废弃防火墙:Google决定不再区分内外网
Google在自身企业安全实践方面迈出了大胆的一步——不再将自身的企业应用置于防火墙等安全设备的保护之下,不再有内外网之分。
BeyondCorp计划:彻底打破内外网之别
Google的这项行动计划名为BeyondCorp。其基本假设是——内部网络实际上跟互联网一样危险,原因有两点:
1)一旦内网边界被突破,攻击者就很容易访问到企业内部应用。
2)现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。
这种访问模式要求客户端是受控的设备,并且需要用户证书来访问。访问有通过认证服务器、访问代理以及单点登录等手段,由访问控制引擎统一管理,不同用户、不同资源有不同的访问权限控制,对于用户所处位置则没有要求。也就是说,无论用户在Google办公大楼、咖啡厅还是在家都是一样的访问方式,过去从外网访问需要的VPN已经被废弃。