本文来源:绿盟科技

提到零信任，人们总是会说到谷歌BeyondCorp项目。不仅因为它是比较早的零信任落地实践，更在于谷歌在行业内的巨大影响力。抛开谷歌的光环，绿盟君带大家详细了解一下谷歌ByondCorp项目有哪些经验值得学习和借鉴吧。

 

一、谷歌BeyondCorp登录体验

谷歌BeyondCorp项目的单点登录（Single Sign On）界面如下图所示，这也是谷歌企业员工访问内网的登录页面。

歌内网登录界面

 

想要登录进入内网，需要填写表单中的三个字段：谷歌公司的员工账号、密码和安全码（Security Code），或者使用下方图示的安全硬件令牌（Security Key）。谷歌使用安全码或者硬件令牌进行双因素认证（2FA），这些我们通过观察登录界面就可得知。

登录用户需要同时满足用户信任和设备信任。根据谷歌发布的论文，登录系统的终端还需要进行认证。终端在系统的终端库（Device Inventory），终端的硬件设备没有发生过变化，终端的安全性才能通过评估。这些条件都满足，就可以登录到内网。

图 谷歌BeyondCorp逻辑架构

 

二、BeyondCorp架构和组件

BeyondCorp项目的实现架构，在顶层视角的抽象如下图所示。其关键组件包括：访问代理和访问控制引擎，以及为访问控制引擎提供决策依据的各类信息。这些上下文关联的信息包括：用户库、设备库、信任库以及安全状态。

图 谷歌BeyondCorp实现架构

 

访问代理为用户提供了从任何地方可以访问谷歌企业资源的入口。访问控制引擎收集来自用户库、设备库、信任库以及安全状态的信息，来决策是否允许用户访问内部应用。

用户库：用户包括谷歌企业员工和合作伙伴。员工入职、离职需要在用户中更新，同时需要了解用户所在部门以及角色。

设备库：需要登录到企业内网的所有设备，在其购买到报废都需要登记在设备库中。登记信息包括设备硬件规格、操作系统等。每个设备会有唯一的身份标示（设备证书），设备的零部件需要更换时，设备库也需要同步更新。

信任库：存储了角色访问应用信任关系。程序员和财务部门的员工，他们对应的后台应用显然是不同的。处在一个部门，不同层级的员工的信任关系也是有所区别。

安全状态：分析网络流量来发现入侵和异常，实时检测用户设备的安全状态，并将这一信息同步都访问控制决策引擎。此外，终端设备的安全状态也需要实时获取，作为访问控制的上下文依据。

 

三、BeyondCorp项目经验

在2017年RSA大会上，谷歌分享了BeyondCorp项目的经验。这些经验可以为企业在部署零信任架构时提供参考。

取得高层支持

管理层支持是必要条件。演讲者提到，BeyondCorp项目周期长（6年时间）、范围广（涉及所有员工），得到了包括当时CEO 拉里·佩奇在内的高层的广泛支持。管理层理解项目的目的和必要性，提高了项目的优先级，资源和预算得到了保证，并且能够协调其他部门的配合。

数据质量是关键

准确的数据才能让访问控制引擎作出正确决策。不管是终端设备的入库和报废，还是设备零件的更换，都需要及时更新，用户的信息更新亦然，这些都是访问控制引擎作出允许还是拒绝访问决策的依据。

BeyondCorp在进行任何有影响的更改之前，项目团队做了大量细致工作，确保他们的数据干净可靠。后续的工作流程和技术措施，也是确保持续高质量数据的重要手段。

对用户无痛迁移

尽量减少对用户的干扰。用户登录和认证的前端不做改变，改变的部分对用户是隐蔽的、无感的。迁移到零信任的目的是更安全，员工访问更流畅，不能影响工作效率。

项目实施的计划和团队也很重要。谷歌项目团队，包括员工和服务台（Helpdesk）人员，一起设计实施方案，避免给员工或技术支持人员带来过多负担。

做好与员工的沟通

出现问题时，做好员工的沟通。员工登录时可能出现设备问题或者安全问题，需要与用户沟通。与员工进行清晰的沟通，让他们知道正在发生了什么。谷歌的做法是，每当有重要更改时，他们都会与员工、合作伙伴和公司领导沟通，让他们了解更改的目的，并且根据他们的反馈做调整。

运行在高度可靠的系统上

BeyongCorp运行在高可用的、支持全球员工访问的系统。由于每个请求都通过BeyondCorp核心基础架构，谷歌建立了一套全球的、高可靠的和弹性的架构服务。

 

谷歌BeyondCorp项目，为远程办公的员工提供安全的统一接入服务，可以访问企业内部的应用系统。疫情期间，远程办公的非接触方式，成为很多公司的选择。需要远程访问企业内应用系统的场景，企业可以了解并借鉴谷歌BeyondCorp项目经验。

 

 

标签： 绿盟科技