BeyondCorp

BeyondCorp — это реализация Google концепции компьютерной безопасности с нулевым доверием, создающая сеть с нулевым доверием . ^[1]^[2]^[3]^[4]^[5]^[6]

Фон

Он был создан в ответ на операцию «Аврора» 2009 года . ^[7] Реализация с открытым исходным кодом, вдохновленная исследовательской работой Google по прокси-серверу доступа, известна как «transcend». ^[8]

Google задокументировала свой путь «нулевого доверия» с 2014 по 2018 год в серии статей в журнале ;login: . Google назвал свою сеть ZT BeyondCorp. Google широко внедрил архитектуру нулевого доверия и полагался на учетные данные пользователей и устройств независимо от их местоположения. Данные были зашифрованы и защищены от управляемых устройств. Неуправляемым устройствам, таким как BYOD , не был предоставлен доступ к ресурсам BeyondCorp.

Дизайн и технологии

BeyondCorp использовала модель безопасности с нулевым доверием, которая является относительно новой моделью безопасности, предполагающей, что все устройства и пользователи потенциально скомпрометированы. Это контрастирует с традиционными моделями безопасности, которые полагаются на межсетевые экраны и другие средства защиты периметра для защиты конфиденциальных данных.

Доверять

Корпоративная сеть не обеспечивает внутреннего доверия, а доступ ко всем внутренним приложениям осуществляется через систему BeyondCorp, независимо от того, находится ли пользователь в офисе Google или работает удаленно. BeyondCorp связана с архитектурой нулевого доверия, поскольку она реализует настоящую сеть нулевого доверия, где весь доступ предоставляется на основе идентификации, устройства и аутентификации на основе надежных базовых источников данных об устройствах и идентификационных данных. ^[9]

BeyondCorp использует ряд политик безопасности, включая аутентификацию , авторизацию и контроль доступа , чтобы гарантировать, что только авторизованные пользователи могут получить доступ к корпоративным ресурсам. Аутентификация проверяет личность пользователя, авторизация определяет, имеет ли пользователь разрешение на доступ к запрошенному ресурсу, а политики контроля доступа ограничивают то, что пользователь может делать с ресурсом.

Доверительный вывод

Одним из основных компонентов реализации BeyondCorp является Trust Inferrer. Trust Inferrer — это компонент безопасности (обычно программное обеспечение), который анализирует информацию об устройстве пользователя, например компьютере или телефоне, чтобы решить, насколько ему можно доверять при доступе к определенным ресурсам, например важным документам компании. Trust Inferrer проверяет такие вещи, как безопасность устройства, установлено ли на нем нужное программное обеспечение и принадлежит ли оно авторизованному пользователю. Основываясь на всей этой информации, Trust Inferrer решает, к чему устройство может получить доступ, а к чему нет. ^[10]

Механизмы безопасности

В отличие от традиционных VPN, политики доступа BeyondCorp основаны на информации об устройстве, его состоянии и связанном с ним пользователе. BeyondCorp считает, что как внутренние, так и внешние сети полностью ненадежны, и ограничивает доступ к приложениям путем динамического утверждения и обеспечения соблюдения уровней или «уровней» доступа. ^[11]

База данных инвентаризации устройств

BeyondCorp использовала базу данных инвентаризации устройств и идентификаторы устройств, которые однозначно идентифицируют устройство посредством цифрового сертификата . Любые изменения в устройстве записываются в базу данных инвентаризации устройств. Сертификат используется для уникальной идентификации устройства; однако для предоставления прав доступа к ресурсу требуется дополнительная информация. ^[12]

Механизм контроля доступа

Еще одним важным компонентом реализации BeyondCorp является механизм контроля доступа. Считайте это мозгом архитектуры Zero Trust. Механизм контроля доступа похож на гаишника, стоящего на перекрестке. Его задача — гарантировать, что только авторизованным устройствам и пользователям разрешен доступ к определенным ресурсам (например, файлам или приложениям) в сети. Он проверяет политику доступа (правила, определяющие, кто и к чему имеет доступ), состояние устройства (например, наличие у него правильных обновлений программного обеспечения или настроек безопасности) и запрашиваемые ресурсы. Затем на основе всей этой информации он принимает решение о том, предоставить или запретить доступ. Это помогает обеспечить доступ к сети только нужным людям и устройствам, что помогает обеспечить безопасность. Механизм контроля доступа использует выходные данные Trust Inferrer и другие данные, которые подаются в его систему.

Использование

Одним из первых действий Google для реализации архитектуры нулевого доверия был сбор и анализ сетевого трафика. Целью анализа трафика было создание базового представления о том, как выглядел типичный сетевой трафик. При этом BeyondCorp также обнаружила необычный, неожиданный и несанкционированный трафик. Это было очень полезно, поскольку предоставило инженерам BeyondCorp важную информацию, которая помогла им безопасно провести реинжиниринг системы. ^[13]

Некоторые из преимуществ BeyondCorp, реализованных за счет внедрения архитектуры нулевого доверия, включают:

возможность позволить своим сотрудникам безопасно работать из любого места.
Это снижает риск утечки данных, поскольку данные и приложения защищены, а пользователи и устройства постоянно проверяются.
Архитектура Zero Trust масштабируема и может быть адаптирована к меняющимся потребностям предприятий и их пользователей.

