2024谷歌BeyondCorp構(gòu)建健康機(jī)群

PAGE66PAGE66谷歌BeyondCorp：構(gòu)建健康機(jī)群任何系統(tǒng)的安全等級不可能超過其信任的所有其他系統(tǒng)的安全性。BeyondCorp項(xiàng)目幫助谷歌基于其信任的計(jì)算平臺，明確定義并施行訪問決策，BeyondCorp立設(shè)備信任的機(jī)制。為了成功防止這種持續(xù)的在可信內(nèi)容（Web應(yīng)用程序、企業(yè)憑證）和（群（fleet）的構(gòu)成要素，計(jì)算平臺就成為了新邊界?；谇捌诠ぷ髡归_本文描述的工作內(nèi)容主要基于白皮書“大規(guī)模設(shè)備機(jī)群管理”[2]和之前發(fā)5BeyondCorp論文[3]BeyondCorp模型：從通用的控制視角來定義健康設(shè)備機(jī)群確保始終如一地全面應(yīng)用和衡量這些控制措施，并強(qiáng)制執(zhí)行基于持續(xù)度量推動控制措施的閉環(huán)改進(jìn)PAGE67PAGE67定義待保護(hù)環(huán)境面臨的威脅果成功減少了某一類攻擊，即可減少對這一類威脅中的多數(shù)攻擊向量[4]。從一個較高的層面來看，平臺應(yīng)該考慮的威脅類別包括：未知設(shè)備：由未知的或非受控設(shè)備對敏感系統(tǒng)發(fā)起的訪問；平臺失陷：利用計(jì)算平臺上操作系統(tǒng)或軟件的錯誤配置；安全控制旁路：未生效或錯誤配置的安全策略導(dǎo)致的系統(tǒng)失陷；非法提權(quán)：通過代碼的執(zhí)行導(dǎo)致系統(tǒng)特權(quán)被接管，且持續(xù)控制；軟件失陷：惡意軟件安裝和持續(xù)存在；持續(xù)攻擊：由于缺乏檢測而導(dǎo)致攻擊者長期攻擊；認(rèn)證旁路：通過被盜密碼或繞過認(rèn)證機(jī)制，造成平臺失陷；數(shù)據(jù)泄漏：對磁盤、內(nèi)存或傳輸中的敏感數(shù)據(jù)發(fā)起未授權(quán)訪問；攻擊隱蔽：由于缺乏日志和監(jiān)控手段導(dǎo)致攻擊者長期持續(xù)存在；攻擊抵賴：攻擊者通過掩蓋其攻擊痕跡而妨礙取證分析；通過改善設(shè)備機(jī)群健康來解決環(huán)境威脅（施是必不可少的。#威脅控制1未知設(shè)備設(shè)備機(jī)群清單庫和資產(chǎn)管理2平臺失陷操作系統(tǒng)&基礎(chǔ)軟件配置管理3安全控制旁路安全策略管理&強(qiáng)制執(zhí)行4非法提權(quán)防止系統(tǒng)接管5軟件失陷軟件控制和反惡意軟件6持續(xù)攻擊可遠(yuǎn)程驗(yàn)證平臺狀態(tài)7認(rèn)證旁路對平臺和用戶的可靠認(rèn)證8數(shù)據(jù)泄漏數(shù)據(jù)保護(hù)9攻擊隱蔽基于日志的檢測能力10攻擊抵賴平臺響應(yīng)能力/檢測&響應(yīng)表1威脅種類和潛在緩解機(jī)制健康設(shè)備的特征康維護(hù)團(tuán)隊(duì)提供保障。設(shè)備如滿足以下條件，即可認(rèn)為是健康的：可以承受大部分攻擊；下面我們將深入研究，為什么這些控制手段至關(guān)重要。設(shè)備機(jī)群清單庫和資產(chǎn)管理為可訪問敏感系統(tǒng)的設(shè)備范圍進(jìn)行了明確界定。操作系統(tǒng)&軟件配置管理有利于保證平臺配置的一致性，以確?？尚牌脚_滿足以下條件：默認(rèn)是安全的，并且隨著時間的推移仍能保持最小偏離能持續(xù)地進(jìn)行安全的升級安全策略強(qiáng)制執(zhí)行root權(quán)限，有助于緩解惡意進(jìn)程可能造成的危害。防止系統(tǒng)接管主機(jī)日志子系統(tǒng)之前，確保主機(jī)可以報告異常行為。軟件完整性及控制軟件卻無窮無盡，無法枚舉出來?？蛇h(yuǎn)程驗(yàn)證平臺的狀態(tài)的操作系統(tǒng)的完整性保證?？尚械臋C(jī)制包括：第一命令執(zhí)行控制[5]、安全啟動和遠(yuǎn)程驗(yàn)證。平臺和用戶的可靠認(rèn)證在盡可能的情況下，用戶賬密信息存儲應(yīng)使用系統(tǒng)上的硬件支持或硬件隔離。WindowsDefenderCredentialGuard[6]就是一個很好的例子。