2024谷歌BeyondCorp論文合集

谷歌BeyondCorp系列論文合集2024【第一篇】BeyondCorp：一種新的企業(yè)安全方案【第一篇】BeyondCorp：一種新的企業(yè)安全方案PAGE10PAGE10【第一篇】BeyondCorp：一種新的企業(yè)安全方案IT基礎(chǔ)設(shè)施誕生以來(lái)，企業(yè)一向使用邊界防御措施來(lái)保護(hù)對(duì)內(nèi)部資源的大部分企業(yè)假設(shè)內(nèi)部網(wǎng)絡(luò)是安全的環(huán)境并且企業(yè)應(yīng)用可以放心暴露在內(nèi)網(wǎng)，并基于這種假設(shè)構(gòu)建企業(yè)應(yīng)用。BeyondCorp（內(nèi)網(wǎng)VPN源的本地和遠(yuǎn)程訪問(wèn)在用戶體驗(yàn)上基本一致。BeyondCorp的關(guān)鍵組件BeyondCorp由許多相互協(xié)作的組件組成，以確保只有通過(guò)嚴(yán)格認(rèn)證的設(shè)備和用戶才能被授權(quán)訪問(wèn)所需的企業(yè)應(yīng)用，各組件描述如下（見(jiàn)圖1）。圖1BeyondCorp的組件和訪問(wèn)流安全識(shí)別設(shè)備設(shè)備清單數(shù)據(jù)庫(kù)BeyondCorp使用了“受控設(shè)備”的概念——由企業(yè)采購(gòu)并管理可控的設(shè)備。BeyondCorpBeyondCorp元清單數(shù)據(jù)庫(kù)，我們就掌握了所有需要訪問(wèn)企業(yè)應(yīng)用的設(shè)備信息。設(shè)備標(biāo)識(shí)（TrustedPlatformModule,安全識(shí)別用戶用戶和群組數(shù)據(jù)庫(kù)BeyondCorp還跟蹤和管理用戶數(shù)據(jù)庫(kù)和用戶群組數(shù)據(jù)庫(kù)中的所有用戶。用戶/群組數(shù)據(jù)庫(kù)系統(tǒng)與谷歌的HR流程緊密集成，管理著所有用戶的崗位分類、用戶名和群組成員關(guān)系，當(dāng)員工入職、轉(zhuǎn)崗、或離職時(shí)，數(shù)據(jù)庫(kù)就會(huì)相應(yīng)更新。HR系統(tǒng)將需要訪問(wèn)企業(yè)的用戶的所有相關(guān)信息都提供給BeyondCorp。單點(diǎn)登錄系統(tǒng)SSO系統(tǒng)會(huì)生成短時(shí)令牌（short-livedtokens），用來(lái)作為對(duì)特定資源授權(quán)流程的一部分。消除基于網(wǎng)絡(luò)的信任部署無(wú)特權(quán)網(wǎng)絡(luò)為了不再區(qū)分內(nèi)部和遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)，BeyondCorp定義并部署了一個(gè)與外網(wǎng)（DHCPPuppet絡(luò)中，這個(gè)無(wú)特權(quán)網(wǎng)絡(luò)和谷歌網(wǎng)絡(luò)的其他部分之間由嚴(yán)格管理的ACL（訪問(wèn)控制列表）進(jìn)行控制。有線和無(wú)線網(wǎng)絡(luò)接入的802.1x認(rèn)證802.1xRADIUS服務(wù)器將設(shè)備VLAN分配。這種方法意味著不再依賴交換機(jī)/RADIUS服務(wù)器來(lái)通知交換機(jī)VLAN802.1x握訪客網(wǎng)絡(luò)中。將應(yīng)用和工作流外化面向公共互聯(lián)網(wǎng)的訪問(wèn)代理谷歌的所有企業(yè)應(yīng)用都通過(guò)一個(gè)面向公共互聯(lián)網(wǎng)的訪問(wèn)代理開放給外部和訪問(wèn)控制檢查、應(yīng)用健康檢查和拒絕服務(wù)防護(hù)。在訪問(wèn)控制檢查（詳述見(jiàn)后文）完成之后，訪問(wèn)代理會(huì)將請(qǐng)求轉(zhuǎn)發(fā)給后端應(yīng)用。公共的DNS記錄谷歌的所有企業(yè)應(yīng)用均對(duì)外提供服務(wù)，并且在公共DNS中注冊(cè)，使用CNAME將企業(yè)應(yīng)用指向面向公共互聯(lián)網(wǎng)的訪問(wèn)代理。實(shí)現(xiàn)基于設(shè)備清單的訪問(wèn)控制對(duì)設(shè)備和用戶的信任推斷每個(gè)用戶和/或設(shè)備的訪問(wèn)級(jí)別可能隨時(shí)改變。通過(guò)查詢多個(gè)數(shù)據(jù)源，能夠動(dòng)態(tài)推斷出分配給設(shè)備或用戶的信任等級(jí)，這一信任等級(jí)是后續(xù)訪問(wèn)控制引擎（詳述見(jiàn)后文）進(jìn)行授權(quán)判定的關(guān)鍵參考信息。級(jí)可以通過(guò)靜態(tài)規(guī)則和啟發(fā)式方法來(lái)綜合確定。訪問(wèn)控制引擎細(xì)粒度授權(quán)。訪問(wèn)控制引擎的消息管道和用戶清單庫(kù)的詳細(xì)信息。一個(gè)端到端示例應(yīng)用本例中，我們假設(shè)一個(gè)應(yīng)用將被“BeyondCorp化”，這個(gè)應(yīng)用用于工程師配置面向互聯(lián)網(wǎng)的訪問(wèn)代理應(yīng)用后端的網(wǎng)絡(luò)位置和每個(gè)后端可承受的最大流量。DNSCNAME指向訪問(wèn)代理。例如：配置訪問(wèn)控制引擎當(dāng)一位工程師訪問(wèn)網(wǎng)絡(luò)如果網(wǎng)絡(luò)位于企業(yè)辦公大樓外Wi-FiWi-Fi，也可能是咖Wi-FiVPN來(lái)連接到企業(yè)網(wǎng)絡(luò)。如果網(wǎng)絡(luò)位于企業(yè)辦公大樓內(nèi)RADIUS802.1x握手過(guò)程中提供設(shè)備證書。當(dāng)訪問(wèn)應(yīng)用，無(wú)需區(qū)分網(wǎng)絡(luò)1的訪問(wèn)流程。1、請(qǐng)求指向訪問(wèn)代理，筆記本電腦提供設(shè)備證書。2、訪問(wèn)代理無(wú)法識(shí)別用戶，重定向到單點(diǎn)登錄系統(tǒng)。3、工程師提供雙因子認(rèn)證憑據(jù)，由單點(diǎn)登錄系統(tǒng)進(jìn)行身份認(rèn)證，頒發(fā)令牌，并重定向回訪問(wèn)代理。45執(zhí)行對(duì)應(yīng)的授權(quán)檢查。授權(quán)檢查基于每個(gè)請(qǐng)求進(jìn)行：確認(rèn)用戶是工程組成員。確認(rèn)用戶擁有足夠的信任等級(jí)。確認(rèn)設(shè)備是一個(gè)良好的受控設(shè)備。確認(rèn)設(shè)備擁有足夠的信任等級(jí)。如果所有這些檢查通過(guò)，請(qǐng)求被轉(zhuǎn)發(fā)到應(yīng)用后端獲取服務(wù)。如果上述任何檢查失敗，請(qǐng)求被拒絕。查。遷移到BeyondCorp（內(nèi)網(wǎng)BeyondCorp，但一下子將每個(gè)網(wǎng)絡(luò)用戶和每個(gè)應(yīng)用都遷BeyondCorpBeyondCorp2所示。下面將詳細(xì)介紹我們所做的一些工作。圖2遷移到BeyondCorp工作流遷移評(píng)估需要確保谷歌的所有應(yīng)用都可以遷移以便最終通過(guò)訪問(wèn)代理進(jìn)行訪問(wèn)。BeyondCorp會(huì)發(fā)起對(duì)所有應(yīng)用的檢查和遷移評(píng)估，確保其平滑遷移。每個(gè)應(yīng)用HTTPS移：1、可以通過(guò)特權(quán)網(wǎng)絡(luò)直接訪問(wèn)；以及在外網(wǎng)通過(guò)VPN訪問(wèn)。2、可以通過(guò)特權(quán)網(wǎng)絡(luò)直接訪問(wèn)；以及在外網(wǎng)及無(wú)特權(quán)網(wǎng)絡(luò)中通過(guò)訪問(wèn)DNS外部域名服務(wù)器指向訪問(wèn)代理。