什麼是 BeyondCorp?
BeyondCorp® 是 Google 開發的 網路安全架構,可將存取控制從傳統的網路週邊轉移到個別裝置和使用者。其目標是讓使用者能夠隨時隨地在任何裝置上安全地工作,而無需使用虛擬私人網路 (VPN) 來存取組織的資源。
組織為何使用 BeyondCorp
多年前,組織將所有應用程式和資料保存在現場資料中心。他們所使用的安全模型是基於這樣的觀念:所有不好的東西都在周界之外,而周界內的所有東西都是可以信任的。然而,繞過外圍防護的攻擊者能夠透過橫向移動快速進攻目標,遇到的防護規約很少。
BeyondCorp 提出了一個問題:「如果沒有任何東西可以信任,您會如何設計您的安全性?換句話說,如果您的內部網路和公共網路一樣不受信任,您要如何保護您的應用程式?
這促使許多組織徹底重新思考他們的安全方法,並尋找新的方法在多種不同的環境中一致地執行安全政策,例如內部部署的資料中心;雲端服務,例如 Google Cloud Platform (GCP™)、Amazon Web Services (AWS®) 和 Microsoft Azure®;軟體即服務應用程式,例如 Box.com 和 Office 365®;以及其他。
BeyondCorp 如何運作
BeyondCorp 最重要的兩個信條是
控制網路和應用程式的存取:在 BeyondCorp 中,所有關於是否讓個人或裝置存取網路的決策,都是透過存取控制引擎來完成。此引擎可處理每個網路請求,並根據每個請求的情境 (例如使用者身分、裝置資訊和位置) 以及應用程式中的敏感資料數量,套用規則和存取政策。它為組織提供自動化、可擴充的方式來驗證使用者的身分、確認他們是授權使用者,以及套用規則和存取政策。但是,僅有存取控制還不足以確保有效的安全性。
可見度:一旦使用者存取組織的網路或應用程式,組織就必須不斷地檢視和檢查所有流量,以辨識任何未經授權的活動或惡意內容。否則,攻擊者可以輕易地在網路中四處活動,並在無人知曉的情況下取得任何他們想要的資料。
BeyondCorp 與零信賴的關係
許多人都熟悉 零信任 (Zero Trust),這是一種 IT 安全模型,它將信任的概念從網路中移除,讓組織能更好地保護資產。有了 Zero Trust 和 Zero Trust for Cloud,每個人 - 不論是在特定組織內或外 - 都必須經過數個安全步驟 (由知名諮詢公司 Forrester Research 定義):
讓使用者不論身處何地,都能安全存取所有資源
使用最低權限策略並嚴格執行存取控制
檢查並記錄所有流量
BeyondCorp 提供了建立零信任實作的基礎。第三個要素 - 檢查和記錄所有流量 - 在建立「零信任」方面扮演重要角色,因為我們不應假定來自端點的所有流量都是值得信任或安全的資料。因此,實作 BeyondCorp 的組織也應該考慮實作 零信任原則 ,以進一步降低風險。
進一步閱讀