BeyondCorp, особенно актуальная в сегодняшнюю эпоху работы на дому, позволяет сотрудникам безопасно получать доступ к корпоративным ресурсам из любого места без необходимости использования традиционных VPN.

См. также

Ссылки

^ «BeyondCorp: Новый подход к корпоративной безопасности — USENIX» . www.usenix.org .
^ «BeyondCorp: от проектирования до развертывания в Google — USENIX» . www.usenix.org .
^ Копье, Бац; Бейер, Бетси (Эдриенн Элизабет); Читтадини, Лука; Солтонстолл, Макс (2 сентября 2018 г.). «Beyond Corp: Прокси-сервер доступа» . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «Google BeyondCorp порывает с традицией корпоративной безопасности — InformationWeek» . 7 апреля 2016 г.
^ «Предприятие без периметра, постоянно меняющееся: что бы сделала настоящая, энергичная ИТ-команда?» . Регистр .
^ Роуз, Скотт; Борхерт, Оливер; Митчелл, Стю; Коннелли, Шон (23 сентября 2019 г.). «Специальная публикация NIST, Архитектура нулевого доверия (2-й проект)» . doi : 10.6028/NIST.SP.800-207-проект . S2CID 240898264 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «BeyondCorp: История BeyondCorp» . Проверено 22 апреля 2020 г.
^ Transcend github , дата обращения: 22 апреля 2019 г.
^ Гарбис, Джейсон; Чепмен, Джерри В. (2021), Гарбис, Джейсон; Чепмен, Джерри В. (ред.), «Нулевое доверие на практике» , «Безопасность с нулевым доверием: Руководство для предприятия» , Беркли, Калифорния: Apress, стр. 53–67, номер документа : 10.1007/978-1-4842-6702-8_4. , ISBN 978-1-4842-6702-8 , получено 31 марта 2023 г.
^ Осборн, Барклай; Маквильямс, Джастин; Бейер, Бетси; Солтонстолл, Макс (2016). «BeyondCorp: от проектирования до внедрения в Google» . ;авторизоваться: . 41 : 28–34.
^ «От проектирования до внедрения в Google» (PDF) . Проверено 23 апреля 2020 г.
^ «BeyondCorp: новый подход к корпоративной безопасности | USENIX» . www.usenix.org . Проверено 22 февраля 2023 г.
^ Бейер, Бетси (Эдриенн Элизабет); Беске, Колин МакКормик; Пек, Джефф; Солтонстолл, Макс (2017). «Миграция на BeyondCorp: поддержание производительности при повышении безопасности» . Авторизоваться . Лето 2017, Том 42, №2.

Внешние ссылки

Официальный сайт

[ward-beyer-1] «BeyondCorp: Новый подход к корпоративной безопасности — USENIX» . www.usenix.org .

[osborn-mcwilliams-2] «BeyondCorp: от проектирования до развертывания в Google — USENIX» . www.usenix.org .

[spear-beyer-3] Копье, Бац; Бейер, Бетси (Эдриенн Элизабет); Читтадини, Лука; Солтонстолл, Макс (2 сентября 2018 г.). «Beyond Corp: Прокси-сервер доступа» . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[infoweek-4] «Google BeyondCorp порывает с традицией корпоративной безопасности — InformationWeek» . 7 апреля 2016 г.

[reg-2016-09-19-5] «Предприятие без периметра, постоянно меняющееся: что бы сделала настоящая, энергичная ИТ-команда?» . Регистр .

[NIST-SP-800-207-6] Роуз, Скотт; Борхерт, Оливер; Митчелл, Стю; Коннелли, Шон (23 сентября 2019 г.). «Специальная публикация NIST, Архитектура нулевого доверия (2-й проект)» . doi : 10.6028/NIST.SP.800-207-проект . S2CID 240898264 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[Beyond_Corp-7] «BeyondCorp: История BeyondCorp» . Проверено 22 апреля 2020 г.

[8] Transcend github , дата обращения: 22 апреля 2019 г.

[9] Гарбис, Джейсон; Чепмен, Джерри В. (2021), Гарбис, Джейсон; Чепмен, Джерри В. (ред.), «Нулевое доверие на практике» , «Безопасность с нулевым доверием: Руководство для предприятия» , Беркли, Калифорния: Apress, стр. 53–67, номер документа : 10.1007/978-1-4842-6702-8_4. , ISBN 978-1-4842-6702-8 , получено 31 марта 2023 г.

[10] Осборн, Барклай; Маквильямс, Джастин; Бейер, Бетси; Солтонстолл, Макс (2016). «BeyondCorp: от проектирования до внедрения в Google» . ;авторизоваться: . 41 : 28–34.

[11] «От проектирования до внедрения в Google» (PDF) . Проверено 23 апреля 2020 г.

[12] «BeyondCorp: новый подход к корпоративной безопасности | USENIX» . www.usenix.org . Проверено 22 февраля 2023 г.

[13] Бейер, Бетси (Эдриенн Элизабет); Беске, Колин МакКормик; Пек, Джефф; Солтонстолл, Макс (2017). «Миграция на BeyondCorp: поддержание производительности при повышении безопасности» . Авторизоваться . Лето 2017, Том 42, №2.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]