3、在外部、特權(quán)和無(wú)特權(quán)網(wǎng)絡(luò)中通過(guò)訪問(wèn)代理均可訪問(wèn)。工作職能分析BeyondCorp組件功能減少VPN的使用隨著越來(lái)越多的應(yīng)用通過(guò)訪問(wèn)代理訪問(wèn)，我們開始阻止用戶使用VPN，策略如下：1、只有經(jīng)證實(shí)確有需要的用戶才能使用VPN訪問(wèn)。2、監(jiān)控VPN的使用，刪除在一段時(shí)期內(nèi)未使用VPN的用戶的訪問(wèn)權(quán)限。3、監(jiān)控VPN活躍用戶的VPN使用情況，如果他們所有的工作流都可以通過(guò)訪問(wèn)代理實(shí)現(xiàn)，將強(qiáng)烈建議用戶放棄使用VPN。流量分析管道（或者非常接近確信所有用戶的工作流都可以從無(wú)特權(quán)網(wǎng)絡(luò)中訪問(wèn)時(shí)，才能將用戶轉(zhuǎn)移到無(wú)特權(quán)網(wǎng)絡(luò)，這一點(diǎn)對(duì)遷移的平滑性非常重要。/或特定的設(shè)備上，BeyondCorp環(huán)境中能夠工作。無(wú)特權(quán)網(wǎng)絡(luò)模擬流量。流量監(jiān)視器有兩個(gè)模式：記錄模式：捕獲非法流量，但仍然允許上述流量流出設(shè)備。強(qiáng)制模式：捕獲并丟棄非法流量。遷移策略通過(guò)流量分析管道和無(wú)特權(quán)網(wǎng)絡(luò)模擬，可以定義并實(shí)施分階段的遷移策略，包括以下內(nèi)容：1、通過(guò)工作職能和/或工作流和/或位置來(lái)確認(rèn)潛在的可遷移候選集。2、模擬器開啟記錄模式，確認(rèn)在連續(xù)30天內(nèi)合格流量比例大于99.9%的用戶和設(shè)備。399.99%式。4、在強(qiáng)制模式下成功運(yùn)行30天之后，將此狀態(tài)記錄在設(shè)備清單中。530Radius802.1x身份驗(yàn)證服務(wù)時(shí)，設(shè)備將被分配到無(wú)特權(quán)網(wǎng)絡(luò)。豁免處理BeyondCorpBeyondCorp完成BeyondCorpBeyondCorp而不會(huì)影響日常工作生產(chǎn)力。BeyondCorpBeyondCorpBeyondCorpBeyondCorp似的實(shí)踐?！镜诙抗雀鐱eyondCorp：從設(shè)計(jì)到部署【第二篇】谷歌BeyondCorp：從設(shè)計(jì)到部署PAGE15PAGE15【第二篇】谷歌BeyondCorp：從設(shè)計(jì)到部署谷歌BeyondCorp全性。與傳統(tǒng)的邊界安全模型不同，BeyondCorp不基于物理位置或發(fā)起請(qǐng)求的備的信息、狀態(tài)和當(dāng)前設(shè)備的使用者信息等等。BeyondCorp模型默認(rèn)內(nèi)部網(wǎng)絡(luò)級(jí)滿足應(yīng)用的最低安全要求。BeyondCorpBeyondCorp請(qǐng)參見(jiàn)第一篇“BeyondCorp：一種新的企業(yè)安全方案”[1]。概述BeyondCorp系統(tǒng)的關(guān)鍵組件包括信任引擎（TrustInferer）、設(shè)備清單服務(wù)(DeviceInventoryService)、訪問(wèn)控制引擎(AccessControlEngine)、訪問(wèn)策略(AccessPolicy)、網(wǎng)關(guān)（Gateways）和資源(Resources)，如圖1所示，BeyondCorp所使用的各術(shù)語(yǔ)定義如下：訪問(wèn)需求被劃分為不同的（TrustTiers），不同的等級(jí)代表著不同的敏感度，等級(jí)越高，敏感度越高。資源(Resources)信任引擎（TrustInferer）是一個(gè)持續(xù)分析和標(biāo)注設(shè)備狀態(tài)的系統(tǒng)。該系統(tǒng)訪問(wèn)策略(AccessPolicy)是描述授權(quán)判定必須滿足的一系列規(guī)則，包含對(duì)資源、信任等級(jí)和其他影響授權(quán)判定的因子的程序式表示。訪問(wèn)控制引擎(AccessControlEngine)是一種集中式策略判定點(diǎn)，它為每個(gè)/失敗的二元判定結(jié)果。設(shè)備清單服務(wù)(DeviceInventoryService)BeyondCorp網(wǎng)關(guān)（Gateways）SSH服務(wù)器、Web代理或支802.1xVLAN。圖1:BeyondCorp系統(tǒng)的關(guān)鍵組件BeyondCorp的組件通過(guò)使用下列組件，BeyondCorp將各類已有系統(tǒng)組件、新系統(tǒng)組件進(jìn)行集成，以便實(shí)現(xiàn)靈活而細(xì)粒度的信任判定。設(shè)備（Device）和主機(jī)(Host)（device）是物理或虛（host）設(shè)備主機(jī)基于信任等級(jí)的訪問(wèn)信任度可以劃分為若干信任等級(jí)，并由信任引擎為每個(gè)設(shè)備分配信任等級(jí)，分配訪問(wèn)信任等級(jí)有幾個(gè)優(yōu)點(diǎn)：降低了高安全要求的設(shè)備相關(guān)的運(yùn)維成本（主要是與技術(shù)支持和生產(chǎn)力相關(guān)的成本設(shè)備會(huì)被拒絕訪問(wèn)所有企業(yè)資源。VLAN來(lái)進(jìn)行網(wǎng)絡(luò)復(fù)信任之前僅提供有限的資源訪問(wèn)權(quán)限。設(shè)備清單服務(wù)設(shè)備清單服務(wù)（2所示）是一個(gè)不斷更新的數(shù)據(jù)管道，能夠從廣泛的數(shù)據(jù)來(lái)源中導(dǎo)入數(shù)據(jù)。系統(tǒng)管理數(shù)據(jù)源可能包括活動(dòng)目錄（ActiveDirectory）PuppetSimian，其他設(shè)備代理、配置管理系統(tǒng)和企業(yè)資產(chǎn)管理系統(tǒng)也會(huì)向該（Out-of-band）ARP映射表等網(wǎng)絡(luò)基礎(chǔ)設(shè)施單元。每個(gè)數(shù)據(jù)源都可以發(fā)送設(shè)備相關(guān)的完整數(shù)據(jù)或增量數(shù)據(jù)。圖2 設(shè)備清單服務(wù)BeyondCorp15個(gè)數(shù)據(jù)源中吸收了數(shù)300萬(wàn)條/80TB數(shù)據(jù)類型數(shù)據(jù)有兩種主要的類型：觀察數(shù)據(jù)和預(yù)設(shè)數(shù)據(jù)。觀察數(shù)據(jù)由程序產(chǎn)生，包括以下項(xiàng)目：最近一次在設(shè)備上執(zhí)行安全掃描的時(shí)間,及掃描結(jié)果活動(dòng)目錄的最后同步策略和時(shí)間戳操作系統(tǒng)版本和補(bǔ)丁等級(jí)已安裝的軟件預(yù)設(shè)數(shù)據(jù)通過(guò)IT運(yùn)維手動(dòng)維護(hù)，包括以下內(nèi)容：為設(shè)備分配的所有者允許訪問(wèn)該設(shè)備的用戶和組DNSDHCPVLAN的顯式訪問(wèn)權(quán)限在數(shù)據(jù)不足或客戶端平臺(tái)不可定制的情況下，就需要明確分配（比如打印機(jī)就屬于這種情況）。與觀察數(shù)據(jù)所表現(xiàn)的易變性相比，預(yù)設(shè)數(shù)據(jù)通常是靜態(tài)的。通常需要分析許多來(lái)自不同來(lái)源的數(shù)據(jù)，用以識(shí)別潛在的數(shù)據(jù)沖突，而不要盲目地相信單個(gè)或少量系統(tǒng)的數(shù)據(jù)真實(shí)性。數(shù)據(jù)處理數(shù)據(jù)格式的轉(zhuǎn)換與統(tǒng)一數(shù)據(jù)關(guān)聯(lián)因?yàn)樵S多數(shù)據(jù)源之間并不具備數(shù)據(jù)關(guān)聯(lián)所必須的重疊的“標(biāo)識(shí)符”。