在今天,谷歌的员工应用程序不再依赖虚拟私人网络(VPN),而是全部使用公共IP地址。谷歌称这种方法为“BeyondCorp”,并认为这是进行云安全的“新云模型”。谷歌基础设施产品营销负责人尼尔·穆勒(Neal Mueller)在最近于纽约举行的O'Reilly安全会议上对此进行了详细阐述。
传统VPN的局限性
传统的安全方法可被称为“城堡”方法,依赖强大的防火墙来保护内部网络,仅通过VPN访问。穆勒指出,这种方法存在一个严重问题:一旦边界被攻破,整个内部网络及其所有相关应用程序都面临风险。谷歌企业工程项目经理马克斯·萨尔顿斯塔尔(Max Saltonstall)补充说:“不要相信你的网络,它可能已经被攻陷。” 针对VPN,网络钓鱼、中间人攻击和SQL注入攻击等威胁层出不穷。
此外,VPN的使用繁琐,尤其对于海外员工而言,性能也受到影响。对于管理员而言,设置新用户的过程同样复杂,通常需要配置云网络、设置IPSec规则和防火墙规则,之后还要进行大量测试。
拥抱无边界的安全理念
在谷歌,穆勒表示:“我们接受了墙壁不起作用的事实。与其在所有基础设施周围建立VPN,我们决定完全去掉墙壁。”这种方法涉及全面的资产管理,实时跟踪网络中每台机器的所有权。设备库存服务从多个系统管理源(如Active Directory或Puppet)收集关于每个设备的各种实时信息。
以信任为基础的身份验证
身份验证基于一套“信任等级”,表示敏感度逐级递增。员工无论使用什么设备或从世界何处登录,都能获得相应的访问权限。较低级别的访问要求对设备的检查相对宽松。萨尔顿斯塔尔总结道:“访问权限的授予基于上下文:你是谁?你是否进行了强身份验证?你在使用什么设备?我对你的设备了解多少?”
采用安全密钥与TLS加密
谷歌的网络本身并不具备特权。为进行身份管理,公司使用安全密钥,这些密钥比密码更难伪造,并与个人用户绑定。每台工作设备都有谷歌颁发的证书。网络中的加密通过传输层安全(TLS)完成,TLS在访问代理处终止。
所有公司资源都在这个超级反向代理后面。根据其“信任引擎”提供的决策,代理决定是否提供对所需应用的访问。如果符合基于信任等级的权限要求,它将请求转发给应用,并附上安全凭证。应用程序本身也会定期通过漏洞扫描器检查是否存在安全漏洞。
无缝迁移至新模型
令人惊讶的是,谷歌能够将所有员工,包括远程员工,顺利迁移到这一新模型,几乎没有造成干扰。萨尔顿斯塔尔表示,为了准备这一透明的迁移(于2013年开始),迁移团队记录了谷歌员工在旧网络上的所有操作,然后在新网络上重新运行流量模拟。这一监测每天收集约80TB的数据(该模型受益于谷歌所有内部应用程序已在网络上)。
“如果你在新网络上回放当前流量,可以看到哪些内容会出现问题,”萨尔顿斯塔尔说道。这使得团队能够识别那些尚未完全合规的终端服务,以及能够无缝切换到新网络的用户。
额外的好处与自动化
这一方法还带来了其他一些好处。为新员工配置Chromebook的过程几乎是最小化的,配置设置不超过90秒。采用“BeyondCorp”方法后,萨尔顿斯塔尔表示:“你将操作问题转变为工程问题,然后通过工程手段解决它们。所有令人沮丧、乏味的人力劳动都实现了自动化。”
通过“BeyondCorp”模型,谷歌为云安全树立了新的标杆,展现了无边界安全的未来。这样的创新不仅提高了安全性,还简化了操作流程,为员工提供了更高效的工作环境。
