CSA 谷歌 BeyondCorp系列论文合集

谷歌 BeyondCorp 系列论文合集 CSA 大中华区 SDP 工作组奇安信身份安全实验室译二零一九年五月 h t i g c . 5 m o b u 1 前言：随着企业大规模的采用移动互联网和云计算技术，传统的采用防火墙建立的 “城堡”安全模式，变得越来越不安全。2014 年 12 月起，Google 先后发表 6 篇 BeyondCorp 相关论文，论文提供了一种新的安全模式，设备和用户只能获得经过验证的资源，构建软件定义安全的雏形。另外，论文也介绍了 BeyondCorp 的架构和实施情况，为传统网络架构迁移至 BeyondCorp 架构提供依据参考。为推动国内安全技术和理论与国际同步，在国内传播国际优秀实践，中国云 m o 安全联盟秘书处组织专家翻译 BeyondCorp 相关论文，供大家学习参考。特别感 c . 5 谢 CSA 大中华区 SDP 工作组与奇安信身份安全实验室对本次翻译工作的贡献及支持！ b u 本文档一共由 BeyondCorp 的六篇论文组合而成： [1] BeyondCorp：一种新的企业安全方案 h t i g [2] 谷歌 BeyondCorp：从设计到部署 [3] BeyondCorp：访问代理 [4] 迁移到 BeyondCorp：提高安全性的同时保持生产力 [5] BeyondCorp ：用户体验 [6] BeyondCorp：构建健康机群声明：本文章仅供学习参考，不得用于商业用途，原创文章可以在 Google 的 BeyondCorp 官网上下载：https://cloud.google.com/beyondcorp/ 2 关于 CSA 大中华区 SDP 工作组： CSA （Cloud Security Alliance）2008 年 12 月在美国发起，以云计算安全为开端，2011 年白宫在 CSA 峰会上宣布了美国联邦政府云计算战略，之后 CSA 演化成为独立、中立、非盈利的世界性产业组织，致力于全球下一代 IT 与新兴技术安全的全面发展。为提高 Software Defined Perimeter（软件定义边界，即 SDP）在中国企业的应用，在中国云安全联盟的支持下，CSA 大中华区成立 SDP 工作组。工作组于 2019 年 3 月成立，首批参与单位有：阿里云、腾讯云、京东云、奇安信、深 m o 信服、绿盟科技、Ucloud、顺丰科技、天融信、云深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云、缔安科 c . 5 技等三十多家单位。关于奇安信身份安全实验室： b u 奇安信身份安全实验室，是奇安信集团下属专注“零信任身份安全架构”研 h t i g 究的专业实验室。该团队以“零信任安全，新身份边界”为技术思想，探索“企业物理边界正在瓦解、传统边界防护措施正在失效”这一时代背景下的新型安全体系架构，推出“以身份为中心、业务安全访问、持续信任评估、动态访问控制” 为核心的奇安信天鉴零信任身份安全解决方案。该团队结合行业现状，大力投入对零信任安全架构的研究和产品标准化，积极推动“零信任身份安全架构”在业界的落地实践，其方案已经在部委、金融、央企等进行广泛落地实施，得到市场、业界的高度认可。参与本文档翻译的专家（按照姓名拼音排序）：组长：陈本峰（云深互联）组员：高健凯、刘德林、张泽洲（奇安信） 3 【第一篇】BeyondCorp：一种新的企业安全方案【第一篇】BeyondCorp：一种新的企业安全方案如今，几乎所有企业都会采用防火墙来建立安全边界，然而，这种安全模型存在问题：一旦边界被突破，攻击者可以畅通无阻地访问企业的特权内部网络。另一方面，随着企业大规模地采用移动互联网和云计算技术，边界防护变得越来越难。谷歌采用了不同的网络安全方法，逐步摆脱对特权内网的依赖，越来越多地将企业应用程序从内网迁移至公网。从 IT 基础设施诞生以来，企业一向使用边界防御措施来保护对内部资源的访问。边界安全模型通常被比作中世纪的城堡：有着厚厚的城墙，被护城河环绕， m o 仅有一个守卫森严的入口和出口，任何墙外的东西都被认为是危险的，任何墙内的东西都认为是安全可信的，这也就意味着任何能通过吊桥的人都能获得城堡内 c . 5 的资源。当所有员工都只在企业办公大楼中工作时，边界安全模型确实很有效；然而， b u 随着移动办公的出现、办公使用的设备种类激增、云计算服务的使用越来越广泛、新的攻击向量也随之增加，如上因素逐渐导致传统安全手段形同虚设。边界安全 h t i g 模型所依赖的关键假设不再成立：边界不再由企业的物理位置决定，边界之内也不再是个人设备和企业应用运行的安全地带。大部分企业假设内部网络是安全的环境并且企业应用可以放心暴露在内网，但谷歌的经验证明了这种观念是错误的。应该假设企业内网与公网一样充满危险，并基于这种假设构建企业应用。