Google更新零信任解決方案BeyondCorp Enterprise,加入3項新功能,讓用戶可以對其終端使用者,以更安全簡單的方式控制應用程式存取。第1個是對GCP API透過VPC服務控制,提供基於憑證的存取控制,官方提到,不少用戶使用不記名的證書存取雲端控制臺和API,但是當這些證書意外洩漏時,就可能被攻擊者用來進行非法存取。

而基於憑證的存取控制,是除了證書之外,還要加上經過驗證的裝置憑證,才能夠進行存取,因此能夠防止憑證被盜或是意外洩漏的風險。現在Google對8種類型的VPC服務控制資源,提供客戶端憑證原生支援,包括GCE、GKE、Cloud KMS、BigQuery和Logging等,之後Google還會繼續增加更多支援的服務。

BeyondCorp Enterprise也開始正式提供本地端連接器,供用戶可以連接到本地資源,藉由部署連接器,就能夠使用身份感知代理(Identity-Aware Proxy,IAP),保護Google雲端之外的HTTP或HTTPS本地應用程式,在本地端應用程式發出請求時,IAP會對用戶進行身份驗證和授權,並將請求路由到連接器。

另外,Google也在BeyondCorp Enterprise背後的零信任政策引擎Access Context Manager(ACM),添加更多的零信任存取條件,利用這些新屬性,管理員就能夠用更多元的方式制定高精細度的存取控制政策,這3組新屬性分別是時間和日期、證書強度以及Chrome瀏覽器。

時間和日期屬性能夠限制終端使用者存取資源的時間和日期,可用於例如輪班工人和臨時員工的存取控制。由於配置雙因素驗證是防止安全漏洞的重要方法,藉由將證書強度當作存取控制政策中的條件,企業就能依據硬體安全金鑰的使用,或是其他形式的多因素驗證,來實施存取控制,BeyondCorp Enterprise現在支援通知推送、SMS認證碼、2SV軟體和硬體金鑰、一次性密碼和任何形式的MFA等驗證方法。

對於Chrome瀏覽器用戶,管理員可以設定零信任政策,來確保用戶瀏覽器環境啟用了威脅和資料保護功能,ACM自定義存取等級的新條件包括管理狀態、最小版本、即時URL檢查啟用狀態、檔案上傳下載分析啟用狀態和安全事件回報啟用狀態等。

熱門新聞

Advertisement