首页 » 谷歌 » 6篇论文做的一次总结,也是对这几年辛苦日子的一个纪念

6篇论文做的一次总结,也是对这几年辛苦日子的一个纪念

 

谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp

是世界上技术最先进的公司之一。谷歌的内部网络安全架构是安全领域最知名的架构之一。对于学习者来说,很庆幸谷歌没有隐瞒,而是发了6篇论文,详细介绍了技术架构、资源配置、如何一步步上线、如何培训员工……。基本上google登录异常活动无法验证,这6篇论文可以作为企业实施零信任的傻瓜指南。

我做零信任,在设计产品时,我经常借用想法。我在实施一个项目时,经常会遇到团队遇到的问题。以下是对这6篇论文的总结google登录异常活动无法验证,也是对这几年辛苦日子的纪念。

1、的诞生

谷歌为什么要这么做?

因为 2009 年谷歌遭受了一场可能起源于中国的严重网络攻击“极光行动”。一名 员工点击了即时消息中的恶意链接,引发了一系列事件,这些事件渗透了这家搜索引擎巨头的网络长达数月之久,并导致各种系统的数据被盗。

此后, 已对该安全事件进行了全面调查。结果,几乎所有的调查报告都指出,在攻击完成之前甚至之后,黑客长期潜伏在企业内网,利用内部系统漏洞和管理漏洞,逐步获得高级权限和最终窃取数据。

分析调查结果,谷歌发现它有一个严重的问题——它对来自内网的攻击的保护太弱了。

google地球无法连接验证_google账号无法验证_google登录异常活动无法验证

在做这件事之前,谷歌和大多数企业一样,都是以防火墙为基础来划分企业内网和公网的边界,并以此为基础构建了安全体系。企业内部网被认为是可信的。为了方便日常工作,通常对员工访问内网的各种资源没有严格的限制。如果员工在家出差或工作,只能使用公网,则需要使用***访问企业内网。如果员工想使用手机等移动设备进行办公,还需要在使用内网办公资源前配置***。

的经验证明这是错误的。

这种方法的问题在于,一旦外围被攻破,攻击者就可以不受阻碍地访问企业的内部特权网络。

随着应用迁移到云端、移动办公的普及,以及APT攻击的泛滥,边界保护变得越来越困难。比如谷歌遇到的极光操作,比如近两年的勒索病毒……来自内部的攻击已经成为大概率事件。内部威胁成为最严重的威胁。

那么,您如何防范内部威胁?谷歌的回答是……

2、架构

下图显示了架构的主要组件。组件之间的交互确保只有经过严格身份验证的设备和用户才有权访问所需的企业应用程序。

google登录异常活动无法验证_google账号无法验证_google地球无法连接验证

从图中可以看出几个特点:

(1)谷歌大楼的内部网络是一个非特权网络。谷歌员工只有在插入公司网线或插入公司网线后才能连接到互联网和有限的基础设施服务(如DNS、DHCP、NTP)或连接wifi,不能直接连接公司内部业务系统,而且员工只有802.1x认证后才能连接内网。

(2)无论用户是在谷歌大楼的内网还是咖啡馆的公网,如果要连接公司内部系统,都必须通过“访问权限”的验证代理”才可以访问。访问代理是互联网的。

(2.1)访问代理验证用户的身份。用户通过单点登录系统(SSO)通过双因素身份验证进行身份验证。外部化的单点登录系统充当作为一层防骚扰的作用,没有通过认证的人只能看到接入代理,看不到后面的业务系统。

(2.2)访问代理对用户的设备进行身份验证。只有企业采购并妥善管理的受控设备才能连接到访问代理。谷歌的设备经常禁止用户安装软件,自动更新安全补丁和病毒库。

(2.3)访问控制引擎不断给用户的信任等级打分。只有保持“高级”级别的用户才能通过访问代理。例如,没有安装最新的操作系统补丁,其信任级别可能会降低。从新位置访问应用程序的用户可能具有较低的信任级别。并且用户的级别会根据每个访问请求随时更改。一旦用户执行可疑操作,立即降低信任度。(信任度的判断是中国的核心,以后可以单独写一篇文章)

