谷歌揭秘其分層訪問模型實現(xiàn)，講述其全球員工設(shè)備安全防護措施。

[[189938]]

訪問控制最簡單的解決方案是二元的：網(wǎng)絡(luò)訪問要么放行，要么拒絕。這辦法太粗糙了，無法適應(yīng)現(xiàn)代商業(yè)文化中***化用戶生產(chǎn)力和創(chuàng)造性的需要。細粒度的訪問控制，可以讓用戶在需要的時候訪問需要的東西，是更適應(yīng)現(xiàn)代商業(yè)的一種模式。

谷歌自己約6.1萬人的全球員工身上，就用的是此類訪問控制模型——分層訪問( Tiered Access )。4月20號發(fā)布的一份白皮書

(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)

及博客文章中，谷歌解釋，其創(chuàng)新之處在于，將多種不同設(shè)備連接到多種不同資產(chǎn)與服務(wù)上的自由與靈活性。這是許多現(xiàn)代公司都會與之產(chǎn)生共鳴的一種看法。

很多公司都允許員工在自己使用的設(shè)備上擁有一定的靈活性——尤其是施行BYOD策略的情況下。

實現(xiàn)分層訪問，首先要分析客戶群設(shè)備和數(shù)據(jù)源，分析將被訪問的服務(wù)，選擇某種能評估策略并對客戶群和服務(wù)之間的訪問，做出決策的網(wǎng)關(guān)/訪問控制技術(shù)。

谷歌使用其內(nèi)部開發(fā)的工具收集設(shè)備數(shù)據(jù)，但申明其他公司可以使用安全報告系統(tǒng)(日志)、補丁管理系統(tǒng)、資產(chǎn)管理系統(tǒng)和集中式管理面板。目的是將設(shè)備屬性和設(shè)備狀態(tài)，收集到中央資料庫中。

設(shè)備屬性可以基于廠商、操作系統(tǒng)、內(nèi)置安全特性等，定義出設(shè)備基準線。持續(xù)監(jiān)視的設(shè)備狀態(tài)，則可凸顯出偏離設(shè)備基線的情況。這二者都能用于將設(shè)備關(guān)聯(lián)到不同的層級。

舉個例子，如果是“全托管”下的安卓設(shè)備，就可以在更高信任層級訪問更多敏感數(shù)據(jù)，也就是提供完整設(shè)備控制與對具體系統(tǒng)和網(wǎng)絡(luò)日志的訪問。低信任層級則對有工作許可的BYOD設(shè)備開放。

設(shè)備與服務(wù)之間，是訪問控制引擎，按請求對企業(yè)應(yīng)用提供服務(wù)級授權(quán)。它需要中央資料庫來對訪問授權(quán)做出決策——這是安全團隊定義和管理策略的地方。

分層訪問模型中的“層”，是應(yīng)用到公司不同服務(wù)上的敏感層級。谷歌只分了4層：不受信任的;基本訪問;特權(quán)訪問;高特權(quán)訪問。選4層是一種在太多(讓系統(tǒng)過于復雜)和太少(又回到了分層方法試圖改進的二元訪問控制狀態(tài))之間的權(quán)衡。

目前谷歌對其現(xiàn)場和移動工作人員的分層訪問解決方案就是這樣了，但該方案仍在發(fā)展過程中。有4個方面正在考慮。

• 首先是在確保用戶理解安全要求的同時，提升訪問決策精準度，增加系統(tǒng)細粒度。
• 其次，考慮用戶行為與機器分析得出的正常行為間的異同，在設(shè)備屬性之上添加用戶屬性。這將讓訪問授權(quán)不僅基于設(shè)備還基于當前用戶行為。
• 第三，鼓勵用戶實時自愿跨越信任層，驅(qū)動信任層的自主選擇。比如說，只在接下來的2小時里選擇處于“完全信任”層。
• ***，谷歌希望改善該服務(wù)的加載過程。因為總是有服務(wù)被添加或更新，它們都需要根據(jù)風險和敏感性進行分類。“想要擴展，服務(wù)擁有者必須要能夠自己做出正確的層次分配，而這個過程是不斷改進的。”

谷歌希望，通過共享其自身在開發(fā)和部署分層訪問上的經(jīng)驗，IT和安全管理員能夠感覺自己可以開發(fā)靈活有效的訪問控制系統(tǒng)，更好地適應(yīng)當前業(yè)務(wù)。谷歌分層訪問項目與BeyondCorp計劃攜手共進，挑戰(zhàn)私有或“內(nèi)部”IP地址代表比互聯(lián)網(wǎng)上地址“更可信”設(shè)備的傳統(tǒng)觀念。BeyondCorp在基礎(chǔ)設(shè)施安全設(shè)計概述中有部分討論。