2024谷歌BeyondCorp訪問代理

PAGE27PAGE27谷歌BeyondCorp訪問代理BeyondCorp（AccessProxy,AP）的實(shí)現(xiàn)，關(guān)注其實(shí)施過程中遇到的挑戰(zhàn),以及設(shè)計和上線中學(xué)到的經(jīng)驗(yàn)教訓(xùn)。此BeyondCorp模型遷移過程中（之前在“BeyondCorp：一種新的企業(yè)安全方案”[1]和“”[2]中有討論這種方法會明顯降低產(chǎn)品發(fā)布和迭代的速度。為了解決這個問題，谷歌通過前端訪問代理（AP）作為中心化的策略強(qiáng)制同一套代碼我們實(shí)現(xiàn)了不同邏輯的網(wǎng)關(guān)。目前，訪問代理已支持Web代理和SSH網(wǎng)關(guān)組件[2]APHTTPAP的后面。HTTP（,AP準(zhǔn)確識別設(shè)備。結(jié)合訪問代理（AP）和集中的訪問控制引擎（AccessControlEngine,ACE）（ACL評估系統(tǒng)）主要有兩個好處：一是所有請求都途經(jīng)同一個日志記BeyondCorp的前端基礎(chǔ)設(shè)施Web應(yīng)用程序都會采用前端基礎(chǔ)設(shè)施——通常是負(fù)載均衡和/HTTPWebPAGE28PAGE28策略執(zhí)行點(diǎn)的部署提供了理想位置。因此，谷歌的前端基礎(chǔ)設(shè)施對于BeyondCorp訪問策略的強(qiáng)制執(zhí)行至關(guān)重要。HTTP/HTTPS反向代理集群，即谷歌前端（GoogleFrontEnds,GFETLS卸Web應(yīng)用的后端可以專注于服務(wù)請求的具體內(nèi)容，而幾乎不必考BeyondCorpGFEGFE的GFE即訪問代理（AP）。下文將詳細(xì)闡述訪問代理提供的具體服務(wù)。擴(kuò)展后的GFE特性：產(chǎn)品需求GFE有一些內(nèi)置功能，并不是專門為BeyondCorp設(shè)計的但可以為BeyondCorp所用：如，為后端提供負(fù)載均衡服務(wù)、通過GFE實(shí)現(xiàn)TLS卸載。AP通過引入認(rèn)證和授權(quán)策略擴(kuò)展了GFE。認(rèn)證為了正確處理一個授權(quán)請求，AP行詳細(xì)討論，本節(jié)重點(diǎn)介紹用戶認(rèn)證。AP通過集成谷歌的身份提供服務(wù)（IdentityProvider,IdP）完成用戶身份認(rèn)AP,不具備AP需要支持一系列的認(rèn)證機(jī)制,ConnectOAuth和一些定制化協(xié)議。AP還需要處理不能提供用戶憑證的請求場景，例如，一個軟件管理系統(tǒng)試圖下載最新的安全補(bǔ)丁，這種情況下，AP可以禁用用戶認(rèn)證。當(dāng)AP這樣做至關(guān)重要，有兩點(diǎn)原因：確保后端不能通過訪問代理重放請求（或憑證），進(jìn)行重放攻擊。cookie要的暴露給后端業(yè)務(wù)。授權(quán)以下兩個設(shè)計推動BeyondCorp中授權(quán)機(jī)制的實(shí)施：（RemoteProcedureCalls,查詢的集中訪問控制列表（AccessControlList,ACL）采用領(lǐng)域特定語言（domain-specificlanguage,DSL）表達(dá)訪問控制列表（ACL），使其同時兼顧可讀性和可擴(kuò)展性ACL（RADIUS絡(luò)訪問控制基礎(chǔ)設(shè)施、APSSH代理）。（AB”）。AP代理和后端之間的雙向身份認(rèn)證APAP其重要，因?yàn)門LS握手和傳輸在前端代理就終結(jié)了，前端代理是通過另外的加密通道傳輸HTTP請求給后端業(yè)務(wù)。