3數(shù)據(jù)處理管道例如，資產(chǎn)管理系統(tǒng)可能存儲(chǔ)資產(chǎn)IDMAC后，這些多源的、沒(méi)有交集的記錄才可能合并為單條記錄。如果再考慮到設(shè)備的全生命周期，相關(guān)的信息及其關(guān)聯(lián)過(guò)程將更加一團(tuán)糟，因?yàn)橛脖P、網(wǎng)卡、機(jī)箱和主板都有可能被替換，甚至?xí)谠O(shè)備之間交換。另外，如果還考慮人為的數(shù)據(jù)錄入錯(cuò)誤，情況會(huì)更加復(fù)雜。信任評(píng)估需要一個(gè)設(shè)備滿足以下所有（或更多）需求：加密成功執(zhí)行所有的管理和配置客戶端程序（agents）安裝最新的操作系統(tǒng)安全補(bǔ)丁從所有輸入源中獲得的數(shù)據(jù)狀態(tài)一致Stagefright[2]1能夠獲取。特殊處理過(guò)特殊處理，直接為其分配適合的信任等級(jí)以確保正常訪問(wèn)。部署首次上線BeyondCorp上線的第一階段包含一部分網(wǎng)關(guān)和初步的元清單服務(wù)，這些服IP的邊界安全模型，并將這個(gè)策略集應(yīng)用到不可信設(shè)備上，為能安全地部署系統(tǒng)的一些組件，而不會(huì)影響用戶的平滑使用。與此同時(shí)，BeyondCorp團(tuán)隊(duì)也在設(shè)計(jì)、開發(fā)并持續(xù)迭代一個(gè)規(guī)模更大、延1530100IP的策略。在驗(yàn)證了低信任等級(jí)設(shè)備的工作流后，對(duì)更高信任等級(jí)的企業(yè)資源的信任等級(jí)分配范圍，并基于信任等級(jí)進(jìn)行訪問(wèn)控制。考慮到前文提到的從不同來(lái)源關(guān)聯(lián)數(shù)據(jù)的復(fù)雜性，BeyondCorp采用x.509證書作為固定的設(shè)備標(biāo)識(shí)符。x.509證書提供了兩個(gè)核心功能：不同設(shè)備。識(shí)不匹配，隨即做出反饋，降低設(shè)備信任等級(jí)。能提供一個(gè)基于密碼學(xué)的一地標(biāo)識(shí)設(shè)備。移動(dòng)設(shè)備HTTPAPI也位于與訪問(wèn)控制引擎集Web瀏覽器訪問(wèn)的資源都能通過(guò)相同的授權(quán)機(jī)制進(jìn)行保護(hù)。遺留（Legacy）平臺(tái)和第三方平臺(tái)TCPUDPSSHSSL/TLS代理技術(shù)提供的隧道通信。而網(wǎng)關(guān)只允許符合訪問(wèn)控制引擎中策略的隧道業(yè)務(wù)通過(guò)。RADIUS[3]是一個(gè)特例：它與設(shè)備清單服務(wù)集成，但它從信任引擎接收的是ANRUS802.1xVLAN。避免干擾用戶BeyondCorp有的工作流中，可以確定：哪些工作流，可以與無(wú)特權(quán)網(wǎng)絡(luò)兼容哪些工作流允許進(jìn)行超出預(yù)設(shè)的訪問(wèn)或哪些工作流允許用戶繞過(guò)已經(jīng)存在的限制IP級(jí)元數(shù)據(jù)，將流量劃分到服務(wù)，并在模擬環(huán)境中應(yīng)用了我們預(yù)期的網(wǎng)絡(luò)安全策略；另一方面，將安全策略轉(zhuǎn)換為每個(gè)平臺(tái)本地防火墻配置語(yǔ)言。收集了這些數(shù)據(jù)之后，通過(guò)與服務(wù)所有者合作，將他們的服務(wù)遷移到支持BeyondCorp的網(wǎng)關(guān)。有些服務(wù)很容易遷移，但還有些服務(wù)則比較困難，需要一VLANBeyondCorp的應(yīng)用不會(huì)感到不太方便；遷移壓力基本都在服務(wù)提供者和應(yīng)用程序開發(fā)人員身上，這可以促使他們正確地配置相關(guān)服務(wù)。BeyondCorp（修復(fù)或聯(lián)系支持）IT當(dāng),但手里還有一只信任等級(jí)足夠的手機(jī)，我們可以將診斷請(qǐng)求轉(zhuǎn)發(fā)給這個(gè)手機(jī)進(jìn)行評(píng)估。挑戰(zhàn)和經(jīng)驗(yàn)教訓(xùn)數(shù)據(jù)質(zhì)量及相關(guān)性資產(chǎn)管理的數(shù)據(jù)質(zhì)量問(wèn)題可能導(dǎo)致設(shè)備無(wú)意中失去對(duì)企業(yè)資源的訪問(wèn)權(quán)限。稀疏數(shù)據(jù)集MAC管道延遲理本身也會(huì)增加時(shí)延。因此，需要采用流式處理。溝通成補(bǔ)救措施效果差，IT支持人員的工作也會(huì)超負(fù)荷。過(guò)度溝通也有問(wèn)題：不愿【第二篇】谷歌BeyondCorp：從設(shè)計(jì)到部署【第二篇】谷歌BeyondCorp：從設(shè)計(jì)到部署目問(wèn)題混淆，這也會(huì)降低補(bǔ)救措施的效率，增加支持人員的操作負(fù)荷。災(zāi)難恢復(fù)BeyondCorpBeyondCorp現(xiàn)有的一些災(zāi)難恢復(fù)實(shí)踐，以確保在發(fā)生災(zāi)難性緊急情況時(shí)，BeyondCorp仍能發(fā)揮作用。BeyondCorp的災(zāi)難恢復(fù)協(xié)議基于最小依賴關(guān)系，并允許極少的一部人員啟動(dòng)恢復(fù)流程。下一步BeyondCorp性的前提下，BeyondCorp已經(jīng)大幅改善了谷歌的安全態(tài)勢(shì)，同時(shí)還提供了一個(gè)則和流程進(jìn)行部署和完善?！镜谌緽eyondCorp：訪問(wèn)代理【第三篇】BeyondCorp：訪問(wèn)代理PAGE27PAGE27【第三篇】BeyondCorp：訪問(wèn)代理BeyondCorp（AccessProxy,AP）的實(shí)現(xiàn)，關(guān)注其實(shí)施過(guò)程中遇到的挑戰(zhàn),以及設(shè)計(jì)和上線中學(xué)到的經(jīng)驗(yàn)教訓(xùn)。此BeyondCorp模型遷移過(guò)程中（之前在“BeyondCorp：一種新的企業(yè)安全方案”[1]和“”[2]中有討論這種方法會(huì)明顯降低產(chǎn)品發(fā)布和迭代的速度。為了解決這個(gè)問(wèn)題，谷歌通過(guò)前端訪問(wèn)代理（AP）作為中心化的策略強(qiáng)制同一套代碼我們實(shí)現(xiàn)了不同邏輯的網(wǎng)關(guān)。目前，訪問(wèn)代理已支持Web代理和SSH網(wǎng)關(guān)組件[2]APHTTPAP的后面。HTTP（,AP準(zhǔn)確識(shí)別設(shè)備。結(jié)合訪問(wèn)代理（AP）和集中的訪問(wèn)控制引擎（AccessControlEngine,ACE）（ACL評(píng)估系統(tǒng)）主要有兩個(gè)好處：一是所有請(qǐng)求都途經(jīng)同一個(gè)日志記BeyondCorp的前端基礎(chǔ)設(shè)施Web應(yīng)用程序都會(huì)采用前端基礎(chǔ)設(shè)施——通常是負(fù)載均衡和/HTTPWeb策略執(zhí)行點(diǎn)的部署提供了理想位置。因此，谷歌的前端基礎(chǔ)設(shè)施對(duì)于BeyondCorp訪問(wèn)策略的強(qiáng)制執(zhí)行至關(guān)重要。HTTP/HTTPS反向代理集群，即谷歌前端（GoogleFrontEnds,GFETLS卸Web應(yīng)用的后端可以專注于服務(wù)請(qǐng)求的具體內(nèi)容，而幾乎不必考BeyondCorpGFEGFE的GFE即訪問(wèn)代理（AP）。下文將詳細(xì)闡述訪問(wèn)代理提供的具體服務(wù)。擴(kuò)展后的GFE特性：產(chǎn)品需求GFE有一些內(nèi)置功能，并不是專門為BeyondCorp設(shè)計(jì)的但可以為BeyondCorp所用：如，為后端提供負(fù)載均衡服務(wù)、通過(guò)GFE實(shí)現(xiàn)TLS卸載。