1.2.2 BeyondCorp架構

在 BeyondCorp 架構中，無論用戶在內網、家中還是咖啡館，都要經過用戶設備認證才能訪問企業資源。安全人員會對員工進行最細粒度的訪問控制。員工可以更安全地在任何地點工作，而不用配置VPN。

圖1-4是BeyondCorp的架構圖（為了與前后文對應，筆者對BeyondCorp組件的位置做了調整，與原圖稍有差異）。

BeyondCorp包括如下9個模塊。

（1）單點登錄：用戶在單點登錄的統一門戶上進行身份認證，認證成功之后，獲取身份令牌。后續所有的訪問都需要令牌，以證明用戶的身份。

（2）用戶身份庫：用戶身份庫存儲用戶和組織結構的信息，與谷歌的HR流程緊密結合，當員工入職、調崗、離職時，身份庫會自動更新。在單點登錄過程中需要使用用戶身份庫進行身份校驗。

（3）設備清單庫：谷歌會隨時監控公司設備的安全狀態，并將這些受控設備的信息存儲在設備清單庫中，用于校驗設備。

（4）證書管理：BeyondCorp會給合法的設備下發證書。證書存儲在用戶設備上，在設備認證過程中會校驗證書的有效性。

（5）信任評估：對設備和用戶的信任水平進行分析，例如，未安裝最新補丁的設備，可能存在漏洞，因此信任等級會被降低。如果存在惡意軟件，則表明設備可能已經被入侵，信任等級會被大幅降低。

（6）分析管道：匯聚身份、設備、證書、信任等級等各類信息，推送給訪問控制引擎，用于訪問策略的決策。

（7）訪問控制引擎：對訪問代理上的每個訪問請求進行校驗，校驗身份是否合法、設備是否合法、用戶是否具有訪問某某資源的權限、信任等級是否符合要求、時間位置是否符合要求等信息。例如，限制只有財務部的員工可以在上班時間通過受控設備訪問財務系統。

（8）訪問代理：谷歌的所有業務系統都是通過訪問代理向互聯網開放的。用戶要訪問業務系統，必須通過訪問代理的校驗。只有校驗成功后，請求才會被轉發到業務系統。訪問代理與客戶端和業務系統之間的通信是加密的。要支持大規模用戶訪問，訪問代理還應該具備負載均衡能力。

（9）Radius認證：BeyondCorp使用802.1x協議來做網絡準入的認證。谷歌內部劃分了幾個VLAN，最開始零信任網絡只是其中之一。參與試點的人會在網絡認證之后，被劃分到零信任的VLAN中體驗BeyondCorp。隨著BeyondCorp逐漸成熟，其他人才逐漸加入，最終取代之前的網絡。