隨著越來越多的員工開始遠(yuǎn)程辦公，傳統(tǒng)網(wǎng)絡(luò)邊界安全概念變得毫無意義，企業(yè)需要新的方法構(gòu)筑企業(yè)網(wǎng)絡(luò)安全。日前谷歌透露其創(chuàng)建BeyondCrop程序?qū)崿F(xiàn)軟件定義安全的相關(guān)細(xì)節(jié)，從中企業(yè)可以借鑒他們實現(xiàn)防火墻移動的方式。

早在六年前，該BeyondCorp計劃既已啟動，該計劃意在打造基于“零信任”模型的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)，認(rèn)證基于受信任的設(shè)備和用戶而非網(wǎng)絡(luò)本身。

打破“墻”的概念

歷史上企業(yè)網(wǎng)絡(luò)一直像個“城堡”一般，為了保護(hù)企業(yè)網(wǎng)絡(luò)免受互聯(lián)網(wǎng)侵?jǐn)_，企業(yè)購買各種網(wǎng)絡(luò)設(shè)備——三層防火墻、二層防火墻以及Web應(yīng)用防火墻來確保“城堡”邊界的安全。移動化讓城堡里的人逐漸走出城堡，顯然對于城堡外的人來講墻沒有任何意義。

基于此，谷歌開始對網(wǎng)絡(luò)安全進(jìn)行大規(guī)模檢查，因而有了BeyondCorp的誕生。該程序主要基于三個原則：

一、所有網(wǎng)絡(luò)皆被視為不可信的；

二、基于已知的用戶和設(shè)備進(jìn)行授權(quán)訪問；

三、所有對服務(wù)的訪問必須進(jìn)行身份驗證、授權(quán)和加密。

BeyondCrop工作機(jī)制

首先，谷歌需要使用更細(xì)粒度的作業(yè)代碼重新創(chuàng)建員工數(shù)據(jù)庫，以確定允許用戶訪問哪些應(yīng)用程序和數(shù)據(jù)。他們需要創(chuàng)建受管設(shè)備的詳細(xì)數(shù)據(jù)庫（從采購到配置到生命周期終止，包括維修或升級），這種設(shè)備的“動態(tài)信任庫”由谷歌內(nèi)部CA頒發(fā)數(shù)字證書，用作唯一標(biāo)識符。

存儲庫給不同的硬件配置不同的信任級別，并創(chuàng)建策略界定一個設(shè)備可以在網(wǎng)絡(luò)上做什么。例如要訪問源代碼系統(tǒng)，必須是具有工程作業(yè)代碼并使用完全信任的桌面的全職谷歌員工才可以。

之后，谷歌將公司的單點登錄外部化，并創(chuàng)建“反向代理”來驗證用戶。

通過這種方法，用戶和任何潛在的攻擊者都不可能進(jìn)行橫向移動，因為設(shè)備或用戶只允許訪問他們得到授權(quán)的資源。這樣一來，企業(yè)能夠有效地減小攻擊面積，且無副作用。

BeyondCorp對其他企業(yè)的借鑒意義

從傳統(tǒng)企業(yè)網(wǎng)絡(luò)遷移至BeyondCorp前，谷歌花費(fèi)兩年時間來創(chuàng)建用戶和設(shè)備信任庫，這是一個比較漫長的過程。且谷歌實行BeyondCorp計劃離不開高層的支持，盡管該類型網(wǎng)絡(luò)維護(hù)成本較低，但對預(yù)算要求頗高。

該計劃要求所有設(shè)備都是受管理的，而用戶自帶設(shè)備會使維護(hù)設(shè)備信任庫變得更加困難。當(dāng)然，成本和預(yù)算不應(yīng)該成為企業(yè)尋求新的安全方法的制約因素。

此外，在考慮部署B(yǎng)eyondCorp這類架構(gòu)前，企業(yè)安全專業(yè)人員需全面理解“認(rèn)證第一、連接第二”的架構(gòu)理念。無論是BeyondCorp還是其他軟件定義安全模型，都提供了一種新的安全模式，設(shè)備和用戶只能獲得經(jīng)過驗證的資源，如此企業(yè)才構(gòu)建了更為安全的環(huán)境。