您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[CSA GCR]:谷歌 BeyondCorp系列论文合集 - 发现报告
当前位置:首页/行业研究/报告详情/

谷歌 BeyondCorp系列论文合集

信息技术2023-02-22CSA GCR灰***
AI智能总结
查看更多
谷歌 BeyondCorp系列论文合集

1 谷歌BeyondCorp 系列论文合集 CSA大中华区SDP工作组奇安信身份安全实验室译二零一九年五月 前言: 随着企业大规模的采用移动互联网和云计算技术,传统的采用防火墙建立的“城堡”安全模式,变得越来越不安全。2014年12月起,Google先后发表6篇BeyondCorp相关论文,论文提供了一种新的安全模式,设备和用户只能获得经过验证的资源,构建软件定义安全的雏形。另外,论文也介绍了BeyondCorp的架构和实施情况,为传统网络架构迁移至BeyondCorp架构提供依据参考。 为推动国内安全技术和理论与国际同步,在国内传播国际优秀实践,中国云安全联盟秘书处组织专家翻译BeyondCorp相关论文,供大家学习参考。特别感谢CSA大中华区SDP工作组与奇安信身份安全实验室对本次翻译工作的贡献及支持! 本文档一共由BeyondCorp的六篇论文组合而成: [1]BeyondCorp:一种新的企业安全方案 [2]谷歌BeyondCorp:从设计到部署 [3]BeyondCorp:访问代理 [4]迁移到BeyondCorp:提高安全性的同时保持生产力 [5]BeyondCorp:用户体验 [6]BeyondCorp:构建健康机群 声明:本文章仅供学习参考,不得用于商业用途,原创文章可以在Google的 BeyondCorp官网上下载:https://cloud.google.com/beyondcorp/ 关于CSA大中华区SDP工作组: CSA(CloudSecurityAlliance)2008年12月在美国发起,以云计算安全为开端,2011年白宫在CSA峰会上宣布了美国联邦政府云计算战略,之后CSA演化成为独立、中立、非盈利的世界性产业组织,致力于全球下一代IT与新兴技术安全的全面发展。 为提高SoftwareDefinedPerimeter(软件定义边界,即SDP)在中国企业的应用,在中国云安全联盟的支持下,CSA大中华区成立SDP工作组。工作组于2019年3月成立,首批参与单位有:阿里云、腾讯云、京东云、奇安信、深信服、绿盟科技、Ucloud、顺丰科技、天融信、云深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云、缔安科技等三十多家单位。 关于奇安信身份安全实验室: 奇安信身份安全实验室,是奇安信集团下属专注“零信任身份安全架构”研究的专业实验室。该团队以“零信任安全,新身份边界”为技术思想,探索“企业物理边界正在瓦解、传统边界防护措施正在失效”这一时代背景下的新型安全体系架构,推出“以身份为中心、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信天鉴零信任身份安全解决方案。该团队结合行业现状,大力投入对零信任安全架构的研究和产品标准化,积极推动“零信任身份安全架构”在业界的落地实践,其方案已经在部委、金融、央企等进行广泛落地实施,得到市场、业界的高度认可。 参与本文档翻译的专家(按照姓名拼音排序): 组长:陈本峰(云深互联) 组员:高健凯、刘德林、张泽洲(奇安信) 【第一篇】BeyondCorp:一种新的企业安全方案 如今,几乎所有企业都会采用防火墙来建立安全边界,然而,这种安全模型存在问题:一旦边界被突破,攻击者可以畅通无阻地访问企业的特权内部网络。另一方面,随着企业大规模地采用移动互联网和云计算技术,边界防护变得越来越难。谷歌采用了不同的网络安全方法,逐步摆脱对特权内网的依赖,越来越多地将企业应用程序从内网迁移至公网。 从IT基础设施诞生以来,企业一向使用边界防御措施来保护对内部资源的访问。