【51CTO.com快譯】從某種角度來講，谷歌公司與其它大型企業(yè)并無區(qū)別。其擁有典型的安全防御態(tài)勢，將企業(yè)視為一座城堡，而安全性則依靠護(hù)城河與壁壘實(shí)現(xiàn)。

[[183816]]

　　然而隨著時間的推移，谷歌公司的流動員工群體開始增長，其遍布世界各地并需要訪問內(nèi)部網(wǎng)絡(luò)以完成日常工作。緩慢而不夠可靠的VPN嚴(yán)重制約著員工們的生產(chǎn)力。除此之外，谷歌公司自身也開始將工作負(fù)載遷移至城堡之外的云環(huán)境處。但在另一方面，谷歌公司又與其它企業(yè)存在巨大差異。不必設(shè)定任何明確的商業(yè)計劃或者成本/效益分析，谷歌高管即雄心勃勃地表示，愿意對其安全基礎(chǔ)設(shè)施進(jìn)行全面重塑。

　　其基本前提非常簡單，“壁壘并不能起到應(yīng)有效果”，谷歌公司安全負(fù)責(zé)人Heather Adkins表示。在本次RSAC研討中，Adkins指出其目標(biāo)是不再強(qiáng)調(diào)防火墻及其它周邊防御，而開始轉(zhuǎn)向“零信任”模式。這意味著每一臺設(shè)備——無論其處于公司內(nèi)部還是星巴克店內(nèi)員工的手中——都將以不受信為前提。在新模式下，整個安全體系圍繞用戶與設(shè)備存在。谷歌會根據(jù)對最終用戶及其設(shè)備的了解授權(quán)訪問權(quán)限，且全部服務(wù)訪問都必須通過身份驗(yàn)證、授權(quán)與加密。這一名為BeyondCorp的項(xiàng)目設(shè)定了明確的最終目標(biāo)，即每位員工都能在不使用VPN的情況下立足不受信網(wǎng)絡(luò)成功完成工作。這意味著其需要進(jìn)行閃電戰(zhàn)登錄或者使用其它類型的訪問代理。

　　項(xiàng)目分多個步驟進(jìn)行。首先，谷歌會構(gòu)建一份用戶清單，其中詳盡說明每位員工的工作分類及其應(yīng)當(dāng)訪問的服務(wù)項(xiàng)目。下一步則是為設(shè)備構(gòu)建類似的清單，包括各臺設(shè)備的采購到生命周期到運(yùn)行狀態(tài)追蹤等因素。

　　接下來，谷歌建立起自己的訪問控制引擎，用以檢查世界各地一切員工與設(shè)備的每一次網(wǎng)絡(luò)訪問活動。為了建立這項(xiàng)訪問控制策略，谷歌需要從20個不同來源提取數(shù)據(jù)。

　　谷歌公司網(wǎng)站可靠性工程技術(shù)經(jīng)理Rory Ward表示，這一切構(gòu)建工作需要兩到三年時間。而這，還不是最困難的部分。

　　現(xiàn)在，他們需要由舊有網(wǎng)絡(luò)遷移至新的“零信任”網(wǎng)絡(luò)，且不“影響任何人”。換言之，即不會拒絕任何員工對其完成工作所必需的應(yīng)用程序或服務(wù)進(jìn)行訪問。

　　根據(jù)Ward的介紹，遷移工作本身亦耗時兩年時間。該團(tuán)隊在全球200棟谷歌辦公樓內(nèi)安裝了這一新系統(tǒng)，但并未立即啟用。他們利用嗅探器捕捉與該位置特權(quán)網(wǎng)絡(luò)相關(guān)的全部真實(shí)流量，并通過新的尚未正式上線的非特權(quán)系統(tǒng)運(yùn)行這一流量。

　　通過逐步實(shí)踐，Ward和他的團(tuán)隊對這套新系統(tǒng)建立起堅定的信心，并真正開始進(jìn)行遷移。在此之后，Ward的團(tuán)隊積累起“一套巨大的事務(wù)數(shù)據(jù)庫，用以劃分那些無法在新網(wǎng)絡(luò)上正常運(yùn)行的事務(wù)”。但問題亦接踵而至。“我們不斷嘗試直到解決問題，”他表示。“我們重新發(fā)明了整個網(wǎng)絡(luò)體系，且保證過程中不會影響任何人的正常工作。”

　　Adkins指出，該團(tuán)隊在期間學(xué)習(xí)到了大量寶貴的經(jīng)驗(yàn)教訓(xùn)，其足以指導(dǎo)其它擁有類似需求的企業(yè)。事實(shí)上，谷歌公司已經(jīng)公開發(fā)布了關(guān)于BeyondCorp項(xiàng)目的相關(guān)信息。其中的關(guān)鍵在于，大家需要不間斷地提供支持、掌握準(zhǔn)確數(shù)據(jù)并最終實(shí)現(xiàn)無痛化遷移。另外，您還必須擁有明確的用戶通信認(rèn)知且保證底層系統(tǒng)高度可靠。

　　Adkins介紹稱，最終結(jié)果是谷歌的員工們更加開心且工作效率得到顯著提升。另外，新系統(tǒng)使得IT系統(tǒng)更為簡單，這意味著谷歌的運(yùn)營成本將借此得到有效縮減。

　　原文標(biāo)題：How Google reinvented security and eliminated the need for firewalls

　　原文作者：Neal Weinberg

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

 　　了解更多熱點(diǎn)新聞，請關(guān)注51CTO《科技新聞早報》欄目!

[[183817]]