1.2.3 員工的使用體驗

介紹完BeyondCorp的架構，再來介紹員工在BeyondCorp中的實際體驗。

1.網絡準入

員工進行802.1x認證之后才能連上內網。認證成功的用戶會被分到零信任網絡中。認證失敗的用戶會被分到一個單獨網絡中。在那里，員工只能訪問自助服務以便進行補救。

2.單點登錄

無論用戶身在谷歌大廈還是咖啡館，在訪問業務系統之前，都會跳轉到單點登錄頁面進行多因子認證。員工需要插入U盾或通過指紋識別進行身份驗證，沒有通過身份驗證的用戶只能看到訪問代理，看不到后面的業務系統。

3.設備校驗

谷歌會向員工的設備后臺推送一個設備檢測插件。在單點登錄和后續的訪問過程中，客戶端插件會不斷檢測設備狀態。如果員工亂裝軟件，那么將無法進行單點登錄，或者已建立的連接將自動中斷。如果設備中了病毒，或者沒有更新安全補丁和病毒庫，那么系統會提示先修復設備才能繼續登錄或訪問。

4.訪問權限

員工只能訪問得到授權的業務系統，如果某人的崗位是開發工程師，那么他是無法訪問財務系統的。當然，某些系統開放了申請通道。例如，開發工程師在訪問有Bug的系統時，如果沒有權限，那么系統會在相應頁面提示用戶申請權限。

5.風險檢測

BeyondCorp中有一個信任等級的概念。如果員工從一個新的位置登錄，那么雖然這個行為有些風險，會降低一些信任分數，但是員工仍然可以正常登錄，系統會給員工發送一個風險通知。

如果員工連續做了多個可疑操作，那么當信任分數降低到不滿足當前級別的要求時，員工的權限會發生變化。當員工的信任等級為中等級時，可以訪問一些低敏的業務系統，使用自助服務恢復自身的等級。如果員工的信任等級為極低等級，那么員工會被徹底隔離，無法接入網絡。