春节前写了一篇关于在大厂如何做信息安全BP的小文之后,本来想着春节后继续更新这个公众号,但各种工作接踵而至,不光公众号更新耽误了,连健身也耽误了。
这么一晃,就到了6月,又到了半年述职的时候。相信大家都在愁,如何能够做好述职报告。刚好前几天趁着「零信任」的热度,看了一篇Google介绍BeyondCorp的文章---《BeyondCorp: A New Approach to Enterprise Security》,一拍大腿,顿觉精妙,这不就是我们述职报告的经典范文吗?
下面我们来细细赏析。
第一步,说痛点,吊胃口。
文章一开始,就使用了一个非常绝对的说法「几乎所有的公司都在使用防火墙来加强边界安全」,然后痛陈这种方法的弊端,紧接着,很快,话锋一转,俺们Google就另辟蹊径了,俺们不一样!!!怎么个不一样呢?「俺们Google正在移除对特权intranet的要求,并且正在把企业应用都放在互联网上」。
刚看到第一小节,读者的胃口就被吊起来了。传统边界网络的问题是大家都正在经历的,是大家的痛点,那Google的解决方案是什么呢?Google是怎么做到艺高胆大把企业应用都开放到互联网的呢?好奇嘤嘤嘤。。。
接着Google用小字写了一小段,对第一小节进行了补充,详细陈述了需求背景和BeyondCorp的目标。
目标包括:
一个新模式
基于设备状态和用户凭证,访问企业资源完全认证、完全授权、完全加密
所有Google雇员从任何网络来都可成功工作
没有VPN
是不是想深入了解BeyondCorp的兴趣越来越大了?
第二步,画方案,讲原理。
既然兴趣来了,那么马上给安排BeyondCorp的详细讲解。没有什么是比示意图更能抓人眼球的了。
一张组件和访问流图,可以让读者理解整个BeyondCorp的内部逻辑。
下面的配的文字,也和示意图一一对应,可以让读者轻易就能够理解每一个组件在整个方案中发挥的作用。
仔细阅读时,会发现文字介绍的大章节是遵从由点及面的逻辑,一口气读下来,酣畅淋漓。
整个大方案包含如下5个关键环节:
安全识别设备
安全识别用户
从网络移除信任
外部化应用和工作流
实施基于库存的访问控制
第三步,谈落地,拿结果。
方案毕竟是纸面的内容,读者很自然的就会想:这真的可行吗?要不说Google文章的作者是一个妙人呢,接下来的一个章节先不谈实际工作,而是放出一个端到端的样例,在一个应用场景下,BeyondCorp方案是如何工作的。
1、改域名CNAME指向访问代理。
2、访问应用,与网络无关。详细列举了一个公司笔记本电脑在访问这个示例应用网站时整个的认证和授权过程。看起来特别靠谱。
既然方案可行,那么就应该在Google内部推广实施,这才能叫真正落地,拿到了结果。
「拿结果」是述职报告的重点,这里一定要充分体现在企业落地方案的困难,这样方能显得自己又有大功劳、又有大苦劳,五一劳动奖章非自己莫属。
作者也是深谙此道,一来就说自己过去也和大家一样,维护了一个特权网络很多年。现在要全公司搞BeyondCorp了,这对业务连续性会带来无比巨大的风险。当然啦,项目是成功的,成果是辉煌的,公司在迁移方案上重点投入,确保了对生产的零影响。
下面就是对部分迁移工作的详细介绍,应该都是值得拿上台面表扬自己的重点工作。
工作流限定(Workflow Qualification)
工作流三阶段:内网直接访问&VPN-->内网直接访问&外网访问代理-->全场景访问代理
工作职能分析
通过工作职能挑选分批实施的人员
逐步减少VPN使用
使VPN使用审批变复杂,抬高VPN使用成本,进而减少VPN使用
流量分析管道
分析流量以确认用户具备迁移条件
非特权网络模拟
使用安装在用户设备上的客户端模拟用户访问,以验证策略,客户端包含日志模式和强制模式
迁移策略
异常处理
对暂时没法迁移的用户设定例外流程。
整体看下来的感觉就是:项目实施很全面,目标达成了,非常不容易,同志们辛苦了。
第四步,有计划,亮格局。
项目收尾了,不代表工作结束了。整体工作要进入运营阶段了。所以,作者写到了还有一些长尾没解决,比如使用了私有协议的胖客户端,仍然是一个挑战。
最后的最后,还要升华一下整个方案和实施过程。即,这一套解决方案和实施方法,是可以复制到更多地方去的,能够解决共性问题,非常有价值。如同我们在某一个BU实施了一个解决方案之后,也必须要说这玩意是可以拿到其他BU落地一样。
这话的潜台词是:1、我是先行者;2、我还能利用这个方案,持续创造更大价值。
到这里,Google的这篇介绍BeyondCorp的文章就结束了,写述职报告的四大步骤你学废了吗?
全文完~
笔芯❤️
《BeyondCorp: A New Approach to Enterprise Security》下载链接:
链接: https://pan.baidu.com/s/1iZ5zH38JpEhxifJUCNEjxg
提取码: 9xc9
**作者:**韭菜,就是韭菜啦,被割的那种,永不黄,永不躺平,随便割!