基于上下文的安全访问:谷歌公布BeyondCorp最佳实践
BeyondCorp是谷歌采用的一种基于上下文的安全访问方法,可供员工从任意网络快速而方便地切入工作。那么,该如何着手实现适合自家公司的BeyondCorp最佳实践呢?前不久,谷歌安全工程师在官方博客上公布了其零信任网络的做法:
一、了解你的人员和设备
从需权限的公司网络(通常基于VPN技术)转型成零信任网络的第一步,就是要了解公司的人员与设备情况。当网络不再提供访问公司重要信息所需的信任时,谷歌选择根据手中掌握的员工及其设备的信息来决定是否允许访问。如果缺乏员工及其设备的可靠实时数据,便无法做出明智的决策。
为实现这一点,谷歌在员工端重构了工作角色层次结构,重新划定了工作分类以便更准确地捕捉员工的日常实际工作,核定各职能角色所需的访问类型。
该过程需要答出一些很难回答但非常合理的问题,比如:
谁需要查看内部漏洞信息?
谁需要访问源代码?
谁需要跟踪客户关系?
理清这些需要对现有工作作出调整,有时候要简化和合并职能类似的现有角色。有时候则需要调整工作分类,确保捕捉到同一工作角色下执行不同任务的各组员工之间的差异。
除此之外,还需要准确及时地掌握所有用户设备的信息。谷歌的访问机制下,设备与人同样重要。受感染设备不应获得信任。
二、维护统一的记录清单
刚开始的时候,谷歌有各种各样的系统来跟踪并维护其设备清单——资产管理工具、DHCP服务器、无线访问日志、技术支持系统等等,但都不够全面。最终,谷歌设置了元清单服务,从这些系统中吸纳数据,再关联整合成一份统一的设备清单,避免了记录冲突和重复现象。
创建该主清单服务花费了谷歌大量的时间精力,但总算能整编起谷歌的众多设备,更加全面细致地了解设备的当前状态了。由此,也就能根据设备状态,基于其所安装的软件、补丁情况和其他特征进行信任评估了。
三、后续建议
从谷歌的经验和最佳实践中还可得出以下几条关于后续工作的建议:
了解公司内部在用哪些App
决定或调整访问这些服务的安全策略
了解公司员工及其工作内容
决定谁有权访问什么东西
设置基于身份的访问控制(例如 Identity-Aware Proxy)
相关文章
- 3条评论
- 假欢鸢旧2022-06-03 21:04:17
- 西设置基于身份的访问控制(例如 Identity-Aware Proxy)
- 蓝殇铃予2022-06-03 15:57:55
- 歌的经验和最佳实践中还可得出以下几条关于后续工作的建议:了解公司内部在用哪些App决定或调整访问这些服务的安全策略了解公司员工及其工作内容决定谁有权访问什么东西设置基于身份的访问控制(例如 Identity-Aware Proxy)
- 馥妴雨安2022-06-03 14:53:34
- 谷歌设置了元清单服务,从这些系统中吸纳数据,再关联整合成一份统一的设备清单,避免了记录冲突和重复现象。创建该主清单服务花费了谷歌大量的时间精力,但总算能整编起谷歌的众多设备,更加全面细致地了解设备的当前状态了。由此,也就能根据设备状态,基于其所安装的软件、补丁情况和其他特征进行信任评估了。三、后