2024谷歌BeyondCorp论文合集.docx

谷歌BeyondCorp系列论文合集2024【第一篇】BeyondCorp:一种新的企业安全方案【第一篇】BeyondCorp:一种新的企业安全方案如今，几乎所有企业都会采用防火墙来建立安全边界，然而，这种安全模型存在问题：一旦边界被突破，攻击者可以畅通无阻地访问企业的特权内部网络。另一方面，随着企业大规模地采用移动互联网和云计算技术，边界防护变得越来越难。谷歌采用了不同的网络安全方法，逐步摆脱对特权内网的依赖，越来越多地将企业应用程序从内网迁移至公网。从IT基础设施诞生以来，企业一向使用边界防御措施来保护对内部资源的访问。边界安全模型通常被比作中世纪的城堡：有着厚厚的城墙，被护城河环绕，仅有一个守卫森严的入口和出口，任何墙外的东西都被认为是危险的，任何墙内的东西都认为是安全可信的，这也就意味着任何能通过吊桥的人都能获得城堡内的资源。当所有员工都只在企业办公大楼中工作时，边界安全模型确实很有效；然而，随着移动办公的出现、办公使用的设备种类激增、云计算服务的使用越来越广泛、新的攻击向量也随之增加，如上因素逐渐导致传统安全手段形同虚设。边界安全模型所依赖的关键假设不再成立：边界不再由企业的物理位置决定，边界之内也不再是个人设备和企业应用运行的安全地带。大部分企业假设内部网络是安全的环境并且企业应用可以放心暴露在内网，但谷歌的经验证明了这种观念是错误的。应该假设企业内网与公网一样充满危险，并基于这种假设构建企业应用。谷歌BeyondCorP的目标是摒弃对企业特权网络（内网）的依赖并开创一种全新安全访问模式，在这种全新的无特权内网访问模式下，访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络，所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制，所有谷歌员工不再需要通过传统的VPN连接进入内网，而是允许从任何网络成功发起访问，除了可能存在的网络延迟差异外，对企业资源的本地和远程访问在用户体验上基本一致。BeyondCorp的关键组件BeyondCorp由许多相互协作的组件组成，以确保只有通过严格认证的设备和用户才能被授权访问所需的企业应用，各组件描述如下（见图1）0图IBeyondeOrP的组件和访问流安全识别设备设备清单数据库BeyondCorp使用了“受控设备”的概念由企业采购并管理可控的设备。只有受控设备才能访问企业应用。围绕着设备清单数据库的设备跟踪和采购流程管理是这个模型的基础之一。在设备的全生命周期中，谷歌会追踪设备发生的变化，这些信息会被监控、分析，并提供给BeyondCorp的其他组件进行分析和使用。因为谷歌有多个清单数据库，所以需要使用一个元清单数据库对来自多个数据源的设备信息合并和规一化，并将信息提供给BeyondCorp的下游组件。通过元清单数据库，我们就掌握了所有需要访问企业应用的设备信息。【第一篇】BeyondCorp:一种新的企业安全方案设备标识所有受控设备都需要一个唯一标识，此标识同时可作为设备清单数据库中对应记录的索引值。实现方法之一是为每台设备签发特定的设备证书。只有在设备清单数据库中存在且信息正确的设备才能获得证书。证书存储在硬件或软件形态的可信平台模块(TrUStedPlatformModule,TPM)或可靠的系统证书库之中。设备认证过程需要验证证书存储区的有效性，只有被认为足够安全的设备才可以被归类为受控设备。当进行证书定期轮换时，这些安全检查也会被执行。一旦安装完毕，证书将用于企业服务的所有通信。虽然证书能够唯一地标识设备，但仅凭证书不能获取访问权限，证书只是用来获取设备的相关信息。安全识别用户用户和群组数据库BeyondCorp还跟踪和管理用户数据库和用户群组数据库中的所有用户。用户/群组数据库系统与谷歌的HR流程紧密集成，管理着所有用户的岗位分类、用户名和群组成员关系，当员工入职、转岗、或离职时，数据库就会相应更新。HR系统将需要访问企业的用户的所有相关信息都提供给BeyondCorpo单点登录系统外化的单点登录(SSo)系统是一个集中的用户身份认证门户，它对请求访问企业资源的用户进行双因子认证。使用用户数据库和群组数据库对用户进行合法性验证后，SSO系统会生成短时令牌(short-livedtokens),用来作为对特定资源授权流程的一部分。消除基于网络的信任部署无特权网络为了不再区分内部和远程网络访问，BeyondCorp定义并部署了一个与外网非常相似的无特权网络，虽然其仍然处于一个内网的地址空间。无特权网络只能连接互联网、有限的基础设施服务(如，DNS.DHCP和NTP),以及诸如Puppet之类的配置管理系统。谷歌办公大楼内部的所有客户端设备默认都分配到这个网【第一篇】BeyondCorp:一种新的企业安全方案络中，这个无特权网络和谷歌网络的其他部分之间由严格管理的ACL（访问控制列表）进行控制。有线和无线网络接入的8（21x认证对于有线和无线接入，谷歌使用基于802.Ix认证的RADIUS服务器将设备分配到一个适当的网络，实现动态的、而不是静态的VLAN分配。这种方法意味着不再依赖交换机/端口的静态配置，而是使用RADIUS服务器来通知交换机,将认证后的设备分配到对应的的VLANo受控设备使用设备证书完成802.Ix握手，并分配到无特权网络，无法识别的设备和非受控设备将被分配到补救网络或访客网络中。