2024遷移到BeyondCorp提高安全性的同時(shí)保持生產(chǎn)力

PAGE40PAGE40BeyondCorp如果你熟悉過(guò)去兩年發(fā)表在《;login:》[1-3]BeyondCorp網(wǎng)絡(luò)安全BeyondCorp向BeyondCorp及其類(lèi)似模型遷移面臨諸多挑戰(zhàn)，其中有幾個(gè)尤其值得注意:從擁有個(gè)性化服務(wù)的團(tuán)隊(duì)，到管理層，再到支持團(tuán)隊(duì)，最后到用戶(hù)。救。這個(gè)過(guò)程涉及到在業(yè)務(wù)/安全網(wǎng)關(guān)、客戶(hù)端平臺(tái)和后端服務(wù)。為了保證不同層面工作進(jìn)展相互獨(dú)立，需要各層分治，確保多線(xiàn)程并行且易于管理和實(shí)現(xiàn)。下面將討論我們?nèi)绾螌eyondCorp先決條件：認(rèn)同和溝通BeyondCorp【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力PAGE41PAGE41和認(rèn)同理念在所有干系人中推廣。IT外包。負(fù)責(zé)人應(yīng)該梳理和確定各領(lǐng)域?qū)＜遥@得BeyondCorp團(tuán)隊(duì)是一個(gè)分布到全球（面對(duì)面的和遠(yuǎn)程的（同、更易獲取幫助和得到認(rèn)可。分步推進(jìn)BeyondCorp的總體目標(biāo)是，從允許客戶(hù)端直接訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)，過(guò)渡到BeyondCorp系列文章的第一篇《BeyondCorp，一種新的企業(yè)安全方案》[1]。為此，谷歌曾VLAN的訪(fǎng)問(wèn)特權(quán)。但這BeyondCorpVLANVLAN只允許通過(guò)訪(fǎng)問(wèn)控制網(wǎng)關(guān)訪(fǎng)問(wèn)服務(wù)器網(wǎng)絡(luò)，確保所有流VLAN的特權(quán)，VLAN上。VLAN遷移項(xiàng)目實(shí)現(xiàn)了一個(gè)復(fù)雜但至關(guān)重要的目標(biāo)，遷移遺留“特權(quán)”網(wǎng)絡(luò)的用戶(hù)設(shè)備，并將它們分配給新的受控?zé)o特權(quán)客戶(hù)端（ManagedNon-PrivilegedClient,MNP）VLAN。這次遷移有一關(guān)鍵約束：對(duì)于運(yùn)行在新VLAN工作站上的任何遺留應(yīng)用，無(wú)論是預(yù)期還是必需，直接訪(fǎng)問(wèn)服務(wù)器網(wǎng)絡(luò)都將失敗。因此，近期目標(biāo)是在不破壞業(yè)務(wù)關(guān)鍵操作的情況下實(shí)現(xiàn)遷移工作。為此，采用了三管齊下的策略來(lái)實(shí)現(xiàn)這一目標(biāo)：1、廣泛分析網(wǎng)絡(luò)流量日志2、識(shí)別和修復(fù)不符合遷移要求的應(yīng)用程序3、在確定設(shè)備可以在新網(wǎng)絡(luò)上成功運(yùn)行之后，遷移設(shè)備這種策略允許網(wǎng)絡(luò)層面相對(duì)穩(wěn)定地應(yīng)用新的配置，且能夠獨(dú)立于BeyondCorpBeyondCorp802.1xVLAN分配，這種方式能夠?qū)⒕W(wǎng)絡(luò)層與遷移策略的細(xì)節(jié)隔離開(kāi)。更高VLANRADIUS服務(wù)器將其返回給網(wǎng)絡(luò)層。實(shí)現(xiàn)這一系列目標(biāo)任務(wù)艱巨，需要對(duì)技術(shù)/業(yè)務(wù)棧的每一層進(jìn)行修改。但遷（毫無(wú)疑問(wèn)這會(huì)引起災(zāi)難性的崩潰而是分步實(shí)現(xiàn)：VLAN、802.1x、RADIUS策略服務(wù)器解耦客戶(hù)端平臺(tái)升級(jí)：證書(shū)生成和安裝，用戶(hù)認(rèn)證工具完成不符合遷移要求的服務(wù)和工作流的修復(fù)，逐步地遷移設(shè)備持續(xù)修正流程和程序第一步：802.1x網(wǎng)絡(luò)BeyondCorp802.1x發(fā)機(jī)構(gòu)（針對(duì)所有操作系統(tǒng)802.1xRADIUS服務(wù)。以上開(kāi)發(fā)項(xiàng)目并行開(kāi)展。API接口的方式，使每機(jī)集成的同時(shí)，我們還創(chuàng)建了批量分發(fā)和維護(hù)證書(shū)的流程。