谷歌是世界上技術(shù)最牛的公司之一。谷歌內(nèi)部的網(wǎng)絡(luò)安全體系BeyondCorp是安全領(lǐng)域最知名的安全架構(gòu)之一。對(duì)于學(xué)習(xí)者來(lái)說(shuō)，非常幸運(yùn)的是，谷歌沒(méi)有把BeyondCorp當(dāng)做秘密藏起來(lái)，而是發(fā)了6篇論文，事無(wú)巨細(xì)地介紹了BeyondCorp的技術(shù)架構(gòu)、資源配置、如何一步步上線、怎么給員工培訓(xùn)……基本上，這6篇論文可以當(dāng)做企業(yè)實(shí)施零信任的傻瓜式教程了。

　　我就是做零信任的，我設(shè)計(jì)產(chǎn)品的時(shí)候，常常會(huì)借鑒BeyondCorp的理念。我在實(shí)施項(xiàng)目的時(shí)候，也常常會(huì)碰到BeyondCorp團(tuán)隊(duì)碰到過(guò)的問(wèn)題。下面就是我對(duì)這BeyondCorp 6篇論文做的一次總結(jié)，也是對(duì)這幾年辛苦日子的一個(gè)紀(jì)念。

　　1、BeyondCorp的誕生

　　為什么谷歌會(huì)搞BeyondCorp呢？

　　因?yàn)楣雀柙?009年曾經(jīng)受到過(guò)一次可能源自中國(guó)的嚴(yán)重網(wǎng)絡(luò)攻擊“極光行動(dòng)”。谷歌的一名員工點(diǎn)擊了即時(shí)消息中的一條惡意鏈接，最后引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

　　事后谷歌對(duì)安全事故進(jìn)行了全面調(diào)查。結(jié)果幾乎所有調(diào)查報(bào)告都指出，黑客在完成攻擊之前，甚至之后，曾長(zhǎng)期潛伏在企業(yè)內(nèi)網(wǎng)，利用內(nèi)部系統(tǒng)漏洞和管理缺陷逐步獲得高級(jí)權(quán)限，最終竊取數(shù)據(jù)。

　　分析調(diào)查結(jié)果，谷歌發(fā)現(xiàn)了自身存在一個(gè)嚴(yán)重的問(wèn)題——對(duì)來(lái)自?xún)?nèi)網(wǎng)的攻擊防護(hù)太薄弱。

　　做BeyondCorp之前，谷歌與大多數(shù)企業(yè)一樣，都是以防火墻為基礎(chǔ)劃分出企業(yè)內(nèi)網(wǎng)和公眾網(wǎng)絡(luò)的邊界，并基于此構(gòu)建安全體系。企業(yè)內(nèi)網(wǎng)被認(rèn)為是可信的，為了便于開(kāi)展日常工作，通常都不會(huì)對(duì)員工在內(nèi)網(wǎng)中訪問(wèn)各種資源設(shè)置嚴(yán)格限制。如果員工出差或在家辦公而只能使用公共網(wǎng)絡(luò)，則需要先使用VPN接入企業(yè)內(nèi)網(wǎng)；如果員工要使用手機(jī)等移動(dòng)設(shè)備辦公，也需要先配置VPN才能使用內(nèi)網(wǎng)辦公資源。

　　谷歌的經(jīng)驗(yàn)證明了這種做法是錯(cuò)誤的。

　　這種做法的問(wèn)題在于一旦邊界被突破，攻擊者可以暢通無(wú)阻地訪問(wèn)企業(yè)的內(nèi)部特權(quán)網(wǎng)絡(luò)。

　　隨著應(yīng)用上云、移動(dòng)辦公的流行，以及APT攻擊的泛濫，邊界的防護(hù)變得越來(lái)越難。例如谷歌遇到的極光行動(dòng)，例如這兩年的勒索病毒……來(lái)自?xún)?nèi)部的攻擊事件已經(jīng)成為大概率事件。內(nèi)部威脅成為最嚴(yán)重的威脅。

　　那么，要怎么防護(hù)內(nèi)部威脅呢？谷歌的答案是——BeyondCorp。

　　2、BeyondCorp的架構(gòu)

