首页 >行情 > 内容

Google新推出多种身份验证与存取控制功能助企业部署零信任安全架构

行情 2021-02-23 16:07:39

Google宣布了多种新方法,帮助企业部署零信任架构BeyondCorp模型,从为Cloud Identity-Aware Proxy(Cloud IAP)加入情境感知,到推出Active Directory(AD)託管服务等,都是要让企业不需要VPN,或是为应用程式加入身份认证管理,就能存取传统LDAP应用程式以及虚拟机器。

随着网际网路应用程式和基础架构的类型增加,传统基于网路的保护资料存取方法越来越不敷使用,Google在2011年开始使用BeyondCorp安全模型来保护内部资源,在2017年释出了Cloud IAP,现在则将情境感知存取功能,正式加入Cloud IAP和VPC服务,让企业保护网页应用程式、虚拟机器和GCP API,这个功能目前在Cloud Identity还在Beta阶段,但企业可以先尝试使用,来保护G Suite应用程式存取。Google提到,情境感知存取可以定义使用者身份与存取应用程式的精细度等,让企业能够给予使用者简单的方法,但又能安全地存取应用程式或是基础设施资源。

在Cloud IAP、Cloud IAM与VPC Service Controls上,使用情境管理存取保护GCP工作负载不需要额外收费,而在G Suite上的情境感知存取功能,包括Gmail、云端硬碟、文件、日曆以及Cloud Keep等功能,企业只要使用Cloud Identity Premium、G Suite Enterprise还有教育版G Suite Enterprise,就能开始使用Beta版。

另外,现在Android手机还能内建安全金钥,让使用者可以使用手机的双因素验证(Two-Factor Authentication,2FA)登入Google的服务。Google认为基于FIDO标準的安全金钥,是目前市场上最能抵抗钓鱼的双因素验证方法,因此鼓励使用者使用内建在Android手机中的安全金钥进行认证登入。

这个安全金钥使用标準公钥加密的协定,与传统的双因素验证像是SMS或是代码相比,可以提供更强健的网路钓鱼和帐户接管保护,Google提到,去年员工开始使用安全金钥以来,就没有再发生过帐户遭到接管。目前该项功能处于测试阶段,Android 7.0+装置内建安全金钥,这项服务不另外收费,使用者可以直接将现有手机,使用在工作以及个人帐户的双因素验证上,以蓝芽在Chrome OS、macOS或Windows 10上登入Chrome浏览器。

Google也宣布单一登入(Single Sign-On,SSO)功能开始支援密码储存管理(Password Vaulting)、增强型终端使用者入口以及整合的人力资源管理系统(HRMS),以简化应用程式存取。使用者可以透过密码管理应用程式,一键存取各种应用程式,而Cloud Identity拥有庞大的SSO应用程式目录,让企业能以单一系统管理所有应用程式的存取权限。

即将上线的密码储存管理功能会有一个仪表板(下图),让使用者可以查看所有能够使用SSO登入的应用程式,而仪表板将会取代原本的Apps User Hub,以提供更完善的使用者体验。在人力资源管理上,当员工进入、离开企业或是改变角色,则其存取权限势必做出改变,Google与主要的HRIS/HRMS供应商合作,让员工讯息可以在人力资源系统和云端身份间同步。

去年Google针对客户和合作伙伴推出的Cloud Identity测试版(CICP),让企业为其应用程式添加Google身份以及存取管理功能,现在这个功能成为正式版,并且重新命名为Identity Platform。Identity Platform提供可自定义的身份验证服务,能用来管理使用者注册和登入的使用者介面流程,并支援多种身份验证方法,也提供客户端和伺服器端SDK,还整合Google的智慧与威胁讯号,以侦测受到入侵的使用者帐户。

最后,Google还发布了支援微软Active Directory(AD)的Managed Service,这是一个高可用性,经过强化的云端服务,可以帮助企业管理在云端使用AD的工作负载。Google提到,即便企业早已经可以在GCP上部署AD环境,但需要自己进行管理把关安全性,但Managed Service为一个託管服务,由Google负责维护。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。