5分鐘了解谷歌BeyondCorp零信任安全模型
作者:星期二, 三月 17, 20200

2010年,Forrester分析師John Kindervag提出了“零信任模型”(Zero Trust Model)。

零信任模型的核心思想是:網絡邊界內外的任何東西,在沒經過驗證之前都不予信任。必須要摒棄“網絡邊界”的想法,將注意力集中在網絡中四處流通的數據包上。

在“零信任”的發展過程中,國內外各廠商紛紛提出自己的方法和見解,其中最成功的莫過于谷歌的BeyondCorp體系。從2014年12月起,谷歌共在《login:》雜志上發表了6篇BeyondCorp相關的論文,全面介紹BeyondCorp的架構和谷歌從2011年至今的實施情況。本文基于谷歌的6篇論文提煉梗概,幫助你在5分鐘之內了解BeyondCorp是什么。

首先,我們來看一下BeyondCorp建立的目標:讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網絡順利開展工作。

這意味著需要擯棄對企業特權網絡(企業內網)的依賴并開創一種全新的安全訪問模式。在這種全新的無特權內網訪問模式下,訪問只依賴于設備和用戶身份憑證,而與用戶所處的網絡位置無關。因此,BeyondCorp在實施過程中始終遵循:

1.發起連接時所在的網絡不能決定你可以訪問的服務;

2.服務訪問權限的授予以我們對你和你的設備的了解為基礎;

3.對服務的訪問必須全部通過身份驗證,獲得授權并經過加密。

圖:BeyondCorp組件圖和訪問數據流

參照組件圖,我們總結了BeyondCorp組網的幾個特點:

1、企業應用程序和服務不再對公網可見

整個BeyondCorp對外暴露的組件只有訪問代理(AP,Access Proxy),單點登錄(SSO)系統和在谷歌大樓中的RADIUS組件,以及間接暴露的訪問控制引擎組件。其中訪問代理和訪問控制引擎組件共同組成前端訪問代理(GFE),集中對訪問請求進行認證和授權。BeyondCorp系統通過DNS CNAME方式,將訪問代理組件暴露在公網中,所有對企業應用或服務的的域名訪問,都指向了訪問代理,由訪問代理集中進行認證,授權和對訪問請求的轉發。

2、企業內網的邊界消失

發起連接的設備或終端所在網絡位置和IP地址不再是認證授權的必要因素。無論設備或終端在哪里,是在谷歌大樓內,還是在家里,或者在機場,所有對企業應用或服務的訪問請求,都必須經過一個邏輯集中訪問代理組件的認證和授權。

3、基于身份,設備,環境認證的精準訪問

只有公司的設備清單數據庫組件中的受控設備(公司購買并管控),并且用戶必須在用戶/群組數據庫組件中存在,才能通過認證;然后經過信任推斷組件的計算后,才會獲得相應的授權。

4、僅對特定應用而非底層網絡授予訪問權限

BeyondCorp的使命就是替代VPN,最終用戶設備獲得授權僅僅是對特定應用的訪問。

5、提供網絡通信的端到端加密

用戶設備到訪問代理之間經過TLS加密,訪問代理和后端企業應用之間使用谷歌內部開發的認證和加密框架LOAS(Low Overhead Authentication System)雙向認證和加密。

谷歌整個系統的改造歷時6年,此處羅列其中幾個關鍵點:

1、安全識別設備

BeyondCorp使用了“受控設備”的概念——由企業采購并管理可控的設備,只有受控設備才能訪問企業應用。此外,所有受控設備都需要一個唯一標識,此標識同時可作為設備清單數據庫中對應記錄的索引值。實現方法之一是為每臺設備簽發特定的設備證書。

2、安全識別用戶

BeyondCorp跟蹤和管理用戶數據庫和用戶群組數據庫中的所有用戶,用戶/群組數據系統與谷歌的HR流程緊密集成。使用SSO單點登錄,在經過用戶/群組合法性驗證后,生成短時令牌(short-lived tokens),用來作為對特定資源授權流程的一部分。