(2.4)用户授权判断也常常指用户身份和设备信任等级。例如,只有使用工程设备的全职工程师才能登录谷歌的缺陷跟踪系统;限制只有财务部门的全职员工使用受控设备才能访问财务系统。

(3)所有测试通过后,访问代理会将用户请求转发到下面的业务系统。客户端和应用程序之间的流量被强制加密。访问代理还提供负载均衡、应用健康检查和DDoS防护等。

3、用户访问流程

工程师用来审查代码的系统。我们以网站为例,看看系统是如何配置的,员工是如何使用的。

(1)先配置DNS,在公共DNS中注册网站的域名,CNAME指向访问代理。用户访问域名时,会连接到访问代理。

(2)配置访问控制规则。例如,将访问限制在信任级别最高的受控设备,限制对信任级别最高的全职和兼职工程师访问。

(3)一位工程师小明出差,使用谷歌分发的笔记本电脑在机场访问wifi,无需***,直接访问公司内网。(如果小明在内网,计算机需要与服务器进行 802.1x 握手并获取设备证书。)

(4)小明的访问请求指向访问代理,笔记本电脑提供设备证书。

(5)接入代理无法识别小明,重定向到单点登录系统。

(6)小明提供双因素认证凭证,通过单点登录系统认证,颁发令牌,并重定向回访问代理。

(7)访问代理现在持有小明的设备证书和单点登录令牌。

(8)权限检查访问控制引擎:确认小明是工程组成员,设备信任等级高,设备在受控列表中。

(9)如果所有检查通过,则小明的请求被转发到某个应用后端进行服务。

(10)小明可以正常访问内网系统,但是每一个访问行为都会被监控,一旦发现异常,会立即隔离小明的电脑,或者触发二次认证。

4、好处

增强企业对抗内部威胁的能力,持续检测用户的信任度,只允许合法设备接入内网。具体来说,零信任安全可以提高对抗以下 10 种主​​要威胁的能力。

google地球无法连接验证_google登录异常活动无法验证_google账号无法验证

5、实施过程

于 2011 年开始实施并逐步推广。 2017年,全公司都在使用。在不打扰用户的情况下,用了 6 年时间完成了如此大规模的任务,项目实施非常成功。 6年多积累的实施经验,可能比架构本身更有价值。

团队如何获得管理层和公司其他部门的支持?

(1)管理层:大家都讨厌***,一个很大的推广理由就是——去掉***,经过身份验证的远程用户可以直接访问企业的web应用。证明给管理层,由此带来的生产力提升可以很轻松超过实施成本。

(2)业务部门:记录部署的动机、理由、威胁模型和所需成本。然后,向每个业务部门解释迁移过程的价值和必要性。高度透明并符合标准清晰的解释有助于加深与利益相关者的共识。让他们充分参与愿景和目标的规划。

(3)关键所有者:争取关键领域领导者的支持:安全、身份、网络、访问控制、客户端和服务器平台软件、关键业务应用程序服务以及第三方合作伙伴或 IT 外包等。让负责人培养和识别各个领域的专家,获得他们的承诺,并确保他们投入时间和精力。

(4)保持沟通:高级领导、团队领导和其他参与者通过在线文档、邮件组和定期会议(面对面和远程)保持联系,以随时了解当前进度和项目状态了解。

(5)组织内部活动以提高对 的认识,例如电脑贴纸、徽标和标语,以及在办公室各处张贴文章。

google登录异常活动无法验证_google账号无法验证_google地球无法连接验证

获得公司支持后,下一步就是制定合理的推广策略。

在推广过程中,并没有逐步改造现有的网络,而是创造了一个新的环境,将设备逐步转移到了新的环境中。这样,老环境一直可用,新环境的建设才能稳步推进。

第一阶段:用户可以直接访问内网的业务系统。外网通过***访问。

第二阶段:用户可以直接访问旧内网的业务系统。通过“访问代理”可以访问新的内网和外网。此时DNS解析是分开的,内部域名服务器直接指向应用,外部域名服务器指向访问代理。

