Google宣布了多种新方法,帮助企业部署零信任架构BeyondCorp模型,从为Cloud Identity-Aware Proxy(Cloud IAP)加入场景感知,到推出Active Directory(AD)托管服务等,都是要让企业不需要VPN,或是为应用程序加入身份认证管理,就能访问传统LDAP应用程序以及虚拟机。
随着互联网应用程序和基础架构的类型增加,传统基于网络的保护数据访问方法越来越不敷使用,Google在2011年开始使用BeyondCorp安全模型来保护内部资源,在2017年发布了Cloud IAP,现在则将场景感知访问功能,正式加入Cloud IAP和VPC服务,让企业保护网页应用程序、虚拟机和GCP API,这个功能目前在Cloud Identity还在Beta阶段,但企业可以先尝试使用,来保护G Suite应用程序访问。 Google提到,场景感知访问可以定义用户身份与访问应用程序的精细度等,让企业能够给给用户简单的方法,但又能安全地访问应用程序或是基础设施资源。
在Cloud IAP、Cloud IAM与VPC Service Controls上,使用场景管理访问保护GCP工作负载不需要额外收费,而在G Suite上的场景感知访问功能,包括Gmail、云计算硬盘、文件、日历以及Cloud Keep等功能,企业只要使用Cloud Identity Premium、G Suite Enterprise还有教育版G Suite Enterprise,就能开始使用Beta版。
另外,现在Android手机还能内置安全密钥,让用户可以使用手机的双重验证(Two-Factor Authentication,2FA)登录Google的服务。 Google认为基于FIDO标准的安全密钥,是目前市场上最能抵抗钓鱼的双重验证方法,因此鼓励用户使用内置在Android手机中的安全密钥进行认证登录。
这个安全密钥使用标准公钥加密的协议,与传统的双重验证像是SMS或是代码相比,可以提供更强健的网络钓鱼和帐户接管保护,Google提到,去年员工开始使用安全密钥以来,就没有再发生过帐户遭到接管。目前该项功能处于测试阶段,Android 7.0+设备内置安全密钥,这项服务不另外收费,用户可以直接将现有手机,使用在工作以及个人帐户的双重验证上,以蓝牙在Chrome OS、macOS或Windows 10上登录Chrome浏览器。
Google也宣布单一登录(Single Sign-On,SSO)功能开始支持密码存储管理(Password Vaulting)、增强型最终用户入口以及集成的人力资源管理系统(HRMS),以简化应用程序访问。用户可以通过密码管理应用程序,一键访问各种应用程序,而Cloud Identity拥有庞大的SSO应用程序目录,让企业能以单一系统管理所有应用程序的访问权限。
即将上线的密码存储管理功能会有一个仪表板(下图),让用户可以审查所有能够使用SSO登录的应用程序,而仪表板将会取代原本的Apps User Hub,以提供更完善的用户体验。在人力资源管理上,当员工进入、离开企业或是改变角色,则其访问权限势必做出改变,Google与主要的HRIS/HRMS供应商合作,让员工消息可以在人力资源系统和云计算身份间同步。
去年Google针对客户和合作伙伴推出的Cloud Identity测试版(CICP),让企业为其应用程序添加Google身份以及访问管理功能,现在这个功能成为正式版,并且重命名为Identity Platform。 Identity Platform提供可自定义的身份验证服务,能用来管理用户注册和登录的用户接口流程,并支持多种身份验证方法,也提供客户端和服务器端SDK,还集成Google的智能与威胁信号,以侦测受到入侵的用户帐户。
最后,Google还发布了支持微软Active Directory(AD)的Managed Service,这是一个高可用性,经过强化的云计算服务,可以帮助企业管理在云计算使用AD的工作负载。 Google提到,即便企业早已经可以在GCP上部署AD环境,但需要自己进行管理把关安全性,但Managed Service为一个托管服务,由Google负责维护。