压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

BeyondCorp是谷歌采用的一種基于上下文的安全訪問(wèn)方法，可供員工從任意網(wǎng)絡(luò)快速而方便地切入工作。那么，該如何著手實(shí)現(xiàn)適合自家公司的BeyondCorp最佳實(shí)踐呢？前不久，谷歌安全工程師在官方博客上公布了其零信任網(wǎng)絡(luò)的做法：

一、了解你的人員和設(shè)備

從需權(quán)限的公司網(wǎng)絡(luò)(通常基于VPN技術(shù))轉(zhuǎn)型成零信任網(wǎng)絡(luò)的第一步，就是要了解公司的人員與設(shè)備情況。當(dāng)網(wǎng)絡(luò)不再提供訪問(wèn)公司重要信息所需的信任時(shí)，谷歌選擇根據(jù)手中掌握的員工及其設(shè)備的信息來(lái)決定是否允許訪問(wèn)。如果缺乏員工及其設(shè)備的可靠實(shí)時(shí)數(shù)據(jù)，便無(wú)法做出明智的決策。

為實(shí)現(xiàn)這一點(diǎn)，谷歌在員工端重構(gòu)了工作角色層次結(jié)構(gòu)，重新劃定了工作分類以便更準(zhǔn)確地捕捉員工的日常實(shí)際工作，核定各職能角色所需的訪問(wèn)類型。

該過(guò)程需要答出一些很難回答但非常合理的問(wèn)題，比如：

誰(shuí)需要查看內(nèi)部漏洞信息？

誰(shuí)需要訪問(wèn)源代碼？

誰(shuí)需要跟蹤客戶關(guān)系？

理清這些需要對(duì)現(xiàn)有工作作出調(diào)整，有時(shí)候要簡(jiǎn)化和合并職能類似的現(xiàn)有角色。有時(shí)候則需要調(diào)整工作分類，確保捕捉到同一工作角色下執(zhí)行不同任務(wù)的各組員工之間的差異。

除此之外，還需要準(zhǔn)確及時(shí)地掌握所有用戶設(shè)備的信息。谷歌的訪問(wèn)機(jī)制下，設(shè)備與人同樣重要。受感染設(shè)備不應(yīng)獲得信任。

二、維護(hù)統(tǒng)一的記錄清單

剛開(kāi)始的時(shí)候，谷歌有各種各樣的系統(tǒng)來(lái)跟蹤并維護(hù)其設(shè)備清單——資產(chǎn)管理工具、DHCP服務(wù)器、無(wú)線訪問(wèn)日志、技術(shù)支持系統(tǒng)等等，但都不夠全面。最終，谷歌設(shè)置了元清單服務(wù)，從這些系統(tǒng)中吸納數(shù)據(jù)，再關(guān)聯(lián)整合成一份統(tǒng)一的設(shè)備清單，避免了記錄沖突和重復(fù)現(xiàn)象。

創(chuàng)建該主清單服務(wù)花費(fèi)了谷歌大量的時(shí)間精力，但總算能整編起谷歌的眾多設(shè)備，更加全面細(xì)致地了解設(shè)備的當(dāng)前狀態(tài)了。由此，也就能根據(jù)設(shè)備狀態(tài)，基于其所安裝的軟件、補(bǔ)丁情況和其他特征進(jìn)行信任評(píng)估了。

三、后續(xù)建議

從谷歌的經(jīng)驗(yàn)和最佳實(shí)踐中還可得出以下幾條關(guān)于后續(xù)工作的建議：

了解公司內(nèi)部在用哪些App

決定或調(diào)整訪問(wèn)這些服務(wù)的安全策略

了解公司員工及其工作內(nèi)容

決定誰(shuí)有權(quán)訪問(wèn)什么東西

設(shè)置基于身份的訪問(wèn)控制(例如 Identity-Aware Proxy)