谷歌揭秘其分層訪問模型實(shí)現(xiàn)，講述其全球員工設(shè)備安全防護(hù)措施。

[[189938]]

訪問控制最簡(jiǎn)單的解決方案是二元的：網(wǎng)絡(luò)訪問要么放行，要么拒絕。這辦法太粗糙了，無法適應(yīng)現(xiàn)代商業(yè)文化中***化用戶生產(chǎn)力和創(chuàng)造性的需要。細(xì)粒度的訪問控制，可以讓用戶在需要的時(shí)候訪問需要的東西，是更適應(yīng)現(xiàn)代商業(yè)的一種模式。

谷歌自己約6.1萬人的全球員工身上，就用的是此類訪問控制模型——分層訪問( Tiered Access )。4月20號(hào)發(fā)布的一份白皮書

(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)

及博客文章中，谷歌解釋，其創(chuàng)新之處在于，將多種不同設(shè)備連接到多種不同資產(chǎn)與服務(wù)上的自由與靈活性。這是許多現(xiàn)代公司都會(huì)與之產(chǎn)生共鳴的一種看法。

很多公司都允許員工在自己使用的設(shè)備上擁有一定的靈活性——尤其是施行BYOD策略的情況下。

實(shí)現(xiàn)分層訪問，首先要分析客戶群設(shè)備和數(shù)據(jù)源，分析將被訪問的服務(wù)，選擇某種能評(píng)估策略并對(duì)客戶群和服務(wù)之間的訪問，做出決策的網(wǎng)關(guān)/訪問控制技術(shù)。

谷歌使用其內(nèi)部開發(fā)的工具收集設(shè)備數(shù)據(jù)，但申明其他公司可以使用安全報(bào)告系統(tǒng)(日志)、補(bǔ)丁管理系統(tǒng)、資產(chǎn)管理系統(tǒng)和集中式管理面板。目的是將設(shè)備屬性和設(shè)備狀態(tài)，收集到中央資料庫中。

設(shè)備屬性可以基于廠商、操作系統(tǒng)、內(nèi)置安全特性等，定義出設(shè)備基準(zhǔn)線。持續(xù)監(jiān)視的設(shè)備狀態(tài)，則可凸顯出偏離設(shè)備基線的情況。這二者都能用于將設(shè)備關(guān)聯(lián)到不同的層級(jí)。

舉個(gè)例子，如果是“全托管”下的安卓設(shè)備，就可以在更高信任層級(jí)訪問更多敏感數(shù)據(jù)，也就是提供完整設(shè)備控制與對(duì)具體系統(tǒng)和網(wǎng)絡(luò)日志的訪問。低信任層級(jí)則對(duì)有工作許可的BYOD設(shè)備開放。

設(shè)備與服務(wù)之間，是訪問控制引擎，按請(qǐng)求對(duì)企業(yè)應(yīng)用提供服務(wù)級(jí)授權(quán)。它需要中央資料庫來對(duì)訪問授權(quán)做出決策——這是安全團(tuán)隊(duì)定義和管理策略的地方。

分層訪問模型中的“層”，是應(yīng)用到公司不同服務(wù)上的敏感層級(jí)。谷歌只分了4層：不受信任的;基本訪問;特權(quán)訪問;高特權(quán)訪問。選4層是一種在太多(讓系統(tǒng)過于復(fù)雜)和太少(又回到了分層方法試圖改進(jìn)的二元訪問控制狀態(tài))之間的權(quán)衡。

目前谷歌對(duì)其現(xiàn)場(chǎng)和移動(dòng)工作人員的分層訪問解決方案就是這樣了，但該方案仍在發(fā)展過程中。有4個(gè)方面正在考慮。

• 首先是在確保用戶理解安全要求的同時(shí)，提升訪問決策精準(zhǔn)度，增加系統(tǒng)細(xì)粒度。
• 其次，考慮用戶行為與機(jī)器分析得出的正常行為間的異同，在設(shè)備屬性之上添加用戶屬性。這將讓訪問授權(quán)不僅基于設(shè)備還基于當(dāng)前用戶行為。
• 第三，鼓勵(lì)用戶實(shí)時(shí)自愿跨越信任層，驅(qū)動(dòng)信任層的自主選擇。比如說，只在接下來的2小時(shí)里選擇處于“完全信任”層。
• ***，谷歌希望改善該服務(wù)的加載過程。因?yàn)榭偸怯蟹?wù)被添加或更新，它們都需要根據(jù)風(fēng)險(xiǎn)和敏感性進(jìn)行分類。“想要擴(kuò)展，服務(wù)擁有者必須要能夠自己做出正確的層次分配，而這個(gè)過程是不斷改進(jìn)的。”

谷歌希望，通過共享其自身在開發(fā)和部署分層訪問上的經(jīng)驗(yàn)，IT和安全管理員能夠感覺自己可以開發(fā)靈活有效的訪問控制系統(tǒng)，更好地適應(yīng)當(dāng)前業(yè)務(wù)。谷歌分層訪問項(xiàng)目與BeyondCorp計(jì)劃攜手共進(jìn)，挑戰(zhàn)私有或“內(nèi)部”IP地址代表比互聯(lián)網(wǎng)上地址“更可信”設(shè)備的傳統(tǒng)觀念。BeyondCorp在基礎(chǔ)設(shè)施安全設(shè)計(jì)概述中有部分討論。