在今天,Google的員工應用程式不再依賴虛擬私人網路(VPN),而是全部使用公共IP位址。谷歌稱這種方法為“BeyondCorp”,並認為這是進行雲端安全的“新雲端模型”。谷歌基礎設施產品行銷負責人尼爾·穆勒(Neal Mueller)在最近於紐約舉行的O'Reilly安全會議上對此進行了詳細闡述。
傳統VPN的局限性
傳統的安全方法可稱為「城堡」方法,依賴強大的防火牆來保護內部網絡,僅透過VPN存取。穆勒指出,這種方法存在一個嚴重問題:一旦邊界被攻破,整個內部網路及其所有相關應用程式都面臨風險。 Google 企業工程專案經理 Max Saltonstall 補充說:「不要相信你的網絡,它可能已經被攻陷。」針對VPN,網路釣魚、中間人攻擊和SQL注入攻擊等威脅層出不窮。
此外,VPN的使用繁瑣,尤其對於海外員工而言,效能也受到影響。對於管理員而言,設定新用戶的過程同樣複雜,通常需要配置雲端網路、設定IPSec規則和防火牆規則,之後還要進行大量測試。
擁抱無邊界的安全概念
在谷歌,穆勒表示:「我們接受了牆壁不起作用的事實。與其在所有基礎設施周圍建立VPN,我們決定完全去掉牆壁。」這種方法涉及全面的資產管理,即時追蹤網路中每台機器的所有權。設備庫存服務從多個系統管理來源(如Active Directory或Puppet)收集關於每個裝置的各種即時資訊。
以信任為基礎的身份驗證
身份驗證基於一套“信任等級”,表示敏感度逐級遞增。員工無論使用什麼設備或從世界何處登錄,都能獲得相應的存取權限。較低等級的存取要求對設備的檢查相對寬鬆。薩爾頓斯塔爾總結道:“訪問權限的授予基於上下文:你是誰?你是否進行了強身份驗證?你在使用什麼設備?我對你的設備了解多少?”
採用安全金鑰與TLS加密
谷歌的網路本身並不具備特權。為進行身分管理,公司使用安全金鑰,這些金鑰比密碼更難偽造,並與個人使用者綁定。每台工作設備都有Google頒發的憑證。網路中的加密透過傳輸層安全性(TLS)完成,TLS在存取代理處終止。
所有公司資源都在這個超級反向代理後面。根據其「信任引擎」提供的決策,代理人決定是否提供對所需應用程式的存取。如果符合基於信任等級的權限要求,它將請求轉發給應用,並附上安全憑證。應用程式本身也會定期透過漏洞掃描器檢查是否有安全漏洞。
無縫遷移至新模型
令人驚訝的是,Google能夠將所有員工,包括遠端員工,順利遷移到這個新模型,幾乎沒有造成乾擾。薩爾頓斯塔爾表示,為了準備這一透明的遷移(於2013年開始),遷移團隊記錄了谷歌員工在舊網路上的所有操作,然後在新網路上重新運行流量模擬。這項監測每天收集約80TB的數據(該模型受益於谷歌所有內部應用程式已在網路上)。
「如果你在新網路上回放當前流量,可以看到哪些內容會出現問題,」薩爾頓斯塔爾說。這使得團隊能夠識別那些尚未完全合規的終端服務,以及能夠無縫切換到新網路的用戶。
額外的好處與自動化
這一方法也帶來了其他一些好處。為新進員工配置Chromebook的過程幾乎是最小化的,配置設定不超過90秒。在採用“BeyondCorp”方法後,薩爾頓斯塔爾表示:“你將操作問題轉變為工程問題,然後通過工程手段解決它們。所有令人沮喪、乏味的人力勞動都實現了自動化。”
透過「BeyondCorp」模型,Google為雲端安全樹立了新的標桿,展現了無邊界安全的未來。這樣的創新不僅提高了安全性,也簡化了營運流程,為員工提供了更有效率的工作環境。
