谷歌正在上線一款商業化的零信任遠程訪問服務,可令居家辦公的員工無需藉助VPN,直接基於Web應用訪問企業內部。這款訂閱模式的服務稱為「BeyondCorp遠程訪問」,將會成為谷歌雲服務中的一個組件,每個用戶的月訂閱費用是6美元。並且,無需成為谷歌現有雲服務或企業協同工具的用戶也可使用該服務。
谷歌是最早採取零信任網絡架構的企業,從開始實施到改造完成經過了十年的時候,並記錄了大量的文檔。BeyondCorp可令谷歌的員工不管身在何處,都可以基於用戶和設備身份來訪問谷歌辦公網絡。
隨著大量的IT基礎設施轉到雲端,企業的遠程辦公人員以及外部的合作夥伴,如果繼續採用過去嚴格定義網絡邊界的安全措施,變得非常困難。傳統的VPN訪問模式,在易用性、靈活性、延遲性、穩定性和安全性上都存在問題。而基於零信任機制的BeyondCorp,讓所有的用戶都通過相同的身份和安全檢測手段來訪問相應權限的資源。
最近的新冠疫情無疑加速了零信任網絡訪問的發展。谷歌雲副總裁Sunil Potti表示,谷歌在過去數年來一直都在實施和引導BeyondCrop在企業的應用,而COVID-19的出現,推動了一些核心元素和技術快速的應用到產品中,目前谷歌已有超過10萬名員工使用相同的基礎設施遠程辦公。
BeyondCorp遠程訪問平臺簡介
到目前為止,BeyondCorp遠程訪問(以下簡稱BCRA)目前只能執行基於web應用的訪問控制,也就是說把之前企業內部基於web的應用連接到谷歌雲,與訪問控制相關的控制層和數據層放在了雲端處理。谷歌計劃在未來把這些技術擴展到非基於HTTP的服務與應用。
BCRA通過瀏覽器或是可選擇的終端代理收集數據(Signals)或元數據,以建立用戶身份並決定設備的安全狀態。企業客戶可以選擇只使用通過瀏覽器收集的情境感知(context-aware)數據,但如果需要更高級別的精準度和安全的話,也可以要求員工用戶安裝代理。針對員工使用的非企業管轄範圍的個人設備方面,安裝代理的方法尤為有用。
不僅僅是瀏覽器的header數據,BCRA能夠知道用戶訪問來自哪裡,以及在過去使用的會話。在BCRA的後臺,有著大量的機器學習技術用於基於情境感知的訪問控制。用Sunil Potti的話來說,「BCRA的核心價值60%到70%體現在終端之外。」
谷歌零信任解決方案的優勢
已經有許多提供零信任訪問解決方案的企業,但Potti認為至少有兩點令谷歌的解決方案與眾不同:
首先是網絡連接。谷歌的網絡遍布全球,甚至是在連接各大洲的大洋底都鋪上了谷歌的光纜,從而保證了網絡訪問的低時延和穩定可靠。
然後是網絡安全。谷歌在網絡安全方面已經積累了多年的技術能力儲備,以保護谷歌海量的伺服器、計算機集群或應用服務。從底層的加密晶片(如泰坦),到高度優化的TLS實現,再到對威脅和攻擊的全球可見性。
「谷歌一直做的一件最大的事情就是,利用從終端、網絡、用戶位置以及所有其他地方傳來的各種數據,從根本上保護我們的員工免於威脅,不管威脅來自內部還是外部。」
Potti認為,使用零信任網絡訪問不僅僅是在近期新冠疫情環境下能做的事,而且對長期來說,這是遠程訪問架構的必然趨勢。未來是一個web應用或SaaS應用的軟體定義的世界,VPN遲早會被淘汰。
關鍵詞:零信任;BeyondCorp;VPN;