Google の BeyondCorp
BeyondCorp は、Google での 8 年に及ぶゼロトラスト ネットワークの構築を基に、コミュニティから寄せられたアイデアやベスト プラクティスを加味して設計されたゼロトラスト セキュリティ モデルを Google が実装したものです。アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移すことで、従来のように VPN を介さなくても従業員や契約業者などのユーザーがほぼどこからでもより安全に働けるようにします。
Google での BeyondCorp の実装
BeyondCorp は、VPN を使用しなくてもすべての従業員が「信頼できないネットワーク」を通じて働けるようにする Google 社内のイニシアチブとして始まりました。BeyondCorp は、Google のコア インフラストラクチャに対するユーザーベースまたはデバイスベースの認証や認可を提供するサービスで、ほとんどの Google 社員が日常的に使用しています。
BeyondCorp の研究論文
次の研究論文は、Google における BeyondCorp の概念考案から実装までの過程をまとめたものです。
BeyondCorp の公開
BeyondCorp リモート アクセスを使うことで、事実上あらゆる組織で BeyondCorp が利用できるようになりました。BeyondCorp リモート アクセスは、Google のグローバル ネットワークを通じて、社内用ウェブアプリに安全にリモート アクセスする環境をすばやく構築して、従来のリモート アクセス VPN がなくても社内外の人材がどこからでも任意のデバイスを使って業務用アプリにアクセスできるようにするクラウド ソリューションです。
BeyondCorp について
- BeyondCorp の高レベル コンポーネント
- シングル サインオン、アクセス プロキシ、アクセス制御エンジン、ユーザー インベントリ、デバイス インベントリ、セキュリティ ポリシー、トラスト リポジトリ。
- BeyondCorp の原理
-
- 接続元のネットワークによって、ユーザーがアクセスできるサービスが決定されることはありません。
- サービスへのアクセス権限は、ユーザーとそのデバイスについてサービス提供側が知っている情報に基づき付与されます。
- サービスへのすべてのアクセスは認証、認可、暗号化される必要があります。
- Google の BeyondCorp ミッション(2011 年~現在)
- Google の全従業員が VPN を使用せずに、信頼できないネットワークを介して問題なく働けるようにすることを目指します。
- BeyondCorp 商標ガイドライン
-
下記のガイドラインは BeyondCorp の商標を使用するための指針を提供します。これらの基本的なガイドラインを遵守する場合に限り、事前承認を受けずに BeyondCorp の名称をお客様のウェブサイトまたは印刷物で使用することができます。
BeyondCorp の名称の表示または使用は、BeyondCorp に準拠した実装、および次に示す関連用途においてのみ許可されます。準拠した実装、準拠した実装との統合、準拠した実装のサポート、BeyondCorp 対応製品、BeyondCorp に準拠した実装に関連する販促物、プレゼンテーション、マーケティング資料との関連において BeyondCorp の名称を表示または使用すること。
Google の書面による事前の同意なしに、このドキュメントに明記されていない方法で、BeyondCorp ロゴまたはその他の Google ブランドを使用することを禁じます(詳しくは Google ブランドの第三者による使用のためのガイドラインをご覧ください)。ご要望は beyondcorp-trademark-external@google.com 宛てにお送りください。
「BeyondCorp のビジョンは疑いなくエンタープライズ IT の未来を見据えています。BeyondCorp は、Google での 6 年に及ぶゼロトラスト ネットワークの構築を基に、コミュニティから寄せられた最善のアイデアやベスト プラクティスを加味して設計された企業セキュリティ モデルです。」
- Steve Pugh 氏 Ionic Security 社 CISO および元ホワイトハウス警護室 CISO