本文是对于 Google 相关安全策略的中文翻译,方便大家了解 Google 的相关安全策略。
如果大家有兴趣阅读原文,可以通过BeyondCorp A New Approach to Enterprise Security进行访问。
实际上每一个公司现在都使用防火墙来强制保证网络边界安全。然而,这个安全模型是存在问题的,因为,当网络边界被攻破时,攻击者可以相对简单的访问公司的内网。当公司采用移动设备和云技术时,网络边界会变得越来越难以保证。Google 正在采用一个不同的方法来保证网络安全。我们舍弃了内网的要求,而是把我们的企业应用搬到了互联网上。
从早前的IT基础设施开始,企业就开始使用网络边界来保护和限制内部资源的访问。网络边界安全模型经常和中世纪城堡相比较:一座厚墙的城堡,被护城河包围,唯一的出入口有重兵把守。城外的任何东西都认为是危险的,而城内的任何东西都认为是安全可靠的。任何穿过吊桥进入城堡访问资源都得到了授权。
当一个企业的所有的员工只在公司办公时,网络边界安全模型能够很好的运转。然而,在移动员工队伍来临的情况下,被许多员工使用的设备的浪潮,和基于云服务的增长,另一种攻击方式已经出现,而且这种新的攻击方式正在想传统领域扩展。这个模型的管家假设已经不再成立:网络边界已经不仅仅局限于企业的物理位置,并且位于网络边界内的也不再是一个安全可靠的地方,可以用于托管个人电脑和企业应用。
然而,大多数的企业都假设内网是一个放置企业应用的安全的环境,Google 的经验已经证明,这个结论是错误的。所以,我们应该假设内部网络和外网一样充满危险,构建企业应用也应该基于这个假设。
Google BeyondCorp 方案是使用一个新的废除内部特殊办公网络的模型。取代特殊办公网络模型的是,只依赖设备和用户证书而不是用户网络位置——例如在公司网络、家中网络、在酒店活着在咖啡厅来进行访问控制。所有对企业资源的访问都是认证过的完全合法的,并且基于设备状态和用户证书加密过的。我们可以对不同的企业资源实施细粒度的访问控制。因此,所有 Google 的员工可以在任意网络下进行办公,并且不需要一个传统的 VPN 来连接到内部网络。除了一些潜在的差异,在本地和远端访问企业数据的用户体验实际上几乎完全相同。
BeyondCorp 是由许多合作的组件组成,保证只有合适的经过认证多设备和用户才可以通过认证访问到必要的企业应用。每一个组件都会在下面进行描述(见图片1)。
BeyondCorp 使用“受管理设备”的概念,用来表示由企业生产并且受到企业控制的设备。只有受管理设备才可以访问企业应用。围绕设备清单数据库的设备跟踪和采购流程是此模型的基石之一。当设备在有效的生命周期内时,Google 保证对设备变化的跟踪。信息会受到监控、分析,会在 BeyondCorp 的其他部分发挥价值。因为 Google 有许多的清单数据库,所以元数据库可以用来从多个来源合并和标准化设备信息,并且让这些信息在 BeyondCorp 的下游组件中发挥价值。在这里有了这些元数据,我们就有了需要访问我们企业的所有设备信息了。
所有的设备都需要通过某种特定的方式来进行特定标记,并且将标记记录到设备清单数据库。有一种特定的来完成标记的方式就是使用设备证书来区分每一个设备。为了收到证书,设备必须在当前正确的存储在设备清单数据库中。这个证书是存储到名字叫做TPM(授信平台模块)的硬件或软件,或者一个合理的证书存储中。设备认证过程会认证设备证书存储的有效性,只有通过认证的设备我们才认为是一个受管理设备。由于证书会定期更新,所以这些检查也是强制的。一旦安装过后,这个证书会使用在与企业服务的所有通信中。虽然证书可以唯一地识别设备,单它不是单向访问权限。它是作为一个关于这个设备信息的一个密钥。
BeyondCorp 也使用用户数据库和组织数据库来追踪和管理所有的用户。这个数据库系统已经与 Google 的包含所有用户的工作分类、用户名与组成员身份等 HR 流程深度整合。当员工加入公司时,就会改变角色和责任,当离开公司时,这些数据库也会更新。这些系统告诉 BeyondCorp 关于需要访问企业的用户所有的合理信息。
对于外部来说,单点登录系统是一个集中用户认证的入口,在用户请求访问企业资源时,用于认证主要和第二因子证书。在使用用户数据库和组织数据库验证用户后,单点登录系统会生成一个短生命周期的可以用来作为访问部分特定资源的认证凭证。