同步開(kāi)展的還有對(duì)接入交換機(jī)的重新配置工作，為接入交換機(jī)配置新的VLAN802.1xRADIUSVLANVLAN的交換機(jī)。這樣，RADIUS服VLAN。802.1xVLANVLANRADIUS服務(wù)器可能引發(fā)的故障，初始策略?xún)H匹配現(xiàn)有VLAN（包括復(fù)雜的黑名單和白名單VLANVLAN用新策略。此后，就可以使用軟件和數(shù)據(jù)驅(qū)動(dòng)的策略，接近實(shí)時(shí)地管理設(shè)備的VLAN（和過(guò)渡VLAN分配。以成功為導(dǎo)向的遷移802.1x認(rèn)證花費(fèi)了數(shù)年時(shí)間，隨后又花了更長(zhǎng)的時(shí)間來(lái)實(shí)現(xiàn)基于RADIUS策略服務(wù)器的輸入[2]。BeyondCorpBeyondCorp的。BeyondCorp擾。有些網(wǎng)絡(luò)用例，比如使用NFS/CIFS文件服務(wù)器的工作站，顯然是不兼容BeyondCorpNFS/CIFS（強(qiáng)加密和身份認(rèn)證NFS/CIFS的依賴(lài)，我們很早就啟動(dòng)了一個(gè)項(xiàng)目，來(lái)實(shí)現(xiàn)兩個(gè)目標(biāo)：一是將NFS主目錄移動(dòng)到本地磁盤(pán)，并通過(guò)自動(dòng)備份同步至安全的云存儲(chǔ)；二是使用GoogleDriveNFSNFSCAD（計(jì)算機(jī)輔助設(shè)計(jì)）編輯器，對(duì)于這種情MNPVLAN節(jié)。MNPACLNFSRDPSQL（更不用提影響用戶(hù)的情緒MNPVLANC/SACLMNPACL阻塞的網(wǎng)絡(luò)數(shù)Capirca（參見(jiàn)源代碼[4]），MNPACL，創(chuàng)iptable規(guī)則或其他的包過(guò)濾規(guī)則。在分析和遷移階段，用戶(hù)設(shè)備繼續(xù)在MNPMNP兼容的流量的源和目的地址記錄到中心數(shù)據(jù)庫(kù)。IP源地址標(biāo)識(shí)潛在故障用戶(hù)，IP目的地址（必須考慮適當(dāng)?shù)碾[私限制MNPMNPVLAN。同樣，可以識(shí)別出暫不MNPVLAN在第二種模式下，MNP仿真器實(shí)際上也可以阻止/MNP流量，從而MNPVLAN802.1xMNPACL。ACLACL或黑客的“強(qiáng)制”模式遷移團(tuán)隊(duì)恐怕難以實(shí)現(xiàn)最終快速、成功的設(shè)備遷移工作。圖1將谷歌電腦遷移到受控的無(wú)特權(quán)（MNP）網(wǎng)絡(luò)的管道使用訪(fǎng)問(wèn)代理處理簡(jiǎn)單用例谷歌的基本安全策略要求所有從工作站流向服務(wù)器的業(yè)務(wù)流量都需要：已認(rèn)證（識(shí)別發(fā)出請(qǐng)求的設(shè)備和用戶(hù)）已授權(quán)（驗(yàn)證用戶(hù)和設(shè)備是否被允許訪(fǎng)問(wèn)后端資源）已加密（防止竊聽(tīng)）單獨(dú)記錄日志（為了協(xié)助取證分析）HTTP/SHTTPSSH流量，訪(fǎng)問(wèn)代理[3]可以滿(mǎn)足以上所有要求。B/SWeb“聞名B/SWeb應(yīng)用提供者準(zhǔn)備了工具和文檔，讓每個(gè)應(yīng)用提供者都可以配置自己的應(yīng)用運(yùn)行在訪(fǎng)問(wèn)代理之后。DNS包含一個(gè)可以解析到CNAMEURL在企業(yè)和公共網(wǎng)絡(luò)中都具有同樣的WebVPNVPN連接用于遠(yuǎn)程辦公所需的費(fèi)用會(huì)立即大幅減少。據(jù)粗略估算，由此產(chǎn)BeyondCorp的實(shí)施成本。B/S地推進(jìn)了。通過(guò)啟動(dòng)一個(gè)自動(dòng)化流程，分析、驗(yàn)證并將設(shè)備遷移到無(wú)特權(quán)網(wǎng)絡(luò);50%的設(shè)備遷移到無(wú)特權(quán)網(wǎng)絡(luò)訪(fǎng)問(wèn)模式。修復(fù)疑難用例Web案例的長(zhǎng)尾問(wèn)題，因?yàn)檫@些問(wèn)BeyondCorp，需要新工具、新技術(shù)和工作流改造。HTTP應(yīng)用程序，這就涉及到一系列特殊的問(wèn)題。例如：有些工具原本就是依賴(lài)網(wǎng)絡(luò)文件共享。Java（RemoteMethod或其他直接套接字連接。HTTP套接字和協(xié)議連接許可服務(wù)器。HTTPMNPVLANMNP。每個(gè)有問(wèn)題的案例都需要一個(gè)診斷和補(bǔ)救項(xiàng)目?？