1. 我是CIO首页
  2. 资讯
  3. 企业动态

Google通过BeyondCorp远程访问产品进入零信任市场

Google正在启动一项商业零信任远程访问服务,该服务将使公司能够使在家工作的员工无需虚拟专用网络(VPN)即可访问基于Web的内部应用程序。

这项名为BeyondCorp Remote Access的基于订阅的服务将成为Google Cloud产品组合的一部分,每位用户每月的费用为6美元,但它并不要求客户已经是Google现有的基于云的服务或企业协作工具的用户。

Google早已采用零信任网络体系结构为其自己的公司网络服务,该过程始于十年前,并且多年来已在一系列论文和博客文章中进行了记录。

该公司将其方法称为BeyondCorp,它的核心思想是根据用户和设备的身份以及安全状况来授予对应用程序和服务的访问权限,而不管它们相对于传统公司网络边界的位置如何。

随着许多IT基础架构迁移到云中,并且企业除了必须拥有自己的远程员工之外还必须容纳外部承包商,将安全策略绑定到严格定义的网络边界变得越来越困难。

通常,使用BeyondCorp和零信任访问时,没有网络边界。所有用户均被视为外部用户,并且在被授予对资源的访问权限之前,必须接受相同的身份和安全检查。

Covid-19大流行迫使许多组织适应新的现实,即许多员工必须在家工作。这构成了巨大的挑战,因为现有的VPN公司未设计为应对远程工作人员的突然爆炸。

由于基础架构很难扩展且成本昂贵,专家认为这是尝试零信任网络的好机会,因为它更具成本效益,并且可以面向未来。

Google Cloud副总裁兼总经理Sunil Potti告诉CSO: “过去几年来,我们一直在积极努力,将我们在多年前率先推出的BeyondCorp技术引入企业。”

他说,随着Covid-19的问世,该方法背后的一些核心要素和技术已被加速成为一种产品,该产品使公司能够使用基本相同的基础架构,使超过100,000名Google员工可以在家工作。

BeyondCorp远程访问如何工作?

目前,该平台只能对基于Web的应用程序实施访问控制,这意味着公司将其以前基于内部Web的应用程序连接到Google Cloud。然后,与访问控制相关的控制平面和数据平面在云中完成。Google计划在将来扩展该技术,使其涵盖基于非HTTP的服务和应用程序。

该平台使用通过浏览器或通过占用空间小的可选端点代理收集的信号和元数据来建立用户身份并确定设备的安全状态。

客户可以选择仅使用通过浏览器收集的上下文感知信号,但是出于更高的准确性和安全性,他们可以要求员工安装代理。当与使用非企业管理的个人设备工作的员工打交道时,这特别有用。

Potti说,这不仅仅是浏览器标题信息。“我们知道您来自哪里。我们知道您过去曾使用过会话。现在有大量的幕后机器学习技术被用于提供上下文感知访问控制。我会说核心价值的60%至70%在端点之外。”

“这是该特定解决方案的独特方面:有太多的元数据,信号和学习,我们可以在后台进行操作以提供非常高的上下文访问控制。然后,从60%到70%的用户将达到80%。百分比,90%和100%,具体取决于您允许我们控制您的输入量的多少。”

Google零信任度差异化工具

尽管其他公司也提供零信任访问解决方案,但Potti认为,一些差异化因素使Google的解决方案脱颖而出。首先,该产品使用Google的网络,因此受益于其全球规模,低延迟和可靠性。该公司甚至正在部署自己的洲际水下光缆。

不仅仅是连接。处理信息的计算集群和服务器使用Google为自身开发的所有安全技术和防御措施,从后端的泰坦等定制加密芯片到高度优化的TLS实施以及对Google威胁和攻击的全局可见性必须每天处理以保护其其他服务。

许多公司有成千上万的员工突然在家工作,并通过增加VPN来解决这个问题,但这是他们获得战术解决方案的一种方法,该解决方案可以将规模扩大两到三个数量级Potti说,过去,他们同时也为他们提供了更好的安全状态。

“ Google一直做的最大的事情是,我们使用来自端点,网络,用户位置以及各种其他方式的各种信号来本质上保护我们自己的员工免受内部或外部威胁。

“这不仅是您短期内可以做的,而且是长期的正确架构。如果添加更多的VPN,在某个时间点上,您将不得不将其拆散。 Web应用程序或SaaS应用程序等等。”

本文为作者 何斌 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论