2024谷歌BeyondCorp應(yīng)用合集

BeyondCorpIT基礎(chǔ)設(shè)施誕生以來，企業(yè)一向使用邊界防御措施來保護對內(nèi)部資源的BeyondCorpBeyondCorp由許多相互協(xié)作的組件組成，以確保只有通過嚴格認證的設(shè)備和用戶才能被授權(quán)訪問所需的企業(yè)應(yīng)用，各組件描述如下（1）。1BeyondCorpBeyondCorp使用了“受控設(shè)備”的概念——由企業(yè)采購并管理可控的設(shè)備。的可信平臺模塊（TrustedPlatformModuleTPM）或可靠的系統(tǒng)證書庫之中。設(shè)BeyondCorp還跟蹤和管理用戶數(shù)據(jù)庫和用戶群組數(shù)據(jù)庫中的所有用戶。用戶/HR流程緊密集成，管理著所有用戶的崗位分類、HRBeyondCorp。法性驗證后，SSO系統(tǒng)會生成短時令牌（short-livedtokens），用來作為對特定為了不再區(qū)分內(nèi)部和遠程網(wǎng)絡(luò)訪問，BeyondCorp定義并部署了一個與外網(wǎng)ACL（訪問控VLAN分配。這種方法意VLAN802.1x握谷歌的所有企業(yè)應(yīng)用都通過一個面向公共互聯(lián)網(wǎng)的訪問代理開放給外部和訪問控制檢查、應(yīng)用健康檢查和拒絕服務(wù)防護。在訪問控制檢查（詳述見后文）完成之后，訪問代理會將請求轉(zhuǎn)發(fā)給后端應(yīng)用。DNS谷歌的所有企業(yè)應(yīng)用均對外提供服務(wù)，并且在公共DNS中注冊，使用CNAME（詳述見后文）本例中，我們假設(shè)一個應(yīng)用將被“BeyondCorp化”，這個應(yīng)用用于工程師DNSCNAME指向訪問代理。例如：的所有者可以提供一個更具化的規(guī)則進一步Wi-FiVPN來連接到企業(yè)網(wǎng)絡(luò)。RADIUS802.1x握手過程中提供設(shè)備證書。當1的訪問流程。125執(zhí)行對應(yīng)的授權(quán)檢查。遷移到BeyondCorp，但一下子將每個網(wǎng)絡(luò)用戶和每個應(yīng)用都遷BeyondCorp2所示。下面將詳細介紹我們所做的一些工作。2需要確保谷歌的所有應(yīng)用都可以遷移以便最終通過訪問代理進行訪問。BeyondCorp會發(fā)起對所有應(yīng)用的檢查和遷移評估，確保其平滑遷移。每個應(yīng)用1VPN2、可以通過特權(quán)網(wǎng)絡(luò)直接訪問；以及在外網(wǎng)及無特權(quán)網(wǎng)絡(luò)中通過訪問S外部域名服務(wù)器指向訪問代理。BeyondCorp組件功能VPNVPN，策1VPN2VPNVPN的用戶的訪問權(quán)3VPNVPN使用情況，如果他們所有的工作流都可VPN。BeyondCorp環(huán)境中能夠工作。1、通過工作職能和/或工作流和/430Radius802.1x身份驗證服務(wù)時，設(shè)備BeyondCorp能力評估、尚未達到遷移標準的工作流列表。用戶可以搜索這BeyondCorp賦能，達到遷移標準后，相關(guān)用戶會收到通知，再次BeyondCorp遷移正在進行中，所需的大部分工作流已經(jīng)評估確認完BeyondCorpBeyondCorp【第二篇】谷歌BeyondCorp谷歌BeyondCorp項目的目標是為了提高員工和設(shè)備訪問企業(yè)內(nèi)部應(yīng)用的安全性。與傳統(tǒng)的邊界安全模型不同，BeyondCorp不基于物理位置或發(fā)起請求的備的信息、狀態(tài)和當前設(shè)備的使用者信息等等。BeyondCorp模型默認內(nèi)部網(wǎng)絡(luò)BeyondCorp系統(tǒng)的關(guān)鍵組件包括信任引擎（TrustInferer）、設(shè)備清單服務(wù)(DeviceInventoryService、訪問控制引擎(AccessControlEngine)、訪問策略訪問需求被劃分為不同的信任等級（TrustTiers），不同的等級代表著不同信任引擎（TrustInferer）是一個持續(xù)分析和標注設(shè)備狀態(tài)的系統(tǒng)。