为了让本地访问和远端访问保持一致,即使是在一个私有的地址空间里,BeyondCorp 也定义和依赖与外部网络非常相似的无特权网络。无特权网络只能连接到互联网、受限的基础服务(如 DNS、DHCP 和 NTP 等)和像 Puppet 一样的配置管理系统。所有的客户端设备在 Google 大楼中时,都会分配到此网络上。在这个网络和 Google 的其他部分网络之间,有一个严格的管理 ACL(访问管理清单)。
不论是有线网络还是无线网络访问, Google 都是使用基于802.1x认证的 RADIUS 服务来分配设备到合适的网络上。我们使用动态而不是静态的 VLAN 分配策略。这个方法意味着,相比依赖静态的控制器/端口的配置方式,我们使用 RADUIS 服务来通知控制器给已经认证的设备分配合适的 VLAN。受管理的设备提供他们的设备证书作为 802.1x 握手的一部分,然后被分配到无特权网络中,如果是企业网络中的不识别的或者不受管理的设备,就把他们分配到修复网络或者访客网络中。
在 Google 所有的企业应用都是通过在客户端和应用之间强制加密的面向网络的访问代理暴露给内部和外部的客户端。每个应用都配置了访问代理,并且有共同的特征如全球可达性、负载均衡、访问控制检查、应用健康检查和拒绝服务攻击保护。这个代理在经过了访问控制检查(描述见下文)后,把请求委托给了后端的合适的应用。
所有的 Google 企业应用都对外暴露,并且在公共的 DNS 中注册,CNAME 将应用程序指向面向网络的访问代理。
每个用户或者设备的访问级别是可以根据时间变化的。在访问多个数据源时,我们可以实现动态的推断每个用户或者设备的信任级别。这个信任级别可以在访问控制引擎(描述见下文)中作为它的决策过程中的一部分来使用。例如,一个设备没有更新最新的操作系统补丁,它可能就会导致被降低到一个更低的信任级别。一类特定的设备,例如特定的电话或者平板,可能就会有一个特定的信任级别。用户从新的地点访问应用可能会有一个不同的信任级别。我们同时使用静态规则和启发算法来确定信任的级别。
带有访问代理的访问控制引擎在请求企业应用之前提供了服务级别的基本认证。这个认证决策对用户、用户所属组、设备证书和来自设备清单数据库中的设备信息进行断言。如果需要的话,访问控制引擎也可以强制基于地理位置的访问控制。用户与设备的信任级别推断也包含认证决策。例如, Google bug 跟踪系统的访问权限可以限制为使用工程师设备的全职工程师。财务应用的访问权限可以限制为使用受管理的非工程师设备的在财务操作组的全职和兼职员工。访问控制引擎也可以通过不同的方式来限制同一个应用的不同部分。例如,查看 bug 跟踪系统的入口可能就比更新或者查找同一个 bug 跟踪系统需要更少的访问控制。
访问控制引擎不断的从运行中的可以获取数据来帮助进行访问决策的管道中收集反馈。除了其他因素外,包含证书白名单的信息、用户和设备的信任级别和设备与用户的清单详情。
在这个例子中,我们假设已经有一个应用被放入 BeyondCorp 中。这个应用被工程师用来审计代码、评论代码、更新代码和当审计者同意时,提交代码。这个应用 codereviw.corp.google.com 被限制为只有全职和兼职工程师使用任意受管理设备才可以访问。
codereview.corp.google.com 的拥有者为这个服务配置了访问代理。这个配置指定了后端的地址和每个后端最大的通信量。codereview.corp.google.com 这个域名已经在公共的 DNS 服务中进行了注册,它的 CNAME 指向了访问代理。例如:
$ dig @8.8.8.8 codereview.corp.google.com
; <<>> DiG 9.8.1-P1 <<>> @8.8.8.8 codereview.corp.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12976
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;codereview.corp.google.com. IN A
;; ANSWER SECTION:
codereview.corp.google.com. 21599 IN CNAME
accessproxy.l.google.com.