　　下圖是BeyondCorp架構(gòu)的主要組件。各組件之間相互作用，保證——只有通過(guò)嚴(yán)格認(rèn)證的設(shè)備和用戶才能被授權(quán)訪問(wèn)需要的企業(yè)應(yīng)用。

　　從圖中可以看出BeyondCorp的幾個(gè)特點(diǎn)：

　?。?）谷歌大樓的內(nèi)網(wǎng)是無(wú)特權(quán)網(wǎng)絡(luò)。谷歌員工插上公司網(wǎng)線或連上wifi之后，只能連接互聯(lián)網(wǎng)和有限的基礎(chǔ)設(shè)施服務(wù)（如DNS、DHCP、NTP）。不能直接連公司內(nèi)部的業(yè)務(wù)系統(tǒng)。而且員工進(jìn)行802.1x認(rèn)證之后才能連上內(nèi)網(wǎng)。

　?。?）無(wú)論用戶身在谷歌大樓的內(nèi)網(wǎng)，還是咖啡館公共網(wǎng)絡(luò)，要連公司的內(nèi)部系統(tǒng)的話，都要通過(guò)“訪問(wèn)代理”的驗(yàn)證，才能訪問(wèn)。訪問(wèn)代理是面向互聯(lián)網(wǎng)的。

　?。?.1）訪問(wèn)代理會(huì)驗(yàn)證用戶的身份。用戶通過(guò)單點(diǎn)登錄系統(tǒng)（SSO）的雙因子認(rèn)證來(lái)驗(yàn)證身份。外化的單點(diǎn)登錄系統(tǒng)起到了一層防騷擾的作用，沒(méi)有通過(guò)身份驗(yàn)證的人只能看到訪問(wèn)代理，看不到后面的業(yè)務(wù)系統(tǒng)。

　?。?.2）訪問(wèn)代理會(huì)驗(yàn)證用戶的設(shè)備。只有企業(yè)采購(gòu)并妥善管理的受控設(shè)備才能連接訪問(wèn)代理。谷歌公司的設(shè)備通常會(huì)禁止用戶亂裝軟件，自動(dòng)更新安全補(bǔ)丁和病毒庫(kù)。

　?。?.3）訪問(wèn)控制引擎持續(xù)給用戶的信任等級(jí)打分。等級(jí)保持在“高級(jí)”的用戶才能通過(guò)訪問(wèn)代理。例如，一個(gè)未安裝最新操作系統(tǒng)補(bǔ)丁的設(shè)備，其信任等級(jí)可能會(huì)被降低。一個(gè)從新位置訪問(wèn)應(yīng)用的用戶，其信任等級(jí)可能會(huì)被降低。而且用戶的等級(jí)是基于每個(gè)訪問(wèn)請(qǐng)求隨時(shí)改變的。用戶一旦做了可疑操作會(huì)被立即降低信任等級(jí)。（信任等級(jí)的判斷是BeyondCorp中的核心，以后可以單開(kāi)一篇文章來(lái)講）（2.4）用戶授權(quán)判定也往往參考用戶身份和設(shè)備的信任等級(jí)。例如，可以限制只有全職工程師、且使用工程設(shè)備才可以登錄谷歌的缺陷跟蹤系統(tǒng)；限制只有財(cái)務(wù)部門(mén)的全職員工使用受控設(shè)備才可以訪問(wèn)財(cái)務(wù)系統(tǒng)。

　?。?）一切檢測(cè)都通過(guò)之后，訪問(wèn)代理會(huì)將用戶請(qǐng)求轉(zhuǎn)發(fā)給后面的業(yè)務(wù)系統(tǒng)。客戶端和應(yīng)用之間的流量被強(qiáng)制加密。訪問(wèn)代理還提供負(fù)載平衡、應(yīng)用健康檢查和DDoS防護(hù)等等功能。

　　3、用戶訪問(wèn)流程

　　codereview.corp.google.com是谷歌工程師審核代碼用的系統(tǒng)。下面就以codereview網(wǎng)站為例，看看BeyondCorp體系是如何配置的，員工是如何使用的。

　?。?）首先配DNS。把codereview網(wǎng)站的域名在公共 DNS 中注冊(cè)，CNAME 指向訪問(wèn)代理。用戶訪問(wèn)該域名時(shí)會(huì)連接到訪問(wèn)代理上。