該系統(tǒng)訪問策略(AccessPolicy)是描述授權(quán)判定必須滿足的一系列規(guī)則，包含對資訪問控制引擎(AccessControlEngine)是一種集中式策略判定點，它為每個網(wǎng)關(guān)（Gateways）SSH服務(wù)器、Web802.1xVLAN。1BeyondCorp通過使用下列組件，BeyondCorp將各類已有系統(tǒng)組件、新系統(tǒng)組件進行集（主要是與技術(shù)支持和生產(chǎn)力相關(guān)的成本問需求所需的最低信任等級來要求/限定設(shè)備所需的信任等級，就意味著設(shè)備使VLAN來進行網(wǎng)絡(luò)設(shè)備清單服務(wù)（2所示）是一個不斷更新的數(shù)據(jù)管道，能夠從廣泛的數(shù)據(jù)來源中導(dǎo)入數(shù)據(jù)。系統(tǒng)管理數(shù)據(jù)源可能包括活動目錄（ActiveDirectory）、Puppet和Simian，其他設(shè)備代理、配置管理系統(tǒng)和企業(yè)資產(chǎn)管理系統(tǒng)也會向該ARP映射表等網(wǎng)絡(luò)基礎(chǔ)設(shè)施單元。每個數(shù)據(jù)源都可以發(fā)送設(shè)備相關(guān)的完整 BeyondCorp15個數(shù)據(jù)源中吸收了數(shù)300萬條/80TB最近一次在設(shè)備上執(zhí)行安全掃描的時間,預(yù)設(shè)數(shù)據(jù)ITDNSVLAN3例如，資產(chǎn)管理系統(tǒng)可能存儲資產(chǎn)ID和設(shè)備序列號，而磁盤加密托管系統(tǒng)成功執(zhí)行所有的管理和配置客戶端程序BeyondCorp上線的第一階段包含一部分網(wǎng)關(guān)和初步的元清單服務(wù)，這些服IP的邊界安全模型，并將這個策略集應(yīng)用到不可信設(shè)備上，為與此同時，BeyondCorp團隊也在設(shè)計、開發(fā)并持續(xù)迭代一個規(guī)模更大、延15IP的策略。在驗證了低信任等級設(shè)備的工作流后，對更高信任等級的考慮到前文提到的從不同來源關(guān)聯(lián)數(shù)據(jù)的復(fù)雜性，BeyondCorp證書作為固定的設(shè)備標識符。x.509能提供一個基于密碼學(xué)的GUID，訪問網(wǎng)關(guān)還可將其用于流量加密，并持續(xù)、唯API也位于與訪問控制引擎集Web瀏覽器訪問的資源都能通過RADIUS[3]是一個特例：它與設(shè)備清單服務(wù)集成，但它從信任引擎接收的是RADIUSVLAN。哪些工作流允許進行超出預(yù)設(shè)的訪問或哪些工作流允許用戶繞過已經(jīng)存在的限制IP級元數(shù)據(jù)，將流量劃分到服務(wù)，并在模擬環(huán)境中應(yīng)用了我們預(yù)期BeyondCorpBeyondCorp的應(yīng)用不會感到不太方便；遷移壓力基本都在服務(wù)提供者和應(yīng)用程修復(fù)或聯(lián)系支持）IT運維人員。此外，還開發(fā)了一種服務(wù)，它可以分成補救措施效果差，IT支持人員的工作也會超負荷。過度溝通也有問題：不愿BeyondCorp現(xiàn)有的一些災(zāi)難恢復(fù)實踐，以確保在發(fā)生災(zāi)難性緊急情況時，BeyondCorp仍能發(fā)揮作用。BeyondCorp的災(zāi)難恢復(fù)協(xié)議基于最小依賴關(guān)系，并允許極少的一部性的前提下，BeyondCorp已經(jīng)大幅改善了谷歌的安全態(tài)勢，同時還提供了一個BeyondCorp（AccessProxyAP）BeyondCorp模型遷移過程中（之前在“BeyondCorp：一種新的企業(yè)安全Web代理和AP的后面。