谷歌分享了BeyondCorp“零信任”安全策略的细节

谷歌有限责任公司今天发表了一篇冗长的博客文章，详细介绍了它如何在其组织内实施BeyondCorp安全方法，以控制谁访问其系统和数据。

Beyond Corp是一个“零信任”安全框架，它将访问控制从周边转移到单个设备和用户，允许员工在不需要传统虚拟专用网络的情况下安全地从任何地点工作。

谷歌首席技术官办公室技术总监马克斯·萨顿斯托尔（Max Saltonstall）表示，谷歌正在回应其他组织就如何建立供自己使用的安全模型提出的建议。这些请求是在谷歌发表了几篇研究论文描述这一举措之后提出的。

“他们正在寻找一步的帮助，在他们的特定组织中应用这些基于上下文的访问实践，所以我们在谷歌创建了一系列关于我们的一些最佳实践，”Saltonstall对这些请求说。

Saltonstall说，谷歌早在2010年就创建了Beyond Corp，因为它成为了黑客的受害者，黑客进入了谷歌的网络并窃取了知识产权。这些攻击促使谷歌放弃了访问控制的做法，转向依赖虚拟专用网络等旧概念的安全。

对于BeyondCorp，访问控制不再基于用户是从公司网络内部还是外部请求访问。BeyondCorp认为，从网络内部请求访问的用户与那些寻求远程访问的用户一样不可信。

因此，访问请求是根据特定用户的详细信息、他们的工作以及他们正在使用的设备的安全状态来授予的。简单地说，这就是所谓的零信任模式，谷歌表示，随着2010年对其系统的黑客攻击，传统的网络安全控制不再可信，这一模式更为有效。

“从一个特权公司网络（通常以VPN为核心）转向一个零信任网络的第一步是了解你的员工和了解你的设备，”Saltonstall说。

谷歌通过重组其工作角色等级来实现这一点，以便更好地理解不同员工每天需要的访问级别。该公司还为员工的所有设备创建了新的主目录。这包括建立一个新的元库存服务，从其资产管理工具中提取数据，以便建立其所有设备的中心和可信赖的记录。

最后，谷歌说，希望部署BeyondCorp的组织需要了解他们在内部使用的应用程序，以及哪些安全策略管理对它们的访问。这需要了解作业角色，谁可以访问特定的服务，以及实现身份感知的安全控制以防止未经授权的访问。

谷歌并不是唯一一家推广BeyondCorp模式的公司。去年3月，初创公司LumenetSecurity以1，400万美元的合并种子和A系列的资金，以自己的方式收购了BeyondCorp，走出了隐秘的局面。Lumine为Beyondcorp提供了一个安全治理框架，支持企业网络，同时允许员工安全地从任何设备上获取所需的资源。Lumine还借用了“软件定义的外围框架”中的概念。这些框架基于国防部的“需要了解”模型，该模型规定，所有试图访问给定基础设施的端点必须在进入之前进行身份验证和授权。