谷歌如何保护6万员工的设备安全

安全
谷歌揭秘其分层访问模型实现,讲述其全球员工设备安全防护措施。

谷歌揭秘其分层访问模型实现,讲述其全球员工设备安全防护措施。

[[189938]]

访问控制最简单的解决方案是二元的:网络访问要么放行,要么拒绝。这办法太粗糙了,无法适应现代商业文化中***化用户生产力和创造性的需要。细粒度的访问控制,可以让用户在需要的时候访问需要的东西,是更适应现代商业的一种模式。

谷歌自己约6.1万人的全球员工身上,就用的是此类访问控制模型——分层访问( Tiered Access )。4月20号发布的一份白皮书

(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)

及博客文章中,谷歌解释,其创新之处在于,将多种不同设备连接到多种不同资产与服务上的自由与灵活性。这是许多现代公司都会与之产生共鸣的一种看法。

分层访问的实现,是要为谷歌极度异构的环境提供恰当的访问模型。分层访问既能确保公司资源安全,又能让用户在访问与安全控制之间做出明智的取舍。

很多公司都允许员工在自己使用的设备上拥有一定的灵活性——尤其是施行BYOD策略的情况下。

实现分层访问,首先要分析客户群设备和数据源,分析将被访问的服务,选择某种能评估策略并对客户群和服务之间的访问,做出决策的网关/访问控制技术。

谷歌使用其内部开发的工具收集设备数据,但申明其他公司可以使用安全报告系统(日志)、补丁管理系统、资产管理系统和集中式管理面板。目的是将设备属性和设备状态,收集到中央资料库中。

设备属性可以基于厂商、操作系统、内置安全特性等,定义出设备基准线。持续监视的设备状态,则可凸显出偏离设备基线的情况。这二者都能用于将设备关联到不同的层级。

举个例子,如果是“全托管”下的安卓设备,就可以在更高信任层级访问更多敏感数据,也就是提供完整设备控制与对具体系统和网络日志的访问。低信任层级则对有工作许可的BYOD设备开放。

设备与服务之间,是访问控制引擎,按请求对企业应用提供服务级授权。它需要中央资料库来对访问授权做出决策——这是安全团队定义和管理策略的地方。

分层访问模型中的“层”,是应用到公司不同服务上的敏感层级。谷歌只分了4层:不受信任的;基本访问;特权访问;高特权访问。选4层是一种在太多(让系统过于复杂)和太少(又回到了分层方法试图改进的二元访问控制状态)之间的权衡。

目前谷歌对其现场和移动工作人员的分层访问解决方案就是这样了,但该方案仍在发展过程中。有4个方面正在考虑。

  • 首先是在确保用户理解安全要求的同时,提升访问决策精准度,增加系统细粒度。
  • 其次,考虑用户行为与机器分析得出的正常行为间的异同,在设备属性之上添加用户属性。这将让访问授权不仅基于设备还基于当前用户行为。
  • 第三,鼓励用户实时自愿跨越信任层,驱动信任层的自主选择。比如说,只在接下来的2小时里选择处于“完全信任”层。
  • ***,谷歌希望改善该服务的加载过程。因为总是有服务被添加或更新,它们都需要根据风险和敏感性进行分类。“想要扩展,服务拥有者必须要能够自己做出正确的层次分配,而这个过程是不断改进的。”

谷歌希望,通过共享其自身在开发和部署分层访问上的经验,IT和安全管理员能够感觉自己可以开发灵活有效的访问控制系统,更好地适应当前业务。谷歌分层访问项目与BeyondCorp计划携手共进,挑战私有或“内部”IP地址代表比互联网上地址“更可信”设备的传统观念。BeyondCorp在基础设施安全设计概述中有部分讨论。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2023-12-25 13:00:00

数据训练

2020-06-28 16:10:28

RPA应用

2009-07-14 10:00:26

腾讯重金激励

2010-03-18 10:11:01

富士康员工加薪

2018-06-11 11:32:48

2010-01-15 09:52:05

2019-04-09 09:54:12

快递员京东降薪

2017-01-09 16:57:08

戴尔

2021-03-09 09:56:42

物联网安全物联网IOT

2014-10-22 10:44:16

2012-12-20 13:17:24

2015-03-10 09:54:31

Android 5.1Google

2018-03-21 06:54:38

2020-06-20 13:57:29

物联网工业物联网技术

2021-09-10 19:45:43

微软居家办公

2018-06-06 01:02:31

2009-08-09 18:34:57

惠普佣金

2023-03-22 07:51:11

2023-04-19 20:55:40

2021-06-22 08:30:32

字节跳动取消大小周字节员工
点赞
收藏

51CTO技术栈公众号