Google技術長辦公室技術總監Max Saltonstall,對外釋出了Google內部採用零信任網路(Zero Trust Network)的最佳實踐細節,幫助企業擺脫傳統VPN,把存取權控制的重點,從網路轉移到使用者與其使用的裝置上,讓員工即便處在不受信任的網路環境,依然可以進行遠端連線作業。

Max Saltonstall提到,企業要從以VPN為核心的特權企業網路,轉移至零信任網路的第一步,便是了解員工以及設備。當網路不再提供存取關鍵服務需要的信任時,Google轉而使用個別員工以及裝置上的資訊,透過兩者最新的資料集設置存取最佳策略。

在員工方面,Google重組了工作角色階層結構,並且重塑一系列工作分類,以便掌握員工日常實際的工作內容,以及角色所需要的存取權限,Max Saltonstall表示,為了做到這一個地步,他們必須可以回答像是誰需要查看內部錯誤訊息?或是誰需要追蹤客戶關係?這類問題。要對這些工作進行排序,需要對現有的工作進行一些修改,甚至簡化類似的角色,而另一方面,他們也需要改變分類,也確保可以囊括那些執行不同工作,但是在追蹤系統中共享角色的員工。

此外,裝置與人員在零信任網路中一樣重要,因此追蹤系統還要掌握員工使用的裝置精確且即時的資訊,Max Saltonstall表示,他們不希望受信任的人員,卻因為使用了受感染的裝置,而無意間與攻擊者分享了他們有權存取的敏感資訊。為此,他們建構了元庫存服務(Meta-inventory Service),整合了多套的設備庫存管理系統,將這些資源統一關聯到一個主要庫存中,避免不同系統產生衝突紀錄,或是一個裝置多個副本的狀況。

創建這個主要庫存花費了Google大量的時間與資源,但Max Saltonstall強調,這個動作可以讓他們統一的掌握所有設備,以及這些設備的狀態。Google根據設備安裝的軟體、補丁更新的情況以及其他特徵進行信任評估。Google列出了他們在零信任網路最佳實踐的實行步驟,首先是了解企業內部使用的應用程式、決定或是重新制定存取這些服務的安全策略、了解員工是誰進行些什麼工作、決定誰可以進行哪些行為,最後則是實施基於身分的存取控制。


Advertisement

更多 iThome相關內容