AP通過(guò)引入認(rèn)證和授權(quán)策略擴(kuò)展了GFE。認(rèn)證為了正確處理一個(gè)授權(quán)請(qǐng)求，AP行詳細(xì)討論，本節(jié)重點(diǎn)介紹用戶認(rèn)證。AP通過(guò)集成谷歌的身份提供服務(wù)（IdentityProvider,IdP）完成用戶身份認(rèn)AP,不具備AP需要支持一系列的認(rèn)證機(jī)制,ConnectOAuth和一些定制化協(xié)議。AP還需要處理不能提供用戶憑證的請(qǐng)求場(chǎng)景，例如，一個(gè)軟件管理系統(tǒng)試圖下載最新的安全補(bǔ)丁，這種情況下，AP可以禁用用戶認(rèn)證。當(dāng)AP這樣做至關(guān)重要，有兩點(diǎn)原因：確保后端不能通過(guò)訪問(wèn)代理重放請(qǐng)求（或憑證），進(jìn)行重放攻擊。cookie要的暴露給后端業(yè)務(wù)。授權(quán)以下兩個(gè)設(shè)計(jì)推動(dòng)BeyondCorp中授權(quán)機(jī)制的實(shí)施：（RemoteProcedureCalls,查詢的集中訪問(wèn)控制列表（AccessControlList,ACL）采用領(lǐng)域特定語(yǔ)言（domain-specificlanguage,DSL）表達(dá)訪問(wèn)控制列表（ACL），使其同時(shí)兼顧可讀性和可擴(kuò)展性ACL（RADIUS絡(luò)訪問(wèn)控制基礎(chǔ)設(shè)施、APSSH代理）。（AB”）。AP代理和后端之間的雙向身份認(rèn)證APAP其重要，因?yàn)門LS握手和傳輸在前端代理就終結(jié)了，前端代理是通過(guò)另外的加密通道傳輸HTTP請(qǐng)求給后端業(yè)務(wù)。為滿足上述要求需要一個(gè)能夠建立加密通道的雙向認(rèn)證機(jī)制 舉個(gè)例子：TLSBeyondCorp采LOAS(LowOverheadAuthenticationSystem,低)，它可以對(duì)代理和后端之間的所有通信進(jìn)行雙向認(rèn)證和加密。AP（HTTP消息頭的形式元數(shù)據(jù)、使用自定義協(xié)議（比如，ApacheJServe協(xié)議）并不是什么新方法,AP的雙向認(rèn)證機(jī)制，確保了元數(shù)據(jù)的完整性。APAP用這個(gè)功能可以將設(shè)備的安全等級(jí)傳遞到后端，后端可據(jù)此調(diào)整服務(wù)內(nèi)容。ACL語(yǔ)言將領(lǐng)域特定語(yǔ)言（domain-specificlanguage,DSL）ACL是解決集中式授權(quán)挑戰(zhàn)的關(guān)鍵。這種語(yǔ)言支持靜態(tài)編制ACL（有助于提高性能和可測(cè)試性安全策略團(tuán)隊(duì)：負(fù)責(zé)對(duì)訪問(wèn)策略進(jìn)行抽象和靜態(tài)編制請(qǐng)參閱“了解關(guān)于清單管道的更多細(xì)節(jié)）訪問(wèn)控制引擎團(tuán)隊(duì)：負(fù)責(zé)評(píng)價(jià)和執(zhí)行安全策略ACL語(yǔ)言語(yǔ)義上采用首次匹配（first-match）模型，和傳統(tǒng)防火墻規(guī)則（蓋ACL結(jié)構(gòu)包括兩大部分：低的設(shè)備不允許提交源代碼”。GWebA”。URLURL中指定而在報(bào)文主體中指定（AP來(lái)處理這種情況ACL規(guī)則。（瀏覽器漏洞利用或設(shè)備被盜成功處置Chrome0Day漏洞風(fēng)險(xiǎn),通過(guò)創(chuàng)建一條全新的Chrome瀏覽器時(shí)將會(huì)被重定向到一個(gè)帶有更新指30分鐘內(nèi)就在整個(gè)公司完成部署和強(qiáng)制執(zhí)行，最終，存在漏洞的瀏覽器的數(shù)量急劇減少。集中式日志記錄為了進(jìn)行必要的事件響應(yīng)和取證分析，所有請(qǐng)求日志必須進(jìn)行持久化存儲(chǔ)。AP提供了一個(gè)理想的日志記錄點(diǎn)。日志記錄主要包括部分請(qǐng)求頭、HTTP響應(yīng)碼、調(diào)試或重構(gòu)訪問(wèn)決策和ACL評(píng)估過(guò)程所需的元數(shù)據(jù)，一般包括訪問(wèn)請(qǐng)求的設(shè)備標(biāo)識(shí)和用戶標(biāo)識(shí)。訪問(wèn)代理的特性：運(yùn)維彈性自助服務(wù)開通代理的服務(wù)訪問(wèn)模式。APAPAP所有權(quán)，可以校對(duì)、測(cè)試、灰度發(fā)布（金絲雀發(fā)布）和更新配置。這種設(shè)置有幾個(gè)主要好處：AP團(tuán)隊(duì)，讓他們不再需要根據(jù)每個(gè)用戶請(qǐng)求持續(xù)修改配置鼓勵(lì)服務(wù)所有者擁有他們的配置片段（并為其編寫測(cè)試）確保開發(fā)速度和系統(tǒng)穩(wěn)定性之間的平衡APAP隊(duì)支持的情況下迭代自己的配置片段。多平臺(tái)身份認(rèn)證的挑戰(zhàn)BeyondCorpBeyondCorp況。準(zhǔn)確的設(shè)備識(shí)別至少需要以下兩個(gè)組件：某種形式的設(shè)備標(biāo)識(shí)能追蹤任何指定設(shè)備最新狀態(tài)的清單數(shù)據(jù)庫(kù)BeyondCorp的目標(biāo)之一是以適當(dāng)?shù)脑O(shè)備信任替代基于網(wǎng)絡(luò)的信任。每個(gè)設(shè)BeyondCorp的挑戰(zhàn)和解決方案。臺(tái)式機(jī)和筆記本電腦x.509AP（和守護(hù)進(jìn)程）TLS要求客戶端提供擁有私（TrustedPlatformModule,TPM）的安全硬件中，這能確保標(biāo)識(shí)的不可欺騙性且不可克隆性。TLS握手,此時(shí)也會(huì)對(duì)用戶有所影響。TLSAP可以TLSHTML面。移動(dòng)設(shè)備iosndor（dntiirorndo,DFV，安卓設(shè)備使用企業(yè)移動(dòng)管理（EMM）ID。一些特殊情況和例外Web應(yīng)用程序遷移到訪問(wèn)代理，但是理才能兼容。HTTPHTTPAPHTTP請(qǐng)求中。幸好有現(xiàn)成的ProxyCommandTLS上將SSH業(yè)務(wù)封裝成HTTPCorkscrewWebSocketsWebSocketsHTTPCONNECT請(qǐng)求都能兼容APACLWebSockets本身能從瀏覽器繼承用戶和設(shè)備的身份憑據(jù)，CONNECT機(jī)制更占優(yōu)勢(shì)。gRPCTLSHTTPCONNECT請(qǐng)求進(jìn)行封裝。（雖然可以忽略不計(jì)（例如，LOASSSH都支持），但要擴(kuò)展到支持設(shè)備認(rèn)證并不容易。CONNECTTLSSSHSSHSSHSSH證書來(lái)傳遞設(shè)SSHSSHHTTPTLS客戶端證書來(lái)認(rèn)證設(shè)備的時(shí)候，也可以使用用戶名和密碼的方式來(lái)認(rèn)證用戶。遠(yuǎn)程桌面在Chrome代碼庫(kù)中公開可用的Chrome遠(yuǎn)程桌面[5]，是谷歌BeyondCorp主要使用的遠(yuǎn)程桌面解決方案。雖然HTTP的封裝協(xié)議可以滿足很多使用場(chǎng)景，AP敏感，需要單獨(dú)考慮。為了確保請(qǐng)求得以授權(quán)，Chrome遠(yuǎn)程桌面在連接建立的交互流程中引入了HTTPChromotingChromoting主Kerberos協(xié)議工作方式類似。APACLAPACL。第三方軟件TLS證書，也可能其實(shí)現(xiàn)到點(diǎn)加密隧道（TUN設(shè)備）務(wù)器一樣。