HTTPAP準確識別設(shè)備。結(jié)合訪問代理（AP）和集中的訪問控制引擎（AccessControlEngine,（ACL評估系統(tǒng)）主要有兩個好處：一是所有請求都途經(jīng)同一個日志記Web應(yīng)用程序都會采用前端基礎(chǔ)設(shè)施——通常是負載均衡和/HTTPWebHTTP/HTTPS反向代理集群，即谷歌前端Web應(yīng)用的后端可以專注于服務(wù)請求的具體內(nèi)容，而幾乎不必考GFE的GFE即訪擴展后的GFEGFE有一些內(nèi)置功能，并不是專門為BeyondCorp設(shè)計的但可以為BeyondCorpGFETLS卸載。AP通過引入認證和授權(quán)GFE。為了正確處理一個授權(quán)請求，AP需要識別發(fā)出請求的用戶和設(shè)備。在多平AP通過集成谷歌的身份提供服務(wù)（IdentityProvider,IdP）完成用戶身份認AP還需要處理不能提供用戶憑證的請求場景，例如，一個軟件管理系統(tǒng)試圖下載最新的安全補丁，這種情況下，AP可以禁用用戶認證。當AP確保后端不能通過訪問代理重放請求（或憑證），BeyondCorp問控制列表（AccessControlList,ACL）采用領(lǐng)域特定語言（domain-specificlanguage,DSL）絡(luò)訪問控制基礎(chǔ)設(shè)施、APSSH代理）。AB”）。AP提供的粗粒度、集中式授權(quán)與后端實現(xiàn)的細TLS握手和傳輸在前端代理就終結(jié)了，前端代理是通過另外的加HTTP請求給后端業(yè)務(wù)。為滿足上述要求需要一個能夠建立加密通道的雙向認證機 舉個例子LOAS(LowOverheadAuthenticationSystem,低開銷認證系統(tǒng))，它可以對代理和后端之間的所有通信進行雙向認證和加密。元數(shù)據(jù)、使用自定義協(xié)議（比如，ApacheJServe協(xié)議）并不是什么新方法,AP的雙向認證機制，確保了元數(shù)據(jù)的完整性。ACL將領(lǐng)域特定語言（domain-specificlanguage,DSL）ACL是解決集ACL（有助于提高性能和可測試ACL語言語義上采用首次匹配（first-match）模型，和傳統(tǒng)防火墻規(guī)則ACL結(jié)構(gòu)包括兩大部分：GWebA”。URL地址范圍，URL中指定而在報文主體中指定（AP來處理ACL規(guī)則。成功處置Chrome0Day漏洞風(fēng)險,通過創(chuàng)建一條全新的Chrome瀏覽器時將會被重定向到一個帶有更新指30分鐘內(nèi)就在整個公司完成部署和強制執(zhí)行，最終，存在漏AP提供了一個理想的日志記錄點。日志記錄主要包括部分請求頭、HTTP響應(yīng)ACL評估過程所需的元數(shù)據(jù)，一般包括訪問請求的AP鼓勵服務(wù)所有者擁有他們的配置片段（并為其編寫測試BeyondCorp的目標之一是以適當?shù)脑O(shè)備信任替代基于網(wǎng)絡(luò)的信任。每個設(shè)（和守護進程）TLS要求客戶端提供擁有私（TrustedPlatformTLS握手,此時也會對用戶有所影響。TLS握手失敗，瀏覽器會顯示特定的錯誤消息，且大多不可定制。為了提升用戶體驗，AP可以IDFV，安卓設(shè)備使用企業(yè)移動管理（EMM）ID。Web應(yīng)用程序遷移到訪問代理，但是非HTTPAPHTTP請求中。幸好有現(xiàn)成的ProxyCommandTLS上將SSH業(yè)務(wù)封裝成HTTPAPACLWebSockets本身能從瀏覽器繼承用戶和設(shè)備的身份憑據(jù)，CONNECT機制更占優(yōu)勢。gRPCTLSHTTPCONNECT請求進行封裝。