Google的BeyondCorp 零信任网络

Google 的 BeyondCorp 是一种零信任安全框架1。简单来说，就是抛弃了传统的以网络边界为基础的安全防护模式，不再认为只要在企业内部网络里就都是安全的，而是把访问控制的重点放在每个用户和设备上。

产生背景

过去企业常用防火墙等构建安全边界，认为边界内是安全的，边界外有威胁。但随着网络发展，边界变得模糊，攻击技术演进，边界防护效果变差，内部也会出现安全问题。在这种情况下，Google 提出了 BeyondCorp 项目，希望开创一种新的安全访问模式，将内外网等同看待，让员工无论在什么网络中，对业务访问的方式都一样，都要通过同样的身份验证、设备验证，请求响应都经过加密，摆脱传统的 VPN。

工作原理

• 设备管理：BeyondCorp 会用设备清单库记录企业采购管理的 “受控设备” 信息，设备在生命周期内的变更都会被追踪记录。每个受控设备有唯一标识，通过签发设备证书来验证设备身份，证书存于可信平台模块或系统证书数据库。只有验证安全可靠的设备才能访问企业应用，证书更新时也会重新验证设备。
• 用户认证：单点登录系统是用户认证门户，对请求访问企业资源的用户进行双因子认证，认证使用用户数据库和群组数据库。认证成功后会生成短时令牌，用于特定资源访问授权。
• 访问代理：所有企业应用通过面向互联网的访问代理开放给客户端，代理对通信数据强制加密，还能基于每个应用配置，提供全局访问可达、负载均衡、访问控制检查等通用特性，完成检查后将访问请求转发给后端应用。
• 访问控制：BeyondCorp 通过查询多个数据源动态推断用户或设备的信任等级，如设备的操作系统补丁情况、设备类型，用户的访问地理位置等，以此作为访问控制引擎执行授权判定的参考信息。授权判定还考虑用户信息、所在群组、设备证书和属性等因素，必要时也会执行基于地理位置的访问控制。

作用和意义2

BeyondCorp 让员工能在任何地方、用任何设备安全地访问企业资源，不用依赖传统 VPN。企业能通过它确保只有授权用户在风险可控的环境中访问对应信息，还能设置针对性访问策略，比如不同员工角色在不同设备和场景下有不同的访问权限。

零信任安全框架适用于以下多种场景：

• 企业远程办公：如今很多员工需要远程访问公司资源，如通过互联网连接到公司的服务器、数据库或办公软件等。零信任框架可以对每个远程访问请求进行严格的身份验证和授权，不管员工是在家中、出差途中还是其他任何地方，确保只有合法的用户和设备能够访问相应的资源，防止外部攻击者利用远程办公的漏洞入侵企业网络。
• 云环境：企业将数据和应用程序迁移到云平台后，需要保障云资源的安全。零信任安全框架可以在云环境中对不同租户、不同用户角色的访问进行精细控制，防止数据泄露和非法访问。同时，对于混合云架构，即企业同时使用公有云和私有云的情况，零信任能够实现跨云环境的统一安全管理，确保数据在不同云之间流动时的安全性。
• 物联网（IoT）：物联网设备数量众多且分布广泛，它们往往具有不同的安全级别和访问需求。零信任安全框架可以对每个物联网设备进行身份认证和授权，确保只有经过授权的设备能够与企业网络或其他设备进行通信，防止黑客通过物联网设备入侵企业网络，保护企业的关键基础设施和数据安全。
• 企业分支机构互联：大型企业通常有多个分支机构，这些分支机构之间需要进行数据共享和业务协作。零信任安全框架可以在分支机构之间建立安全的连接，对跨分支机构的访问进行严格的控制和验证，确保数据在传输过程中的保密性和完整性，防止外部攻击者利用分支机构之间的网络连接进行渗透攻击。
• 医疗行业：医疗机构存储了大量患者的敏感信息，如病历、诊断结果等，同时还连接着各种医疗设备。零信任安全框架可以确保只有授权的医护人员能够访问患者的信息，防止患者数据泄露。对于医疗设备之间的通信，也能进行严格的身份验证和访问控制，保障医疗设备的正常运行和医疗数据的安全，避免医疗数据被篡改或医疗设备被恶意控制，从而保障患者的生命安全和医疗机构的正常运营。
• 金融行业：金融机构处理大量的客户资金和敏感的金融信息，对安全性要求极高。零信任安全框架可以用于保护网上银行、证券交易等业务系统，对用户的登录和交易请求进行严格的身份验证和授权，防止金融诈骗、数据泄露等安全事件的发生。同时，对于金融机构内部的不同部门和业务系统之间的访问，也能进行精细的权限管理，确保只有合法的操作和访问能够进行，维护金融系统的稳定和安全。

零信任安全框架的实现原理主要基于以下几个核心概念：

• 身份验证：零信任强调对每个访问请求的用户和设备进行严格的身份验证。这意味着不仅要验证用户的身份凭证，如用户名和密码，还可能包括多因素认证，如使用短信验证码、硬件令牌或生物识别技术等。同时，对设备也进行身份验证，确保设备是经过授权且安全的，例如检查设备是否安装了最新的安全补丁、是否具有有效的设备证书等。
• 动态授权：在用户和设备通过身份验证后，零信任会根据一系列因素动态地授予访问权限。这些因素包括用户的角色、设备的状态、访问的时间和地点、请求的资源以及用户的行为模式等。授权不是静态的，而是根据实时的环境和用户行为不断调整。例如，如果用户在异常的时间或地点进行访问，系统可能会限制其访问权限或要求进一步的验证。
• 最小化权限：零信任遵循最小化权限原则，即只授予用户和设备完成其任务所需的最小权限。这意味着用户可能只能访问他们工作中需要的特定文件、应用程序或数据库记录，而不能随意访问整个企业网络或所有资源。通过限制权限，可以减少潜在的攻击面，即使攻击者获得了某个用户的身份，也只能访问有限的资源，从而降低了安全风险。
• 持续监控与评估：零信任安全框架会持续监控用户和设备的活动，实时收集和分析各种安全数据，如登录尝试、访问行为、数据传输等。通过对这些数据的分析，系统可以检测到异常行为和潜在的安全威胁，并及时进行响应。同时，根据监控结果，不断评估用户和设备的信任级别，以便动态调整访问权限。例如，如果发现某个设备出现异常行为，可能会降低其信任级别，限制其访问权限，直到问题得到解决。