　?。?）配置訪問(wèn)控制規(guī)則。例如，限制只有最高信任等級(jí)的受控設(shè)備可以訪問(wèn)、限制只有最高信任等級(jí)的全職和兼職工程師可以訪問(wèn)。

　　（3）一位出差的工程師小明使用谷歌配發(fā)的筆記本電腦，接入機(jī)場(chǎng)的wifi，不用VPN，直接訪問(wèn)企業(yè)內(nèi)網(wǎng)。（如果小明身在內(nèi)網(wǎng)，則電腦需與 RADIUS 服務(wù)器進(jìn)行 802.1x 握手，并獲取設(shè)備證書(shū)。）（4）小明訪問(wèn)請(qǐng)求指向訪問(wèn)代理，筆記本電腦提供設(shè)備證書(shū)。

　?。?）訪問(wèn)代理無(wú)法識(shí)別小明的身份，重定向到單點(diǎn)登錄系統(tǒng)。

　?。?）小明提供雙因素認(rèn)證憑據(jù)，由單點(diǎn)登錄系統(tǒng)進(jìn)行身份認(rèn)證，頒發(fā)令牌，并重定向回訪問(wèn)代理。

　?。?）訪問(wèn)代理現(xiàn)在持有小明的設(shè)備證書(shū)和單點(diǎn)登錄令牌。

　?。?）訪問(wèn)控制引擎進(jìn)行授權(quán)檢查：確認(rèn)小明是工程組成員、設(shè)備信任等級(jí)是高級(jí)、設(shè)備在受控列表中。

　　（9）如果所有檢查通過(guò)，則小明的請(qǐng)求被轉(zhuǎn)發(fā)到一個(gè)某個(gè)應(yīng)用后端獲取服務(wù)。

　　（10）小明可以正常訪問(wèn)內(nèi)網(wǎng)系統(tǒng)了。但是每次訪問(wèn)行為都受到監(jiān)控，一旦發(fā)現(xiàn)異常，小明的電腦會(huì)被立即隔離，或者觸發(fā)二次認(rèn)證。

　　4、BeyondCorp的好處

　　BeyondCorp增強(qiáng)了企業(yè)對(duì)抗內(nèi)部威脅的能力，持續(xù)檢測(cè)用戶可信級(jí)別，只允許合法設(shè)備連接內(nèi)網(wǎng)。具體來(lái)說(shuō)BeyondCorp零信任安全可以提升對(duì)抗以下10大威脅的能力。

　　5、實(shí)施過(guò)程

　　谷歌2011年開(kāi)始實(shí)施BeyondCorp，逐步推廣，2017年全公司都在使用BeyondCorp辦公。用6年時(shí)間，在不干擾用戶的情況下，完成如此大規(guī)模的任務(wù)，項(xiàng)目實(shí)施非常成功。6年時(shí)間積攢的實(shí)施經(jīng)驗(yàn)可能比BeyondCorp架構(gòu)本身更加寶貴。

　　BeyondCorp團(tuán)隊(duì)是如何得到管理層、公司其他部門(mén)的支持的呢？

　?。?）管理層：人人都恨VPN，推廣BeyondCorp的一個(gè)重要理由是——擺脫VPN，經(jīng)過(guò)身份認(rèn)證的遠(yuǎn)程用戶可以直接訪問(wèn)企業(yè) Web 應(yīng)用。向管理層證明，由此產(chǎn)生的生產(chǎn)力提升可以輕松超過(guò)BeyondCorp的實(shí)施成本。

　?。?）業(yè)務(wù)部門(mén)：把推廣的動(dòng)機(jī)、基本原理、威脅模型以及所需成本形成文檔。然后，向每一個(gè)業(yè)務(wù)部門(mén)解釋遷移過(guò)程的價(jià)值和必要性。高度透明和對(duì)標(biāo)準(zhǔn)的清晰解釋幫助加深了與干系人的共識(shí)。讓他們充分參與到愿景及目標(biāo)的規(guī)劃中。