議支持用戶認證（例如，LOASSSH都支持），但要擴展到支持設(shè)備認證并TLS客戶端證書來認證設(shè)備的時候，也可以使用用戶名和密碼ChromeChrome遠程桌面[5]HTTP為了確保請求得以授權(quán)，Chrome遠程桌面在連接建立的交互流程中引入了Kerberos協(xié)ACL。TLS證書，也可能其實現(xiàn)APAP執(zhí)行訪問控制策略并且協(xié)助會話信息和加密密鑰在客戶端和服務(wù)端ACLACLACLcURL。AP傳遞給后端的機制。正如前面提到的，AP能夠安AP在大多數(shù)宕機期間還能存活,SRE最佳實踐進行設(shè)計和APAP修復(fù)路徑。用戶撤銷/設(shè)備撤銷/ACLTLS問題。戶訪問任何資源的權(quán)限都被禁止。會話令牌（例如，OAuthOpenIDConnect[1]CA密鑰（意味著不能撤銷證書）也不由于上述特性，我們決定徹底忽略證書撤銷過程如果懷疑證書相應(yīng)的私鑰丟失或者泄露，不再發(fā)布證書撤銷列表（certificaterevocationlist,CRL），而是于CRL。這種方法的主要缺點是它可能會帶來額外延遲。不過通過在清單和訪ACL的標準快速推送機制。ACL超出一定規(guī)模后,ACL定義過程委托給服務(wù)所有者,這就會導(dǎo)致一ACL變更0DayACL是應(yīng)急響應(yīng)團隊的關(guān)鍵能力，通過快速推ACL可以強制用戶進行更新。x.509TLSTLS連話-ID（DUSI）的形式出現(xiàn)，DUSI會在所有瀏覽器和工具間共享，也許會使用OAuth令牌授予守護進程來實現(xiàn)。一旦遷移完成，不再需要通過證書（SiteReliabilityEngineering,SRE）——任何想要實現(xiàn)類似BeyondCorp安全模型的組織都可以采用類似訪問代理設(shè)BeyondCorp如果你熟悉過去兩年發(fā)表在《;login:》[1-3]BeyondCorp網(wǎng)絡(luò)安全BeyondCorp類似模式？需要做些什么？這種轉(zhuǎn)變對公司和員工會有什么影響？”BeyondCorp模型所采用的方法，探討如何實現(xiàn)在BeyondCorp下面將討論我們?nèi)绾螌eyondCorpBeyondCorp的模型之前，需要來自公司高層及其他干IT外包。負責(zé)人應(yīng)該梳理和確定各領(lǐng)域?qū)＜?，獲得BeyondCorp團隊是一個分布到全球BeyondCorp的總體目標是，從允許客戶端直接訪問服務(wù)器的網(wǎng)絡(luò)，過渡到BeyondCorpVLAN的訪問特權(quán)。但這VLANVLAN只允許通過訪問控制網(wǎng)關(guān)訪問服務(wù)器網(wǎng)絡(luò)，確保所有流VLAN的特權(quán)，VLAN上。的用戶設(shè)備，并將它們分配給新的受控?zé)o特權(quán)客戶端（ManagedNon-PrivilegedClient,MNP）VLANVLAN工作站上123這種策略允許網(wǎng)絡(luò)層面相對穩(wěn)定地應(yīng)用新的配置，且能夠獨立于BeyondCorpBeyondCorp802.1x認證進行網(wǎng)絡(luò)VLAN分配，這種方式能夠?qū)⒕W(wǎng)絡(luò)層與遷移策略的細節(jié)隔離開。更高VLAN、802.1x、RADIUS802.1xRADIUS服務(wù)。以上開發(fā)項目并行開API接口的方式，使每同步開展的還有對接入交換機的重新配置工作，為接入交換機配置新的VLAN的交換機。這樣，RADIUS服VLAN。RADIUS服務(wù)器可能引發(fā)的故障，初始策略僅匹配現(xiàn)有VLAN分配。802.1x認證花費了數(shù)年時間，隨后又花了更長的時間來實現(xiàn)基于BeyondCorpBeyondCorp的。