Google的BeyondCorp安全模型学习

本文最后更新于2017年1月25日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

因为工作需要,了解一下「办公网络的整体安全建设」。

正文:

参考解答:

Google在2014年之前就预测到互联网和内网的安全性是一样危险的,因为:

1)一旦内网边界被突破,攻击者就很容易访问到企业内部应用。
2)现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。

这种访问模式要求客户端是受控的设备,并且需要用证书来访问。访问又通过认证服务器、访问代理以及单点登录等手段,由访问控制引擎统一管理,不同用户、不同资源有不同的访问权限控制,对于用户所处位置则没有要求。

员工设备,包括笔记本电脑和手机,都要登录设备清单服务,在服务中保存一段时间的信任信息和设备快照。员工被赋予不同的信任级别,保证他们能以最小权限履行职责,既减少了运维开支,又改善了设备可用性。谷歌BeyondCorp计划的目标,就是从员工和设备怎样访问内部应用出发,改善企业安全环境。

与传统的边界安全模型不同,BeyondCorp不是以用户的物理登录地点或来源网络作为访问服务或工具的判定标准,其访问策略是建立在设备信息、状态和关联用户的基础上,更偏向用户行为和设备状态的分析。

我认为的BeyondCorp的几个关键点在于:零信任模型(设备清单数据库、设备证书、用户和组数据库、基于802.1x的Radius做网络层的访问控制、基于访问代理的强制加密、SSO、访问控制引擎)

在我看来BeyondCorp的核心理念就在于:All access to enterprise resources is fully authenticated, fully authorized, and fully encrypted based upon device state and user credentials.

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3166.html

《Google的BeyondCorp安全模型学习》上有15条评论

  1. 各种网络攻击杀伤链(The Cyber Kill Chain is making us dumber)
    https://theobsidiantower.com/2017/07/18/03853cdb10695731c8bb15518c0ceb58a5fe428d.html

    Recon: It didn’t perform recon, it randomly generated a target IP and launched the exploit at port 80.
    Weaponization: lol
    Delivery: yes! Here we could have stopped it though websites generally like to be accessible.
    Exploitation: sure
    Installation: Code Red didn’t ‘install’ itself and could be removed via a reboot.
    C&C: Nope, preprogrammed actions depending on the data (spreading, ddos on fixed IP addresses, sleeping)
    Actions on objectives: For a worm I guess this is the spreading/ddos/sleeping part and can be denied.

  2. 从BeyondCorp说起
    https://www.sec-un.org/%E4%BB%8Ebeyondcorp%E8%AF%B4%E8%B5%B7/

    我的看法是,BeyondCorp及与之核心关联的理念和技术可能是推动整个安全行业在未来5-10年里发展乃至革命的基础和核心。

    Google将BeyondCorp项目的目标设定为“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”。尽管听起来像是要解决远程接入的安全问题,BeyondCorp实际上是抛弃了对本地内网的信任,进而提出了一个新的方案,取代基于网络边界构筑安全体系的传统做法。

    在这个新方案中,Google平等对待位于外部公共网络和本地网络的设备,在默认情况下都不会授予任何特权。用户必须1)使用由公司提供且持续管理的设备,2)通过身份认证,且3)符合访问控制引擎中的策略要求,才能4)通过专门的访问代理5)访问特定的公司内部资源。相应的,为了保证用户获得流畅的资源访问体验,Google主要完成了:1)准确识别设备;2)准确识别用户;3)移除对网络的信任;4)通过面向互联网的访问代理提供内部应用和工作流;5)实现基于已知设备和用户的访问控制,并动态更新设备和用户信息。

    原本假设的信任并不存在,需要贯彻“最小特权原则”。

  3. 基于上下文的安全访问:谷歌公布BeyondCorp最佳实践
    https://paper.tuisec.win/detail/791b715c1616302
    http://www.aqniu.com/learn/35844.html

    谷歌如何保护6万员工的设备安全
    http://www.aqniu.com/learn/24493.html

    访问控制最简单的解决方案是二元的:网络访问要么放行,要么拒绝。这办法太粗糙了,无法适应现代商业文化中最大化用户生产力和创造性的需要。细粒度的访问控制,可以让用户在需要的时候访问需要的东西,是更适应现代商业的一种模式。

