Duo Beyond是如何移除网络边界并摆脱VPN的呢

2020-01-06 11:54:24

BeyondCorp的理念是:在不使用VPN的情况下,通过用户和设备验证所有应用程序访问权限。

传统的企业安全方法依赖于网络边界。公司外部的员工通过VPN访问网络。一旦通过身份验证并进入网络,信任级别就会增加。

但是,由谷歌率先提出的BeyondCorp方法为企业web应用程序安全提供了一种大胆的新方法。所有应用程序都需要验证,每个用户、应用程序、设备和/或帐户都需要不同级别的验证。(有关背景信息,请参见:BeyondCorp:当今移动劳动力的无国界安全)

2017年2月,Duo Security发布了Duo Beyond的首个商用版本,这是一款beyondcorp式的安全即服务产品。在推出之前,来自技术、零售、电子商务和其他行业的大约100名客户参与了这项服务的内测测试。

产品营销经理孙若婷(Ruoting Sun,音译)领导了Beyond的发布,他与TechRepublic的供稿人安迪·沃尔伯(Andy Wolber)谈论了该服务和方法。

TechRepublic:你如何描述Beyond和BeyondCorp的合作方式?

Ruoting Sun:谷歌显然是一个先驱者,它说建立访问安全策略是没有效率的,这种内在的信任水平是我们的公司网络——或防火墙内的任何东西——比公共互联网安全。

显然,谷歌面临的挑战是,它是一个数十亿美元的公司,拥有数百名安保人员。那么,您如何将他们所做的工作应用到小至50-100个用户的组织中,以及其他拥有数千或数十万用户的组织中呢?

我们开发Duo Beyond是为了让任何规模的组织都能获得beyupon - corp风格的安全模型。

TechRepublic:如何为员工提供登录体验?

Ruoting Sun: BeyondCorp模型的一部分是确保有良好的多因素身份验证,并确保用户体验与单点登录门户一致。

我们将检查所有通常的事情:多因素身份验证来验证用户的身份,以及各种设备的卫生检查,无论设备是最新的,是否有恶意应用程序安装,还是缺乏安全配置,以及设备的能力来检测是否有证书。我们将实施这些策略,这些策略可以由应用程序级别的管理员创建,特定于某个角色或特定组。

我们在这里讨论的所有事情对最终用户都是透明的。如果所有这些检查都成功了,它们就像任何正常的单点登录过程一样登录到它们的应用程序。只有在其中一个检查不起作用,或者它们的设备触发了某种策略冲突的情况下,我们才会向最终用户显示警告或采取行动阻止它们。

TechRepublic:这与传统的VPN访问模式有什么不同?

我们认为这是一个更好的访问安全模型。它消除了必须进行传统网络分割的摩擦,因为对于不同的vlan、防火墙路由等,采用不同的策略会非常糟糕。所有这些都是用这种方法处理的。我们正在摆脱这个网络周长的概念。通过Duo访问应用程序,可以在应用程序级别而不是网络级别创建这些策略。

Duo Beyond edition的新功能实际上有两个:一是通过设备上的Duo证书来检测设备是否被管理,二是像处理云应用程序一样处理内部应用程序。

TechRepublic:对于管理员来说,Duo Beyond有什么变化?

Ruoting Sun:我们看到很多组织将四到五种不同的技术组合在一起,以解决这个用例。人们部署复杂的NAC解决方案来保护他们的公司网络,用CASB产品来覆盖他们的云应用,用客户证书来标记端点;所以这是一个丑陋的部署。你要管理四到五个不同的接口,部署四到五个不同的东西,支付四到五个不同的产品,而且它是不可扩展的。

首先,我们想解决将证书放到设备上的问题。大多数客户必须部署自己的关键基础设施,以便将cert部署到端点。我们通过为客户托管一个公钥基础设施来简化这一过程,这样他们就可以直接使用Duo证书基础设施。然后,他们可以通过他们拥有的任何企业资产管理工具来部署Duo证书。

然后,在实施方面,所有这些策略都可以在Duo的管理面板中进行配置。因此,您不需要为您的云应用程序购买网络访问控制解决方案或单独的解决方案。所有这些策略都是直接从Duo接口配置的,不管应用程序是驻留在本地还是其他人的云上。

TechRepublic:从技术角度来看,管理员需要做些什么才能让Duo超越内部web应用的范畴?

Ruoting Sun:基本上,客户会发布一个内部web应用程序,以便从外部访问。显然,需要对DNS进行一些更改,才能使该应用程序从internet上可用。例如,您可以访问您的内部wiki(如Confluence),并使其可以在企业网络和VPN之外访问。然后将Duo网络网关放在前面,这样任何访问请求都能自动重定向到这些应用程序,并强制通过Duo网络网关进行身份验证。

TechRepublic: Duo Beyond是否也对传统安装的应用程序(比如安装在本地服务器上的数据库应用程序)进行认证?

Ruoting Sun:现在,我们可以支持任何基于web的应用程序。现在,这些证书是基于浏览器的证书,并绑定在用户级别。只要我们的身份验证提示符可以加载,我们就可以检测到cert的存在,无论它是一个云应用程序还是一个内部托管的应用程序。我们也在考虑支持非基于web的应用程序。

TechRepublic:客户还能看到其他风险或利益吗?

我们的客户可以大大减少他们的攻击面。在过去,如果你有一个5000人的组织你为每个人支付VPN许可证,你基本上有一个5000个端点的远程访问攻击面。攻击者所要做的就是窃取其中任何一个的凭证,并能够远程访问您的VPN和网络。你的攻击面实际上是每一个运行的VPN客户端。

在这个模型中,它是完全不同的,因为您摆脱了拥有一群自由浮动的VPN客户端的概念,您限制了对每个应用程序的访问,并强制执行每个应用程序的策略。你删除了75-80%的攻击面和VPN许可证计数。

许多客户告诉我们,我们提供的日志记录和报告从内部审计的角度和遵从性的角度来看都是有益的。我们的客户使用我们的身份验证日志和端点数据来满足组织资产管理的ISO 27002要求或满足PCI DSS要求。

如何处理组织内部和外部web应用程序的可信访问?请在评论或Twitter上告诉我们。

了解如何充分利用谷歌文档、谷歌应用程序、Chrome、Chrome OS、谷歌云平台和所有其他用于商业环境的谷歌产品。周五交付

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。