什么是 BeyondCorp?
BeyondCorp® 是谷歌开发的一种 网络安全架构 ,它将访问控制从传统的网络边界转移到个人设备和用户。其目标是让用户能够随时随地在任何设备上安全地工作,而无需使用虚拟专用网络(或 VPN)来访问组织的资源。
各组织为何使用 BeyondCorp
多年前,组织将其所有应用程序和数据保存在现场数据中心。他们所使用的安全模式基于这样一种观念,即一切坏的东西都在内部之外,而内部的一切都可以信任。然而,绕过外围保护的攻击者能够通过横向移动快速推进目标,遇到的保护协议很少。
BeyondCorp 的诞生源于一个问题:"如果什么都不可信,您将如何设计您的安全系统?换句话说,如果你的内部网络和公共网络一样不可信任,你将如何保护你的应用程序?
这促使许多组织彻底重新思考他们的安全方法,并寻找新的方法在本地部署的数据中心、谷歌云平台(GCP™)、亚马逊网络服务(AWS®)和微软 Azure® 等云服务、Box.com 和 Office 365® 等软件即服务应用程序等多个不同环境中一致地执行安全策略。
BeyondCorp 如何运作
BeyondCorp 最重要的两个原则是
控制网络和应用程序的访问权限:在 BeyondCorp,所有关于是否允许个人或设备访问网络的决定都是通过访问控制引擎做出的。该引擎可处理每个网络请求,并根据每个请求的上下文(如用户身份、设备信息和位置)以及应用程序中的敏感数据量应用规则和访问策略。它为组织提供了一种自动化、可扩展的方式来验证用户身份,确认他们是授权用户,并应用规则和访问策略。然而,仅靠访问控制还不足以确保有效的安全。
可见度:一旦用户访问了组织的网络或应用程序,组织就必须持续查看和检查所有流量,以识别任何未经授权的活动或恶意内容。否则,攻击者就可以轻易地在网络内四处活动,神不知鬼不觉地拿走他们想要的任何数据。
BeyondCorp 与零信任的关系
很多人都熟悉 零信任这一 IT 安全模式,它消除了网络中的信任概念,从而使组织能够更好地保护其资产。有了零信任和 云的零信任,每个人--无论他们是在某个组织内部还是外部--都需要经过几个安全步骤(由著名咨询公司 Forrester Research 定义):
让用户无论身处何地,都能安全地访问所有资源
采用最低权限访问策略,严格执行访问控制
检查并记录所有流量
BeyondCorp 为零信任实施奠定了基础。第三个要素--检查和记录所有流量--在建立零信任方面发挥着重要作用,因为人们不应假定来自端点的所有流量都是可信的或安全的数据。因此,实施 BeyondCorp 的组织还应考虑实施 零信任原则 ,以进一步降低风险。
更多阅读