3、消除基于網絡位置的信任

部署無特權網絡:谷歌辦公大樓內部的所有客戶端設備默認都被分配到這個網絡中。無特權網絡只能連接互聯網、有限的基礎設施服務(如DNS、DHCP和NTP)、以及諸如Puppet之類的配置管理系統。接入到這個無特權網絡后,并不能直接訪問企業內網的應用,必須經過代理網關的認證授權后,才能訪問企業應用。

使用802.1x認證分配到動態VLAN網絡:只有通過802.1x認證的設備才能被動態的分配到無特權網絡,然后下一步再進行訪問代理的認證;沒有通過802.1x認證的設備只能被分配到補救網絡或訪客網絡中。

4、將應用和工作流公網化

面向公網的訪問代理提供全局可達性,負載均衡,訪問控制檢查,應用健康檢查和DDoS防護。在通過訪問控制檢查后,訪問代理會將請求轉發給后端應用。

公共的DNS記錄:谷歌的所有企業應用均對外提供服務,使用CNAME將企業應用指向面向互聯網的訪問代理。

5、實現基于設備清單的訪問控制

對設備和用戶的信任推斷:每個用戶和/或設備的訪問級別可能隨時改變。通過查詢多個數據源,能夠動態推斷出分配給設備或用戶的信任等級,這一信任等級是后續授權的關鍵參考信息。

訪問控制引擎(ACE):訪問代理中的訪問控制引擎,基于每個訪問請求,為企業應用提供服務級的細粒度授權。授權判定基于用戶、用戶組、設備證書、設備清單數據庫中的設備屬性進行綜合判定。地理位置和網絡位置在BeyondCorp安全模型中,已經不是認證授權的必選項,而是根據需要做判定的一個可選項。

訪問控制引擎的消息管道:通過消息管道向訪問控制引擎源源不斷地推送信息,這個管道動態地讀取對訪問控制決策有用的信息,包括證書白名單、設備和用戶的信任等級,以及設備和用戶清單庫的詳細信息。

締盟云實驗室小結:

有關BeyondCorp效果

1. BeyondCorp如今已融入大部分谷歌員工的日常工作,針對谷歌的核心基礎架構提供基于用戶和設備的身份驗證與授權服務

2. IAP(Cloud Identity-Aware Proxy)已經商用:在谷歌內部,已經能夠將在BeyondCorp工作中所學到的東西應用到其他項目和服務中。其中最顯著的就是最近為谷歌云平臺(Google Cloud Platform,即GCP)增加的新服務(比如:基于身份識別的訪問代理IAP)

有關BeyondCorp缺點

歷時時長:從2011到2017,歷時6年,才完成大部分的企業應用的系統改造。

僅僅對Web系統有較好的支持:對企業采購第三方軟件,遠程桌面,UDP協議之類的軟件支持,需要做較大的改造或者體驗上的犧牲。

不支持BYOD:僅僅是受控設備即企業采購并可管理的設備,才能納入到BeyondCorp的安全管理體系。

作為一個著名的零信任安全案例,BeyondCorp實踐的理念已經融入到大部分谷歌員工的日常工作,在零信任安全領域具有教科書級的意義。值得注意的是,BeyondCorp是一個零信任安全模型,并不是一個產品。所以,它只是在谷歌公司內部實踐,谷歌沒有將整個BeyondCorp的安全能力抽象成一個產品,僅僅抽象一部分能力做成了商業化的產品(IAP)在GCP上發布。

(本文由締盟云實驗室出品)

參考資料

1.BeyondCorp官網

https://cloud.google.com/beyondcorp

2.概覽:“以全新方式保障企業安全”

https://research.google/pubs/pub43231/

3.Google是怎么做到的:“從設計到在Google部署”

https://research.google/pubs/pub44860/

4.Google的前端基礎架構:“Access Proxy簡介”

https://research.google/pubs/pub45728/

5.遷移至BeyondCorp:在提升安全性的同時保持工作效率

https://research.google/pubs/pub46134/

6.人的因素:“用戶體驗”

https://research.google/pubs/pub46366/

7.保護端點:“構建運行良好的機組”

https://research.google/pubs/pub47356/

相關閱讀

基于上下文的安全訪問:谷歌公布BeyondCorp最佳實踐

 


相關文章