谷歌 BeyondCorp 的目标是摒弃对企业特权网络（内网）的依赖并开创一种全新安全访问模式，在这种全新的无特权内网访问模式下，访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络，所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制，所有谷歌员工不再需要通过传统的 VPN 连接进入内网，而是允许从任何网络成功发起访问，除了可能存在的网络延迟差异外，对企业资源的本地和远程访问在用户体验上基本一致。 4 【第一篇】BeyondCorp：一种新的企业安全方案 BeyondCorp 的关键组件 BeyondCorp 由许多相互协作的组件组成，以确保只有通过严格认证的设备和用户才能被授权访问所需的企业应用，各组件描述如下（见图 1）。 c . 5 图 1 BeyondCorp 的组件和访问流安全识别设备设备清单数据库 h t i g m o b u BeyondCorp 使用了“受控设备”的概念——由企业采购并管理可控的设备。只有受控设备才能访问企业应用。围绕着设备清单数据库的设备跟踪和采购流程管理是这个模型的基础之一。在设备的全生命周期中，谷歌会追踪设备发生的变化，这些信息会被监控、分析，并提供给 BeyondCorp 的其他组件进行分析和使用。因为谷歌有多个清单数据库，所以需要使用一个元清单数据库对来自多个数据源的设备信息合并和规一化，并将信息提供给 BeyondCorp 的下游组件。通过元清单数据库，我们就掌握了所有需要访问企业应用的设备信息。 5 【第一篇】BeyondCorp：一种新的企业安全方案设备标识所有受控设备都需要一个唯一标识，此标识同时可作为设备清单数据库中对应记录的索引值。实现方法之一是为每台设备签发特定的设备证书。只有在设备清单数据库中存在且信息正确的设备才能获得证书。证书存储在硬件或软件形态的可信平台模块（Trusted Platform Module, TPM）或可靠的系统证书库之中。设备认证过程需要验证证书存储区的有效性，只有被认为足够安全的设备才可以被归类为受控设备。当进行证书定期轮换时，这些安全检查也会被执行。一旦安装完毕，证书将用于企业服务的所有通信。虽然证书能够唯一地标识设备，但仅凭证书不能获取访问权限，证书只是用来获取设备的相关信息。安全识别用户 c . 5 用户和群组数据库 m o BeyondCorp 还跟踪和管理用户数据库和用户群组数据库中的所有用户。用 b u 户/群组数据库系统与谷歌的 HR 流程紧密集成，管理着所有用户的岗位分类、 h t i g 用户名和群组成员关系，当员工入职、转岗、或离职时，数据库就会相应更新。 HR 系统将需要访问企业的用户的所有相关信息都提供给 BeyondCorp。单点登录系统外化的单点登录（SSO）系统是一个集中的用户身份认证门户，它对请求访问企业资源的用户进行双因子认证。使用用户数据库和群组数据库对用户进行合法性验证后，SSO 系统会生成短时令牌（short-lived tokens），用来作为对特定资源授权流程的一部分。消除基于网络的信任部署无特权网络为了不再区分内部和远程网络访问，BeyondCorp 定义并部署了一个与外网非常相似的无特权网络，虽然其仍然处于一个内网的地址空间。无特权网络只能连接互联网、有限的基础设施服务（如，DNS、DHCP 和 NTP）、以及诸如 Puppet 之类的配置管理系统。谷歌办公大楼内部的所有客户端设备默认都分配到这个网 6 【第一篇】BeyondCorp：一种新的企业安全方案络中，这个无特权网络和谷歌网络的其他部分之间由严格管理的 ACL（访问控制列表）进行控制。有线和无线网络接入的 802.1x 认证对于有线和无线接入，谷歌使用基于 802.1x 认证的 RADIUS 服务器将设备分配到一个适当的网络，实现动态的、而不是静态的 VLAN 分配。这种方法意味着不再依赖交换机/端口的静态配置，而是使用 RADIUS 服务器来通知交换机, 将认证后的设备分配到对应的的 VLAN。受控设备使用设备证书完成 802.1x 握手，并分配到无特权网络，无法识别的设备和非受控设备将被分配到补救网络或访客网络中。将应用和工作流外化 c . 5 面向公共互联网的访问代理 m o b u 谷歌的所有企业应用都通过一个面向公共互联网的访问代理开放给外部和内部客户。通过访问代理，客户端和应用之间的流量被强制加密。一经配置，访 h t i g 问代理对所有应用都进行保护，并提供大量通用特性，如全局可达性、负载平衡、访问控制检查、应用健康检查和拒绝服务防护。在访问控制检查（详述见后文）完成之后，访问代理会将请求转发给后端应用。公共的 DNS 记录谷歌的所有企业应用均对外提供服务，并且在公共 DNS 中注册，使用 CNAME 将企业应用指向面向公共互联网的访问代理。实现基于设备清单的访问控制对设备和用户的信任推断每个用户和/或设备的访问级别可能随时改变。通过查询多个数据源，能够动态推断出分配给设备或用户的信任等级，这一信任等级是后续访问控制引擎（详述见后文）进行授权判定的关键参考信息。例如，一个未安装操作系统最新补丁的设备，其信任等级可能会被降低；某一类特定设备，比如特定型号的手机或者平板电脑，可能会被分配特定的信任等 7 【第一篇】BeyondCor