理論上來(lái)看，隧道建立機(jī)制與遠(yuǎn)程桌面方案類似：客戶端運(yùn)行輔助程序來(lái)建立隧道AP的后端AP執(zhí)行訪問(wèn)控制策略并且協(xié)助會(huì)話信息和加密密鑰在客戶端和服務(wù)端的輔助程序之間交換經(jīng)驗(yàn)教訓(xùn)ACL很復(fù)雜推薦下面的最佳實(shí)踐來(lái)減少ACL相關(guān)的困難：APACL（ACL。原因有兩個(gè)方面：ACL以及訪問(wèn)被拒絕的可能原因。APcURL。AP傳遞給后端的機(jī)制。正如前面提到的，AP能夠安緊急情況件：成的緊急事件。安全類緊急事件：由于迫切需要授權(quán)/撤回特定用戶和/或資源的訪問(wèn)造成的緊急事件。產(chǎn)品類緊急事件AP在大多數(shù)宕機(jī)期間還能存活,SRE最佳實(shí)踐進(jìn)行設(shè)計(jì)和運(yùn)維[3]。為了避免可能出現(xiàn)的數(shù)據(jù)源中斷，需要定期對(duì)所有數(shù)據(jù)進(jìn)行快照以便APAP修復(fù)路徑。安全類緊急事件用戶撤銷/設(shè)備撤銷/ACLTLS問(wèn)題。ACL（請(qǐng)參閱上面的“ACL語(yǔ)言”）戶訪問(wèn)任何資源的權(quán)限都被禁止。會(huì)話令牌（例如，OAuthOpenIDConnect令牌）和證書有時(shí)候會(huì)泄露或丟失，同理也需要撤銷。正如第一篇eondCorp論文中所說(shuō)[1CA（意味著不能撤銷證書也不會(huì)失控，因?yàn)橹钡奖涣腥肭鍐喂艿赖哪夸浿校碌淖C書才可信。:如果懷疑證書相應(yīng)的私鑰丟失或者泄露，不再發(fā)布證書撤銷列表（certificaterevocationlist,CRL），而是CRL。這種方法的主要缺點(diǎn)是它可能會(huì)帶來(lái)額外延遲。不過(guò)通過(guò)在清單和訪問(wèn)代理服務(wù)器之間設(shè)計(jì)快速傳播通道，可以相對(duì)容易地解決這種延遲。ACL的標(biāo)準(zhǔn)快速推送機(jī)制。ACL超出一定規(guī)模后,ACL定義過(guò)程委托給服務(wù)所有者,這就會(huì)導(dǎo)致一ACL變更Chrome0DayACL是應(yīng)急響應(yīng)團(tuán)隊(duì)的關(guān)鍵能力，通過(guò)快速推ACL可以強(qiáng)制用戶進(jìn)行更新。工程師需要支持BeyondCorp不能向后兼容的變更，這需要得到管理層的強(qiáng)大支持。（DNS配置x.509TLSTLS連接能成功進(jìn)行。展望未來(lái)BeyondCorp瀏覽器才能確保現(xiàn)有的套接字已經(jīng)關(guān)閉。-用戶-會(huì)話-ID（DUSI）的形式出現(xiàn)，DUSI會(huì)在所有瀏覽器和工具間共享，也許會(huì)使用OAuth令牌授予守護(hù)進(jìn)程來(lái)實(shí)現(xiàn)。一旦遷移完成，不再需要通過(guò)證書結(jié)論BeyondCorp（SiteReliabilityEngineering,SRE）最佳實(shí)踐一致，并且已證明其具有較高的穩(wěn)定性及伸縮性——在部署過(guò)程中，訪問(wèn)代理已經(jīng)完成了幾個(gè)量級(jí)的增長(zhǎng)。任何想要實(shí)現(xiàn)類似BeyondCorp最小的代價(jià)實(shí)現(xiàn)類似項(xiàng)目。【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力PAGE40PAGE40【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力如果你熟悉過(guò)去兩年發(fā)表在《;login:》[1-3]BeyondCorp網(wǎng)絡(luò)安全BeyondCorp向BeyondCorp及其類似模型遷移面臨諸多挑戰(zhàn)，其中有幾個(gè)尤其值得注意:從擁有個(gè)性化服務(wù)的團(tuán)隊(duì)，到管理層，再到支持團(tuán)隊(duì)，最后到用戶。救。這個(gè)過(guò)程涉及到在業(yè)務(wù)/安全網(wǎng)關(guān)、客戶端平臺(tái)和后端服務(wù)。為了保證不同層面工作進(jìn)展相互獨(dú)立，需要各層分治，確保多線程并行且易于管理和實(shí)現(xiàn)。下面將討論我們?nèi)绾螌eyondCorp先決條件：認(rèn)同和溝通BeyondCorp和認(rèn)同理念在所有干系人中推廣。IT外包。負(fù)責(zé)人應(yīng)該梳理和確定各領(lǐng)域?qū)＜?，獲得BeyondCorp團(tuán)隊(duì)是一個(gè)分布到全球（面對(duì)面的和遠(yuǎn)程的（同、更易獲取幫助和得到認(rèn)可。分步推進(jìn)BeyondCorp的總體目標(biāo)是，從允許客戶端直接訪問(wèn)服務(wù)器的網(wǎng)絡(luò)，過(guò)渡到BeyondCorp系列文章的第一篇《BeyondCorp，一種新的企業(yè)安全方案》[1]。為此，谷歌曾VLAN的訪問(wèn)特權(quán)。但這BeyondCorpVLANVLAN只允許通過(guò)訪問(wèn)控制網(wǎng)關(guān)訪問(wèn)服務(wù)器網(wǎng)絡(luò)，確保所有流VLAN的特權(quán)，VLAN上。VLAN遷移項(xiàng)目實(shí)現(xiàn)了一個(gè)復(fù)雜但至關(guān)重要的目標(biāo)，遷移遺留“特權(quán)”網(wǎng)絡(luò)的用戶設(shè)備，并將它們分配給新的受控?zé)o特權(quán)客戶端（ManagedNon-PrivilegedClient,MNP）VLAN。這次遷移有一關(guān)鍵約束：對(duì)于運(yùn)行在新VLAN工作站上的任何遺留應(yīng)用，無(wú)論是預(yù)期還是必需，直接訪問(wèn)服務(wù)器網(wǎng)絡(luò)都將失敗。因此，近期目標(biāo)是在不破壞業(yè)務(wù)關(guān)鍵操作的情況下實(shí)現(xiàn)遷移工作。為此，采用了三管齊下的策略來(lái)實(shí)現(xiàn)這一目標(biāo)：1、廣泛分析網(wǎng)絡(luò)流量日志2、識(shí)別和修復(fù)不符合遷移要求的應(yīng)用程序3、在確定設(shè)備可以在新網(wǎng)絡(luò)上成功運(yùn)行之后，遷移設(shè)備這種策略允許網(wǎng)絡(luò)層面相對(duì)穩(wěn)定地應(yīng)用新的配置，且能夠獨(dú)立于BeyondCorpBeyondCorp802.1xVLAN分配，這種方式能夠?qū)⒕W(wǎng)絡(luò)層與遷移策略的細(xì)節(jié)隔離開。更高VLANRADIUS服務(wù)器將其返回給網(wǎng)絡(luò)層。實(shí)現(xiàn)這一系列目標(biāo)任務(wù)艱巨，需要對(duì)技術(shù)/業(yè)務(wù)棧的每一層進(jìn)行修改。但遷（毫無(wú)疑問(wèn)這會(huì)引起災(zāi)難性的崩潰而是分步實(shí)現(xiàn)：VLAN、802.1x、RADIUS策略服務(wù)器解耦客戶端平臺(tái)升級(jí)：證書生成和安裝，用戶認(rèn)證工具完成不符合遷移要求的服務(wù)和工作流的修復(fù)，逐步地遷移設(shè)備持續(xù)修正流程和程序第一步：802.1x網(wǎng)絡(luò)BeyondCorp802.1x發(fā)機(jī)構(gòu)（針對(duì)所有操作系統(tǒng)802.1xRADIUS服務(wù)。以上開發(fā)項(xiàng)目并行開展。API接口的方式，使每機(jī)集成的同時(shí)，我們還創(chuàng)建了批量分發(fā)和維護(hù)證書的流程。同步開展的還有對(duì)接入交換機(jī)的重新配置工作，為接入交換機(jī)配置新的VLAN802.1xRADIUSVLANVLAN的交換機(jī)。這樣，RADIUS服VLAN。