如果公司所有電腦和應(yīng)用都直接連入互聯(lián)網(wǎng)會(huì)怎么樣？這就是谷歌BeyondCorp背后的假定。BeyondCorp是谷歌在2014年提出的新網(wǎng)絡(luò)安全模型，現(xiàn)在，它開始收到來自網(wǎng)絡(luò)和安全廠商的關(guān)注。

近些年，企業(yè)已經(jīng)超出了傳統(tǒng)的工作空間，員工可以用自己的設(shè)備或者通過訪問云端App，來遠(yuǎn)程辦公。為將漫游的員工納入公司本地網(wǎng)絡(luò)安全措施照看之下，公司企業(yè)依靠VNP和終端軟件來實(shí)施網(wǎng)絡(luò)訪問控制。

谷歌的BeyondCorp企業(yè)安全方法，將關(guān)注重點(diǎn)從網(wǎng)絡(luò)邊界上解放出來，放到設(shè)備和用戶身上，不再按是否處于內(nèi)部網(wǎng)絡(luò)，來給設(shè)備分配或高或低的信任級(jí)別。

一些安全廠商已經(jīng)開始擁抱該“無默認(rèn)信任”的安全模型。Duo Security，一家雙因子身份驗(yàn)證提供商，上周發(fā)布了其自有的基于BeyondCorp的產(chǎn)品，另一家企業(yè)軟件初創(chuàng)公司ScaleFT，則已經(jīng)推出了基于同樣理念的動(dòng)態(tài)訪問管理服務(wù)。

甚至思科系統(tǒng)這樣的網(wǎng)絡(luò)和安全設(shè)備廠商，也已經(jīng)開始講傳統(tǒng)邊界安全網(wǎng)關(guān)遷移到云端，以更好地服務(wù)漫游的員工。

Duo Security 的 Duo Beyond 服務(wù)包含一個(gè)為公司所有基于Web的應(yīng)用提供身份驗(yàn)證的軟件包，無論這些應(yīng)用是在本地網(wǎng)絡(luò)內(nèi)部還是在云端。該服務(wù)可被部署在公司網(wǎng)絡(luò)的隔離區(qū)(DMZ)，提供實(shí)施設(shè)備和用戶訪問策略的單點(diǎn)登錄功能。

Duo Beyond 默認(rèn)為所有設(shè)備假定一個(gè)零信任環(huán)境，無論設(shè)備是從企業(yè)網(wǎng)絡(luò)內(nèi)部還是從外部接入的。也就是說，通過對(duì)受公司管理的設(shè)備部署Duo證書，它確實(shí)為管理員提供了區(qū)分公司設(shè)備和個(gè)人設(shè)備的功能。

該設(shè)備識(shí)別過程有很多好處?？梢暂p松發(fā)現(xiàn)訪問公司應(yīng)用的新增設(shè)備，幫助公司創(chuàng)建和維護(hù)包括雇員個(gè)人設(shè)備在內(nèi)的準(zhǔn)確的設(shè)備清單。還可以限制對(duì)某些應(yīng)用或賬戶的訪問只能從公司管理的設(shè)備上發(fā)起，保證一定的安全。

該服務(wù)還可以檢查接入設(shè)備的安全狀態(tài)，看其運(yùn)行的是否是最新的OS和瀏覽器版本，瀏覽器插件是否最新，移動(dòng)設(shè)備的加密和口令保護(hù)是否開啟；讓管理員可以根據(jù)設(shè)備健康來創(chuàng)建細(xì)粒度的訪問規(guī)則，確保只有相當(dāng)安全的設(shè)備才可以訪問公司應(yīng)用，即便這些設(shè)備是員工自己擁有和維護(hù)的。

Duo Security 不期待客戶部署 Duo Beyond 后完全拋棄VPN，但基于該公司目前為止的經(jīng)驗(yàn)，客戶最多可削減高達(dá)80%的VPN許可成本。這是因?yàn)榇蠖鄶?shù)漫游員工只用VPN連接來訪問少數(shù)常用內(nèi)網(wǎng)Web應(yīng)用，比如Confluence、Jira或Sharepoint。

