據《華爾街日報》報導,Google 在自身企業安全實踐方面邁出了大膽的一步,搜索巨頭正在將自家的企業應用搬到互聯網上。也就是說,不再將自身的企業應用置於防火牆等安全設備的保護之下,不再有內外網之分。
Google 的這項行動計劃名為 BeyondCorp。其基本假設是,內部網絡實際上跟互聯網一樣危險。因為
1)一旦內網邊界被突破,攻擊者就很容易訪問到企業內部應用。
2)現在的企業越來越多采用移動和雲技術,邊界保護變得越來越難。所以乾脆一視同仁,不外區分內外網,用一致的手段去對待。
這種訪問模式要求客戶端是受控的設備,並且需要用戶證書來訪問。訪問有通過認證服務器、訪問代理以及單點登錄等手段,由訪問控制引擎統一管理,不同用戶、不同資源有不同的訪問權限控制,對於用戶所處位置則沒有要求。
也就是說,無論用戶在 Google 辦公大樓、咖啡廳還是在家都是一樣的訪問方式,過去從外網訪問需要的 VPN 已經被廢棄。而所有員工到企業應用的連接都要進行加密,包括在辦公大樓裡面的訪問。可以說,Google 的這種模式已經徹底打破了內外網之別。
在這種模式下,信任關係從網絡層面遷移到了設備層面。員工只能通過公司提供和管理的設備訪問企業應用。Google 還會跟踪發放給員工的這些計算機和移動設備的情況及變動。
設備鑑權通過之後,接下來就是對用戶的安全認證。Google 用一個用戶級群組數據庫來跟踪管理所有的員工。這個數據庫還會跟人力資源管理掛鉤起來,員工的入職、離職或者調動均會引發數據庫的相應改動。單點登錄系統(SSO)則是用來跟用戶數據庫聯動,以生成對特定資源的短期授權。
對用戶或設備的訪問級別也可以隨時改變。比方說,如果某用戶的操作系統未更新的話信任級別可能就會下降。同樣的,不同型號的手機的受信任級別也會不一樣。而如果員工突然在此前沒見過的位置訪問企業應用的,可能會拒絕他訪問某些資源。
目前 Google 正在進行移植工作,最終目標是整個公司都採用這一模式。相對於大部分企業的安全管理來說,Google 的這種模式的確有些驚世駭俗,但無疑代表了未來的企業安全方向。
- 延伸閱讀
大神公佈白皮書:Android 很安全,看我們多認真保護資安
2014 資安報告揭露:我最愛的 Chrome 竟榮登漏洞最多瀏覽器
專訪國際刑警資安顧問:拜託,別再用 Windows XP 了!
(本文轉載自合作夥伴《36Kr》;未經授權,不得轉載)