802.1xVLANVLANRADIUS服務(wù)器可能引發(fā)的故障，初始策略僅匹配現(xiàn)有VLAN（包括復(fù)雜的黑名單和白名單VLANVLAN用新策略。此后，就可以使用軟件和數(shù)據(jù)驅(qū)動(dòng)的策略，接近實(shí)時(shí)地管理設(shè)備的VLAN（和過(guò)渡VLAN分配。以成功為導(dǎo)向的遷移802.1x認(rèn)證花費(fèi)了數(shù)年時(shí)間，隨后又花了更長(zhǎng)的時(shí)間來(lái)實(shí)現(xiàn)基于RADIUS策略服務(wù)器的輸入[2]。BeyondCorpBeyondCorp的。BeyondCorp擾。有些網(wǎng)絡(luò)用例，比如使用NFS/CIFS文件服務(wù)器的工作站，顯然是不兼容BeyondCorpNFS/CIFS（強(qiáng)加密和身份認(rèn)證NFS/CIFS的依賴，我們很早就啟動(dòng)了一個(gè)項(xiàng)目，來(lái)實(shí)現(xiàn)兩個(gè)目標(biāo)：一是將NFS主目錄移動(dòng)到本地磁盤，并通過(guò)自動(dòng)備份同步至安全的云存儲(chǔ)；二是使用GoogleDriveNFSNFSCAD（計(jì)算機(jī)輔助設(shè)計(jì)）編輯器，對(duì)于這種情MNPVLAN節(jié)。MNPACLNFSRDPSQL（更不用提影響用戶的情緒MNPVLANC/SACLMNPACL阻塞的網(wǎng)絡(luò)數(shù)Capirca（參見(jiàn)源代碼[4]），MNPACL，創(chuàng)iptable規(guī)則或其他的包過(guò)濾規(guī)則。在分析和遷移階段，用戶設(shè)備繼續(xù)在MNPMNP兼容的流量的源和目的地址記錄到中心數(shù)據(jù)庫(kù)。IP源地址標(biāo)識(shí)潛在故障用戶，IP目的地址（必須考慮適當(dāng)?shù)碾[私限制MNPMNPVLAN。同樣，可以識(shí)別出暫不MNPVLAN在第二種模式下，MNP仿真器實(shí)際上也可以阻止/MNP流量，從而MNPVLAN802.1xMNPACL。ACLACL或黑客的“強(qiáng)制”模式遷移團(tuán)隊(duì)恐怕難以實(shí)現(xiàn)最終快速、成功的設(shè)備遷移工作。圖1將谷歌電腦遷移到受控的無(wú)特權(quán)（MNP）網(wǎng)絡(luò)的管道使用訪問(wèn)代理處理簡(jiǎn)單用例谷歌的基本安全策略要求所有從工作站流向服務(wù)器的業(yè)務(wù)流量都需要：已認(rèn)證（識(shí)別發(fā)出請(qǐng)求的設(shè)備和用戶）已授權(quán)（驗(yàn)證用戶和設(shè)備是否被允許訪問(wèn)后端資源）已加密（防止竊聽）單獨(dú)記錄日志（為了協(xié)助取證分析）HTTP/SHTTPSSH流量，訪問(wèn)代理[3]可以滿足以上所有要求。B/SWeb“聞名B/SWeb應(yīng)用提供者準(zhǔn)備了工具和文檔，讓每個(gè)應(yīng)用提供者都可以配置自己的應(yīng)用運(yùn)行在訪問(wèn)代理之后。DNS包含一個(gè)可以解析到CNAMEURL在企業(yè)和公共網(wǎng)絡(luò)中都具有同樣的WebVPNVPN連接用于遠(yuǎn)程辦公所需的費(fèi)用會(huì)立即大幅減少。據(jù)粗略估算，由此產(chǎn)BeyondCorp的實(shí)施成本。B/S地推進(jìn)了。通過(guò)啟動(dòng)一個(gè)自動(dòng)化流程，分析、驗(yàn)證并將設(shè)備遷移到無(wú)特權(quán)網(wǎng)絡(luò);50%的設(shè)備遷移到無(wú)特權(quán)網(wǎng)絡(luò)訪問(wèn)模式。修復(fù)疑難用例Web案例的長(zhǎng)尾問(wèn)題，因?yàn)檫@些問(wèn)BeyondCorp，需要新工具、新技術(shù)和工作流改造。HTTP應(yīng)用程序，這就涉及到一系列特殊的問(wèn)題。例如：有些工具原本就是依賴網(wǎng)絡(luò)文件共享。Java（RemoteMethod或其他直接套接字連接。HTTP套接字和協(xié)議連接許可服務(wù)器。HTTPMNPVLANMNP。每個(gè)有問(wèn)題的案例都需要一個(gè)診斷和補(bǔ)救項(xiàng)目?？蛻舳撕头?wù)器之間的流量：證及授權(quán)。TUN設(shè)備，該設(shè)備可以捕獲和加密到特定后端服務(wù)器的流量。UDP的封裝協(xié)議直接在客戶端和加密服務(wù)器之間傳輸。加密服務(wù)器只允許應(yīng)用程序必須的服務(wù)和端口流量通過(guò)。用例解決方案B/S架構(gòu)的HTTP/S連接訪問(wèn)代理本地認(rèn)證代理程序用定向到本地主機(jī)代理。單個(gè)TCP連接：對(duì)于需要TCPSSHTCP道SSH隧道和端口轉(zhuǎn)發(fā)多端口或無(wú)法預(yù)測(cè)的端口號(hào)加密服務(wù)隧道對(duì)延遲敏感、實(shí)時(shí)，UDP流加密服務(wù)隧道表1：解決問(wèn)題工作流的方法這種方法可以讓第三方傳統(tǒng)應(yīng)用更安全地從任何網(wǎng)絡(luò)連接到它們的服務(wù)器，同時(shí)也滿足了BeyondCorp要求的身份認(rèn)證、授權(quán)和加密。表1描述了解決問(wèn)題工作流的常規(guī)方法。詳細(xì)論述請(qǐng)查閱《BeyondCorp，訪問(wèn)代理》[3]。在有些場(chǎng)景下，表1中的解決方案還要求用戶通過(guò)運(yùn)行腳本或在訪問(wèn)后端資源之前提供必要的身份認(rèn)證來(lái)修正工作流。MNP到特定端口或服務(wù)器的臨時(shí)訪問(wèn)權(quán)限進(jìn)行解決。為了防止這些臨時(shí)例外變成常態(tài)甚至顛覆BeyondCorpVLAN上。隨著工作推進(jìn)，網(wǎng)絡(luò)MNP的用戶和設(shè)備數(shù)量。逐步上線并不斷完善遷移方法MNP仿真器，分析管道，以及將設(shè)備自動(dòng)分配到MNPVLAN，組成了一個(gè)重要的軟件開發(fā)和流程再造項(xiàng)目。所以整個(gè)項(xiàng)目的開發(fā)和部署也是逐步完成的：訓(xùn)技術(shù)支持團(tuán)隊(duì)，然后逐步推進(jìn)到全面部署。MNP，同時(shí)對(duì)那些由于工作擴(kuò)大支持，盡量減少對(duì)員工的影響重要。技術(shù)支持賦能BeyondCorpBeyondCorp信息的不斷傳播，將系統(tǒng)訪問(wèn)權(quán)限賦予全部支持團(tuán)隊(duì)人員。BeyondCorpBeyondCorp解決問(wèn)題的能力盡可能遍布全網(wǎng)，更有效地實(shí)現(xiàn)信息共享并獲得規(guī)?；С?。自助服務(wù)項(xiàng)目信息鏈接、常見(jiàn)問(wèn)題答疑鏈接、自助鏈接和加急服務(wù)點(diǎn)。文檔。Web應(yīng)用，我們還能快速迭代并改進(jìn)故障Web應(yīng)用清楚地識(shí)別了常見(jiàn)問(wèn)題（例如，解釋為什么用戶被拒絕訪問(wèn)某個(gè)資源決諸如組成員關(guān)系和證書問(wèn)題等常見(jiàn)問(wèn)題，從而減少對(duì)技術(shù)支持的請(qǐng)求。Web員解決錯(cuò)誤。內(nèi)部宣傳活動(dòng)BeyondCorp服務(wù)和辦公時(shí)間，任何人有任何問(wèn)題都可以尋求幫助。BeyondCorp團(tuán)隊(duì)堅(jiān)持宣階段，那時(shí)亟需為項(xiàng)目的愿景和潛在影響給定一個(gè)清晰的藍(lán)圖。分階段上線BeyondCorp最初是一個(gè)小規(guī)模試點(diǎn)，試點(diǎn)位置與項(xiàng)目團(tuán)隊(duì)很近。隨著時(shí)間最終結(jié)果通過(guò)持續(xù)分析和改進(jìn)上面提到的所有方法，BeyondCorp團(tuán)隊(duì)還建立了一個(gè)BeyondCorp我們確信用戶會(huì)幫助遷移團(tuán)隊(duì)一起實(shí)現(xiàn)變革。