accessproxy.l.google.com. 299 IN A 74.125.136.129
;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Aug 20 19:30:06 2014
;; MSG SIZE rcvd: 86
访问控制引擎提供了默认的规则:限制只有全职工程师使用受管理设备可以访问。codereview.corp.google.com 的拥有者在两个方面提供了指定的更多的授权访问的规则:最高信任级别的受管理设备,和有着最高信任级别的全职以及兼职的工程师。
如果网络是位于企业管理的物理建筑的外面:通过一个 Google 提供的笔记本电脑,一个工程师访问任意的 WiFi 网络。例如,这个网络可能是使用便携设备或者咖啡厅的WiFi所组成的机场的 WiFi 网络。我们不需要打开一个 VPN 来连接到公司网络。
如果网络是位于企业管理的物理建筑的里面:通过一个 Google 提供的笔记本电脑或者桌面端,工程师访问企业网络。笔记本像 RADIUS 服务提供了它的设备证书用于 802.1x 的握手。只要提供了有效的证书,笔记本电脑就会被在无特权网路中分配一个地址。如果这个设备不是公司发行的电脑,或者说证书已经过期了,这个设备就会被分配一个有许多限制访问权限的修复网络的地址。
从一个公司发布的笔记本电脑上的网络,工程师可以访问 codereview.corp.google.com。你可以查图 1 来作为流程的参考。
使用这种方法,我们可以对每个请求进行丰富的服务级别身份验证和授权检查。
就像世界上所有其他企业一样,Google 在很多年中都有一个为了它的客户端和应用的无特权网络。这种模式的产生对企业的日常工作至关重要。当所有的公司组件都将迁移到 BeyondCorp 时,一次性移动所有网络中的用户和所有应用到 BeyondCorp 环境对于业务连续性来说都是一个难以置信的风险。正是由于整个原因,Google 在分阶段迁移方面花费了大量的资源,才成功的将许多组中的网络用户零影响地迁移到 BeyondCorp 中。下面的部分,表示图2,详细说明了我们做的工作。
![图片2]()(https://)
在 Google 中使用的所有应用都需要通过访问代理来工作。BeyondCorp 主动的检查和授权所有应用,让完成任务从复杂(例如 SSO 整合)变得简单(例如支持 HTTPS 通信)。每一个应用都需要一个访问代理的配置,并且,在许多情况下会在访问控制引擎中有特定的内容。每一个应用都经过了以下阶段:
通过检查整个公司的工作职能和根据工作流程资格来分析此信息,我们可以对迁移到用户组进行优先级排序。因此,我们可以选择在那个时间点上,对整个工作流以及对 BeyondCorp 的能力非常理解的来自财务、销售、法务或者工程师团队的网络用户。
越来越多的引用可以通过访问代理进行访问是,我们开始积极地阻止使用 VPN 的用户,采用以下策略:
当我们确定(或者几乎确定)用户所有的工作流在无特权网络中可以正常使用时,我们把用户迁移到无特权网络就非常重要了。为了确定一个相对的程度,我们建立了一个流量分析管道。作为整个管道的输入,我们从公司的每一个开关的净流量进行数据取样。然后,根据非特权网络和公司其他网络之间的规范 ACL 来分析这些数据。这些分析能够让我们确定通过了 ACL 的总流量,和一个没有通过 ACL 的流量有序列表。没有通过 ACL 的流量可以关联到特定的工作流或者特定的用户或者特定的设备。然后,我们逐步浏览没有通过的列表,使其在 BeyondCorp 环境中运行。
为了增加从开关中使用抽象的流量分析管道,我们也在整个公司通过连接到 Google 网络的安装了流量监控的用户设备来模拟非特权网络中的行为。这个流量监控检测作为每一个设备的基础服务,检查所有输入和输出流量,根据 ACL 规范来验证非特权网络和公司其他网络的流量,记录没有通过验证的流量。这个监控有两种模式:
有了流量分析管道和非特权模拟器,我们根据以下内容确定和分阶段实施迁移策略:
除了尽可能的将我们的用户和设备从特权网络自动迁移到非特权网络上以外,我们也在这次迁移中实现了一个简单的流程让用户可以暂时的不迁移。我们包含一个已知的没有完成 BeyondCorp 迁移的工作流清单。用户可以在正常的允许等级中使用这些工作流程,标记他们和他们的设备作为特定工作流的活跃用户。当这个工作流最终完成迁移时,这些用户就会收到通知,并且再次被选中需要进行迁移。
Google 企业向 BeyondCorp 的迁移正在进行汇总,它需要的主要的工作流已经完成了。我们的迁移工具和战略允许我们再不影响日常的生产情况下,主动地迁移用户、设备和工作流到 BeyondCorp 中。
我们预计使用了很长一段时间的工作流需要花费一些实践才能迁移到 BeyondCorp 中。例如,使用特点协议与服务端进行交互的重客户端应用就会是一个挑战。我们调研了许多方式来让这些应用接入 BeyondCorp ,也许通过认证服务来进行匹配。
随着我们向 BeyondCorp 迁移,我们打算发布后续文章来解释为什么和 Google 如何迁移到 BeyondCorp 上,旨在鼓励其他的企业实施相似的策略。
本文主要通过介绍了在 BeyondCorp 项目中各个组成部分和相关的作用,以及 Google 公司相关的迁移策略和方式,让我们大家对整个项目有了一个大概的了解。
论文后续还有几篇文章,更加详细的讲述了 BeyondCorp 相关的产品。我也会持续的进行更新,欢迎大家关注。
黄珏,2015年毕业于华中科技大学,目前任职于美团基础研发平台大象业务部,独立负责大象 Web SDK 的开发与维护。
本文未经作者允许,禁止转载。
本文由哈喽比特于5年以前收录,如有侵权请联系我们。
文章来源:https://github.com/HJava/myBlog
京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。
日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。
据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。
今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。
日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。
近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。
据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。
9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...
9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。
据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。
特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。
据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。
近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。
据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。
9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。
《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。
近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。
社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”
2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。
罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。