蛻?hù)端和服務(wù)器之間的流量：證及授權(quán)。TUN設(shè)備，該設(shè)備可以捕獲和加密到特定后端服務(wù)器的流量。UDP的封裝協(xié)議直接在客戶(hù)端和加密服務(wù)器之間傳輸。加密服務(wù)器只允許應(yīng)用程序必須的服務(wù)和端口流量通過(guò)。用例解決方案B/S架構(gòu)的HTTP/S連接訪(fǎng)問(wèn)代理本地認(rèn)證代理程序用定向到本地主機(jī)代理。單個(gè)TCP連接：對(duì)于需要TCPSSHTCP道SSH隧道和端口轉(zhuǎn)發(fā)多端口或無(wú)法預(yù)測(cè)的端口號(hào)加密服務(wù)隧道對(duì)延遲敏感、實(shí)時(shí)，UDP流加密服務(wù)隧道表1：解決問(wèn)題工作流的方法這種方法可以讓第三方傳統(tǒng)應(yīng)用更安全地從任何網(wǎng)絡(luò)連接到它們的服務(wù)器，同時(shí)也滿(mǎn)足了BeyondCorp要求的身份認(rèn)證、授權(quán)和加密。表1描述了解決問(wèn)題工作流的常規(guī)方法。詳細(xì)論述請(qǐng)查閱《BeyondCorp，訪(fǎng)問(wèn)代理》[3]。在有些場(chǎng)景下，表1中的解決方案還要求用戶(hù)通過(guò)運(yùn)行腳本或在訪(fǎng)問(wèn)后端資源之前提供必要的身份認(rèn)證來(lái)修正工作流。MNP到特定端口或服務(wù)器的臨時(shí)訪(fǎng)問(wèn)權(quán)限進(jìn)行解決。為了防止這些臨時(shí)例外變成常態(tài)甚至顛覆BeyondCorpVLAN上。隨著工作推進(jìn)，網(wǎng)絡(luò)MNP的用戶(hù)和設(shè)備數(shù)量。逐步上線(xiàn)并不斷完善遷移方法MNP仿真器，分析管道，以及將設(shè)備自動(dòng)分配到MNPVLAN，組成了一個(gè)重要的軟件開(kāi)發(fā)和流程再造項(xiàng)目。所以整個(gè)項(xiàng)目的開(kāi)發(fā)和部署也是逐步完成的：訓(xùn)技術(shù)支持團(tuán)隊(duì)，然后逐步推進(jìn)到全面部署。MNP，同時(shí)對(duì)那些由于工作擴(kuò)大支持，盡量減少對(duì)員工的影響重要。技術(shù)支持賦能BeyondCorpBeyondCorp信息的不斷傳播，將系統(tǒng)訪(fǎng)問(wèn)權(quán)限賦予全部支持團(tuán)隊(duì)人員。BeyondCorpBeyondCorp解決問(wèn)題的能力盡可能遍布全網(wǎng)，更有效地實(shí)現(xiàn)信息共享并獲得規(guī)模化支持。自助服務(wù)項(xiàng)目信息鏈接、常見(jiàn)問(wèn)題答疑鏈接、自助鏈接和加急服務(wù)點(diǎn)。文檔。Web應(yīng)用，我們還能快速迭代并改進(jìn)故障Web應(yīng)用清楚地識(shí)別了常見(jiàn)問(wèn)題（例如，解釋為什么用戶(hù)被拒絕訪(fǎng)問(wèn)某個(gè)資源決諸如組成員關(guān)系和證書(shū)問(wèn)題等常見(jiàn)問(wèn)題，從而減少對(duì)技術(shù)支持的請(qǐng)求。Web員解決錯(cuò)誤。內(nèi)部宣傳活動(dòng)BeyondCorp服務(wù)和辦公時(shí)間，任何人有任何問(wèn)題都可以尋求幫助。BeyondCorp團(tuán)隊(duì)堅(jiān)持宣階段，那時(shí)亟需為項(xiàng)目的愿景和潛在影響給定一個(gè)清晰的藍(lán)圖。分階段上線(xiàn)BeyondCorp最初是一個(gè)小規(guī)模試點(diǎn)，試點(diǎn)位置與項(xiàng)目團(tuán)隊(duì)很近。隨著時(shí)間最終結(jié)果通過(guò)持續(xù)分析和改進(jìn)上面提到的所有方法，BeyondCorp團(tuán)隊(duì)還建立了一個(gè)BeyondCorp我們確信用戶(hù)會(huì)幫助遷移團(tuán)隊(duì)一起實(shí)現(xiàn)變革。隨著公司越來(lái)越多的人采用BeyondCorp模式，我們也仔細(xì)追蹤了由于BeyondCorpBeyondCorp0.3%0.8%IT變革相比，BeyondCorp30%。結(jié)論間取得平衡，與其說(shuō)是科學(xué)，不如說(shuō)是藝術(shù)。BeyondCorp能夠取得成功、為員工所接受的關(guān)鍵原因是分析、可行的規(guī)劃和主動(dòng)溝通。BeyondCorpBeyondCorp【第四篇】遷移到BeyondCorp：提高安全性的同時(shí)保持生產(chǎn)力【第四篇】遷移到Be