隨著公司越來(lái)越多的人采用BeyondCorp模式，我們也仔細(xì)追蹤了由于BeyondCorpBeyondCorp0.3%0.8%IT變革相比，BeyondCorp30%。結(jié)論間取得平衡，與其說(shuō)是科學(xué)，不如說(shuō)是藝術(shù)。BeyondCorp能夠取得成功、為員工所接受的關(guān)鍵原因是分析、可行的規(guī)劃和主動(dòng)溝通。BeyondCorpBeyondCorp【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力數(shù)年時(shí)間，但每一個(gè)里程碑都實(shí)至名歸。這個(gè)過(guò)程逐漸使遠(yuǎn)程訪問(wèn)變得更容易，更快捷，網(wǎng)絡(luò)管理變得更簡(jiǎn)單，安全性得以增強(qiáng)。BeyondCorp持和通信方面的專家，BeyondCorp項(xiàng)目最終取得成功。BeyondCorp工作中所學(xué)到的東西應(yīng)用到其他項(xiàng)(GoogleCloudPlatform,即GCP)增加的新服務(wù)（IAP）。BeyondCorp所獲得的最PAGE54PAGE54PAGE54PAGE54【第五篇】BeyondCorp：用戶體驗(yàn)【第五篇】BeyondCorp：用戶體驗(yàn)BeyondCorp系列論文的前幾篇討論了在實(shí)踐過(guò)程中我們?nèi)绾谓鉀Q各個(gè)方面的技術(shù)挑戰(zhàn)[1-3]出現(xiàn)問(wèn)題時(shí),我們希望用戶知道如何解決,BeyondCorp模型中的工作體驗(yàn),從新員工入職，新設(shè)備配置,到遇到問(wèn)題時(shí)如何處理。創(chuàng)造無(wú)縫的新員工體驗(yàn)對(duì)于許多新員工來(lái)說(shuō),BeyondCorp模型這個(gè)概念是相當(dāng)陌生的:他們習(xí)慣了VPNWiFi、和其他特權(quán)環(huán)境來(lái)訪問(wèn)他們?nèi)粘９ぷ魉璧馁Y源。BeyondCorp上線之初,IT服務(wù)臺(tái)團(tuán)隊(duì)（內(nèi)部稱為技術(shù)Techstop）VPN訪問(wèn)。用戶過(guò)去習(xí)慣性地認(rèn)為如果不在辦公室的時(shí)候需ITVPNBeyondCorp直就是雙贏。然而事與愿違，（VPN權(quán)限的）用戶習(xí)慣根深蒂固。新員工入職培訓(xùn)IT之旅時(shí)，就應(yīng)該讓其盡早了解這種新的訪問(wèn)模BeyondCorp。在培訓(xùn)中，我們有BeyondCorp訪問(wèn)模型中最常見(jiàn)的面向（BeyondCorp擴(kuò)展BeyondCorp中代表連接“正確”的圖標(biāo)（2）。只要有“正【第五篇】BeyondCorp第五篇：用戶體驗(yàn)【第五篇】BeyondCorp第五篇：用戶體驗(yàn)PAGE55PAGE55源。新設(shè)備安裝配置BeyondCorp：從設(shè)計(jì)到部署”[1]中所述，（最近安全掃描時(shí)間，（等Chrome擴(kuò)展程序推送BeyondCorpChrome擴(kuò)展，基本消除了新員工困惑，并且可以支持新員工的遠(yuǎn)程訪問(wèn)請(qǐng)求。減少VPN使用盡管新員工在培訓(xùn)中了解了BeyondCorp，但畢竟他們?cè)谌肼毠雀璧念^幾天中VPNBeyondCorp概念。VPN網(wǎng)關(guān)的權(quán)限，他們必須通過(guò)在線申請(qǐng)門戶來(lái)VPNBeyondCorp是自動(dòng)化配VPN訪問(wèn)之前應(yīng)嘗試直接訪問(wèn)他們需要的資源。1隧道訪問(wèn)的服務(wù)進(jìn)行自動(dòng)分析。如果用戶在過(guò)去45天內(nèi)沒(méi)有訪問(wèn)過(guò)任何一個(gè)BeyondCorp模式不支持的企業(yè)服務(wù)，我們就會(huì)向他們發(fā)送電子郵件，郵件中會(huì)解釋，由于他們?cè)L問(wèn)的所有公司資源都是通過(guò)BeyondCorpVPN30BeyondCorp不支持的服務(wù)。我VPN77VPNVPN基礎(chǔ)設(shè)施。1VPN使用借用項(xiàng)目BeyondCorp-特別是筆記本電腦-用戶盡快恢復(fù)正常工作。使用遍布全球的自助式谷歌Chromebook5其信任等級(jí)，為下一個(gè)用戶重新借用做好準(zhǔn)備。BeyondCorp的Chrome通過(guò)或多或少地消除對(duì)VPN客戶端的需求，我們可以通過(guò)Chrome擴(kuò)展程序這個(gè)單一入口來(lái)封裝幾乎所有的訪問(wèn)需求——無(wú)論是遠(yuǎn)程訪問(wèn)還是本地訪問(wèn)。Chrome擴(kuò)展程序會(huì)自動(dòng)管理用戶的代理自動(dòng)配置（ProxyAuto-Config，PAC）文件，明確將一些特定訪問(wèn)場(chǎng)景路由到訪問(wèn)代理[2]。當(dāng)用戶連接到網(wǎng)絡(luò)時(shí)，該擴(kuò)展程序會(huì)自動(dòng)下載最新的PAC文件并顯示“正確”連接的綠色圖標(biāo)。瀏覽器根據(jù)PAC文件中的規(guī)則自動(dòng)將企業(yè)服務(wù)的訪問(wèn)請(qǐng)求路由到訪問(wèn)代理。這使得內(nèi)部開發(fā)人員可以不用明確配置客戶端訪問(wèn)入口參數(shù)的情況下部署企業(yè)內(nèi)部Web服務(wù)：客戶端訪問(wèn)入口配置要求開發(fā)人員在公網(wǎng)DNS中配置CNAME指向訪問(wèn)代理，訪問(wèn)代理就會(huì)自動(dòng)處理用戶身份認(rèn)證和授權(quán)。BeyondCorpPAC文件，以便準(zhǔn)確路支持負(fù)擔(dān)。Chrome擴(kuò)展程序的認(rèn)證狀態(tài)圖標(biāo)（2所示）提示了進(jìn)一步排除故障的方法信息。圖2Chrome擴(kuò)展中表示身份認(rèn)證狀態(tài)的圖標(biāo)當(dāng)出現(xiàn)問(wèn)題的時(shí)候解問(wèn)題，并在可能的情況下自我修復(fù)，這是我們一貫的首要目標(biāo)?？梢宰晕倚迯?fù)的問(wèn)題強(qiáng)制驗(yàn)證門戶ChromePACPAC文件的下載。/generate_204，正常HTTP204HTTP204（最HTTP302），就認(rèn)為該設(shè)備需要先通過(guò)強(qiáng)制驗(yàn)證門戶的認(rèn)證。這種情況下，Chrome擴(kuò)展程序會(huì)直接使用內(nèi)置的預(yù)定義PAC文件，并警示用戶。當(dāng)用戶碰到強(qiáng)制驗(yàn)證門戶的場(chǎng)景，可以點(diǎn)擊Chrome擴(kuò)展程序圖標(biāo)，我們會(huì)告知他們?cè)谶B接機(jī)場(chǎng)或酒店的網(wǎng)絡(luò)的時(shí)候碰到強(qiáng)制驗(yàn)證門戶的這個(gè)問(wèn)題很常見(jiàn)。BeyondCorp的工作不會(huì)受到影響，只需要將BeyondCorp的設(shè)置更改為“Off:Direct”即可，當(dāng)用戶完成強(qiáng)制門戶驗(yàn)證后，瀏覽器擴(kuò)展即可成功下載最新PAC文件。這個(gè)簡(jiǎn)單的流程允許用戶在最短時(shí)間內(nèi)完成自我修復(fù)，沒(méi)有增加技術(shù)站的負(fù)擔(dān)。本地網(wǎng)絡(luò)設(shè)備記本電腦來(lái)執(zhí)行配置連接家庭打印機(jī)或其他網(wǎng)絡(luò)設(shè)備等任務(wù)。但由于BeyondCorpBeyondCorpBeyondCorp設(shè)置更Off：Direct。