp。其基本假設(shè)是——內(nèi)部網(wǎng)絡(luò)實際上跟互聯(lián)網(wǎng)一樣危險，原因有兩點：

1)一旦內(nèi)網(wǎng)邊界被突破，攻擊者就很容易訪問到企業(yè)內(nèi)部應(yīng)用。2)現(xiàn)在的企業(yè)越來越多采用移動和云技術(shù)，邊界保護(hù)變得越來越難。所以干脆一視同仁，不外區(qū)分內(nèi)外網(wǎng)，用一致的手段去對待。

這種訪問模式要求客戶端是受控的設(shè)備，并且需要用戶證書來訪問。訪問有通過認(rèn)證服務(wù)器、訪問代理以及單點登錄等手段，由訪問控制引擎統(tǒng)一管理，不同用戶、不同資源有不同的訪問權(quán)限控制，對于用戶所處位置則沒有要求。也就是說，無論用戶在Google辦公大樓、咖啡廳還是在家都是一樣的訪問方式，過去從外網(wǎng)訪問需要的VPN已經(jīng)被廢棄。而所有員工到企業(yè)應(yīng)用的連接都要進(jìn)行加密，包括在辦公大樓里面的訪問。可以說，Google的這種模式已經(jīng)徹底打破了內(nèi)外網(wǎng)之別。

BeyondCorp含有很多組件，以保證必須是授權(quán)的設(shè)備和用戶才能訪問企業(yè)內(nèi)網(wǎng)。組件描述如下：

在這種模式下，信任關(guān)系從網(wǎng)絡(luò)層面遷移到了設(shè)備層面。員工只能通過公司提供和管理的設(shè)備訪問企業(yè)應(yīng)用。Google還會跟蹤發(fā)放給員工的這些計算機(jī)和移動設(shè)備的情況及變動。

用戶安全認(rèn)證方式

設(shè)備鑒權(quán)通過之后，接下來就是對用戶的安全認(rèn)證。Google用一個用戶級群組數(shù)據(jù)庫來跟蹤管理所有的員工。這個數(shù)據(jù)庫還會跟人力資源管理掛鉤起來，員工的入職、離職或者調(diào)動均會引發(fā)數(shù)據(jù)庫的相應(yīng)改動。單點登錄系統(tǒng)(SSO)則是用來跟用戶數(shù)據(jù)庫聯(lián)動，以生成對特定資源的短期授權(quán)。

對用戶或設(shè)備的訪問級別也可以隨時改變。比方說，如果某用戶的操作系統(tǒng)未更新的話信任級別可能就會下降。同樣的，不同型號的手機(jī)的受信任級別也會不一樣。而如果員工突然在此前沒見過的位置訪問企業(yè)應(yīng)用的，可能會拒絕他訪問某些資源。

目前Google正在進(jìn)行移植工作，最終目標(biāo)是整個公司都采用這一模式。相對于大部分企業(yè)的安全管理來說，Google的這種模式的確有些驚世駭俗，但無疑代表了未來的企業(yè)安全方向。據(jù)知可口可樂、威瑞森通信、馬自達(dá)汽車公司也在逐漸的采用類似的方式。