谷歌揭秘其分層訪問模型實現,講述其全球員工設備安全防護措施。
訪問控制最簡單的解決方案是二元的:網絡訪問要么放行,要么拒絕。這辦法太粗糙了,無法適應現代商業(yè)文化中最大化用戶生產力和創(chuàng)造性的需要。細粒度的訪問控制,可以讓用戶在需要的時候訪問需要的東西,是更適應現代商業(yè)的一種模式。
谷歌自己約6.1萬人的全球員工身上,就用的是此類訪問控制模型——分層訪問( Tiered Access )。4月20號發(fā)布的一份白皮書及博客文章中,谷歌解釋,其創(chuàng)新之處在于,將多種不同設備連接到多種不同資產與服務上的自由與靈活性。這是許多現代公司都會與之產生共鳴的一種看法。
分層訪問的實現,是要為谷歌極度異構的環(huán)境提供恰當的訪問模型。分層訪問既能確保公司資源安全,又能讓用戶在訪問與安全控制之間做出明智的取舍。
很多公司都允許員工在自己使用的設備上擁有一定的靈活性——尤其是施行BYOD策略的情況下。
實現分層訪問,首先要分析客戶群設備和數據源,分析將被訪問的服務,選擇某種能評估策略并對客戶群和服務之間的訪問,做出決策的網關/訪問控制技術。
谷歌使用其內部開發(fā)的工具收集設備數據,但申明其他公司可以使用安全報告系統(日志)、補丁管理系統、資產管理系統和集中式管理面板。目的是將設備屬性和設備狀態(tài),收集到中央資料庫中。
設備屬性可以基于廠商、操作系統、內置安全特性等,定義出設備基準線。持續(xù)監(jiān)視的設備狀態(tài),則可凸顯出偏離設備基線的情況。這二者都能用于將設備關聯到不同的層級。
舉個例子,如果是“全托管”下的安卓設備,就可以在更高信任層級訪問更多敏感數據,也就是提供完整設備控制與對具體系統和網絡日志的訪問。低信任層級則對有工作許可的BYOD設備開放。
設備與服務之間,是訪問控制引擎,按請求對企業(yè)應用提供服務級授權。它需要中央資料庫來對訪問授權做出決策——這是安全團隊定義和管理策略的地方。
分層訪問模型中的“層”,是應用到公司不同服務上的敏感層級。谷歌只分了4層:不受信任的;基本訪問;特權訪問;高特權訪問。選4層是一種在太多(讓系統過于復雜)和太少(又回到了分層方法試圖改進的二元訪問控制狀態(tài))之間的權衡。
目前谷歌對其現場和移動工作人員的分層訪問解決方案就是這樣了,但該方案仍在發(fā)展過程中。有4個方面正在考慮。
首先是在確保用戶理解安全要求的同時,提升訪問決策精準度,增加系統細粒度。
其次,考慮用戶行為與機器分析得出的正常行為間的異同,在設備屬性之上添加用戶屬性。這將讓訪問授權不僅基于設備還基于當前用戶行為。
第三,鼓勵用戶實時自愿跨越信任層,驅動信任層的自主選擇。比如說,只在接下來的2小時里選擇處于“完全信任”層。
最后,谷歌希望改善該服務的加載過程。因為總是有服務被添加或更新,它們都需要根據風險和敏感性進行分類。“想要擴展,服務擁有者必須要能夠自己做出正確的層次分配,而這個過程是不斷改進的。”
谷歌希望,通過共享其自身在開發(fā)和部署分層訪問上的經驗,IT和安全管理員能夠感覺自己可以開發(fā)靈活有效的訪問控制系統,更好地適應當前業(yè)務。谷歌分層訪問項目與BeyondCorp計劃攜手共進,挑戰(zhàn)私有或“內部”IP地址代表比互聯網上地址“更可信”設備的傳統觀念。BeyondCorp在基礎設施安全設計概述中有部分討論。