但不同的是，我們無(wú)法輕松檢測(cè)到此故障狀態(tài)。因?yàn)橥ǔＧ闆r下，這種場(chǎng)景下的用戶有一個(gè)激活的并且功能正常的互聯(lián)網(wǎng)連接，因此從BeyondCorpBeyondCorp訪問(wèn)所有的企業(yè)資源，沒(méi)有理由發(fā)出警報(bào)。IP地址連接。用戶連接到家庭網(wǎng)絡(luò)，BeyondCorp擴(kuò)展成功連接，PACTab標(biāo)簽頁(yè)IP地址時(shí)，對(duì)私有網(wǎng)絡(luò)的訪問(wèn)流量一起重定向到了訪問(wèn)代理。網(wǎng)絡(luò)請(qǐng)求失敗，用戶得到錯(cuò)誤提示。我們將解決問(wèn)題的關(guān)鍵點(diǎn)放到最終的錯(cuò)誤頁(yè)面上，并提出了一個(gè)解決方案：通過(guò)訪問(wèn)代理展示錯(cuò)誤頁(yè)面。我們創(chuàng)建了一個(gè)自定義HTTP502錯(cuò)誤提示頁(yè)面，RFC1918RFC6598HTTP502錯(cuò)誤提示頁(yè)（兩個(gè)最常見(jiàn)情況BeyondCorpOff:Direct”。通過(guò)這種方式，我們能夠基于現(xiàn)有的基礎(chǔ)設(shè)施和流程，讓用戶自行修復(fù)問(wèn)題。自定義代理設(shè)置用戶感到困惑，并影響他們?cè)L問(wèn)企業(yè)資源。BeyondCorp足他們管理最常見(jiàn)的業(yè)務(wù)代理服務(wù)器的需求。BeyondCorpOff：SystemAlternative修復(fù)，提高他們的工作效率并減少對(duì)我們支持團(tuán)隊(duì)的咨詢的工作量。復(fù)雜問(wèn)題解決：門戶Chrome擴(kuò)展程序讓用戶可ACLSRE工程師，也可能需要花費(fèi)很多時(shí)間查詢?cè)S多內(nèi)部服務(wù)，403403錯(cuò)誤頁(yè)面（HTTP/S12M/天BeyondCorp訪問(wèn)問(wèn)題，我們?cè)O(shè)計(jì)了一個(gè)門戶ACL，取決403錯(cuò)誤頁(yè)面中獲得的信息量。架構(gòu)門戶大致分為前端和后端，兩者之間采用API進(jìn)行通信。WebAPI發(fā)出請(qǐng)求。層，這樣用戶就可以接收到最新信息。API出能力嵌入到其他工具中。解釋引擎ACL外，門戶還需要有效地向用戶展示這些信息。針對(duì)這（Explanation進(jìn)行錯(cuò)誤診斷。它通過(guò)遞歸遍歷負(fù)責(zé)提供授權(quán)決策的子系統(tǒng)來(lái)完成操作。ACL可能要求設(shè)備完全可信才能訪問(wèn)一個(gè)特定的URLACL后，解釋引擎會(huì)和設(shè)備推斷管道交互，并獲取訪問(wèn)此資源的必為ACL定義ACLACL，泄露用戶賬號(hào)和設(shè)備狀態(tài)信息，而這些信息都會(huì)為潛ACL保護(hù)敏感信息之間實(shí)現(xiàn)平衡。SRE工程師就可以通過(guò)驗(yàn)證用戶的身份并以用戶的名義查看相關(guān)信息，在幫助用戶的同時(shí)不泄露敏感信息。3BeyondCorp阻止請(qǐng)求后展現(xiàn)的錯(cuò)誤頁(yè)面訪問(wèn)拒絕登錄頁(yè)HTTP403（參見(jiàn)圖3）。然后，門戶會(huì)向后端重新發(fā)送訪問(wèn)請(qǐng)求，并解釋導(dǎo)致問(wèn)題的原因。（遠(yuǎn)遠(yuǎn)快于用戶猜測(cè)什么是“組成員問(wèn)題”或?qū)で髱椭?面向員工的訪問(wèn)拒絕錯(cuò)誤故障排除指引程——并且，完全通過(guò)自助服務(wù)。臨時(shí)的故障排除演示之前，使用這個(gè)能力進(jìn)行設(shè)備信任度自查非常方便。支持賦能4035）。圖5面向服務(wù)臺(tái)的訪問(wèn)被拒絕錯(cuò)誤故障排除指引未來(lái)目標(biāo)干預(yù)。聚焦經(jīng)驗(yàn)BeyondCorp效工具和信息，使技術(shù)站發(fā)揮最優(yōu)價(jià)值。對(duì)于絕大多數(shù)用戶來(lái)說(shuō)，BeyondCorp是完全透明的。當(dāng)谷歌員工擔(dān)心他們自己的業(yè)務(wù)流程時(shí)，BeyondCorp模型負(fù)責(zé)處理全部的訪問(wèn)邏輯問(wèn)題。當(dāng)用戶的他們恢復(fù)正常。然后我們退回二線，讓他們專注于他們最擅長(zhǎng)的事情。B.Osborn,J.McWilliams,B.Beyer,andM.Saltonstall,“BeyondCorp:DesigntoDeploymentatGoogle,”;login:,vol.41,no.1(Spring2016),pp.28–35:https:///publications/login/spring2016/osborn.L.Cittadini,B.Spear,B.Beyer,andM.Saltonstall,“BeyondCorpPartIII:TheAccess;login:,vol.41,no.4(Winter2016),pp.28–33:https:///publications/login/winter2016/cittadini.J.Peck,B.Beyer,C.Beske,andM.Saltonstall,“MigratingtoBeyondCorp:MaintainingProductivityWhileImprovingSecurity,”;login:,vol.42,no.2(Summer2017),pp.49–55:https:///publications/login/summer2017/peck.【第六篇】BeyondCorp：構(gòu)建健康的機(jī)群【第六篇】BeyondCorp：構(gòu)建健康的機(jī)群PAGE66PAGE66【第六篇】BeyondCorp：構(gòu)建健康機(jī)群任何系統(tǒng)的安全等級(jí)不可能超過(guò)其信任的所有其他系統(tǒng)的安全性。BeyondCorp項(xiàng)目幫助谷歌基于其信任的計(jì)算平臺(tái)，明確定義并施行訪問(wèn)決策，BeyondCorp立設(shè)備信任的機(jī)制。為了成功防止這種持續(xù)的在可信內(nèi)容（Web應(yīng)用程序、企業(yè)憑證）和（群（fleet）的構(gòu)成要素，計(jì)算平臺(tái)就成為了新邊界?；谇捌诠ぷ髡归_本文描述的工作內(nèi)容主要基于白皮書“大規(guī)模設(shè)備機(jī)群管理”[2]和之前發(fā)5BeyondCorp論文[3]BeyondCorp模型：從通用的控制視角來(lái)定義健康設(shè)備機(jī)群確保始終如一地全面應(yīng)用和衡量這些控制措施，并強(qiáng)制執(zhí)行基于持續(xù)度量推動(dòng)控制措施的閉環(huán)改進(jìn)定義待保護(hù)環(huán)境面臨的威脅果成功減少了某一類攻擊，即可減少對(duì)這一類威脅中的多數(shù)攻擊向量[4]。從一個(gè)較高的層面來(lái)看，平臺(tái)應(yīng)該考慮的威脅類別包括：未知設(shè)備：由未知的或非受控設(shè)備對(duì)敏感系統(tǒng)發(fā)起的訪問(wèn)；平臺(tái)失陷：利用計(jì)算平臺(tái)上操作系統(tǒng)或軟件的錯(cuò)誤配置；安全控制旁路：未生效或錯(cuò)誤配置的安全策略導(dǎo)致的系統(tǒng)失陷；非法提權(quán)：通過(guò)代碼的執(zhí)行導(dǎo)致系統(tǒng)特權(quán)被接管，且持續(xù)控制；軟件失陷：惡意軟件安裝和持續(xù)存在；持續(xù)攻擊：由于缺乏檢測(cè)而導(dǎo)致攻擊者長(zhǎng)期攻擊；認(rèn)證旁路：通過(guò)被盜密碼或繞過(guò)認(rèn)證機(jī)制，造成平臺(tái)失陷；數(shù)據(jù)泄漏：對(duì)磁盤、內(nèi)存或傳輸中的敏感數(shù)據(jù)發(fā)起