    谷歌自己约6.1万人的全球员工身上,就用的是此类访问控制模型——分层访问( Tiered Access )。

    分层访问模型中的“层”,是应用到公司不同服务上的敏感层级。谷歌只分了4层:不受信任的;基本访问;特权访问;高特权访问。选4层是一种在太多(让系统过于复杂)和太少(又回到了分层方法试图改进的二元访问控制状态)之间的权衡。

  4. 零信任安全的4W1H
    https://mp.weixin.qq.com/s/yBzdo9qHacTajQFNpmjvpQ

    零信任安全(或零信任网络、零信任架构、零信任)最早由约翰.金德维格(John Kindervag)在2010年提出,约翰.金德维格当时是著名研究机构Forrester的首席分析师。

    如今8年过去了,零信任安全已逐步被业界所认可,各组织机构的CIO、CISO们也言必称零信任了,特别是2017年Google基于零信任构建的BeyondCorp项目成功完成,零信任俨然已成为安全界的新宠。

    WHAT:零信任安全是什么?
    1. 应该始终假设网络充满威胁。
    2. 外部和内部威胁每时每刻都充斥着网络。
    3. 不能仅仅依靠网络位置来建立信任关系。
    4. 所有设备、用户和网络流量都应该被认证和授权。
    5. 访问控制策略应该是动态的基于尽量多的数据源进行计算和评估。

    WHY:为什么需要零信任安全?
    首先,从安全态势的角度来看,大数据时代网络安全威胁比以往任何时候都更加复杂和险恶,业界一致认为,目前网络安全架构的薄弱环节正是身份安全基础设施的缺失,有数据显示,部署了成熟IAM系统的企业,其安全事件下降了50%。根据《2018 insider threat report》显示,内部威胁是造成数据泄露的第二大原因。往往因为非授权访问、雇员犯错、外包员工犯错等等原因,导致 “合法用户”可以非法访问特定的业务和数据资源,造成组织内部数据泄漏。造成数据泄露的第一大原因是外部黑客攻击,但是显然攻击者并没有什么非常高明的技术。根据美国最大的移动运营商Verizon报告分析指出,81%的黑客成功利用了偷来的口令或者弱口令,就轻而易举地获得了数据的访问权限,成功窃取数据。
    其次,从企业数字化转型和IT环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。

    WHO:谁对零信任安全负责?
    在零信任架构下,IAM是安全基础和核心架构,如果企业还是和以前一样,仅仅将IAM视为业务基础架构,势必导致IAM的建设和运维降级为普通的IT项目,难以发挥IAM及零信任安全在企业数字化转型过程中的安全支撑作用。根据企业的具体职责分工情况,零信任项目的负责人可能由首席信息官(CIO)、首席安全官(CSO)、甚至首席执行官(CEO)亲自担任,无论如何,关键点在于,此责任人必须在企业内拥有较高的权力,确保能推动各部门共同建设和发挥IAM的安全支撑作用。

    WHEN:什么时候引入零信任安全?
    企业进行全新的基础设施规划或迁移时,需要由内至外的基于零信任进行整体安全架构设计和规划,细致梳理人员、数据、系统、应用的逻辑边界及安全需求,制定符合企业安全策略的全面的应用级、功能接口级和数据级访问控制机制,切不可在基础设施建设完毕后再叠加零信任。
    对于尚无基础设施转型计划的企业来说,实施部分零信任安全实践也未尝不可,但企业必须意识到,这个过程难以一蹴而就,毕竟Google建设BeyondCorp耗时也超过六年,一种可能的实施方案是基于现代身份管理平台建设应用级的访问控制,确保应用访问的身份识别、授权策略的统一。

    HOW:如何实现零信任安全?
    1. 以身份为中心(合法身份@可信设备)
    2. 业务安全访问(→可信接入网关)
    3. 动态访问控制(基于安全策略、用户属性、环境属性、其他风险因子等,对此次访问进行授权判定,得到一个信任等级,最终根据评估得出的信任等级分配用户一个最小访问权限)

发表评论

电子邮件地址不会被公开。 必填项已用*标注