ファイアウォールがなくてもGoogleは問題はありません

サンフランシスコ – Googleは、頑丈な外壁によって保護された、ネットワークセキュリティの古臭い城郭のアナロジーを牧草地に放り出したのかもしれません。

火曜日にRSA Conferenceで、Googleは社内のBeyondCorp公開の7年間の旅を発表しました。そこでは、ユーザーとネットワークに接続するデバイスについて知っていることに基づいて信頼を確認しています。 そしてこれはすべてファイアウォールや従来のネットワークセキュリティ機器を犠牲にして、あるいはその欠如によって行われています。

セキュリティ担当ディレクターのHeather Adkinsは、7年前に同社のセキュリティエンジニアが壁を持たない世界を描き、既存の壁が宣伝されているとの前提に挑戦することを敢行しました。

「私たちは、デバイスごとにユーザーを特定する必要があり、すべての認証をデバイスに移動しなければならないことを認識しました」とAdkins氏は述べています。

ほとんどの企業よりもおそらく早いGoogleは、モビリティがどのように生産性と従業員の満足度を変えるのかを理解していました。 また、VPNを介してファイアウォールの背後にある企業リソースに接続することは、信頼性がすぐに問題になった低速モバイルネットワークに接続する人々にとって、長期的な解決策ではないことも知っていました。

解決策は、問題を頭に浮かべて、すべてのネットワークを信頼できないものとして扱い、ユーザーとそのデバイスについて知られていたことに基づいてサービスへのアクセスを許可することでした。 Adkins氏によると、サービスへのアクセスはすべて、認証され、許可され、暗号化された接続でなければならないという。

「これは6年前のミッションであり、VPNを使用せずに信頼できないネットワークからうまく機能するようになった」とAdkins氏は語った。

 

BeyondCorpを実装するには、Googleのサイト信頼性エンジニアリングマネージャーのRory Wardが分析のための高品質データの収集に焦点を当てていたという新しいアーキテクチャが必要でした。

最初のステップは、Googleの進捗状況に基づいてユーザーとその役割を自分のキャリアとして把握し、基本的に職務階層を再構築し、内部サービスにアクセスする方法と理由を評価することでした。デバイス情報に関しても同じ親密性が要求され、ライフサイクルを通じてサービスに接続するすべてのデバイスを追跡する同様のインベントリシステムの構築が必要でした。 Ward氏によると、これは管理対象のデバイスにのみ適用されますが、今後はこの機能をユーザー所有のプライベートデバイスにまで拡大することを望んでいます。

Ward氏によると、Googleのエンジニアは、ネットワーク上でどのようなデバイスが実行しているかに関する情報を提供する20以上のデータソースからのデータを取り込むダイナミックなトラスト・リポジトリを構築する作業を行いました。ポリシーファイルは、そのデバイスの信頼をどのように定義するかについて記述していて、それは動的に変化します。

Ward氏は、「デバイスの信頼の定義は、何が行われたのか、そのポリシーが何を言い表しているのかに応じて動的に上下することができます。ユーザー、デバイス、およびGoogleシステムにアクセスするすべてのデバイスの信頼の兆候を完全に把握しています。」と述べました。

次に、ポリシーを実施するためにアクセス制御エンジンが開発されました。ユーザーおよびデバイスの情報とともにサービス要求を取り込み、リソースにアクセスするためのポリシールールを適用および適用する機能を備えています。

たとえば、ソースコードシステムにアクセスするには、エンジニアリングのフルタイムの社員であり、完全に信頼できるデスクトップを使用しなければならない、とWard氏は語りました。

Ward氏によると、今回の展開では、実装に2〜3年かかっており、どこからでもアクセスできるようになるというGoogleの目標に近づいています。

今回の発表の最終段階であるAdkinsとWardは、実装段階であると言いました。このプロジェクトにはエグゼクティブサポートがありましたが、何かや誰かを壊さないでください。これは、Googleの何千もの内部ユーザーとデバイスと、特権ネットワークに関する15年間のアサーションを考慮すると、大変な注文でした。

Ward氏によると、高価な第一歩は、Googleの約200棟の建物のそれぞれに特権を持たず、信頼できないネットワークを展開することだったという。エンジニアは、信頼できるネットワークからのトラフィックのサンプルを取得し、新しい信頼できないネットワークでそれを再生して、ワークロードの動作を分析しました。

エージェントはインベントリ内のすべてのデバイスにインストールされ、それらのデバイスからのすべてのパケットも、新しいネットワーク上で再生され、何が失敗したかが不適格であるかどうかを確認しました。これは2年間のプロセスでもあり、結果として、このプロジェクトは完全な実装に成功裏に成功しました。

Ward氏によると、数万台のデバイスとユーザーを、新しいネットワーク上に移動させ、誰かを壊すことはなかった」と語った。

Adkins氏は、経営幹部を獲得するには、このイニシアチブについての説得力のある議論が必要であり、ITをよりシンプルに、より安く、より安全に、従業員をより幸せに、より生産的にする必要があると語った。

「明確なビジネス目標は経営幹部にとって魅力的です」とAdkins氏は述べています。 「質の高いデータに依存するロケーションベースの認証とナレッジベースの認証から移行しました。正確なデータがこの問題を解決する鍵でした」

参照:

https://threatpost.com/no-firewalls-no-problem-for-google/123748/

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*