　?。?）關(guān)鍵負(fù)責(zé)人：爭(zhēng)取到關(guān)鍵領(lǐng)域負(fù)責(zé)人的支持：安全、身份、網(wǎng)絡(luò)、訪問(wèn)控制、客戶端和服務(wù)器平臺(tái)軟件、關(guān)鍵業(yè)務(wù)應(yīng)用程序服務(wù)，以及第三方合作伙伴或IT外包等等。讓負(fù)責(zé)人梳理和確定各領(lǐng)域?qū)＜?，獲得其承諾，并確保他們投入時(shí)間和精力。

　　（4）保持溝通：高層領(lǐng)導(dǎo)、團(tuán)隊(duì)負(fù)責(zé)人和其他參與者會(huì)通過(guò)在線文檔、郵件組和定期會(huì)議（面對(duì)面的和遠(yuǎn)程的）聯(lián)系，始終保持對(duì)當(dāng)前進(jìn)展和項(xiàng)目狀態(tài)的了解。

　　（5）組織內(nèi)部宣傳活動(dòng)來(lái)提高大家對(duì) BeyondCorp 的認(rèn)識(shí)，比如推出了電腦貼紙、標(biāo)識(shí)和口號(hào)，還在辦公室張貼隨處可見(jiàn)的文章。

　　取得了公司支持之后，下一步就是制定合理的推廣策略。

　　推廣BeyondCorp時(shí)，并不是逐步改造現(xiàn)有網(wǎng)絡(luò)，而是新建了一個(gè)環(huán)境，逐步把設(shè)備轉(zhuǎn)移到新的環(huán)境里。這樣始終保持了老環(huán)境是可用的，而且可以穩(wěn)步推進(jìn)新環(huán)境的建設(shè)。

　　第一階段：用戶在內(nèi)網(wǎng)可以直接訪問(wèn)業(yè)務(wù)系統(tǒng)。外網(wǎng)通過(guò)VPN訪問(wèn)。

　　第二階段：用戶在老內(nèi)網(wǎng)可以直接訪問(wèn)業(yè)務(wù)系統(tǒng)。新內(nèi)網(wǎng)和外網(wǎng)可以通過(guò)“訪問(wèn)代理”訪問(wèn)。此時(shí)，DNS解析是分開(kāi)的，內(nèi)部域名服務(wù)器直接指向應(yīng)用，外部域名服務(wù)器指向訪問(wèn)代理。

　　第三階段：用戶在老內(nèi)網(wǎng)、新內(nèi)網(wǎng)和外網(wǎng)都可以通過(guò)“訪問(wèn)代理”訪問(wèn)。并且限制VPN的使用。網(wǎng)絡(luò)策略也逐步地由基于IP的策略變?yōu)橐揽啃湃蔚燃?jí)分配策略。

　　有些系統(tǒng)在開(kāi)發(fā)時(shí)，默認(rèn)用戶永遠(yuǎn)是直連的。這些系統(tǒng)需要進(jìn)行改造之后才能遷移到“訪問(wèn)代理”之后，接受保護(hù)。

　　所以在第二階段，首先遷移的是那些無(wú)需改造的系統(tǒng)及其用戶。

　　為了方便判斷哪些用戶符合遷移要求。谷歌開(kāi)發(fā)了一個(gè)小工具。用戶安裝小工具之后，工具會(huì)記錄用戶所有訪問(wèn)流量，如果用戶訪問(wèn)的所有系統(tǒng)都已經(jīng)兼容BeyondCorp了。那么小工具會(huì)變成仿真模式，模擬新內(nèi)網(wǎng)的環(huán)境，讓該用戶試用。連續(xù)30天試用沒(méi)問(wèn)題后，用戶會(huì)被自動(dòng)遷移到新內(nèi)網(wǎng)。

　　同時(shí)這個(gè)小工具也會(huì)記錄哪些系統(tǒng)訪問(wèn)量大，接下來(lái)開(kāi)發(fā)團(tuán)隊(duì)與系統(tǒng)所有者合作，優(yōu)先改造這些系統(tǒng)。

　　隨著遷移的系統(tǒng)越來(lái)越多，新員工默認(rèn)會(huì)被分配到新內(nèi)網(wǎng)。

　　當(dāng)用戶被選中進(jìn)行遷移時(shí)，系統(tǒng)會(huì)自動(dòng)給他們發(fā)送一封啟動(dòng)郵件，內(nèi)含：

　?。?）明確時(shí)間安排

　　（2）遷移的影響

　?。?）常見(jiàn)問(wèn)題答疑和加急服務(wù)點(diǎn)