為滿足上述要求需要一個能夠建立加密通道的雙向認(rèn)證機(jī)制 舉個例子：TLSBeyondCorp采LOAS(LowOverheadAuthenticationSystem,低)，它可以對代理和后端之間的所有通信進(jìn)行雙向認(rèn)證和加密。AP（HTTP消息頭的形式元數(shù)據(jù)、使用自定義協(xié)議（比如，ApacheJServe協(xié)議）并不是什么新方法,AP的雙向認(rèn)證機(jī)制，確保了元數(shù)據(jù)的完整性。APAP用這個功能可以將設(shè)備的安全等級傳遞到后端，后端可據(jù)此調(diào)整服務(wù)內(nèi)容。ACL語言將領(lǐng)域特定語言（domain-specificlanguage,DSL）ACL是解決集中式授權(quán)挑戰(zhàn)的關(guān)鍵。這種語言支持靜態(tài)編制ACL（有助于提高性能和可測試性安全策略團(tuán)隊(duì)：負(fù)責(zé)對訪問策略進(jìn)行抽象和靜態(tài)編制請參閱“了解關(guān)于清單管道的更多細(xì)節(jié)）訪問控制引擎團(tuán)隊(duì)：負(fù)責(zé)評價和執(zhí)行安全策略ACL語言語義上采用首次匹配（first-match）模型，和傳統(tǒng)防火墻規(guī)則（蓋ACL結(jié)構(gòu)包括兩大部分：低的設(shè)備不允許提交源代碼”。GWebA”。URLURL中指定而在報文主體中指定（AP來處理這種情況ACL規(guī)則。（瀏覽器漏洞利用或設(shè)備被盜成功處置Chrome0Day漏洞風(fēng)險,通過創(chuàng)建一條全新的Chrome瀏覽器時將會被重定向到一個帶有更新指30分鐘內(nèi)就在整個公司完成部署和強(qiáng)制執(zhí)行，最終，存在漏洞的瀏覽器的數(shù)量急劇減少。集中式日志記錄為了進(jìn)行必要的事件響應(yīng)和取證分析，所有請求日志必須進(jìn)行持久化存儲。AP提供了一個理想的日志記錄點(diǎn)。日志記錄主要包括部分請求頭、HTTP響應(yīng)碼、調(diào)試或重構(gòu)訪問決策和ACL評估過程所需的元數(shù)據(jù)，一般包括訪問請求的設(shè)備標(biāo)識和用戶標(biāo)識。訪問代理的特性：運(yùn)維彈性自助服務(wù)開通代理的服務(wù)訪問模式。APAPAP所有權(quán)，可以校對、測試、灰度發(fā)布（金絲雀發(fā)布）和更新配置。這種設(shè)置有幾個主要好處：AP團(tuán)隊(duì)，讓他們不再需要根據(jù)每個用戶請求持續(xù)修改配置鼓勵服務(wù)所有者擁有他們的配置片段（并為其編寫測試）確保開發(fā)速度和系統(tǒng)穩(wěn)定性之間的平衡APAP隊(duì)支持的情況下迭代自己的配置片段。多平臺身份認(rèn)證的挑戰(zhàn)BeyondCorpBeyondCorp況。準(zhǔn)確的設(shè)備識別至少需要以下兩個組件：某種形式的設(shè)備標(biāo)識能追蹤任何指定設(shè)備最新狀態(tài)的清單數(shù)據(jù)庫BeyondCorp的目標(biāo)之一是以適當(dāng)?shù)脑O(shè)備信任替代基于網(wǎng)絡(luò)的信任。每個設(shè)BeyondCorp的挑戰(zhàn)和解決方案。臺式機(jī)和筆記本電腦x.509AP（和守護(hù)進(jìn)程）TLS要求客戶端提供擁有私（TrustedPlatformModule,TPM）的安全硬件中，這能確保標(biāo)識的不可欺騙性且不可克隆性。TLS握手,此時也會對用戶有所影響。TLSAP可以TLSHTML面。移動設(shè)備iosndor（dntiirorndo,DFV，安卓設(shè)備使用企業(yè)移動管理（EMM）ID。一些特殊情況和例外Web應(yīng)用程序遷移到訪問代理，但是理才能兼容。