第三阶段:用户可以通过旧内网、新内网和外网的“访问代理”访问。并限制***的使用。网络策略也逐渐从基于IP的策略转变为依赖信任级的分发策略。

有些系统在开发的时候,默认的用户总是直连的。这些系统需要进行改造,然后才能迁移到“访问代理”并受到保护。

所以在第二阶段,先迁移不需要改造的系统及其用户。

为了更轻松地确定哪些用户有资格迁移。谷歌开发了一个小工具。用户安装小工具后,如果用户访问的所有系统都兼容,该工具会记录用户的所有访问流量。然后小工具会变成模拟模式,模拟新内网的环境,让用户试用。连续试用 30 天后,用户将自动迁移到新的内网。

同时,这个小工具还会记录哪些系统被频繁访问,然后开发团队将与系统所有者一起对这些系统进行优先级排序。

随着系统迁移的越来越多,新员工默认会分配到新的内网。

当用户被选中进行迁移时,将自动向他们发送一封激活电子邮件,其中包含:

(1)清除计时

(2)迁移的影响

(3)常见问题及加急服务点

(4)此外,还提供了一个自助服务门户,允许根据业务关键时间点延迟迁移用户。

通过这种方式过渡,用户在使用不兼容的应用程序时不会感到不便;迁移压力基本上落在服务提供商和应用程序开发者身上。

超过 50% 的设备在不到一年的时间内迁移到新的 。

6、如何做好用户教育和运维

在提高安全性的紧迫性和改变最终用户习惯之间总是存在矛盾。只有当基础设施和工作流程的变化威胁到生产力时,这种紧张局势才会升级。在发展与稳定之间寻求平衡与其说是一门科学,不如说是一门艺术。

(1)指导用户使用

对于许多新员工来说,模型的概念相当陌生。他们习惯于通过 ***、公司专用 WiFi 和其他特权环境访问日常工作所需的资源。

许多新员工上线后仍然申请 *** 访问。用户已经习惯于认为,如果他们不在办公室时需要工作,他们就需要 ***。

架构师原本以为,当用户不在办公室,有远程访问的需求时,他会尝试直接访问内网资源,发现可以访问成功。

google账号无法验证_google登录异常活动无法验证_google地球无法连接验证

然而,出乎意料的是,远程访问需要申请***权限的用户习惯已经根深蒂固。

后来,谷歌做了改进。在 *** 应用程序门户上明确提醒用户配置是自动化的,并且他们应该在请求 *** 访问之前尝试直接访问他们需要的资源。

如果用户跳过此警告,团队还会自动分析用户通过 *** 隧道访问的服务。如果用户在过去 45 天内未访问任何模式不支持的企业服务,他们将收到一封电子邮件。这将在电子邮件中解释,因为他们访问支持的所有公司资源。除非他们访问不受支持的服务,否则他们的 *** 访问权限将在 30 天内到期。

(2)入职培训

显然,用户应该在他们开始在 的 IT 之旅时及早了解这种新的访问模式,因此在新员工入职期间引入。在培训中,模型的技术细节不会大段讲解,但会重点关注最终的用户体验。强调用户不需要 *** 即可“自动”获得远程访问。

它非常易于使用。一旦验证了必要的用户凭据,就会自动获得一个插件。从用户的角度来看,只要看到插件中的绿色图标,就可以访问企业资源。

google账号无法验证_google地球无法连接验证_google登录异常活动无法验证

(3)技术人员培训

培训支持团队中的一组技术人员,使其成为模型专家和本地主要界面人员。这些受过专业培训的技术人员比其他部门的同事拥有更高的维修系统权限。

作为第一批上线的“观察者”,他们通过全球技术论坛、讨论列表、午餐时间和办公时间来教育支持团队的其他成员。

鼓励技术人员在发现问题后立即向内部文档添加新的临时变通办法或修复程序,以便在网络上尽可能多地传播解决问题的能力,更有效地共享信息,并在规模。

(4)用户自行修复

“为什么我的访问被拒绝了?”是迁移后最常见的问题之一。除了培训 IT 运营人员回答问题外, 还开发了一项服务,该服务可以分析信任引擎的决策树和影响设备信任级别分配的事件的时间顺序,以建议补救措施。这样,有些问题用户可以自己解决。