　?。?）此外，還提供一個(gè)自助服務(wù)門(mén)戶網(wǎng)站，允許受業(yè)務(wù)關(guān)鍵時(shí)間節(jié)點(diǎn)約束的用戶延遲遷移。

　　通過(guò)這種方法進(jìn)行過(guò)渡，用戶使用不兼容 BeyondCorp的應(yīng)用不會(huì)感到不太方便；遷移壓力基本都在服務(wù)提供者和應(yīng)用程序開(kāi)發(fā)人員上。

　　在不到一年的時(shí)間里，超過(guò) 50%的設(shè)備遷移到了新內(nèi)網(wǎng)。

　　6、怎么做用戶教育和運(yùn)維

　　在提高安全的急迫性與改變終端用戶的使用習(xí)慣之間總是存在矛盾。當(dāng)基礎(chǔ)設(shè)施和工作流的改變威脅到生產(chǎn)力的時(shí)候，這種矛盾只會(huì)升級(jí)。在發(fā)展和穩(wěn)定之間取得平衡，與其說(shuō)是科學(xué)，不如說(shuō)是藝術(shù)。

　　（1）引導(dǎo)用戶使用BeyondCorp

　　對(duì)于許多新員工來(lái)說(shuō)，BeyondCorp 模型這個(gè)概念是相當(dāng)陌生的。他們習(xí)慣了通過(guò)VPN、公司專(zhuān)屬 WiFi、和其他特權(quán)環(huán)境來(lái)訪問(wèn)他們?nèi)粘９ぷ魉璧馁Y源。

　　BeyondCorp 上線之初，許多新員工仍然會(huì)申請(qǐng) VPN 接入。用戶過(guò)會(huì)習(xí)慣性地認(rèn)為如果不在辦公室的時(shí)候需要工作，就是需要 VPN。

　　BeyondCorp 架構(gòu)師原本以為用戶不在辦公室，有遠(yuǎn)程訪問(wèn)需求時(shí)，會(huì)嘗試直接訪問(wèn)內(nèi)網(wǎng)資源，并發(fā)現(xiàn)可以成功訪問(wèn)。

　　然而事與愿違，遠(yuǎn)程訪問(wèn)需要申請(qǐng) vpn 權(quán)限的用戶習(xí)慣根深蒂固。

　　后來(lái)，谷歌做了一個(gè)改進(jìn)。在VPN的申請(qǐng)門(mén)戶上明確提醒了用戶 BeyondCorp 是自動(dòng)化配置的，他們?cè)谡?qǐng)求 VPN 訪問(wèn)之前應(yīng)嘗試直接訪問(wèn)他們需要的資源。

　　如果用戶跳過(guò)這個(gè)警告，BeyondCorp 團(tuán)隊(duì)還會(huì)對(duì)用戶通過(guò) VPN 隧道訪問(wèn)的服務(wù)進(jìn)行自動(dòng)分析。如果用戶在過(guò)去 45 天內(nèi)沒(méi)有訪問(wèn)過(guò)任何一個(gè)BeyondCorp 模式不支持的企業(yè)服務(wù)，就會(huì)收到一封郵件。郵件中會(huì)解釋?zhuān)捎谒麄冊(cè)L問(wèn)的所有公司資源都支持 BeyondCorp。除非訪問(wèn)了不支持 BeyondCorp 的服務(wù)，否則他們的 VPN 訪問(wèn)權(quán)限將會(huì)在 30 天內(nèi)失效。

　　（2）入職培訓(xùn)

　　顯然，在用戶開(kāi)始谷歌的 IT 之旅時(shí)，就應(yīng)該讓其盡早了解這種新的訪問(wèn)模式，因此在新員工入職培訓(xùn)時(shí)就會(huì)開(kāi)始介紹 BeyondCorp。在培訓(xùn)中，不會(huì)大段地講解模型的技術(shù)細(xì)節(jié)，而是關(guān)注最終的用戶體驗(yàn)。強(qiáng)調(diào)用戶不需要 VPN，就可以“自動(dòng)”獲得遠(yuǎn)程訪問(wèn)權(quán)限。

