废弃防火墙:Google决定不再区分内外网


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

Google在自身企业安全实践方面迈出了大胆的一步——不再将自身的企业应用置于防火墙等安全设备的保护之下,不再有内外网之分。

BeyondCorp计划:彻底打破内外网之别

Google的这项行动计划名为BeyondCorp。其基本假设是——内部网络实际上跟互联网一样危险,原因有两点:

1)一旦内网边界被突破,攻击者就很容易访问到企业内部应用。
2)现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。

这种访问模式要求客户端是受控的设备,并且需要用户证书来访问。访问有通过认证服务器、访问代理以及单点登录等手段,由访问控制引擎统一管理,不同用户、不同资源有不同的访问权限控制,对于用户所处位置则没有要求。也就是说,无论用户在Google办公大楼、咖啡厅还是在家都是一样的访问方式,过去从外网访问需要的VPN已经被废弃。而所有员工到企业应用的连接都要进行加密,包括在办公大楼里面的访问。可以说,Google的这种模式已经彻底打破了内外网之别。

BeyondCorp含有很多组件,以保证必须是授权的设备和用户才能访问企业内网。组件描述如下:

在这种模式下,信任关系从网络层面迁移到了设备层面。员工只能通过公司提供和管理的设备访问企业应用。Google还会跟踪发放给员工的这些计算机和移动设备的情况及变动。

用户安全认证方式

设备鉴权通过之后,接下来就是对用户的安全认证。Google用一个用户级群组数据库来跟踪管理所有的员工。这个数据库还会跟人力资源管理挂钩起来,员工的入职、离职或者调动均会引发数据库的相应改动。单点登录系统(SSO)则是用来跟用户数据库联动,以生成对特定资源的短期授权。

对用户或设备的访问级别也可以随时改变。比方说,如果某用户的操作系统未更新的话信任级别可能就会下降。同样的,不同型号的手机的受信任级别也会不一样。而如果员工突然在此前没见过的位置访问企业应用的,可能会拒绝他访问某些资源。

目前Google正在进行移植工作,最终目标是整个公司都采用这一模式。相对于大部分企业的安全管理来说,Google的这种模式的确有些惊世骇俗,但无疑代表了未来的企业安全方向。据知可口可乐、威瑞森通信、马自达汽车公司也在逐渐的采用类似的方式。

* 参考来源36氪static.googleusercontentblogs.wsj,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21444377(PV) 页面执行时间:80.723(MS)
  • xml
  • 网站地图