如果公司所有電腦和應(yīng)用都直接連入互聯(lián)網(wǎng)會怎么樣?這就是谷歌BeyondCorp背后的假定。BeyondCorp是谷歌在2014年提出的新網(wǎng)絡(luò)安全模型,現(xiàn)在,它開始收到來自網(wǎng)絡(luò)和安全廠商的關(guān)注。
近些年,企業(yè)已經(jīng)超出了傳統(tǒng)的工作空間,員工可以用自己的設(shè)備或者通過訪問云端App,來遠(yuǎn)程辦公。為將漫游的員工納入公司本地網(wǎng)絡(luò)安全措施照看之下,公司企業(yè)依靠VNP和終端軟件來實(shí)施網(wǎng)絡(luò)訪問控制。
谷歌的BeyondCorp企業(yè)安全方法,將關(guān)注重點(diǎn)從網(wǎng)絡(luò)邊界上解放出來,放到設(shè)備和用戶身上,不再按是否處于內(nèi)部網(wǎng)絡(luò),來給設(shè)備分配或高或低的信任級別。
一些安全廠商已經(jīng)開始擁抱該“無默認(rèn)信任”的安全模型。Duo Security,一家雙因子身份驗(yàn)證提供商,上周發(fā)布了其自有的基于BeyondCorp的產(chǎn)品,另一家企業(yè)軟件初創(chuàng)公司ScaleFT,則已經(jīng)推出了基于同樣理念的動態(tài)訪問管理服務(wù)。
甚至思科系統(tǒng)這樣的網(wǎng)絡(luò)和安全設(shè)備廠商,也已經(jīng)開始講傳統(tǒng)邊界安全網(wǎng)關(guān)遷移到云端,以更好地服務(wù)漫游的員工。
Duo Security 的 Duo Beyond 服務(wù)包含一個(gè)為公司所有基于Web的應(yīng)用提供身份驗(yàn)證的軟件包,無論這些應(yīng)用是在本地網(wǎng)絡(luò)內(nèi)部還是在云端。該服務(wù)可被部署在公司網(wǎng)絡(luò)的隔離區(qū)(DMZ),提供實(shí)施設(shè)備和用戶訪問策略的單點(diǎn)登錄功能。
Duo Beyond 默認(rèn)為所有設(shè)備假定一個(gè)零信任環(huán)境,無論設(shè)備是從企業(yè)網(wǎng)絡(luò)內(nèi)部還是從外部接入的。也就是說,通過對受公司管理的設(shè)備部署Duo證書,它確實(shí)為管理員提供了區(qū)分公司設(shè)備和個(gè)人設(shè)備的功能。
該設(shè)備識別過程有很多好處??梢暂p松發(fā)現(xiàn)訪問公司應(yīng)用的新增設(shè)備,幫助公司創(chuàng)建和維護(hù)包括雇員個(gè)人設(shè)備在內(nèi)的準(zhǔn)確的設(shè)備清單。還可以限制對某些應(yīng)用或賬戶的訪問只能從公司管理的設(shè)備上發(fā)起,保證一定的安全。
該服務(wù)還可以檢查接入設(shè)備的安全狀態(tài),看其運(yùn)行的是否是最新的OS和瀏覽器版本,瀏覽器插件是否最新,移動設(shè)備的加密和口令保護(hù)是否開啟;讓管理員可以根據(jù)設(shè)備健康來創(chuàng)建細(xì)粒度的訪問規(guī)則,確保只有相當(dāng)安全的設(shè)備才可以訪問公司應(yīng)用,即便這些設(shè)備是員工自己擁有和維護(hù)的。
Duo Security 不期待客戶部署 Duo Beyond 后完全拋棄VPN,但基于該公司目前為止的經(jīng)驗(yàn),客戶最多可削減高達(dá)80%的VPN許可成本。這是因?yàn)榇蠖鄶?shù)漫游員工只用VPN連接來訪問少數(shù)常用內(nèi)網(wǎng)Web應(yīng)用,比如Confluence、Jira或Sharepoint。