　　使用BeyondCorp非常容易。一旦驗(yàn)證了必要的用戶憑證，就會(huì)自動(dòng)獲取一個(gè)Chrome插件。從用戶的角度看，只要能夠看到插件中的綠色圖標(biāo)，他們就可以訪問(wèn)企業(yè)資源。

　?。?）技術(shù)人員的培訓(xùn)

　　要在支持團(tuán)隊(duì)中培訓(xùn)一批技術(shù)人員，將他們培養(yǎng)成為 BeyondCorp 模型的專(zhuān)家和本地的主要接口人。這些受過(guò)專(zhuān)業(yè)訓(xùn)練的技術(shù)人員有比其他部門(mén)同事更高的修復(fù)系統(tǒng)的權(quán)限。

　　作為 BeyondCorp 上線的第一批“觀察員”，他們會(huì)通過(guò)全球科技論壇、討論列表、午餐時(shí)間和辦公時(shí)間來(lái)給其他支持團(tuán)隊(duì)做培訓(xùn)。

　　谷歌鼓勵(lì)技術(shù)人員在發(fā)現(xiàn)問(wèn)題后立即在內(nèi)部文檔中添加新的臨時(shí)變通辦法或修復(fù)手段，以便將解決問(wèn)題的能力盡可能遍布全網(wǎng)，更有效地實(shí)現(xiàn)信息共享并獲得規(guī)?；С帧?/p>

　?。?）用戶自助修復(fù)

　　“為什么我的訪問(wèn)被拒絕了？”這是遷移到BeyondCorp之后最常見(jiàn)的一個(gè)問(wèn)題。除了培訓(xùn) IT 運(yùn)維人員回答疑問(wèn)之外，谷歌還開(kāi)發(fā)了一種服務(wù)，它可以分析信任引擎的決策樹(shù)和影響設(shè)備信任等級(jí)分配的事件的時(shí)間順序，從而提出補(bǔ)救措施。這樣，有些問(wèn)題用戶就可以自己解決了。

　?。?）用戶自助申請(qǐng)權(quán)限

　　如果一個(gè)資源要求特定群組成員才可訪問(wèn)，門(mén)戶會(huì)提供群組名和一個(gè)鏈接。用戶可以點(diǎn)鏈接申請(qǐng)?jiān)L問(wèn)權(quán)限。門(mén)戶在后臺(tái)查詢(xún)后端的訪問(wèn)控制列表來(lái)判斷該資源的授權(quán)要求，與用戶當(dāng)前部門(mén)比較，門(mén)戶前端將比較結(jié)果進(jìn)行提示，并引導(dǎo)用戶用戶自助申請(qǐng)加入有權(quán)限的用戶組。

　　（6）錯(cuò)誤頁(yè)面

　　BeyondCorp的錯(cuò)誤提示頁(yè)面上會(huì)帶上用戶信息，這樣技術(shù)人員更容易排查。例如如果用戶信任等級(jí)不夠，錯(cuò)誤提示彈窗中會(huì)展示用戶的設(shè)備、名稱(chēng)，技術(shù)支持人員讓用戶截圖就可以獲取足夠的信息去后臺(tái)查詢(xún)?cè)撚脩舻臋?quán)限不足的具體原因了。

　　7、實(shí)施的難點(diǎn)

　?。?）系統(tǒng)對(duì)接

　　BeyondCorp能夠從廣泛的數(shù)據(jù)來(lái)源中導(dǎo)入數(shù)據(jù)。系統(tǒng)管理數(shù)據(jù)源可能包括Active Directory、Puppet 和Simian，其他設(shè)備代理、配置管理系統(tǒng)和企業(yè)資產(chǎn)管理系統(tǒng)也會(huì)輸入數(shù)據(jù)。還有括漏洞掃描系統(tǒng)、證書(shū)頒發(fā)機(jī)構(gòu)和諸如 ARP 映射表等網(wǎng)絡(luò)基礎(chǔ)設(shè)施單元。每個(gè)數(shù)據(jù)源都可以發(fā)送設(shè)備相關(guān)的完整數(shù)據(jù)或增量更新數(shù)據(jù)。

　　BeyondCorp已經(jīng)從超過(guò) 15 個(gè)數(shù)據(jù)源中吸收了數(shù)十億的增量數(shù)據(jù)，速度約 300 萬(wàn)條/天，總量超過(guò) 80TB。

