防火墙可能不再是必要的,因为谷歌重塑了安全它具有典型的安全防御姿态,将企业视为城堡,通过护城河和壁垒实现安全。 然而,随着时间的推移,谷歌开始壮大其移动员工队伍,遍布世界各地,需要访问内部网络才能完成日常工作。缓慢且不可靠的VPN严重限制了员工的工作效率。此外,谷歌本身也开始将工作负载迁移到城堡外的云环境中。但另一方面,谷歌与其他公司有很大不同。无需制定任何明确的业务计划或成本/收益分析,谷歌高管就愿意彻底重塑其安全基础设施发表了雄心勃勃的声明。 基本前提很简单,“障碍根本不起作用,”谷歌安全主管希瑟阿德金斯说。在RSAC会议期间,阿德金斯表示,目标是不再强调防火墙和其他边界防御,并开始转向“零信任”模型。这意味着每台设备——无论是在公司内部还是在星巴克门店的员工手中——都将以不可信为前提。在新模型中,整个安全系统围绕着用户和设备而存在。Google根据其对最终用户及其设备的了解来授权访问,并且所有服务访问都必须经过身份验证、授权和加密。这个名为BeyondCorp的项目有明确的最终目标,即每位员工都能够在不使用VPN的情况下在不受信任的网络上成功完成工作。这意味着它需要快速登录或使用其他类型的访问代理。 项目分多个步骤进行。首先,谷歌建立了一个用户清单,详细列出每个员工的工作分类和他们应该访问的服务。下一步是为设备建立一个类似的清单,包括采购到生命周期和每台设备的运行状态跟踪等因素。 接下来,谷歌构建了自己的访问控制引擎,以检查全球所有员工和设备的每一次网络访问活动。为构建此访问控制策略,Google需要从20个不同来源提取数据。 谷歌的站点可靠性工程经理罗里沃德表示,所有这些建设工作将需要两到三年的时间。这还不是最困难的部分。 现在,他们需要在不“影响任何人”的情况下从旧网络迁移到新的“零信任”网络。换句话说,不会拒绝任何员工访问完成工作所需的应用程序或服务。 根据沃德的说法,迁移本身花了两年时间。该团队在全球200座谷歌大楼中安装了新系统,但并未立即上线。他们使用嗅探器捕获与该位置的特权网络相关的所有真实流量,并通过一个尚未启用的新的非特权系统运行它。 通过一步一步的实践,Ward和他的团队对新系统建立了坚定的信心,开始迁移。从那时起,沃德的团队积累了“一个庞大的交易数据库,以将那些在新网络上运行不佳的交易区分开来。”但问题也随之而来。“我们一直在努力,直到我们弄清楚,”他说。“我们对整个网络系统进行了改造,并确保这个过程不会影响任何人的正常工作。” Adkins指出,团队在此期间学到了很多宝贵的经验教训,足以指导其他有类似需求的公司。事实上,谷歌已经公开发布了BeyondCorp项目的信息。这里的关键是你需要提供持续的支持,有准确的数据,最终实现无痛迁移。此外,你必须清楚地了解用户通信,并确保底层系统是高可靠的。 阿德金斯表示,最终的结果是,谷歌员工更快乐,工作效率显着提高。此外,新系统使得IT系统更加简单,这意味着谷歌的运营成本将得到有效降低。 原标题:谷歌如何重塑安全并消除对防火墙的需求 原作者:NealWeinberg新闻请关注《科技新闻早报》专栏!