将应用和工作流外化面向公共互联网的访问代理谷歌的所有企业应用都通过一个面向公共互联网的访问代理开放给外部和内部客户。通过访问代理，客户端和应用之间的流量被强制加密。一经配置，访问代理对所有应用都进行保护，并提供大量通用特性，如全局可达性、负载平衡、访问控制检查、应用健康检查和拒绝服务防护。在访问控制检查（详述见后文）完成之后，访问代理会将请求转发给后端应用。公共的DNS记录谷歌的所有企业应用均对外提供服务，并且在公共DNS中注册，使用CNAME将企业应用指向面向公共互联网的访问代理。实现基于设备清单的访问控制对设备和用户的信任推断每个用户和/或设备的访问级别可能随时改变。通过查询多个数据源，能够动态推断出分配给设备或用户的信任等级，这一信任等级是后续访问控制引擎（详述见后文）进行授权判定的关键参考信息。例如，一个未安装操作系统最新补丁的设备，其信任等级可能会被降低；某一类特定设备，比如特定型号的手机或者平板电脑，可能会被分配特定的信任等【第一篇】BeyondCorp:一种新的企业安全方案级；一个从新位置访问应用的用户可能会被分配与以往不同的信任等级。信任等级可以通过静态规则和启发式方法来综合确定。访问控制引擎访问代理中的访问控制引擎，基于每个访问请求，为企业应用提供服务级的细粒度授权。授权判定基于用户、用户所属的群组、设备证书以及设备清单数据库中的设备属性进行综合计算。如果有必要，访问控制引擎也可以执行基于位置的访问控制。另外，授权判定也往往参考用户和设备的信任等级，例如，可以限制只有全职工程师、且使用工程设备才可以登录谷歌的缺陷跟踪系统；限制只有财务部门的全职和兼职员工使用受控的非工程设备才可以访问财务系统。访问控制引擎还可以为应用的不同功能指定不同的访问权限和策略，例如，在缺陷跟踪系统中，与更新和搜索功能相比，查看某一条记录可能不需要那么严格的访问控制策略。访问控制引擎的消息管道通过消息管道向访问控制引擎源源不断地推送信息，这个管道动态地提取对访问控制决策有用的信息，包括证书白名单、设备和用户的信任等级，以及设备和用户清单库的详细信息。一个端到端示例应用本例中，我们假设一个应用将被"BeyondCorp化”，这个应用用于工程师审核、注释、更新源代码，并且经审核者批准后可以提交代码。进一步假设权限设定为：允许全职和兼职工程师从任何受控设备上对这一应用GrbeMup印拿m进行i方问。配置面向互联网的访问代理的所有者为这一服务配置访问代理。配置指定了应用后端的网络位置和每个后端可承受的最大流量。的域名在公共DNS中注册，其CNAME指向访问代理。例如：【第一篇】BeyondCorp:一种新的企业安全方案$;«»DiG9.8.1-P1«»(1serverfound);globaloptions:+cmd;Gotanswer:;->>HEADER<<-opcode:QUERY,status:NOERROR,id:12976;flags:qrrdra;QUERY:1,ANSWER:2.AUTHORITY:O,ADDITIONAL:O；QUESTIONSECTION:J.INA；ANSWERSECTION:.21599INCNAMEaccesspro×y.l.google,com.accessproxy.L.299INA74.125.136.129;Querytime:10msec；SERVER:8.8.8.8*53(8.8.8.8)WHEN:WedAug2019:30:062014MSGSIZErcvd:86配置访问控制引擎访问控制引擎提供了一个默认规则，限制只有全职员工使用受控设备才能进行访问。的所有者可以提供一个更具化的规则进一步限制针对此应用的访问，包括：限制只有最高信任等级的受控设备可以访问、限制只有最高信任等级的全职和兼职工程师可以访问。当一位工程师访问网络如果网络位于企业办公大楼外：工程师使用谷歌配发的笔记本电脑，接入任何Wi-Fi网络，这个网络可能是一个有登录验证门户的机场Wi-Fi,也可能是咖啡馆的公共Wi-Fio不再需要配置和通过VPN来连接到企业网络。如果网络位于企业办公大楼内：工程师使用谷歌配发的笔记本电脑访问企业网络，这台电脑在与RADIUS服务器进行802.Ix握手过程中提供设备证书。当证书有效时，为这台电脑在无特权网络上分配一个地址；如果电脑不是由公司配发的或者其设备证书过期了，就为这台电脑分配一个补救网络上的地址，而且这个地址的访问权限非常有限。【第一篇】BeyondCorp:一种新的企业安全方案访问应用，无需区分网络工程师从公司配发的笔记本电脑上访问,读者可以参考图1的访问流程。1、请求指向访问代理，笔记本电脑提供设备证书。2、访问代理无法识别用户，重定向到单点登录系统。3、工程师提供双因子认证凭据，由单点登录系统进行身份认证，颁发令牌，并重定向回访问代理。4、访问代理现在持有标识设备的设备证书，标识用户的单点登录令牌。5、访问控制引擎为执行对应的授权检查。授权检查基于每个请求进行：a）确认用户是工程组成员。b）确认用户拥有足够的信任等级。c）确认设备是一个良好的受控设备。d）确认设备拥有足够的信任等级。e）如果所有这些检查通过，请求被转发到应用后端获取服务。D如果上述任何检查失败，请求被拒绝。基于上述方法和流程实现了丰富的、服务级的认证及针对每个请求的授权检查。迁移到BeyondCor与世界上几乎所有企业一样，多年来谷歌