边界安全模型通常被比作中世纪的城堡:有着厚厚的城墙,被护城河环绕,仅有一个守卫森严的入口和出口,任何墙外的东西都被认为是危险的,任何墙内的东西都认为是安全可信的,这也就意味着任何能通过吊桥的人都能获得城堡内的资源。 当所有员工都只在企业办公大楼中工作时,边界安全模型确实很有效;然而,随着移动办公的出现、办公使用的设备种类激增、云计算服务的使用越来越广泛、新的攻击向量也随之增加,如上因素逐渐导致传统安全手段形同虚设。边界安全模型所依赖的关键假设不再成立:边界不再由企业的物理位置决定,边界之内也不再是个人设备和企业应用运行的安全地带。 大部分企业假设内部网络是安全的环境并且企业应用可以放心暴露在内网,但谷歌的经验证明了这种观念是错误的。应该假设企业内网与公网一样充满危险,并基于这种假设构建企业应用。 谷歌BeyondCorp的目标是摒弃对企业特权网络(内网)的依赖并开创一种全新安全访问模式,在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证,而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络,所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制,所有谷歌员工不再需要通过传统的VPN连接进入内网,而是允许从任何网络成功发起访问,除了可能存在的网络延迟差异外,对企业资源的本地和远程访问在用户体验上基本一致。 BeyondCorp的关键组件 BeyondCorp由许多相互协作的组件组成,以确保只有通过严格认证的设备和用户才能被授权访问所需的企业应用,各组件描述如下(见图1)。 图1BeyondCorp的组件和访问流 安全识别设备 设备清单数据库 BeyondCorp使用了“受控设备”的概念——由企业采购并管理可控的设备。只有受控设备才能访问企业应用。围绕着设备清单数据库的设备跟踪和采购流程管理是这个模型的基础之一。在设备的全生命周期中,谷歌会追踪设备发生的变化,这些信息会被监控、分析,并提供给BeyondCorp的其他组件进行分析和使用。因为谷歌有多个清单数据库,所以需要使用一个元清单数据库对来自多个数据源的设备信息合并和规一化,并将信息提供给BeyondCorp的下游组件。通过元清单数据库,我们就掌握了所有需要访问企业应用的设备信息。 设备标识 所有受控设备都需要一个唯一标识,此标识同时可作为设备清单数据库中对应记录的索引值。实现方法之一是为每台设备签发特定的设备证书。只有在设备清单数据库中存在且信息正确的设备才能获得证书。证书存储在硬件或软件形态的可信平台模块(TrustedPlatformModule,TPM)或可靠的系统证书库之中。设备认证过程需要验证证书存储区的有效性,只有被认为足够安全的设备才可以被归类为受控设备。当进行证书定期轮换时,这些安全检查也会被执行。一旦安装完毕,证书将用于企业服务的所有通信。虽然证书能够唯一地标识设备,但仅凭证书不能获取访问权限,证书只是用来获取设备的相关信息。 安全识别用户 用户和群组数据库 BeyondCorp还跟踪和管理用户数据库和用户群组数据库中的所有用户。用户/群组数据库系统与谷歌的HR流程紧密集成,管理着所有用户的岗位分类、用户名和群组成员关系,当员工入职、转岗、或离职时,数据库就会相应更新。HR系统将需要访问企业的用户的所有相关信息都提供给BeyondCorp。 单点登录系统 外化的单点登录(SSO)系统是一个集中的用户身份认证门户,它对请求访问企业资源的用户进行双因子认证。使用用户数据库和群组数据库对用户进行合法性验证后,SSO系统会生成短时令牌(short-livedtokens),用来作为对特定资源授权流程的一部分。 消除基于网络的信任 部署无特权网络 为了不再区分内部和远程网络访问,BeyondCorp定义并部署了一个与外网非常相似的无特权网络,虽然其仍然处于一个内网的地址空间。无特权网络只能连接互联网、有限的基础设施服务(如,DNS、DHCP和NTP)、以及诸如Puppet之类的配置管理系统。