提到零信任，人們總是會說到谷歌BeyondCorp專案。不僅因為它是比較早的零信任落地實踐，更在於谷歌在行業內的巨大影響力。拋開谷歌的光環，綠盟君帶大家詳細瞭解一下谷歌ByondCorp專案有哪些經驗值得學習和借鑑吧。

谷歌BeyondCorp登入體驗

谷歌BeyondCorp專案的單點登入（Single Sign On）介面如下圖所示，這也是谷歌企業員工訪問內網的登入頁面。

圖 谷歌內網登入介面

想要登入進入內網，需要填寫表單中的三個欄位：谷歌公司的員工賬號、密碼和安全碼（Security Code），或者使用下方圖示的安全硬體令牌（Security Key）。谷歌使用安全碼或者硬體令牌進行雙因素認證（2FA），這些我們通過觀察登入介面就可得知。

登入使用者需要同時滿足使用者信任和裝置信任。根據谷歌釋出的論文，登入系統的終端還需要進行認證。終端在系統的終端庫（Device Inventory），終端的硬體裝置沒有發生過變化，終端的安全性才能通過評估。這些條件都滿足，就可以登入到內網。

圖  谷歌BeyondCorp邏輯架構

BeyondCorp架構和元件

BeyondCorp專案的實現架構，在頂層視角的抽象如下圖所示。其關鍵元件包括：訪問代理和訪問控制引擎，以及為訪問控制引擎提供決策依據的各類資訊。這些上下文關聯的資訊包括：使用者庫、裝置庫、信任庫以及安全狀態。

圖  谷歌BeyondCorp實現架構

訪問代理為使用者提供了從任何地方可以訪問谷歌企業資源的入口。訪問控制引擎收集來自使用者庫、裝置庫、信任庫以及安全狀態的資訊，來決策是否允許使用者訪問內部應用。

使用者庫：使用者包括谷歌企業員工和合作夥伴。員工入職、離職需要在使用者中更新，同時需要了解使用者所在部門以及角色。

裝置庫：需要登入到企業內網的所有裝置，在其購買到報廢都需要登記在裝置庫中。登記資訊包括裝置硬體規格、作業系統等。每個裝置會有唯一的身份標示（裝置證書），裝置的零部件需要更換時，裝置庫也需要同步更新。

信任庫：儲存了角色訪問應用信任關係。程式設計師和財務部門的員工，他們對應的後臺應用顯然是不同的。處在一個部門，不同層級的員工的信任關係也是有所區別。

安全狀態：分析網路流量來發現入侵和異常，實時檢測使用者裝置的安全狀態，並將這一資訊同步都訪問控制決策引擎。此外，終端裝置的安全狀態也需要實時獲取，作為訪問控制的上下文依據。

BeyondCorp專案經驗

在2017年RSA大會上，谷歌分享了BeyondCorp專案的經驗。這些經驗可以為企業在部署零信任架構時提供參考。

取得高層支援

管理層支援是必要條件。演講者提到，BeyondCorp專案週期長（6年時間）、範圍廣（涉及所有員工），得到了包括當時CEO 拉里·佩奇在內的高層的廣泛支援。管理層理解專案的目的和必要性，提高了專案的優先順序，資源和預算得到了保證，並且能夠協調其他部門的配合。

資料質量是關鍵

準確的資料才能讓訪問控制引擎作出正確決策。不管是終端裝置的入庫和報廢，還是裝置零件的更換，都需要及時更新，使用者的資訊更新亦然，這些都是訪問控制引擎作出允許還是拒絕訪問決策的依據。

BeyondCorp在進行任何有影響的更改之前，專案團隊做了大量細緻工作，確保他們的資料乾淨可靠。後續的工作流程和技術措施，也是確保持續高質量資料的重要手段。

對使用者無痛遷移

儘量減少對使用者的干擾。使用者登入和認證的前端不做改變，改變的部分對使用者是隱蔽的、無感的。遷移到零信任的目的是更安全，員工訪問更流暢，不能影響工作效率。

專案實施的計劃和團隊也很重要。谷歌專案團隊，包括員工和服務檯（Helpdesk）人員，一起設計實施方案，避免給員工或技術支援人員帶來過多負擔。

做好與員工的溝通

出現問題時，做好員工的溝通。員工登入時可能出現裝置問題或者安全問題，需要與使用者溝通。與員工進行清晰的溝通，讓他們知道正在發生了什麼。谷歌的做法是，每當有重要更改時，他們都會與員工、合作伙伴和公司領導溝通，讓他們瞭解更改的目的，並且根據他們的反饋做調整。

執行在高度可靠的系統上

BeyongCorp執行在高可用的、支援全球員工訪問的系統。由於每個請求都通過BeyondCorp核心基礎架構，谷歌建立了一套全球的、高可靠的和彈性的架構服務。

谷歌BeyondCorp專案，為遠端辦公的員工提供安全的統一接入服務，可以訪問企業內部的應用系統。疫情期間，遠端辦公的非接觸方式，成為很多公司的選擇。需要遠端訪問企業內應用系統的場景，企業可以瞭解並借鑑谷歌BeyondCorp專案經驗。