谷歌如何保護6萬員工的設備安全

谷歌揭秘其分層訪問模型實現，講述其全球員工設備安全防護措施。

訪問控制最簡單的解決方案是二元的：網路訪問要麼放行，要麼拒絕。這辦法太粗糙了，無法適應現代商業文化中最大化用戶生產力和創造性的需要。細粒度的訪問控制，可以讓用戶在需要的時候訪問需要的東西，是更適應現代商業的一種模式。

谷歌自己約6.1萬人的全球員工身上，就用的是此類訪問控制模型——分層訪問( Tiered Access )。4月20號發布的一份白皮書(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)及博客文章中，谷歌解釋，其創新之處在於，將多種不同設備連接到多種不同資產與服務上的自由與靈活性。這是許多現代公司都會與之產生共鳴的一種看法。

分層訪問的實現，是要為谷歌極度異構的環境提供恰當的訪問模型。分層訪問既能確保公司資源安全，又能讓用戶在訪問與安全控制之間做出明智的取捨。

很多公司都允許員工在自己使用的設備上擁有一定的靈活性——尤其是施行BYOD策略的情況下。

實現分層訪問，首先要分析客戶群設備和數據源，分析將被訪問的服務，選擇某種能評估策略並對客戶群和服務之間的訪問，做出決策的網關/訪問控制技術。

谷歌使用其內部開發的工具收集設備數據，但申明其他公司可以使用安全報告系統(日誌)、補丁管理系統、資產管理系統和集中式管理面板。目的是將設備屬性和設備狀態，收集到中央資料庫中。

設備屬性可以基於廠商、操作系統、內置安全特性等，定義出設備基準線。持續監視的設備狀態，則可凸顯出偏離設備基線的情況。這二者都能用於將設備關聯到不同的層級。

舉個例子，如果是「全託管」下的安卓設備，就可以在更高信任層級訪問更多敏感數據，也就是提供完整設備控制與對具體系統和網路日誌的訪問。低信任層級則對有工作許可的BYOD設備開放。

設備與服務之間，是訪問控制引擎，按請求對企業應用提供服務級授權。它需要中央資料庫來對訪問授權做出決策——這是安全團隊定義和管理策略的地方。

分層訪問模型中的「層」，是應用到公司不同服務上的敏感層級。谷歌只分了4層：不受信任的；基本訪問；特權訪問；高特權訪問。選4層是一種在太多(讓系統過於複雜)和太少(又回到了分層方法試圖改進的二元訪問控制狀態)之間的權衡。

目前谷歌對其現場和移動工作人員的分層訪問解決方案就是這樣了，但該方案仍在發展過程中。有4個方面正在考慮。

首先是在確保用戶理解安全要求的同時，提升訪問決策精準度，增加系統細粒度。

其次，考慮用戶行為與機器分析得出的正常行為間的異同，在設備屬性之上添加用戶屬性。這將讓訪問授權不僅基於設備還基於當前用戶行為。

第三，鼓勵用戶實時自願跨越信任層，驅動信任層的自主選擇。比如說，只在接下來的2小時里選擇處於「完全信任」層。

最後，谷歌希望改善該服務的載入過程。因為總是有服務被添加或更新，它們都需要根據風險和敏感性進行分類。「想要擴展，服務擁有者必須要能夠自己做出正確的層次分配，而這個過程是不斷改進的。」

谷歌希望，通過共享其自身在開發和部署分層訪問上的經驗，IT和安全管理員能夠感覺自己可以開發靈活有效的訪問控制系統，更好地適應當前業務。谷歌分層訪問項目與BeyondCorp計劃攜手共進，挑戰私有或「內部」IP地址代表比互聯網上地址「更可信」設備的傳統觀念。BeyondCorp在基礎設施安全設計概述中有部分討論。