1.2.4 服務器與服務器之間的零信任架構——BeyondProd

BeyondCorp主要負責用戶到服務器的訪問控制。對于服務器與服務器之間的訪問控制，谷歌也有一個大殺器——BeyondProd架構。其中，Corp代表企業(yè)網絡（Corporate Network），Prod代表生產網絡（Production Network）。

作為互聯(lián)網的巨頭，谷歌對系統(tǒng)的擴展性和可用性要求極高，所以很早就實現(xiàn)了業(yè)務平臺的微服務化、容器化。容器的宿主機可能頻繁變化，因此傳統(tǒng)的防火墻訪問控制規(guī)則不再適用。就像用戶訪問場景一樣，服務訪問場景的授權也需要基于服務的身份，而不是IP地址或者主機名。

BeyondProd就是要實現(xiàn)微服務級別的隔離，服務之間不存在隱含的信任，一切訪問都需要進行身份和權限的校驗。即使一個服務被入侵了，威脅也不會擴散到同宿主機的其他服務上。圖1-5是BeyondProd的架構圖（為了前后文一致，與BeyondProd原圖的組件名稱稍有不同）。

BeyondProd的幾個特性如下。

1.前端保護服務

谷歌前端保護服務負責過濾網絡攻擊并進行負載均衡。由此可見，邊界防護的理念并不是被完全拋棄了，而是變成了BeyondProd的一部分。

2.加密傳輸

谷歌的每個服務正常啟動后，系統(tǒng)都會下發(fā)一個獨立的加密證書。證書代表了微服務的身份，用于該服務與其他服務的雙向加密通信。谷歌網絡內的通信使用的是谷歌自己優(yōu)化過的協(xié)議，沒有證書就無法建立通信連接。所以，網絡傳輸這一層也實現(xiàn)了對身份的校驗。

3.業(yè)務系統(tǒng)前后端分離

BeyondProd架構適用于業(yè)務系統(tǒng)前后端分離的場景。前端處理用戶請求，然后向后端調取數(shù)據(jù)服務。后端也可以調用服務，在調用過程中實現(xiàn)服務器和服務器之間的訪問控制。

4.權限校驗

BeyondProd的訪問策略引擎會對每個請求者的身份和權限進行校驗。如果通過了校驗，則允許業(yè)務后端服務返回數(shù)據(jù)。如果不合法，則由服務上的隔離程序攔截。

5.追溯調用數(shù)據(jù)的終端用戶

BeyondProd要校驗調用服務的請求最初是否來自合法的用戶。當業(yè)務前端調用后端服務時，不僅要驗證前端的身份，還要驗證終端用戶的身份。

例如，某人想打開Gmail查詢日歷信息。那么Gmail的前端服務必須先獲取某人的合法身份憑證，再向后調取日歷信息。后端在接收到請求后，到“訪問策略引擎”校驗用戶行為是否得到授權。只有在用戶和前端服務的身份都合法的情況下，才可以從后端獲取數(shù)據(jù)。這樣可以避免攻擊者以業(yè)務前端為跳板，竊取數(shù)據(jù)。

6.校驗前端服務在代碼方面是否可信

在開發(fā)人員上傳代碼后，系統(tǒng)會校驗代碼是否符合內部安全要求，例如，有沒有進行過代碼審查（Code Review）、有沒有掃描出惡意代碼等。

訪問策略引擎在授權之前，要檢查前端服務的代碼是否達到了可信要求，只有符合要求的才能得到授權。這樣可以降低攻擊者上傳未知代碼、控制前端服務，從而竊取數(shù)據(jù)的風險。

7.校驗前端服務的安全狀態(tài)

授權之前要校驗前端服務宿主機的BIOS、BMC、Bootloader和操作系統(tǒng)內核的數(shù)字簽名等信息，以保障前端服務宿主機的完整性。這樣也可以避免攻擊者通過篡改硬件和系統(tǒng)，控制前端服務，從而竊取數(shù)據(jù)。