跟着大公司学安全之BeyondCorp安全架构

Google原文参考镇楼：

1、 BeyondCorp：企业安全新方法https://static.googleusercontent.com/media/research.google.com/zh-CN//pubs/archive/43231.pdf

2、 BeyondCorp的设计和部署 https://static.googleusercontent.com/media/research.google.com/zh-CN//pubs/archive/44860.pdf

3、 代理：https://static.googleusercontent.com/media/research.google.com/zh-CN//pubs/archive/45728.pdf

4、 安全性和生产力https://static.googleusercontent.com/media/research.google.com/zh-CN//pubs/archive/46134.pdf

5、 用户体验：https://static.googleusercontent.com/media/research.google.com/zh-CN//pubs/archive/46366.pdf

过去这些年，技术发生了很大的革命，云计算改变了业务方式，敏捷改变了开发方式，某宝改变了购物方式。而在内部安全上，零信任则提供了一个新的模式。

过去这些年，各种数据泄漏层出不穷，我懒得去找例子，反正比比皆是，从大公司到小公司，从政府到商业机构。这说明什么呢？这说明我们过去的方法出了问题，以前基于边界来划分可信不可信的办法行不通了。

传统的内部安全外围取决于防火墙、VPN来隔离，但随着员工用自己的电脑、用自己的手机、再加上云计算，整个网络边界越来越模糊。零信任安全则直接在概念上颠覆了原有概念，内部用户比外部用户更不可信！看以往的各种案例，太多由于黑客掌握了密码，证书之后得手的攻击。因此，对这些内部用户零信任，可能是未来减少数据泄漏的主要方法。

Gartner提出了CARTA方法论，意为持续自适应风险与信任评估，包含了零信任安全的核心元素。当然，更关键的是，Google已经在15年就开始付诸实施，这个项目就是大名鼎鼎的BeyondCorp，开始从本质上改变。BeyondCorp完全不信任网络，而是基于设备、用户、动态访问控制和行为感知策略。零信任需要一个强大的身份服务来确保每个用户的访问，一旦身份验证通过，并能证明自己设备的完整性，则赋予适当权限访问资源。所以这里有四个元素：验证用户、验证设备、权限控制、自学习和自适应。

验证用户最基本的是用户名和密码，但怎么确保这个密码不是从黑市上买来的？所以就出现了多因素认证来获得额外的保证，国内一般是短信验证码或软硬件token，当然现在也开始逐渐出现人脸、指纹等。用户有很多类型，普通用户、管理员、外包、合作伙伴、客户，多因素认证都可以适用。

要实现零信任安全，要把控制扩展到设备级。如果设备未经过验证，设备就不可信。如果用户数用常用、可信设备访问，则有可信度。如果他在网吧用一台电脑来登陆，那这个信任度就低。设备验证还包括了一些安全准入条件，比如是否安装杀毒软件和最新补丁。

限制用户最小权限的访问，就可以限制攻击的横向移动。其次是对业务应用的授权，业务层包含大量敏感数据，是攻击的首要目标，因此在应用侧限制权限也同样重要。数据越重要，权限越少，也可以用多因素来进一步验证。

收集用户、设备、应用和服务器数据和行为信息，形成日志数据库进行机器学习分析，达到异常识别的目的，比如从异常位置访问资源，则立即触发强认证。

整个方案有几个好处：

一是重新定义了身份，以前都是根据角色进行的，而零信任模型则更加动态，用时间、属性、状态的组合来实时评估。

二是集中控制，所有的流量都通过中央网关来处理认证和授权，这种网关可以拦截所有到资源之间的通信。但中央网关不是只有一个，而是分布式的，只是逻辑上的集中。BeyondCorp就在每个受保护的资源之前放了一个反向代理服务。

三是主动防范，能够检查日志做审计是一回事，能够实时拦截主动防范则是另一回事了。

Google的方法很好，值得借鉴，但不一定要完全照搬。每个企业有自己的实际情况，要是上来就干，可能会导致更多的问题。根据Google的几篇论文，我试着分析一下实现路径做参考。

整个项目上，第一步要实现的就是数据的收集，收集数据的作用是掌握全局，包括账号和应用的流向关系、网络架构、应用协议等。在这个过程中也能清理掉很多没用的系统和账号。而数据的收集分为几种：