如果公司所有电脑和应用都直接连入互联网会怎么样?这就是谷歌BeyondCorp背后的假定。BeyondCorp是谷歌在2014年提出的新网络安全模型,现在,它开始收到来自网络和安全厂商的关注。
近些年,企业已经超出了传统的工作空间,员工可以用自己的设备或者通过访问云端App,来远程办公。为将漫游的员工纳入公司本地网络安全措施照看之下,公司企业依靠VNP和终端软件来实施网络访问控制。
谷歌的BeyondCorp企业安全方法,将关注重点从网络边界上解放出来,放到设备和用户身上,不再按是否处于内部网络,来给设备分配或高或低的信任级别。
一些安全厂商已经开始拥抱该“无默认信任”的安全模型。Duo Security,一家双因子身份验证提供商,上周发布了其自有的基于BeyondCorp的产品,另一家企业软件初创公司ScaleFT,则已经推出了基于同样理念的动态访问管理服务。
甚至思科系统这样的网络和安全设备厂商,也已经开始讲传统边界安全网关迁移到云端,以更好地服务漫游的员工。
Duo Security 的 Duo Beyond 服务包含一个为公司所有基于Web的应用提供身份验证的软件包,无论这些应用是在本地网络内部还是在云端。该服务可被部署在公司网络的隔离区(DMZ),提供实施设备和用户访问策略的单点登录功能。
Duo Beyond 默认为所有设备假定一个零信任环境,无论设备是从企业网络内部还是从外部接入的。也就是说,通过对受公司管理的设备部署Duo证书,它确实为管理员提供了区分公司设备和个人设备的功能。
该设备识别过程有很多好处。可以轻松发现访问公司应用的新增设备,帮助公司创建和维护包括雇员个人设备在内的准确的设备清单。还可以限制对某些应用或账户的访问只能从公司管理的设备上发起,保证一定的安全。
该服务还可以检查接入设备的安全状态,看其运行的是否是最新的OS和浏览器版本,浏览器插件是否最新,移动设备的加密和口令保护是否开启;让管理员可以根据设备健康来创建细粒度的访问规则,确保只有相当安全的设备才可以访问公司应用,即便这些设备是员工自己拥有和维护的。
Duo Security 不期待客户部署 Duo Beyond 后完全抛弃VPN,但基于该公司目前为止的经验,客户最多可削减高达80%的VPN许可成本。这是因为大多数漫游员工只用VPN连接来访问少数常用内网Web应用,比如Confluence、Jira或Sharepoint。
Duo Beyond 服务售价$9/月,包含了该公司之前 Duo Access 服务的全部东西,再加上新的基于证书的设备识别,以及控制远程用户访问内部App的机制。
迁移到设备位置不再重要的BeyondCorp安全模型,可以帮助公司企业免除加高内部网络虚拟墙的必要。网络分段依赖设置防火墙和VLAN,来限制对特定应用和服务的访问,是一种难以实现的措施,而且会很快成为一项管理负担。
实际上,如很多公开披露的安全事件所证明的,攻击者一旦侵入网络,往往能在网络中横行无忌。大多数黑客都是从对低级员工的网络钓鱼开始的,然后,一旦进入网络,就在各个系统中跳转,利用漏洞,盗取访问凭证,一路直达目标企业的重要资产。
谷歌自己的网络也在2009年末被入侵了,据称是源自中国的网络间谍活动——“极光行动”的一部分。黑客就是从盯上该公司员工开始,最后寻求到了人权倡导者的Gmail账户。
其他安全厂商也在欢迎BeyondCorp,虽然在实现上稍有不同,总体目标是一样的:将安全带出严格定义的网络边界之外。
Duo Beyond 只用于基于Web的应用,其设备洞见技术无需代理。关于笔记本OS、浏览器和插件的信息都是从浏览器自身获取。
该方法限制了能被收集的信息种类,但Due认为这恰好击中了安全和可用性之间正确的平衡点——因为说服用户在个人设备上安装公司强制的软件可能会很棘手。
相对的,ScaleFT提供的动态访问管理( Dynamic Access Management ),则为Linux和Windows服务器所用的远程访问协议SSH和RDP(远程桌面协议)服务。。ScaleFT的服务确实要求安装客户端软件,用以同步短时访问证书,处理设备注册及本地账户创建问题。
受到解决漫游员工、BYOD和SaaS问题需求的驱动,一些网络厂商甚至开始将安全设备迁出网络边界,融入云端。
2月13日,思科系统发布了首个“安全互联网网关”(SIG)——基于该公司2015年收购的 OpenDNS Umbrella 云服务。
思科称:“无论用户在哪儿,即便断开VPN连接,SIG也能提供安全互联网访问。在连接任何地址之前,SIG都能起到互联网安全匝道的作用,提供第一道防御和检验。无论用户身处何方,无论他们想访问哪里,流量先从SIG通过。”
如果该企业安全思考新方式流行起来,甚至可能会推动IPv6采用的加速,目前IPv6停滞不前,部分原因在于其可能给网络边界撕开口子,以及很多公司依然在用没有良好支持的老旧防火墙和设备。