基于上下文的安全访问:谷歌公布BeyondCorp最佳实践

基于上下文的安全访问:谷歌公布BeyondCorp最佳实践

黑帽SEO访客2021-10-11 17:59:0011813A+A-

BeyondCorp是谷歌采用的一种基于上下文的安全访问方法,可供员工从任意网络快速而方便地切入工作。那么,该如何着手实现适合自家公司的BeyondCorp最佳实践呢?前不久,谷歌安全工程师在官方博客上公布了其零信任网络的做法:

一、了解你的人员和设备

从需权限的公司网络(通常基于VPN技术)转型成零信任网络的第一步,就是要了解公司的人员与设备情况。当网络不再提供访问公司重要信息所需的信任时,谷歌选择根据手中掌握的员工及其设备的信息来决定是否允许访问。如果缺乏员工及其设备的可靠实时数据,便无法做出明智的决策。

为实现这一点,谷歌在员工端重构了工作角色层次结构,重新划定了工作分类以便更准确地捕捉员工的日常实际工作,核定各职能角色所需的访问类型。

该过程需要答出一些很难回答但非常合理的问题,比如:

谁需要查看内部漏洞信息?

谁需要访问源代码?

谁需要跟踪客户关系?

理清这些需要对现有工作作出调整,有时候要简化和合并职能类似的现有角色。有时候则需要调整工作分类,确保捕捉到同一工作角色下执行不同任务的各组员工之间的差异。

除此之外,还需要准确及时地掌握所有用户设备的信息。谷歌的访问机制下,设备与人同样重要。受感染设备不应获得信任。

二、维护统一的记录清单

刚开始的时候,谷歌有各种各样的系统来跟踪并维护其设备清单——资产管理工具、DHCP服务器、无线访问日志、技术支持系统等等,但都不够全面。最终,谷歌设置了元清单服务,从这些系统中吸纳数据,再关联整合成一份统一的设备清单,避免了记录冲突和重复现象。

创建该主清单服务花费了谷歌大量的时间精力,但总算能整编起谷歌的众多设备,更加全面细致地了解设备的当前状态了。由此,也就能根据设备状态,基于其所安装的软件、补丁情况和其他特征进行信任评估了。

三、后续建议

从谷歌的经验和最佳实践中还可得出以下几条关于后续工作的建议:

了解公司内部在用哪些App

决定或调整访问这些服务的安全策略

了解公司员工及其工作内容

决定谁有权访问什么东西

设置基于身份的访问控制(例如 Identity-Aware Proxy)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 假欢鸢旧2022-06-03 21:04:17
  • 西设置基于身份的访问控制(例如 Identity-Aware Proxy)
  • 蓝殇铃予2022-06-03 15:57:55
  • 歌的经验和最佳实践中还可得出以下几条关于后续工作的建议:了解公司内部在用哪些App决定或调整访问这些服务的安全策略了解公司员工及其工作内容决定谁有权访问什么东西设置基于身份的访问控制(例如 Identity-Aware Proxy)
  • 馥妴雨安2022-06-03 14:53:34
  • 谷歌设置了元清单服务,从这些系统中吸纳数据,再关联整合成一份统一的设备清单,避免了记录冲突和重复现象。创建该主清单服务花费了谷歌大量的时间精力,但总算能整编起谷歌的众多设备,更加全面细致地了解设备的当前状态了。由此,也就能根据设备状态,基于其所安装的软件、补丁情况和其他特征进行信任评估了。三、后

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理