有些網(wǎng)絡(luò)用例，比如使用NFS/CIFS文件服務(wù)器的工作站，顯然是不兼容BeyondCorpNFSCIFS文件服務(wù)器是實現(xiàn)文檔共享和協(xié)同的最簡單方NFSCIFS的依賴，我們很早就啟動了一個項目，來實現(xiàn)兩個目標：一是將NFS主目錄移動到本地磁盤，并通過自動備份同步至安全的云存儲；二是使用GoogleDriveNFS況，我們在將其用戶和工作站移動到受限的MNPVLAN之前，就需要定制解決MNPACLRDP、SQL等具有足夠的身份認證、授權(quán)和加密能力。當不得不在網(wǎng)絡(luò)層面進行MNPVLAN之前，預(yù)先檢測并修正可C/SACLMNPACL阻塞的網(wǎng)絡(luò)數(shù)Capirca（參見源代碼[4]），MNPACL，創(chuàng)iptable規(guī)則或其他的包過濾規(guī)則。在分析和遷移階段，用戶設(shè)備繼續(xù)在MNPMNP兼容的流量的源和目的地址記錄到中心數(shù)據(jù)庫。IP源地址標識潛在故障用戶，IPMNPMNPVLAN。同樣，可以識別出暫不在第二種模式下，MNP仿真器實際上也可以阻止/MNP流量，從而測試驗證的自助服務(wù)工具。如果當初沒有這種工具，BeyondCorp遷移團隊恐怕已認證（識別發(fā)出請求的設(shè)備和用戶已授權(quán)（驗證用戶和設(shè)備是否被允許訪問后端資源已加密（防止竊聽單獨記錄日志（為了協(xié)助取證分析HTTP/SHTTPSSH流量，訪問代理[3]可以滿足以上所B/SWebB/SWeb應(yīng)用提供者準備了工具和文CNAMEURL在企業(yè)和公共網(wǎng)絡(luò)中都具有同樣的BeyondCorp的實施成本。50%的設(shè)備遷移到無特權(quán)網(wǎng)絡(luò)訪問模式。Web案例的長尾問題，因為這些問BeyondCorp，需要新HTTPMNP。每個有問題的案例都需TUN設(shè)備，該設(shè)備可以捕獲和加密UDP的封裝協(xié)議直接在客戶端和加密服務(wù)器B/SHTTP/SBeyondCorp要求的身份認證、授權(quán)和加密。1描述了解決問題工作流的常規(guī)方法。詳細論述請查閱《訪問代理》[3]1中的解決方案還要求用戶通過運行腳本或進行解決。為了防止這些臨時例外變成常態(tài)甚至顛覆BeyondCorp的基本目標，VLAN上。隨著工作推進，網(wǎng)絡(luò)MNP的用戶和設(shè)備數(shù)量。MNPMNPVLAN，組成了一個MNP，同時對那些由于工作BeyondCorpWbWb應(yīng)用清楚地識別了常見問題（例如，解釋為什么用戶被拒絕訪問某個資源決諸如組成員關(guān)系和證書問題等常見問題，從而減少對技術(shù)支持的請求。Wb員解決錯誤。服務(wù)和辦公時間，任何人有任何問題都可以尋求幫助。BeyondCorp團隊堅持宣BeyondCorp最初是一個小規(guī)模試點，試點位置與項目團隊很近。隨著時間通過持續(xù)分析和改進上面提到的所有方法，BeyondCorp團隊還建立了一個BeyondCorp能夠在全球范圍內(nèi)擴展，而不會對業(yè)務(wù)、支持或用戶體隨著公司越來越多的人采用BeyondCorp模式，我們也仔細追蹤了由于IT變革相比，BeyondCorp30%。間取得平衡，與其說是科學(xué)，不如說是藝術(shù)。BeyondCorp能夠取得成功、為員BeyondCorp持和通信方面的專家，BeyondCorp項目最終取得成功。BeyondCorp工作中所學(xué)到的東西應(yīng)用到其他項(GoogleCloudPlatform,即GCP)增加的新服務(wù)（IAP）。BeyondCorp所獲得的最【第五篇】BeyondCorpBeyondCorp系列論文的前幾篇討論了在實踐過程中我們?nèi)绾谓鉀Q各個方面BeyondCorp模型中的工作體驗,從新員工入職，新設(shè)備配置,到遇到問題時如對于許多新員工來說,BeyondCorp模型這個概念是相當陌生的:他們習(xí)慣了BeyondCorp上線之初,IT服務(wù)臺團隊（內(nèi)部稱為技術(shù)Techstop）VPN訪問。用戶過去習(xí)慣性地認為如果不在辦公室的時候需直就是雙贏。