基于上下文的安全访问：谷歌公布BeyondCorp最佳实践

BeyondCorp是谷歌采用的一种基于上下文的安全访问方法，可供员工从任意网络快速而方便地切入工作。那么，该如何着手实现适合自家公司的BeyondCorp最佳实践呢？前不久，谷歌安全工程师在官方博客上公布了其零信任网络的做法：

一、了解你的人员和设备

从需权限的公司网络(通常基于VPN技术)转型成零信任网络的第一步，就是要了解公司的人员与设备情况。当网络不再提供访问公司重要信息所需的信任时，谷歌选择根据手中掌握的员工及其设备的信息来决定是否允许访问。如果缺乏员工及其设备的可靠实时数据，便无法做出明智的决策。

为实现这一点，谷歌在员工端重构了工作角色层次结构，重新划定了工作分类以便更准确地捕捉员工的日常实际工作，核定各职能角色所需的访问类型。

该过程需要答出一些很难回答但非常合理的问题，比如：

谁需要查看内部漏洞信息？

谁需要访问源代码？

谁需要跟踪客户关系？

理清这些需要对现有工作作出调整，有时候要简化和合并职能类似的现有角色。有时候则需要调整工作分类，确保捕捉到同一工作角色下执行不同任务的各组员工之间的差异。

除此之外，还需要准确及时地掌握所有用户设备的信息。谷歌的访问机制下，设备与人同样重要。受感染设备不应获得信任。

二、维护统一的记录清单

刚开始的时候，谷歌有各种各样的系统来跟踪并维护其设备清单——资产管理工具、DHCP服务器、无线访问日志、技术支持系统等等，但都不够全面。最终，谷歌设置了元清单服务，从这些系统中吸纳数据，再关联整合成一份统一的设备清单，避免了记录冲突和重复现象。

创建该主清单服务花费了谷歌大量的时间精力，但总算能整编起谷歌的众多设备，更加全面细致地了解设备的当前状态了。由此，也就能根据设备状态，基于其所安装的软件、补丁情况和其他特征进行信任评估了。

三、后续建议

从谷歌的经验和最佳实践中还可得出以下几条关于后续工作的建议：

了解公司内部在用哪些App

决定或调整访问这些服务的安全策略

了解公司员工及其工作内容

决定谁有权访问什么东西

设置基于身份的访问控制(例如 Identity-Aware Proxy)