谷歌如何保護6萬員工的設備安全
谷歌揭秘其分層訪問模型實現,講述其全球員工設備安全防護措施。
訪問控制最簡單的解決方案是二元的:網路訪問要麼放行,要麼拒絕。這辦法太粗糙了,無法適應現代商業文化中最大化用戶生產力和創造性的需要。細粒度的訪問控制,可以讓用戶在需要的時候訪問需要的東西,是更適應現代商業的一種模式。
谷歌自己約6.1萬人的全球員工身上,就用的是此類訪問控制模型——分層訪問( Tiered Access )。4月20號發布的一份白皮書及博客文章中,谷歌解釋,其創新之處在於,將多種不同設備連接到多種不同資產與服務上的自由與靈活性。這是許多現代公司都會與之產生共鳴的一種看法。
分層訪問的實現,是要為谷歌極度異構的環境提供恰當的訪問模型。分層訪問既能確保公司資源安全,又能讓用戶在訪問與安全控制之間做出明智的取捨。
很多公司都允許員工在自己使用的設備上擁有一定的靈活性——尤其是施行BYOD策略的情況下。
實現分層訪問,首先要分析客戶群設備和數據源,分析將被訪問的服務,選擇某種能評估策略並對客戶群和服務之間的訪問,做出決策的網關/訪問控制技術。
谷歌使用其內部開發的工具收集設備數據,但申明其他公司可以使用安全報告系統(日誌)、補丁管理系統、資產管理系統和集中式管理面板。目的是將設備屬性和設備狀態,收集到中央資料庫中。
設備屬性可以基於廠商、操作系統、內置安全特性等,定義出設備基準線。持續監視的設備狀態,則可凸顯出偏離設備基線的情況。這二者都能用於將設備關聯到不同的層級。
舉個例子,如果是「全託管」下的安卓設備,就可以在更高信任層級訪問更多敏感數據,也就是提供完整設備控制與對具體系統和網路日誌的訪問。低信任層級則對有工作許可的BYOD設備開放。
設備與服務之間,是訪問控制引擎,按請求對企業應用提供服務級授權。它需要中央資料庫來對訪問授權做出決策——這是安全團隊定義和管理策略的地方。
分層訪問模型中的「層」,是應用到公司不同服務上的敏感層級。谷歌只分了4層:不受信任的;基本訪問;特權訪問;高特權訪問。選4層是一種在太多(讓系統過於複雜)和太少(又回到了分層方法試圖改進的二元訪問控制狀態)之間的權衡。
目前谷歌對其現場和移動工作人員的分層訪問解決方案就是這樣了,但該方案仍在發展過程中。有4個方面正在考慮。
首先是在確保用戶理解安全要求的同時,提升訪問決策精準度,增加系統細粒度。
- 其次,考慮用戶行為與機器分析得出的正常行為間的異同,在設備屬性之上添加用戶屬性。這將讓訪問授權不僅基於設備還基於當前用戶行為。
- 第三,鼓勵用戶實時自願跨越信任層,驅動信任層的自主選擇。比如說,只在接下來的2小時里選擇處於「完全信任」層。
- 最後,谷歌希望改善該服務的載入過程。因為總是有服務被添加或更新,它們都需要根據風險和敏感性進行分類。「想要擴展,服務擁有者必須要能夠自己做出正確的層次分配,而這個過程是不斷改進的。」
谷歌希望,通過共享其自身在開發和部署分層訪問上的經驗,IT和安全管理員能夠感覺自己可以開發靈活有效的訪問控制系統,更好地適應當前業務。谷歌分層訪問項目與BeyondCorp計劃攜手共進,挑戰私有或「內部」IP地址代表比互聯網上地址「更可信」設備的傳統觀念。BeyondCorp在基礎設施安全設計概述中有部分討論。
推薦閱讀:
※個人隱私泄露導致損失915億元,這事跟你有關!
※差分隱私中敏感度如何計算?
※社保系統是如何保存個人信息的?為何會泄露?
※室友在宿舍做直播,感覺很不舒服,怎麼辦?女生宿舍。。。?