概要

Beyond Corp とは ゼロトラストセキュリティモデルのGoogle版実装です。

今回はその研究論文から 実現手法:「Google での設計からデプロイまで」 をご紹介したいと思います。こちらは一通りアプローチを説明した上での実装方法という内容になります。なかなか本格的ですが興味深い内容です。

そういう訳で、簡単に拙訳したものをベースに要点だけメモしたものとなります。

目的

The goal of Google’s BeyondCorp initiative is to improve our security with regard to how employees and devices access internal applications. Unlike the conventional perimeter security model, BeyondCorp doesn’t gate access to services and tools based on a user’s physical location or the originating network; instead, access policies are based on information about a device, its state, and its associated user. BeyondCorp considers both internal networks and external networks to be completely untrusted, and gates access to app

BeyondCorp 構想の目的、それは従業員やデバイスが内部アプリケーションにどうアクセスするかという点からセキュリティを改善することです。一般的な従来モデルと異なり BeyondCorpは物理ロケーションを基準にサービスやツールへのアクセスを制限しません。その代わりにアクセスポリシーは 別の情報源に基づきます。その情報源とはアクセスに用いたデバイス・そのデバイスの状態・そしてデバイスに紐付いたユーザです。同時に BeyondCorp では内部ネットワークと外部ネットワークの両方を全く信頼できないものと考えます。以上を前提とした上で アプリケーションへのアクセスを制限するのです。

As illustrated by Figure 1, the fundamental components of the BeyondCorp system include the Trust Inferer, Device Inventory Service, Access Control Engine, Access Policy, Gateways, and Resources. The following list defines each term as it is used by BeyondCorp:

図-1に示すとおり、BeyondCorpシステムのコンポーネントは Trust Infer, Device Inventory Service, Access Control Engine, Access Policy, Gateway そして Resource で構成されます。以下のリストでは各用語がBeyondCorpでどのように利用されているかを示します。

• Access requirements are organized into Trust Tiers representing levels of increasing sensitivity.
• Resources are an enumeration of all the applications, services, and infrastructure that are subject to access control. Resources might include anything from online knowledge bases, to financial databases, to link-layer connectivity, to lab networks. Each resource is associated with a minimum trust tier required for access.
• The Trust Inferer is a system that continuously analyzes and annotates device state. The system sets the maximum trust tier accessible by the device and assigns the VLAN to be used by the device on the corporate network. These data are recorded in the Device Inventory Service. Reevaluations are triggered either by state changes or by a failure to receive updates from a device.
• The Access Policy is a programmatic representation of the Resources, Trust Tiers, and other predicates that must be satisfied for successful authorization.
• The Access Control Engine is a centralized policy enforcement service referenced by each gateway that provides a binary authorization decision based on the access policy, output of the Trust Inferer, the resources requested, and real-time credentials.
• At the heart of this system, the Device Inventory Service continuously collects, processes, and publishes changes about the state of known devices.
• Resources are accessed via Gateways, such as SSH servers, Web proxies, or 802.1x-enabled networks. Gateways perform authorization actions, such as enforcing a minimum trust tier or assigning a VLAN.

• アクセス要求は Trust Tiers(信用レベル) で管理される。ここでは増加する脅威のレベルを表現している
• Resource はアクセスコントロールを必要とする全てのアプリケーション・サービス・インフラを一覧化したものだ。オンラインナレッジベース・財務データベース・データリンク層の接続・事務所のネットワークはその候補となる。各Resource にはアクセス時に最低限必要な Trust Tiers (信用レベル) が定義されている
• Trust Inferer(信用示唆) は継続的にデバイスを監視しその状況を判定する。このシステムはデバイスに付与する信用レベルの最大値を決定しており、その結果に基づいて社内接続可能なVLANを割り当てる。これらのデータは Device Inventory Service に記録され、デバイスの状態に変更が入ったりデバイスからの更新通知に問題が発生すると、信用レベルの再評価が行われる
• Access Policy は Resource、信用レベル、及びその他の情報 のプログラム表現であり、認可を成功裏に行う上で準拠しなければならないものだ
• Access Control Engine は集中管理された ポリシーの実行サービスだ。これはゲートウェイから参照され、ゲートウェイは認可判定の際に Access Policy、Trust Inferer (信用示唆)、要求されたリソース、そしてリアルタイムな証明書を利用する
• このシステムの心臓部では Device Inventory Service が継続的に既知のデバイスの状態変化を監視・処理・通知している
• Resource は Gateway 経由でアクセスされる。これには SSHサーバ、Webプロキシ、802.1xの有効なネットワークが含まれる。そしてこれらは認可処理を実施する。一例としては最低限の信用レベルの強制化や VLANの割り当てなどだ

出典

実現手法:「Google での設計からデプロイまで」