然而事與愿違，（VPN權(quán)限的）用戶習(xí)慣根深I(lǐng)T之旅時，就應(yīng)該讓其盡早了解這種新的訪問模BeyondCorp。在培訓(xùn)中，我們有BeyondCorp中代表連接“正確”的圖標（2）【第五篇】BeyondCorp【第五篇】BeyondCorpBeyondCorp：從設(shè)計到部署”[1]中所述，我BeyondCorpChrome擴展，基本消除了新減少VPNBeyondCorp，但畢竟他們在入職谷歌的頭幾天VPNBeyondCorp概念。VPN網(wǎng)關(guān)的權(quán)限，他們必須通過在線申請門戶來VPNBeyondCorp是自動化配VPN訪問之前應(yīng)嘗試直接訪問他們需要的資源。隧道訪問的服務(wù)進行自動分析。如果用戶在過去45天內(nèi)沒有訪問過任何一個BeyondCorp模式不支持的企業(yè)服務(wù)，我們就會向他們發(fā)送電子郵件，郵件中會解釋，由于他們訪問的所有公司資源都是通過BeyondCorp支持的，因此他們的VPN30BeyondCorpVPN網(wǎng)關(guān)的訪問許可。這種自動化流程使我們主動剔除對傳統(tǒng)訪問基礎(chǔ)架VPN基礎(chǔ)設(shè)施。1VPN--對其生產(chǎn)力至關(guān)重要。為了處理使用遍布全球的自助式谷歌Chromebook筆記本電腦借用站，任何用戶都可BeyondCorp的ChromePNChome擴展程序這個單一入口來封裝幾乎所有的訪問需求——無論是遠程訪問還是本地訪問。Chome擴展程序會自動管理用戶的代理自動配置（PoxyutoConig，PC）文件，明確將一些特定訪問場景路由到訪問代理[2]。當用戶連接到網(wǎng)絡(luò)時，該PCPC文件中的規(guī)則自動將企業(yè)服務(wù)的訪問請求路由到訪問代理。這使得內(nèi)Wb服務(wù)：客戶端訪問入口配置要求開發(fā)人員在公網(wǎng)SCME指向訪問代理，訪問代理就會自動處理用戶身份認證和授權(quán)。PAC文件，以便準確路支持負擔(dān)。Chrome擴展程序的認證狀態(tài)圖標（2所示）提示了進一步排除PAC文件的下載。/generate_204，正常HTTP204HTTP204（HTTP302）種情況下，ChromePACChomeeondCop的工作不會受到影響，只需要將ondCop的設(shè)置更改為“:iet”即可，當用戶完成強制門戶驗證后，瀏覽器擴展即可成功下載最PC文件。這個簡單的流程允許用戶在最短時間內(nèi)完成自我修復(fù)，沒有增加技術(shù)站的負擔(dān)。記本電腦來執(zhí)行配置連接家庭打印機或其他網(wǎng)絡(luò)設(shè)備等任務(wù)。但由于BeyondCorpBeyondCorp擴展后，BeyondCorp設(shè)置更Off：Direct。但不同的是，我們無法輕松檢測到此故障狀態(tài)。因為通常情況下，這種場景下的用戶有一個激活的并且功能正常的互聯(lián)網(wǎng)連接，因此從BeyondCorpBeyondCorp訪問所IP地址連接。用戶連接到家庭網(wǎng)絡(luò)，BeyondCorp擴展成功連接，PACTab標簽頁IP地址時，對私有網(wǎng)絡(luò)的訪問流量一起重定向到了訪問代理。通過訪問代理展示錯誤頁面。我們創(chuàng)建了一個自定義HTTP502錯誤提示頁面，RFC1918RFC6598HTTP502錯誤提示頁BeyondCorpChrome擴展程序讓用戶可SRE工程師，也可能需要花費很多時間查詢許多內(nèi)部服務(wù)，403403錯誤頁面的數(shù)量級（HTTP/S12M/天）,人工參與故障排除是不可規(guī)?；?，也BeyondCorp訪問問題，我們設(shè)計了一個門戶ACL，取決403錯誤頁面中獲得的信息量。APIACL外，門戶還需要有效地向用戶展示這些信息。針對這ACL可能要求設(shè)備完全可信才能訪問一個特定的URL。ACL后，解釋引擎會和設(shè)備推斷管道交互，并獲取訪問此資源的必ACLACL，