　　許多數(shù)據(jù)源之間并不具備數(shù)據(jù)關(guān)聯(lián)所必須的“統(tǒng)一標(biāo)識(shí)符”。例如，資產(chǎn)管理系統(tǒng)可能存儲(chǔ)資產(chǎn) ID 和設(shè)備序列號(hào)，而磁盤(pán)加密托管系統(tǒng)存儲(chǔ)硬盤(pán)序列號(hào)，證書(shū)頒發(fā)機(jī)構(gòu)存儲(chǔ)證書(shū)指紋，ARP 數(shù)據(jù)庫(kù)存儲(chǔ) MAC 地址。這些數(shù)據(jù)只能在報(bào)告幾個(gè)或全部這些標(biāo)識(shí)信息之后，才可能合并為一條記錄。

　　如果再考慮到設(shè)備的全生命周期，相關(guān)的信息及其關(guān)聯(lián)過(guò)程將更加一團(tuán)糟，因?yàn)橛脖P(pán)、網(wǎng)卡、機(jī)箱和主板都有可能被替換，甚至?xí)谠O(shè)備之間交換。另外，如果還存在人為的數(shù)據(jù)錄入錯(cuò)誤，情況會(huì)更加復(fù)雜。

　?。?）協(xié)議支持

　　事實(shí)證明，BeyondCorp一開(kāi)始只打算支持 HTTP 協(xié)議是完全不夠的，隨著項(xiàng)目的推進(jìn)，不得不為更多的協(xié)議（其中多數(shù)都需要端到端加密，如 SSH）提供解決方案。支持這些協(xié)議通常需要對(duì)客戶端進(jìn)行改造，以確?！霸L問(wèn)代理”能準(zhǔn)確識(shí)別設(shè)備。

　　第三方軟件通常比較麻煩，因?yàn)樗赡軣o(wú)法提供 TLS 證書(shū)，也可能其實(shí)現(xiàn)邏輯假設(shè)網(wǎng)絡(luò)總是直連的。為了適配這些軟件，谷歌設(shè)計(jì)了一種可以自動(dòng)建立點(diǎn)到點(diǎn)加密隧道（使用 TUN 設(shè)備）的方案。軟件對(duì)隧道無(wú)感知，就像是直連到服務(wù)器一樣。

　　8、意外事件的處理經(jīng)驗(yàn)

　　意外緊急情況主要有兩類(lèi)：

　　（1）生產(chǎn)類(lèi)緊急事件：由于服務(wù)訪問(wèn)的邏輯鏈路上關(guān)鍵部件的中斷或失靈造成的緊急事件。

　?。?）安全類(lèi)緊急事件：由于迫切需要撤回特定用戶的訪問(wèn)權(quán)限造成的緊急事件。

　　快速推送安全策略是解決意外緊急情況的關(guān)鍵能力。比如，由于安全掃描設(shè)備可能尚未升級(jí)，檢測(cè)不出某種零日攻擊，但可以通過(guò)例外處理立即阻止某臺(tái)可能遭受零日攻擊的設(shè)備。

　　物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)可能并不容易，可以通過(guò)例外處理，直接為其分配適合的信任等級(jí)以確保正常訪問(wèn)。

　　面對(duì)某些重要用戶訪問(wèn)失敗的情況，也需要在后臺(tái)直接進(jìn)行緊急處理，以便保證用戶工作能夠順利進(jìn)行。

　　9、總結(jié)

　　BeyondCorp經(jīng)過(guò)這么多年的發(fā)展，已經(jīng)從一個(gè)前衛(wèi)的理念，變成了一個(gè)成熟的方案。之前BeyondCorp一直是谷歌內(nèi)部用。今年疫情，谷歌把BeyondCorp中的“訪問(wèn)代理”抽象出來(lái)，做成了商業(yè)產(chǎn)品，在谷歌云上賣(mài)。不過(guò)國(guó)內(nèi)用起來(lái)肯定比較麻煩。國(guó)內(nèi)有不少?gòu)S商模仿BeyondCorp做了解決方案。大家有興趣的話，后續(xù)我也可以分享一些國(guó)內(nèi)產(chǎn)品。