數(shù)據(jù)保護(hù)功能，可以銷毀一切存儲在系統(tǒng)上的數(shù)據(jù)和長期憑據(jù)。基于日志記錄和日志收集進(jìn)行威脅檢測平臺響應(yīng)能力/檢測和響應(yīng)GRR之類的工具可以提供遠(yuǎn)程訪問能力來執(zhí)行這類分析[7]。人工檢測工作應(yīng)盡可能保持在最低限度，因?yàn)樗鼰o法規(guī)?；貞?yīng)對廣泛的維護(hù)健康的設(shè)備機(jī)群具有上述控制特征的一組客戶端設(shè)備構(gòu)成了一般意義上健康安全的設(shè)備機(jī)群。為了達(dá)到這個狀態(tài)，首先要弄清楚如何一步一步地建立平臺信任。建立信任[8]?！半u生蛋蛋生雞”健康狀態(tài)，以及如何在健康狀況惡化時迅速糾正。對抗設(shè)備熵性難以避免的會衰減。在對抗設(shè)備熵的過程中，我們發(fā)現(xiàn)了一些有用的策略。被盜或丟失的設(shè)備,應(yīng)立即刪除其訪問權(quán)限。為了保證用戶能及時報告設(shè)備丟失或被盜，要求用戶必須在收到新的替換設(shè)備之前進(jìn)行主動報告。對訪問環(huán)境的任何設(shè)備狀態(tài)變化采用嚴(yán)密的監(jiān)測和度量手段非常重要。FacebookOSQuery[9]是一個優(yōu)秀的開源監(jiān)測工具，適用于Linux、OSX和Windows[10]為可信的設(shè)備。BeyondCorp通過限制用戶訪問的方式，強(qiáng)制用戶進(jìn)行某些必要操作，例如重新啟動或接受更新。檢測不健康的主機(jī)[11]“已識別提供設(shè)備的修復(fù)指導(dǎo)。惡意設(shè)備的信任。提供靈活的策略（和例外各種用例時，會遇到許多這樣的細(xì)節(jié)問題。（這會導(dǎo)致用戶尋求規(guī)避手段試點(diǎn)并推廣這些原則們逐漸達(dá)成一項(xiàng)策略，即首先在監(jiān)控模式下推出控制措施并建立內(nèi)部試用團(tuán)隊(duì)USBUSB組件交互。通過這種方理位置來劃分內(nèi)部測試，當(dāng)然必須在變更實(shí)施前準(zhǔn)備好本地支持人員。個控制措施映射到它所解決的威脅可以幫助每個人理解安全團(tuán)隊(duì)選擇特定操作“如何使設(shè)備機(jī)群更安全”好的閉環(huán)。平臺度量和一致性控制大）。例如，ChromeSecureAccess提供了可靠的軟件控制，但是Linux100%實(shí)現(xiàn)完（因?yàn)槠脚_能力和威脅模型不同對于所有需要實(shí)施的控制，可以將評估標(biāo)準(zhǔn)統(tǒng)一為“對安全風(fēng)險是否有效”。平臺是否能夠支持控制措施？控制措施是否默認(rèn)開啟？控制措施的狀態(tài)是否可以度量？設(shè)備機(jī)群是否合規(guī)？要推動各項(xiàng)目標(biāo)的可度量行和可比較性，可能需要考慮：地理位置，數(shù)量等功能特性的實(shí)現(xiàn)比例等難點(diǎn)在于如何設(shè)置這些評估標(biāo)準(zhǔn)。一旦擁有了各平臺的可比較的度量標(biāo)準(zhǔn)，探討設(shè)備機(jī)群健康狀況的能力將大大提高。下產(chǎn)生結(jié)論的過程，這能讓應(yīng)急安全工程師之外的人了解設(shè)備機(jī)群的狀態(tài)。與理想情況的偏差100%統(tǒng)一的控制措施過于理（期在設(shè)備機(jī)群中的角色。啟動BeyondCorp4個步驟：定義需要重點(diǎn)考慮的安全控制措施；找到度量這些控制措施的方法；判斷設(shè)備機(jī)群的不合規(guī)項(xiàng)；修改工作流，讓其符合預(yù)定安全策略，或?qū)⑵涠x為例外。盡可能覆蓋所有潛在的用例。（因?yàn)樗鼈兛梢酝ㄟ^補(bǔ)償控制來緩解殊處理。以提升我們在面對持續(xù)攻擊時的靈活性。經(jīng)驗(yàn)教訓(xùn)制定一個連貫的計(jì)劃來衡量和評估信任和設(shè)備機(jī)群的健康狀況并不是一個（BeyondCorp的其他目標(biāo)）省一些時間和麻煩。盡早設(shè)置目標(biāo)里程碑至少粗略的確定如何處理例外窗口，梳理已有例外的審核過程。與合作伙伴互動并且