谷歌揭示了其分层访问模型的实现,并描述了其全球员工设备安全保护措施。最简单的访问控制解决方案是二元的:允许或拒绝网络访问。这种方法过于粗糙,无法满足现代商业文化最大化用户生产力和创造力的需求。细粒度的访问控制可以让用户在需要的时候访问他们需要的东西,这是一种更适合现代商业的模式。谷歌自己的全球员工约有61,000人使用这种类型的访问控制模型-TieredAccess。4月20日发布的白皮书(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding。pdf)和博客文章,谷歌解释说,其创新在于将许多不同的设备连接到许多不同的资产和服务的自由和灵活性。许多现代公司都会对此产生共鸣。分层访问的实现是为谷歌极度异构的环境提供合适的访问模型。分层访问可确保企业资源安全,同时允许用户在访问和安全控制之间做出明智的权衡。许多公司允许员工在他们使用的设备上有一定的灵活性——特别是如果他们有BYOD政策。要实现分层访问,首先需要分析客户群设备和数据来源,分析需要访问的服务,选择能够对客户群和服务之间的访问策略进行评估和决策的网关/访问控制技术。谷歌使用其内部开发的工具收集设备数据,但表示其他公司可以使用安全报告系统(日志)、补丁管理系统、资产管理系统和集中管理面板。目的是将设备属性和设备状态收集到中央数据库中。设备属性可以根据供应商、操作系统、内置安全功能等定义设备基线。持续监控的设备状态可以突出显示与设备基线的偏差。两者都可用于将设备关联到不同的层。例如,如果是“完全管理”下的Android设备,则可以在更高的信任级别访问更敏感的数据,从而提供完整的设备控制以及对特定系统和网络日志的访问。低信任层对具有工作许可的BYOD设备开放。在设备和服务之间是一个访问控制引擎,它根据请求为企业应用程序提供服务级别的授权。它需要一个中央存储库来决定访问授权——这是安全团队定义和管理策略的地方。分层访问模型中的“层”是应用于公司不同服务的敏感层。Google只分4层:不受信任;基本访问;特权访问;高特权访问。选择4层是太多(使系统过于复杂)和太少(返回到分层方法试图改进的二进制访问控制状态)之间的权衡。谷歌为其现场和移动工作人员提供的分层访问解决方案目前仅此而已,但它仍在进行中。有4个方面正在考虑中。一是在确保用户了解安全需求的同时,提高准入决策的准确性,增加系统的粒度。其次,考虑用户行为与机器分析得出的正常行为之间的异同,在设备属性之上添加用户属性。这将允许访问授权不仅基于设备,还基于当前用户行为。三是鼓励用户实时自愿跨越信任层,带动信任层的自主选择。例如,选择仅在接下来的2小时内处于“完全信任”层。***,Google希望改进服务的加载过程。因为总是有服务被添加或更新,所以它们都需要根据风险和敏感性进行分类。“要扩展,服务所有者必须能够自己进行正确的层分配,并且这个过程正在不断改进。”谷歌希望通过分享自己在开发和部署分层访问方面的经验,让IT和安全管理人员感受到他们可以开发出更灵活、有效、更适应当前业务的访问控制系统。Google的分层访问项目与BeyondCorp计划联手挑战传统智慧,即私有或“内部”IP地址代表比Internet上的地址“更受信任”的设备。BeyondCorp有一个关于基础设施安全设计概述的部分。
