Google 网络安全 Sans Perimeter

称为BeyondCorp的领先网络体系结构预示着未来的事物

大约十年前,我第一次被介绍给Jericho论坛,这是一个由国际网络安全主管组成的国际组织,致力于定义新的信息安全工具和体系结构。当时,耶利哥论坛特别关注 去周边化。维基百科将反周边化定义为:

消除组织与外界之间的界限。非边界化通过混合使用加密,安全计算机协议,安全计算机系统和数据级别身份验证来保护组织的多个级别的系统和数据,而不是依靠组织的网络边界访问Internet。

杰里科论坛(Jericho Forum)领先于时代,在过去的几年里,在云计算,物联网和移动设备泛滥之前,宣讲了取消围墙。如今,这些IT计划已经很完善,许多企业组织对取消围墙的要求变得更加迫切。 CISO并不是在逐个基础上扩展自己的无边界网络安全性,而是在寻找某人(任何人!)来加强他们可以评估和仿真的参考体系结构。

使用BeyondCorp输入Google,它被形容为“一种新的企业安全方法”,该方法在最近的版本中得到了强调 《华尔街日报》博客

那么BeyondCorp到底是什么呢?还记得Speakeasy的电影吗?在这些电影中,角色不得不被敲门并说:“ Joe送我了”,然后才被允许入场? BeyondCorp相当于此过程的Internet等效对象。 

使用BeyondCorp,所有用户和设备都位于准公共网络上,因此,无需LAN,VPN等,并且所有用户和设备都必须经过身份验证,才能被授予对应用程序和IT服务的访问权限。用户身份验证需要多个因素,而不仅是用户名和密码,而且所有设备都是通过绑定到每个系统受信任平台模块(TPM)的数字证书进行管理和批准的。进行身份验证后,然后根据业务和安全策略将所有设备分配给网段(VLAN),以便将它们限制为仅执行工作所需的那些网络资产。最后,客户端和应用程序之间的所有网络流量都由面向外部的网络代理进行加密。 

在后端,所有面向外部的应用程序都驻留在具有私有地址空间的半公共网络上,并且所有应用程序都具有诸如负载平衡,全局可访问性和DDoS保护之类的服务。除了用于网络保护的用户和设备身份验证之外,每个应用程序还受授权策略保护,该策略根据用户,设备,用户组,设备上的工件和设备位置做出授权决策。换句话说,基于风险因素可以动态控制应用程序的访问和使用。

我真的只是刮过了Google BeyondCorp架构的表面,因为它超出了我不起眼的博客的范围,无法提供深入的技术细节。任何对这个日益重要的话题感兴趣的人都应该真正阅读Google BeyondCorp 更多细节。我认为,将杰里科论坛(Jericho Forum)的2000年代初愿景变为现实,确实值得赞扬。 

除了Google之外,其他安全厂商还提供了各种工具和技术,这些工具和技术当然可以放入类似的无边界架构中。希望以更直接的方式跟随Google领导的CISO应该调查:

  • 思科ISE和TrustSec。  虽然不是Google架构的镜像,但思科客户可以使用思科的身份服务引擎(ISE)和TrustSec进行网络分段,以构建类似的内容。其他诸如Pulse Secure的产品提供类似的功能。
  • 端点分析人群。  Google希望了解有关端点设备的详细信息,然后再让它们通过TCP / IP门。 Great Bay Software,Promisec和Tanium等供应商可以提供类似的信息。
  • NAC。  忘了NAC大约在2006年,NAC已经发展成为ESG称为“端点可见性,访问和安全性(EVAS)”的新类别。用户和设备通过身份验证后,Bradford Networks,ForeScout和Symtrex等NAC供应商便可以实施策略。该领域的一些供应商还提供了端点分析,并与网络安全基础结构的其他元素集成。
  • FIDO。  发行安全令牌,实施802.1X和管理数字证书可能会成为一项运营负担,需要对许多组织无法提供的技能和资源进行大量投资。快速身份在线(FIDO)联盟有潜力通过支持一系列具有一组通用标准和协议的身份验证技术,来实现强大的用户和设备身份验证。像Google,Lenovo,Microsoft和Nok Nok Labs这样的公司已经加入了,因此FIDO强大的用户和设备身份验证基础将在未来几年内自行进入企业之门。 

版权© 2015 IDG通讯,Inc.