【51CTO.com快譯】從某種角度來講，谷歌公司與其它大型企業(yè)并無區(qū)別。其擁有典型的安全防御態(tài)勢，將企業(yè)視為一座城堡，而安全性則依靠護城河與壁壘實現(xiàn)。

[[183816]]

　　然而隨著時間的推移，谷歌公司的流動員工群體開始增長，其遍布世界各地并需要訪問內部網(wǎng)絡以完成日常工作。緩慢而不夠可靠的VPN嚴重制約著員工們的生產(chǎn)力。除此之外，谷歌公司自身也開始將工作負載遷移至城堡之外的云環(huán)境處。但在另一方面，谷歌公司又與其它企業(yè)存在巨大差異。不必設定任何明確的商業(yè)計劃或者成本/效益分析，谷歌高管即雄心勃勃地表示，愿意對其安全基礎設施進行全面重塑。

　　其基本前提非常簡單，“壁壘并不能起到應有效果”，谷歌公司安全負責人Heather Adkins表示。在本次RSAC研討中，Adkins指出其目標是不再強調防火墻及其它周邊防御，而開始轉向“零信任”模式。這意味著每一臺設備——無論其處于公司內部還是星巴克店內員工的手中——都將以不受信為前提。在新模式下，整個安全體系圍繞用戶與設備存在。谷歌會根據(jù)對最終用戶及其設備的了解授權訪問權限，且全部服務訪問都必須通過身份驗證、授權與加密。這一名為BeyondCorp的項目設定了明確的最終目標，即每位員工都能在不使用VPN的情況下立足不受信網(wǎng)絡成功完成工作。這意味著其需要進行閃電戰(zhàn)登錄或者使用其它類型的訪問代理。

　　項目分多個步驟進行。首先，谷歌會構建一份用戶清單，其中詳盡說明每位員工的工作分類及其應當訪問的服務項目。下一步則是為設備構建類似的清單，包括各臺設備的采購到生命周期到運行狀態(tài)追蹤等因素。

　　接下來，谷歌建立起自己的訪問控制引擎，用以檢查世界各地一切員工與設備的每一次網(wǎng)絡訪問活動。為了建立這項訪問控制策略，谷歌需要從20個不同來源提取數(shù)據(jù)。

　　谷歌公司網(wǎng)站可靠性工程技術經(jīng)理Rory Ward表示，這一切構建工作需要兩到三年時間。而這，還不是最困難的部分。

　　現(xiàn)在，他們需要由舊有網(wǎng)絡遷移至新的“零信任”網(wǎng)絡，且不“影響任何人”。換言之，即不會拒絕任何員工對其完成工作所必需的應用程序或服務進行訪問。

　　根據(jù)Ward的介紹，遷移工作本身亦耗時兩年時間。該團隊在全球200棟谷歌辦公樓內安裝了這一新系統(tǒng)，但并未立即啟用。他們利用嗅探器捕捉與該位置特權網(wǎng)絡相關的全部真實流量，并通過新的尚未正式上線的非特權系統(tǒng)運行這一流量。

　　通過逐步實踐，Ward和他的團隊對這套新系統(tǒng)建立起堅定的信心，并真正開始進行遷移。在此之后，Ward的團隊積累起“一套巨大的事務數(shù)據(jù)庫，用以劃分那些無法在新網(wǎng)絡上正常運行的事務”。但問題亦接踵而至。“我們不斷嘗試直到解決問題，”他表示。“我們重新發(fā)明了整個網(wǎng)絡體系，且保證過程中不會影響任何人的正常工作。”

　　Adkins指出，該團隊在期間學習到了大量寶貴的經(jīng)驗教訓，其足以指導其它擁有類似需求的企業(yè)。事實上，谷歌公司已經(jīng)公開發(fā)布了關于BeyondCorp項目的相關信息。其中的關鍵在于，大家需要不間斷地提供支持、掌握準確數(shù)據(jù)并最終實現(xiàn)無痛化遷移。另外，您還必須擁有明確的用戶通信認知且保證底層系統(tǒng)高度可靠。

　　Adkins介紹稱，最終結果是谷歌的員工們更加開心且工作效率得到顯著提升。另外，新系統(tǒng)使得IT系統(tǒng)更為簡單，這意味著谷歌的運營成本將借此得到有效縮減。

　　原文標題：How Google reinvented security and eliminated the need for firewalls

　　原文作者：Neal Weinberg

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】

 　　了解更多熱點新聞，請關注51CTO《科技新聞早報》欄目!

[[183817]]