BeyondCorp Enterprise 概览

对今天的企业而言,提供受保护的网络的安全模型已无法满足需求。企业需要一种现代化方法来真正保护公司的最安全资产,并让员工能够在合适的条件下高效工作。

BeyondCorp Enterprise 是 Google 为帮助组织实现这种新方法而推出的工具。通过将用户的信息与设备和位置情境绑定,企业能够进行丰富的访问权限决策并实施安全政策。

BeyondCorp Enterprise 流程

BeyondCorp Enterprise 有两个主要目标:

  • 威胁防范和数据保护功能可以帮助用户避免渗漏风险(例如复制和粘贴)、将 DLP 保护措施扩展到浏览器并防止恶意软件进入企业管理的设备,从而为企业设备提供安全保障。
  • 通过更丰富的访问权限控制措施来保护对安全系统(应用、虚拟机、API 等)的访问,具体方法是使用最终用户的请求的情境来确保每个请求已经过身份验证、获得授权并且尽可能安全。

用户可获得的益处

BeyondCorp Enterprise 采用的安全模型可为应用和设备提供更好的安全状况和安全政策,同时为从不同位置和使用不同设备进行访问的最终用户提供更好的用户体验:

  • 对于管理员:
    • 强化安全状况,以将用户情境的动态变化纳入考虑。
    • 将访问权限范围缩小到仅包括最终用户应访问的资源。
    • 增强员工、承包商、合作伙伴和客户对设备的访问的安全性,无论设备由谁管理。
    • 通过每用户会话管理和多重身份验证扩展安全标准。
  • 对于最终用户:
    • 让所有最终用户能够在任何地方实现高效工作,同时又不会危及安全性。
    • 根据情境授予适当级别的工作应用访问权限。
    • 根据精细的访问权限政策开放对个人所有的设备的访问权限。
    • 顺畅访问内部应用,不会因网络划分而被限流。

常见使用场景

由于最终用户越来越频繁地在办公室以外的地点办公,并且会使用许多不同类型的设备,企业希望拥有可以扩展到所有用户、设备和应用的通用安全模型:

  • 允许非员工不通过 VPN 访问部署在 Google Cloud 或其他云服务平台上的单个 Web 应用。
  • 允许非员工在满足最低安全要求的前提下从个人设备或移动设备访问数据。
  • 防止员工将敏感数据复制并粘贴到电子邮件中,或将数据保存到个人存储空间(例如 Google 云端硬盘)。
  • 仅允许企业管理的设备访问某些关键系统。
  • 为企业数据提供 DLP 保护。
  • 基于用户位置的网关访问权限。
  • 保护混合部署中混合使用 Google Cloud、其他云服务平台或本地资源的应用。

常见信号

BeyondCorp Enterprise 提供企业在进行政策决策时可以参考的常见信号,包括:

  • 用户或群组信息
  • 位置(IP 或地理地区)
  • 设备
    • 企业管理的设备
    • 个人所有的设备
    • 移动设备
  • BeyondCorp Alliance 合作伙伴提供的第三方设备信号:
    • Check Point
    • CrowdStrike
    • Lookout
    • Tanium
    • VMware
  • 风险评分

如何获取 BeyondCorp Enterprise

填写此表单以获取关于如何升级到 BeyondCorp Enterprise 的详细信息。

BeyondCorp 与 Google Cloud 的比较

除基本保护措施外,BeyondCorp Enterprise 还提供企业安全功能,专注于通过身份验证和授权(Google Cloud 的基准功能)来保护应用。通过最终用户保护和丰富的访问权限政策保护,BeyondCorp Enterprise 将这些保护措施扩展到在任意位置运行的应用和数据。

下表显示了 Google Cloud 客户可用的基准功能与 BeyondCorp Enterprise 提供的基准功能之间的区别:
应用和虚拟机访问权限 基准功能 付费功能
通过身份保护应用和虚拟机
通过 IP 和位置规则保护应用和虚拟机
默认错误消息和登录流程
捕获设备状态(端点验证)
在本地或其他云服务平台上运行的应用  
在内部 HTTP 负载平衡后部署的应用  
通过设备特性和身份保护应用和虚拟机  
自动单点登录重定向和自定义错误消息  
高级政策设置 基准功能 付费功能
IP 和位置规则
基于设备的规则  
自定义规则  
访问政策中的合作伙伴信号  
平台功能 基准功能 付费功能
根据 IP 或位置限制组织用户对 Google Cloud Console 和 Google Cloud API 的访问
日志记录(通过 Cloud Logging)
根据设备特性限制组织用户对 Cloud Console 和 Google Cloud API 的访问  
威胁防范和数据保护 基准功能 付费功能
网上诱骗、恶意软件和数据泄露防护  

后续步骤