(5)用户自行申请权限

如果资源需要特定群组的成员访问,门户网站会提供群组名称和链接。用户可以点击链接请求访问。门户在后台查询后端访问控制列表,确定资源的授权要求,与用户当前所在部门进行对比,门户前端会提示对比结果并引导用户申请加入授权用户组。

google地球无法连接验证_google登录异常活动无法验证_google账号无法验证

(6)错误页面

错误消息页面将包含用户信息,以便技术人员更轻松地进行故障排除。例如,如果用户的信任度不够,会弹出错误提示窗口显示用户的设备和姓名,技术支持人员可以对用户进行截图,获取足够的信息来查看具体原因用户后台权限不足。

google账号无法验证_google地球无法连接验证_google登录异常活动无法验证

google登录异常活动无法验证_google地球无法连接验证_google账号无法验证

7、实施难点

(1)系统对接

能够从各种数据源导入数据。系统管理数据源可能包括 、 、 和 ,以及其他设备代理、配置管理系统和企业资产管理系统也输入数据。它还包括漏洞扫描系统、证书颁发机构和网络基础设施元素,例如 ARP 映射表。每个数据源都可以发送特定设备的完整数据或增量更新数据。

已经以每天约 300 万条记录的速度从超过 15 个数据源中提取了数十亿条增量数据,总计超过 80TB。

许多数据源没有数据关联所需的“统一标识符”。例如,资产管理系统可能存储​​资产 ID 和设备序列号,而磁盘加密管理系统存储硬盘驱动器序列号,证书颁发机构存储证书指纹,ARP 数据库存储 MAC 地址。只有在报告了这些识别信息中的几个或全部后,才能将数据合并为一条记录。

如果考虑到设备的全生命周期,相关信息及其相关流程将更加混乱,因为设备之间可能会更换甚至交换硬盘、网卡、机箱和主板。此外,如果还有人为的数据输入错误,情况会更加复杂。

(2)协议支持

事实证明,最初支持 HTTP 协议是不够的,随着项目的进展,必须为更多协议提供解决方案(其中大部分需要端到端加密,例如 SSH)。支持这些协议往往需要对客户端进行修改,以确保“访问代理”能够准确识别设备。

第三方软件往往比较繁琐,因为它可能无法提供 TLS 证书,或者其实现逻辑假设网络始终是直连的。为了适应这些软件,谷歌设计了一个自动建立点对点加密隧道的方案(使用 TUN 设备)。该软件不知道隧道,就好像它直接连接到服务器一样。

8、处理突发事件的经验

有两种主要类型的意外紧急情况:

(1)生产紧急情况:服务访问的逻辑链路上关键组件中断或故障引起的紧急情况。

(2)安全紧急情况:由于迫切需要撤销特定用户的访问权限而引起的紧急情况。

快速推送安全策略是解决意外紧急情况的关键能力。例如,安全扫描设备可能尚未升级以检测零日攻击,但可以使用异常立即阻止可能容易受到零日攻击的设备。

物联网设备的安装和维护可能比较困难,可以破例直接分配适当的信任级别,以确保正常访问。

面对一些重要的用户访问失败,也需要直接在后台进行应急处理,保证用户的工作能够顺利进行。

9、总结

经过这么多年的发展,它已经从一个前卫的概念变成了一个成熟的解决方案。它一直由 内部使用。在今年的疫情中,谷歌将中国的“接入代理”抽象出来,做成了商业产品,在谷歌云上销售。不过在国内使用肯定比较麻烦。国内不少厂商纷纷仿效解决方案。如果大家有兴趣,我也可以在后续分享一些国货。

谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp

原文链接:6篇论文做的一次总结,也是对这几年辛苦日子的一个纪念,转载请注明来源!

0