遠端辦公怎麼保證系統安全?跟著谷歌BeyondCorp學一學

綠盟科技發表於2020-03-06

提到零信任,人們總是會說到谷歌BeyondCorp專案。不僅因為它是比較早的零信任落地實踐,更在於谷歌在行業內的巨大影響力。拋開谷歌的光環,綠盟君帶大家詳細瞭解一下谷歌ByondCorp專案有哪些經驗值得學習和借鑑吧。

谷歌BeyondCorp登入體驗

谷歌BeyondCorp專案的單點登入(Single Sign On)介面如下圖所示,這也是谷歌企業員工訪問內網的登入頁面。

遠端辦公怎麼保證系統安全?跟著谷歌BeyondCorp學一學

圖 谷歌內網登入介面

想要登入進入內網,需要填寫表單中的三個欄位:谷歌公司的員工賬號、密碼和安全碼(Security Code),或者使用下方圖示的安全硬體令牌(Security Key)。谷歌使用安全碼或者硬體令牌進行雙因素認證(2FA),這些我們通過觀察登入介面就可得知。

登入使用者需要同時滿足使用者信任和裝置信任。根據谷歌釋出的論文,登入系統的終端還需要進行認證。終端在系統的終端庫(Device Inventory),終端的硬體裝置沒有發生過變化,終端的安全性才能通過評估。這些條件都滿足,就可以登入到內網。

遠端辦公怎麼保證系統安全?跟著谷歌BeyondCorp學一學

圖  谷歌BeyondCorp邏輯架構

BeyondCorp架構和元件

BeyondCorp專案的實現架構,在頂層視角的抽象如下圖所示。其關鍵元件包括:訪問代理和訪問控制引擎,以及為訪問控制引擎提供決策依據的各類資訊。這些上下文關聯的資訊包括:使用者庫、裝置庫、信任庫以及安全狀態。

遠端辦公怎麼保證系統安全?跟著谷歌BeyondCorp學一學

圖  谷歌BeyondCorp實現架構

訪問代理為使用者提供了從任何地方可以訪問谷歌企業資源的入口。訪問控制引擎收集來自使用者庫、裝置庫、信任庫以及安全狀態的資訊,來決策是否允許使用者訪問內部應用。

使用者庫:使用者包括谷歌企業員工和合作夥伴。員工入職、離職需要在使用者中更新,同時需要了解使用者所在部門以及角色。

裝置庫:需要登入到企業內網的所有裝置,在其購買到報廢都需要登記在裝置庫中。登記資訊包括裝置硬體規格、作業系統等。每個裝置會有唯一的身份標示(裝置證書),裝置的零部件需要更換時,裝置庫也需要同步更新。

信任庫:儲存了角色訪問應用信任關係。程式設計師和財務部門的員工,他們對應的後臺應用顯然是不同的。處在一個部門,不同層級的員工的信任關係也是有所區別。

安全狀態:分析網路流量來發現入侵和異常,實時檢測使用者裝置的安全狀態,並將這一資訊同步都訪問控制決策引擎。此外,終端裝置的安全狀態也需要實時獲取,作為訪問控制的上下文依據。

BeyondCorp專案經驗

在2017年RSA大會上,谷歌分享了BeyondCorp專案的經驗。這些經驗可以為企業在部署零信任架構時提供參考。

取得高層支援

管理層支援是必要條件。演講者提到,BeyondCorp專案週期長(6年時間)、範圍廣(涉及所有員工),得到了包括當時CEO 拉里·佩奇在內的高層的廣泛支援。管理層理解專案的目的和必要性,提高了專案的優先順序,資源和預算得到了保證,並且能夠協調其他部門的配合。

資料質量是關鍵

準確的資料才能讓訪問控制引擎作出正確決策。不管是終端裝置的入庫和報廢,還是裝置零件的更換,都需要及時更新,使用者的資訊更新亦然,這些都是訪問控制引擎作出允許還是拒絕訪問決策的依據。

BeyondCorp在進行任何有影響的更改之前,專案團隊做了大量細緻工作,確保他們的資料乾淨可靠。後續的工作流程和技術措施,也是確保持續高質量資料的重要手段。

對使用者無痛遷移

儘量減少對使用者的干擾。使用者登入和認證的前端不做改變,改變的部分對使用者是隱蔽的、無感的。遷移到零信任的目的是更安全,員工訪問更流暢,不能影響工作效率。

專案實施的計劃和團隊也很重要。谷歌專案團隊,包括員工和服務檯(Helpdesk)人員,一起設計實施方案,避免給員工或技術支援人員帶來過多負擔。

做好與員工的溝通

出現問題時,做好員工的溝通。員工登入時可能出現裝置問題或者安全問題,需要與使用者溝通。與員工進行清晰的溝通,讓他們知道正在發生了什麼。谷歌的做法是,每當有重要更改時,他們都會與員工、合作伙伴和公司領導溝通,讓他們瞭解更改的目的,並且根據他們的反饋做調整。

執行在高度可靠的系統上

BeyongCorp執行在高可用的、支援全球員工訪問的系統。由於每個請求都通過BeyondCorp核心基礎架構,谷歌建立了一套全球的、高可靠的和彈性的架構服務。

谷歌BeyondCorp專案,為遠端辦公的員工提供安全的統一接入服務,可以訪問企業內部的應用系統。疫情期間,遠端辦公的非接觸方式,成為很多公司的選擇。需要遠端訪問企業內應用系統的場景,企業可以瞭解並借鑑谷歌BeyondCorp專案經驗。


相關文章