Duo Beyond 服務(wù)售價(jià)$9/月，包含了該公司之前 Duo Access 服務(wù)的全部東西，再加上新的基于證書的設(shè)備識(shí)別，以及控制遠(yuǎn)程用戶訪問內(nèi)部App的機(jī)制。

遷移到設(shè)備位置不再重要的BeyondCorp安全模型，可以幫助公司企業(yè)免除加高內(nèi)部網(wǎng)絡(luò)虛擬墻的必要。網(wǎng)絡(luò)分段依賴設(shè)置防火墻和VLAN，來限制對(duì)特定應(yīng)用和服務(wù)的訪問，是一種難以實(shí)現(xiàn)的措施，而且會(huì)很快成為一項(xiàng)管理負(fù)擔(dān)。

實(shí)際上，如很多公開披露的安全事件所證明的，攻擊者一旦侵入網(wǎng)絡(luò)，往往能在網(wǎng)絡(luò)中橫行無忌。大多數(shù)黑客都是從對(duì)低級(jí)員工的網(wǎng)絡(luò)釣魚開始的，然后，一旦進(jìn)入網(wǎng)絡(luò)，就在各個(gè)系統(tǒng)中跳轉(zhuǎn)，利用漏洞，盜取訪問憑證，一路直達(dá)目標(biāo)企業(yè)的重要資產(chǎn)。

谷歌自己的網(wǎng)絡(luò)也在2009年末被入侵了，據(jù)稱是源自中國的網(wǎng)絡(luò)間諜活動(dòng)——“極光行動(dòng)”的一部分。黑客就是從盯上該公司員工開始，最后尋求到了人權(quán)倡導(dǎo)者的Gmail賬戶。

其他安全廠商也在歡迎BeyondCorp，雖然在實(shí)現(xiàn)上稍有不同，總體目標(biāo)是一樣的：將安全帶出嚴(yán)格定義的網(wǎng)絡(luò)邊界之外。

Duo Beyond 只用于基于Web的應(yīng)用，其設(shè)備洞見技術(shù)無需代理。關(guān)于筆記本OS、瀏覽器和插件的信息都是從瀏覽器自身獲取。

該方法限制了能被收集的信息種類，但Due認(rèn)為這恰好擊中了安全和可用性之間正確的平衡點(diǎn)——因?yàn)檎f服用戶在個(gè)人設(shè)備上安裝公司強(qiáng)制的軟件可能會(huì)很棘手。

相對(duì)的，ScaleFT提供的動(dòng)態(tài)訪問管理( Dynamic Access Management )，則為Linux和Windows服務(wù)器所用的遠(yuǎn)程訪問協(xié)議SSH和RDP(遠(yuǎn)程桌面協(xié)議)服務(wù)。。ScaleFT的服務(wù)確實(shí)要求安裝客戶端軟件，用以同步短時(shí)訪問證書，處理設(shè)備注冊及本地賬戶創(chuàng)建問題。

受到解決漫游員工、BYOD和SaaS問題需求的驅(qū)動(dòng)，一些網(wǎng)絡(luò)廠商甚至開始將安全設(shè)備遷出網(wǎng)絡(luò)邊界，融入云端。

2月13日，思科系統(tǒng)發(fā)布了首個(gè)“安全互聯(lián)網(wǎng)網(wǎng)關(guān)”(SIG)——基于該公司2015年收購的 OpenDNS Umbrella 云服務(wù)。

思科稱：“無論用戶在哪兒，即便斷開VPN連接，SIG也能提供安全互聯(lián)網(wǎng)訪問。在連接任何地址之前，SIG都能起到互聯(lián)網(wǎng)安全匝道的作用，提供第一道防御和檢驗(yàn)。無論用戶身處何方，無論他們想訪問哪里，流量先從SIG通過。”

如果該企業(yè)安全思考新方式流行起來，甚至可能會(huì)推動(dòng)IPv6采用的加速，目前IPv6停滯不前，部分原因在于其可能給網(wǎng)絡(luò)邊界撕開口子，以及很多公司依然在用沒有良好支持的老舊防火墻和設(shè)備。