Duo Beyond 服務(wù)售價(jià)$9/月,包含了該公司之前 Duo Access 服務(wù)的全部東西,再加上新的基于證書的設(shè)備識別,以及控制遠(yuǎn)程用戶訪問內(nèi)部App的機(jī)制。
遷移到設(shè)備位置不再重要的BeyondCorp安全模型,可以幫助公司企業(yè)免除加高內(nèi)部網(wǎng)絡(luò)虛擬墻的必要。網(wǎng)絡(luò)分段依賴設(shè)置防火墻和VLAN,來限制對特定應(yīng)用和服務(wù)的訪問,是一種難以實(shí)現(xiàn)的措施,而且會很快成為一項(xiàng)管理負(fù)擔(dān)。
實(shí)際上,如很多公開披露的安全事件所證明的,攻擊者一旦侵入網(wǎng)絡(luò),往往能在網(wǎng)絡(luò)中橫行無忌。大多數(shù)黑客都是從對低級員工的網(wǎng)絡(luò)釣魚開始的,然后,一旦進(jìn)入網(wǎng)絡(luò),就在各個(gè)系統(tǒng)中跳轉(zhuǎn),利用漏洞,盜取訪問憑證,一路直達(dá)目標(biāo)企業(yè)的重要資產(chǎn)。
谷歌自己的網(wǎng)絡(luò)也在2009年末被入侵了,據(jù)稱是源自中國的網(wǎng)絡(luò)間諜活動——“極光行動”的一部分。黑客就是從盯上該公司員工開始,最后尋求到了人權(quán)倡導(dǎo)者的Gmail賬戶。
其他安全廠商也在歡迎BeyondCorp,雖然在實(shí)現(xiàn)上稍有不同,總體目標(biāo)是一樣的:將安全帶出嚴(yán)格定義的網(wǎng)絡(luò)邊界之外。
Duo Beyond 只用于基于Web的應(yīng)用,其設(shè)備洞見技術(shù)無需代理。關(guān)于筆記本OS、瀏覽器和插件的信息都是從瀏覽器自身獲取。
該方法限制了能被收集的信息種類,但Due認(rèn)為這恰好擊中了安全和可用性之間正確的平衡點(diǎn)——因?yàn)檎f服用戶在個(gè)人設(shè)備上安裝公司強(qiáng)制的軟件可能會很棘手。
相對的,ScaleFT提供的動態(tài)訪問管理( Dynamic Access Management ),則為Linux和Windows服務(wù)器所用的遠(yuǎn)程訪問協(xié)議SSH和RDP(遠(yuǎn)程桌面協(xié)議)服務(wù)。。ScaleFT的服務(wù)確實(shí)要求安裝客戶端軟件,用以同步短時(shí)訪問證書,處理設(shè)備注冊及本地賬戶創(chuàng)建問題。
受到解決漫游員工、BYOD和SaaS問題需求的驅(qū)動,一些網(wǎng)絡(luò)廠商甚至開始將安全設(shè)備遷出網(wǎng)絡(luò)邊界,融入云端。
2月13日,思科系統(tǒng)發(fā)布了首個(gè)“安全互聯(lián)網(wǎng)網(wǎng)關(guān)”(SIG)——基于該公司2015年收購的 OpenDNS Umbrella 云服務(wù)。
思科稱:“無論用戶在哪兒,即便斷開VPN連接,SIG也能提供安全互聯(lián)網(wǎng)訪問。在連接任何地址之前,SIG都能起到互聯(lián)網(wǎng)安全匝道的作用,提供第一道防御和檢驗(yàn)。無論用戶身處何方,無論他們想訪問哪里,流量先從SIG通過。”
如果該企業(yè)安全思考新方式流行起來,甚至可能會推動IPv6采用的加速,目前IPv6停滯不前,部分原因在于其可能給網(wǎng)絡(luò)邊界撕開口子,以及很多公司依然在用沒有良好支持的老舊防火墻和設(shè)備。