隨著越來越多的員工開始遠程辦公，傳統網絡邊界安全概念變得毫無意義，企業需要新的方法構筑企業網絡安全。日前谷歌透露其創建BeyondCrop程序實現軟件定義安全的相關細節，從中企業可以借鑒他們實現防火墻移動的方式。

早在六年前，該BeyondCorp計劃既已啟動，該計劃意在打造基于“零信任”模型的網絡安全基礎架構，認證基于受信任的設備和用戶而非網絡本身。

打破“墻”的概念

歷史上企業網絡一直像個“城堡”一般，為了保護企業網絡免受互聯網侵擾，企業購買各種網絡設備——三層防火墻、二層防火墻以及Web應用防火墻來確保“城堡”邊界的安全。移動化讓城堡里的人逐漸走出城堡，顯然對于城堡外的人來講墻沒有任何意義。

基于此，谷歌開始對網絡安全進行大規模檢查，因而有了BeyondCorp的誕生。該程序主要基于三個原則：

一、所有網絡皆被視為不可信的；

二、基于已知的用戶和設備進行授權訪問；

三、所有對服務的訪問必須進行身份驗證、授權和加密。

BeyondCrop工作機制

首先，谷歌需要使用更細粒度的作業代碼重新創建員工數據庫，以確定允許用戶訪問哪些應用程序和數據。他們需要創建受管設備的詳細數據庫（從采購到配置到生命周期終止，包括維修或升級），這種設備的“動態信任庫”由谷歌內部CA頒發數字證書，用作唯一標識符。

存儲庫給不同的硬件配置不同的信任級別，并創建策略界定一個設備可以在網絡上做什么。例如要訪問源代碼系統，必須是具有工程作業代碼并使用完全信任的桌面的全職谷歌員工才可以。

之后，谷歌將公司的單點登錄外部化，并創建“反向代理”來驗證用戶。

通過這種方法，用戶和任何潛在的攻擊者都不可能進行橫向移動，因為設備或用戶只允許訪問他們得到授權的資源。這樣一來，企業能夠有效地減小攻擊面積，且無副作用。

BeyondCorp對其他企業的借鑒意義

從傳統企業網絡遷移至BeyondCorp前，谷歌花費兩年時間來創建用戶和設備信任庫，這是一個比較漫長的過程。且谷歌實行BeyondCorp計劃離不開高層的支持，盡管該類型網絡維護成本較低，但對預算要求頗高。

該計劃要求所有設備都是受管理的，而用戶自帶設備會使維護設備信任庫變得更加困難。當然，成本和預算不應該成為企業尋求新的安全方法的制約因素。

此外，在考慮部署BeyondCorp這類架構前，企業安全專業人員需全面理解“認證第一、連接第二”的架構理念。無論是BeyondCorp還是其他軟件定義安全模型，都提供了一種新的安全模式，設備和用戶只能獲得經過驗證的資源，如此企業才構建了更為安全的環境。