从Google 到易安联,从BeyondCorp到ENLINK CASB,漫谈云时代的网络安全

 

(文章来自微信公众号 :江苏易安联)

几年前,谷歌将自家企业级应用向互联网开放,至此,谷歌内部将不再拥有受防火墙保护的企业级应用,同时也不再有内网外网之分。

对于这件事情,《华尔街日报》报道称,谷歌此次的项目名为BeyondCorp计划。实行这个计划的原因是,随着云技术越来越普及,传统防火墙的保护效果变得不明显,谷歌认为,既然这样,不如破除内外网实行统一。并且,过去从外网登陆内网所需的VPN也将被一道废弃。”

他们提出:随时云技术越来越普及,传统防火墙的保护效果变得不明显,既然这样,不如采用新的防护模式。这就是改用访问模式,这种访问模式要求客户端受控,同时提供用户访问证书。用户的访问权限不再受到地理位置的影响(也就是说过去外网访问内网资源所使用的VPN将被淘汰)

Why?VPN要被淘汰?别吓我!

是的,BeyondCorp的理念基础是,内部网络实际上跟互联网一样危险。事实上,采用了云计算架构后,从IT时代逐步过渡到DT时代,数据安全问题愈加凸显。越来越多的公司遭遇内网问题。谷歌的该项目正式建立在对网络零信任的基础上,从而打破内外边界。内不一定是可靠安全的,而外也不一定就是危险的。正是如此,谷歌等IT公司的安全部门干脆认为边界保护越来越不可信,不再基于网络边界来构筑安全城墙,因此采用防火墙的方式已经无法保障网络的安全。

那么时隔三年,这个和乐队同名的BeyondCorp项目还好么?2018年的RSA大会上,BeyondCorp已经成为主流话题之一。

正如来自安全村SeC-UN技术探讨文章中所云:“BeyondCorp及与之核心关联的理念和技术可能是推动整个安全行业在未来5-10年里发展乃至革命的基础和核心。”

那么如此神秘的BeyondCorp究竟如何实现?一起来了解一下。

BeyondCorp 原理

图1-BeyondCorp组件和访问流程

来源:BeyondCorp: A New Approach to Enterprise Security, Google

而在BeyondCorp对待位于外部公共网络和本地网络的设备,在默认情况下都不会授予任何特权。用户必须具备:

1)使用由公司提供且持续管理的设备——设备可信

2)通过身份认证——身份鉴权

3)符合访问控制引擎中的策略要求

4)通过专门的访问代理

5)访问特定的公司内部资源。

同时,Google主要完成了:

1)准确识别设备;

2)准确识别用户;

3)移除对网络的信任;

4)通过面向互联网的访问代理提供内部应用和工作流;

5)实现基于已知设备和用户的访问控制,并动态更新设备和用户信息。

正是基于这种对于网络零信任的假设下,企业的信息安全才由过去的传统攻防转化为访问控制的方式。

是不是动心了呢?但是Google太远了,远水解不了近火啊。别急,我们国内也有这样的公司,这就是易安联网络。

易安联安全云(原易安联云访问安全平台)ENLINK CASB 由易安联自主研发,与BeyondCorp有其异曲同工之效,表面看替代传统VPN不需要安装插件和软件,就能访问内网资源,而实际上它的研制和开发正是基于这种通过专门访问代理控制引擎进行访问控制的思路,可信设备可信账号才可以访问,只有授权用户才可以根据权限级别相应访问。

简单说来,该系统具有以下四个三:

三安全:平台安全、访问安全、登入安全;

三可信:流量可信、账号可信、设备可信;

三可视化:访问过去可视化、数据统计可视化、溯源终端可视化;

三易:易使用、易维护、易管理。

易安联安全云架构

图:ENLINK CASB 易安联安全云原理架构

真有这么好么?您要不要了解一下?

 

 

 

 

评论

1条评论
  1. Gravatar 头像

    ENLINK 回复

    :)易安联加油!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

测试内容