谷歌办公大楼内部的所有客户端设备默认都分配到这个网 络中,这个无特权网络和谷歌网络的其他部分之间由严格管理的ACL(访问控制列表)进行控制。 有线和无线网络接入的802.1x认证 对于有线和无线接入,谷歌使用基于802.1x认证的RADIUS服务器将设备分配到一个适当的网络,实现动态的、而不是静态的VLAN分配。这种方法意味着不再依赖交换机/端口的静态配置,而是使用RADIUS服务器来通知交换机,将认证后的设备分配到对应的的VLAN。受控设备使用设备证书完成802.1x握手,并分配到无特权网络,无法识别的设备和非受控设备将被分配到补救网络或访客网络中。 将应用和工作流外化 面向公共互联网的访问代理 谷歌的所有企业应用都通过一个面向公共互联网的访问代理开放给外部和内部客户。通过访问代理,客户端和应用之间的流量被强制加密。一经配置,访问代理对所有应用都进行保护,并提供大量通用特性,如全局可达性、负载平衡、访问控制检查、应用健康检查和拒绝服务防护。在访问控制检查(详述见后文)完成之后,访问代理会将请求转发给后端应用。 公共的DNS记录 谷歌的所有企业应用均对外提供服务,并且在公共DNS中注册,使用 CNAME将企业应用指向面向公共互联网的访问代理。 实现基于设备清单的访问控制 对设备和用户的信任推断 每个用户和/或设备的访问级别可能随时改变。通过查询多个数据源,能够动态推断出分配给设备或用户的信任等级,这一信任等级是后续访问控制引擎 (详述见后文)进行授权判定的关键参考信息。 例如,一个未安装操作系统最新补丁的设备,其信任等级可能会被降低;某一类特定设备,比如特定型号的手机或者平板电脑,可能会被分配特定的信任等 级;一个从新位置访问应用的用户可能会被分配与以往不同的信任等级。信任等级可以通过静态规则和启发式方法来综合确定。 访问控制引擎 访问代理中的访问控制引擎,基于每个访问请求,为企业应用提供服务级的细粒度授权。 授权判定基于用户、用户所属的群组、设备证书以及设备清单数据库中的设备属性进行综合计算。如果有必要,访问控制引擎也可以执行基于位置的访问控制。另外,授权判定也往往参考用户和设备的信任等级,例如,可以限制只有全职工程师、且使用工程设备才可以登录谷歌的缺陷跟踪系统;限制只有财务部门的全职和兼职员工使用受控的非工程设备才可以访问财务系统。访问控制引擎还可以为应用的不同功能指定不同的访问权限和策略,例如,在缺陷跟踪系统中,与更新和搜索功能相比,查看某一条记录可能不需要那么严格的访问控制策略。 访问控制引擎的消息管道 通过消息管道向访问控制引擎源源不断地推送信息,这个管道动态地提取对访问控制决策有用的信息,包括证书白名单、设备和用户的信任等级,以及设备和用户清单库的详细信息。 一个端到端示例 应用 本例中,我们假设一个应用将被“BeyondCorp化”,这个应用用于工程师审核、注释、更新源代码,并且经审核者批准后可以提交代码。进一步假设权限设定为:允许全职和兼职工程师从任何受控设备上对这一应用(codereview.corp.google.com)进行访问。 配置面向互联网的访问代理 codereview.corp.google.com的所有者为这一服务配置访问代理。配置指定了应用后端的网络位置和每个后端可承受的最大流量。codereview.corp.google.com的域名在公共DNS中注册,其CNAME指向访问代理。例如: 配置访问控制引擎 访问控制引擎提供了一个默认规则,限制只有全职员工使用受控设备才能进行访问。codereview.corp.google.com的所有者可以提供一个更具化的规则进一步限制针对此应用的访问,包括:限制只有最高信任等级的受控设备可以访问、限制只有最高信任等级的全职和兼职工程师可以访问。 当一位工程师访问网络 如果网络位于企业办公大楼外:工程师使用谷歌配发的笔记本电脑,接入任何Wi-Fi网络,这个网络可能是一个有登录验证门户的机场Wi-Fi,也可能是咖啡馆的公共Wi-Fi。不再需要配置和通过VPN来连接到企业网络。 如果网络位于企业办公大楼内:工程师使用谷歌配发