HTTPHTTPAPHTTP請求中。幸好有現(xiàn)成的ProxyCommandTLS上將SSH業(yè)務(wù)封裝成HTTPCorkscrewWebSocketsWebSocketsHTTPCONNECT請求都能兼容APACLWebSockets本身能從瀏覽器繼承用戶和設(shè)備的身份憑據(jù)，CONNECT機(jī)制更占優(yōu)勢。gRPCTLSHTTPCONNECT請求進(jìn)行封裝。（雖然可以忽略不計（例如，LOASSSH都支持），但要擴(kuò)展到支持設(shè)備認(rèn)證并不容易。CONNECTTLSSSHSSHSSHSSH證書來傳遞設(shè)SSHSSHHTTPTLS客戶端證書來認(rèn)證設(shè)備的時候，也可以使用用戶名和密碼的方式來認(rèn)證用戶。遠(yuǎn)程桌面在Chrome代碼庫中公開可用的Chrome遠(yuǎn)程桌面[5]，是谷歌BeyondCorp主要使用的遠(yuǎn)程桌面解決方案。雖然HTTP的封裝協(xié)議可以滿足很多使用場景，AP敏感，需要單獨(dú)考慮。為了確保請求得以授權(quán)，Chrome遠(yuǎn)程桌面在連接建立的交互流程中引入了HTTPChromotingChromoting主Kerberos協(xié)議工作方式類似。APACLAPACL。第三方軟件TLS證書，也可能其實(shí)現(xiàn)到點(diǎn)加密隧道（TUN設(shè)備）務(wù)器一樣。理論上來看，隧道建立機(jī)制與遠(yuǎn)程桌面方案類似：客戶端運(yùn)行輔助程序來建立隧道AP的后端AP執(zhí)行訪問控制策略并且協(xié)助會話信息和加密密鑰在客戶端和服務(wù)端的輔助程序之間交換經(jīng)驗(yàn)教訓(xùn)ACL很復(fù)雜推薦下面的最佳實(shí)踐來減少ACL相關(guān)的困難：APACL（ACL。原因有兩個方面：ACL以及訪問被拒絕的可能原因。APcURL。AP傳遞給后端的機(jī)制。正如前面提到的，AP能夠安緊急情況件：成的緊急事件。安全類緊急事件：由于迫切需要授權(quán)/撤回特定用戶和/或資源的訪問造成的緊急事件。產(chǎn)品類緊急事件AP在大多數(shù)宕機(jī)期間還能存活,SRE最佳實(shí)踐進(jìn)行設(shè)計和運(yùn)維[3]。為了避免可能出現(xiàn)的數(shù)據(jù)源中斷，需要定期對所有數(shù)據(jù)進(jìn)行快照以便APAP修復(fù)路徑。安全類緊急事件用戶撤銷/設(shè)備撤銷/ACLTLS問題。ACL（請參閱上面的“ACL語言”）戶訪問任何資源的權(quán)限都被禁止。會話令牌（例如，OAuthOpenIDConnect令牌）和證書有時候會泄露或丟失，同理也需要撤銷。正如第一篇eondCorp論文中所說[1CA（意味著不能撤銷證書也不會失控，因?yàn)橹钡奖涣腥肭鍐喂艿赖哪夸浿?，新的證書才可信。:如果懷疑證書相應(yīng)的私鑰丟失或者泄露，不再發(fā)布證書撤銷列表（certificaterevocationlist,CRL），而是CRL。這種方法的主要缺點(diǎn)是它可能會帶來額外延遲。不過通過在清單和訪問代理服務(wù)器之間設(shè)計快速傳播通道，可以相對容易地解決這種延遲。ACL的標(biāo)準(zhǔn)快速推送機(jī)制。ACL超出一定規(guī)模后,ACL定義過程委托給服務(wù)所有者,這就會導(dǎo)致一ACL變更Chrome0DayACL是應(yīng)急響應(yīng)團(tuán)隊(duì)的關(guān)鍵能力，通過快速推ACL可以強(qiáng)制用戶進(jìn)行更新。工程師需要支持BeyondCorp不能向后兼容的變更，這需要得到管理層的強(qiáng)大支持。（DNS配置x.509TLSTLS連接能成功進(jìn)行。展望未來B