2.1.2　零信任的早期踐行者

谷歌是一家重視網絡安全的全球性互聯(lián)網公司，在對一些網絡安全事件分析后，谷歌發(fā)現公司內網的安全防護薄弱而內部威脅卻與日俱增，便開始嘗試用新的安全思想和架構來重構公司的網絡安全體系，搭建一個適用于云時代并便于員工接入的安全的企業(yè)網絡。谷歌從2011年起在公司內部發(fā)起了代號為“BeyondCorp”的安全項目，并在2014年12月后，陸續(xù)發(fā)表了6篇與BeyondCorp相關的論文，全面介紹了BeyondCorp的架構和谷歌的實施情況。

谷歌最初將BeyondCorp項目的目標設定為“讓所有員工在不被信任的網絡中，不用通過接入VPN就能順利工作”。BeyondCorp項目拋棄了對企業(yè)內網授予默認的信任，提出了一個全新的安全方案，取代了傳統(tǒng)的基于邊界安全的做法。在這種全新的無特權（默認信任）網絡訪問模式下，訪問只依賴于設備和用戶憑證等安全狀態(tài)，以及訪問的上下文環(huán)境情況，而與用戶所處的網絡位置無關。無論用戶是在公司內網、家里、酒店還是咖啡廳的公共網絡，所有對企業(yè)資源的訪問都要基于設備狀態(tài)和用戶憑證等進行認證、授權和加密。這種新模式可以針對不同的企業(yè)資源進行細粒度的訪問控制，所有谷歌員工都可以從任何網絡成功發(fā)起訪問，無須通過傳統(tǒng)的VPN連接進入特權網絡，除了可能存在延遲差異，對企業(yè)資源的本地和遠程訪問用戶體驗基本一致。

從2011年啟動到2017年結束，BeyondCorp項目對谷歌企業(yè)網絡的零信任遷移歷時6年，完成了大部分的企業(yè)應用的系統(tǒng)改造。作為業(yè)界最為著名的零信任實踐案例，BeyondCorp項目的安全理念已經融入大部分谷歌員工的日常工作中，尤其在新冠疫情出現后，谷歌已有超過10萬名員工使用相同的基礎設施遠程辦公。谷歌的案例讓很多人理解到零信任的實施并非只是安全團隊的工作，而需要企業(yè)領導和所有員工的理解和支持。值得注意的是，谷歌的BeyondCorp是一個安全項目，并不是谷歌推出的零信任產品。BeyondCorp項目的很多實踐經驗與谷歌內部的技術棧、業(yè)務特性和工作流程強相關，所以它并不一定適用于其他機構。目前谷歌已經著手將BeyondCorp項目的核心安全能力抽象成商業(yè)化的產品對外提供服務。2021年，谷歌云宣布推出BeyondCorp Enterprise，這是一個由該公司DDoS攻擊保護服務的零信任平臺，該平臺取代了BeyondCorp Remote Access（2020年4月推向市場），是谷歌在零信任商業(yè)產品領域的首次嘗試。