BeyondCorp当今移动工作人员的无国界安全

2020-01-06 11:54:48

大多数公司采用传统的外围安全模式,即防火墙保护边界。

在传统的设置中,“防火墙内”通常意味着“安全”。防火墙保护内部网络不受外部访问。在设备中键入用户名和密码进行身份验证并连接到网络上的服务器。这是大多数系统管理员都认识的标准客户机-服务器设置。

当你冒险越过防火墙时,你就不再安全了。想要连接到您的服务器吗?建立一个虚拟专用网(是的,非常受欢迎的VPN),让您的系统可以像在公司网络上一样工作——即使您从家里或咖啡店连接。VPN加密您的设备和公司系统之间的网络流量。

通过防火墙,在传统设置下很少有防御措施保护您的网络。

一些谷歌员工正确地认识到,这种传统配置可能存在一些问题。首先,如今人们是流动的;许多设备从防火墙外连接。其次,vpn需要设置,这对每个人来说都不容易。第三,攻击者会攻击连接到网络的设备(比如笔记本电脑!),因为这些设备往往不如服务器安全。

谷歌的“BeyondCorp:企业安全的新方法”试图解决这些问题。

BeyondCorp设想的世界是,攻击可以发生在任何地方——从防火墙内部或外部。BeyondCorp设计了一种不依赖于防火墙的防御。(如果你已经到了一定的年龄,你可以自由想象另一个世界,在那里,罗纳德·里根(Ronald Reagan)会说:“谷歌先生,推倒这道防火墙吧。”)这有几个重要的含义。

要连接,您和您的设备都需要经过身份验证。人们仍然需要登录。强密码和双因素身份验证都有帮助。到目前为止还没有惊喜。

但是设备数据变得越来越重要。BeyondCorp方法不仅验证您的登录,还验证您的设备安全状态和健康状况。连接到未打补丁的、未管理的设备,可能不允许您访问。

管理员可以为不同的数据集配置信任级别。例如,在未修补的系统中,您可能可以查看cafe菜单,但不能访问敏感的财务数据。

谷歌的BeyondCorp模型增加了一个元素:使用反向代理访问应用程序。您可能熟悉转发代理:将您的系统配置为连接到其他地方的另一个系统。来自您的设备的网络请求将显示为来自您所连接的代理服务器的初始化请求。您知道关于这三个系统的所有信息:您的系统、您使用的代理和您访问的目标服务器。

反向代理则相反:它隐藏目标服务器。当你连接到一个域,比如bigproject.yourcompany.com,反向代理首先会对流量进行加密。然后代理检查用户和设备是否允许访问应用程序。最后,代理将请求路由到适当的应用程序。(您只知道两个系统的信息:您访问的系统和反向代理。)

与VPN不同,反向代理设置不需要用户配置任何东西。输入一个web地址,反向代理将保护连接并执行身份验证。这为企业消除了许多令人头痛的支持问题。

BeyondCorp公司的这种无边框的方法在当今的移动工作人员中很有效。这种方法可能需要对公司的系统进行重大更改,更重要的是,需要从根本上改变您对安全性的看法。(阅读Rory Ward和Betsy Beyer写的谷歌的《BeyondCorp:企业安全的新方法》,或者观看关于这个主题的老视频。)

我可以想象,一旦你生活在BeyondCorp的环境中,回到一个仍然使用限制性防火墙和vpn的公司,就好像回到了中世纪。

谷歌的BeyondCorp方法是否促使您重新考虑组织的安全边界?为什么或为什么不?

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。