Google更新零信任解决方案BeyondCorp Enterprise,简化自定义访问政策配置

Google更新零信任解决方案BeyondCorp Enterprise,加入3项新功能,让用户可以对其最终用户,以更安全简单的方式控制应用程序访问。第1个是对GCP API通过VPC服务控制,提供基用凭证的访问控制,官方提到,不少用户使用不记名的证书访问云计算控制台和API,但是当这些证书意外泄露时,就可能被攻击者用来进行非法访问。

而基于凭证的访问控制,是除了证书之外,还要加上经过验证的设备凭证,才能够进行访问,因此能够防止凭证被盗或是意外泄露的风险。现在Google对8种类型的VPC服务控制资源,提供客户端凭证原生支持,包括GCE、GKE、Cloud KMS、BigQuery和Logging等,之后Google还会继续增加更多支持的服务。

BeyondCorp Enterprise也开始正式提供本地端连接器,供用户可以连接到本地资源,借由部署连接器,就能够使用身份感知代理(Identity-Aware Proxy,IAP),保护Google云计算之外的HTTP或HTTPS本地应用程序,在本地端应用程序发出请求时,IAP会对用户进行身份验证和授权,并将请求路由到连接器。

另外,Google也在BeyondCorp Enterprise背后的零信任政策引擎Access Context Manager(ACM),添加更多的零信任访问条件,利用这些新属性,管理员就能够用更多样的方式制定高精细度的访问控制政策,这3组新属性分别是时间和日期、证书强度以及Chrome浏览器。

时间和日期属性能够限制最终用户访问资源的时间和日期,可用于例如轮班工人和临时员工的访问控制。由于配置双重验证是防止安全漏洞的重要方法,借由将证书强度当作访问控制政策中的条件,企业就能依据硬件安全密钥的使用,或是其他形式的多因素验证,来实施访问控制,BeyondCorp Enterprise现在支持通知推送、SMS认证码、2SV软件和硬件密钥、一次性密码和任何形式的MFA等验证方法。

对于Chrome浏览器用户,管理员可以设置零信任政策,来确保修户浏览器环境激活了威胁和资料保护功能,ACM自定义访问等级的新条件包括管理状态、最小版本、即时URL检查激活状态、文件上传下载分析激活状态和安全事件回应激活状态等。