BeyondCorp Enterprise 概览

对今天的企业而言,提供受保护的网络的安全模型已无法满足需求。企业需要一种现代化方法来真正保护公司的最安全资产,并让员工能够在合适的条件下高效工作。

BeyondCorp Enterprise 是 Google 为帮助组织实现这种新方法而推出的工具。通过将用户的信息与设备和位置情境绑定,企业能够进行丰富的访问权限决策并实施安全政策。

BeyondCorp Enterprise 流程

BeyondCorp Enterprise 有两个主要目标:

  • 威胁防范和数据保护功能可以帮助用户避免渗漏风险(例如复制和粘贴)、将 DLP 保护措施扩展到浏览器并防止恶意软件进入企业管理的设备,从而为企业设备提供安全保障。
  • 通过更丰富的访问权限控制措施来保护对安全系统(应用、虚拟机、API 等)的访问,具体方法是使用最终用户的请求的情境来确保每个请求已经过身份验证、获得授权并且尽可能安全。

用户可获得的益处

BeyondCorp Enterprise 采用的安全模型可为应用和设备提供更好的安全状况和安全政策,同时为从不同位置和使用不同设备进行访问的最终用户提供更好的用户体验:

  • 对于管理员:
    • 强化安全状况,以将用户情境的动态变化纳入考虑。
    • 将访问权限范围缩小到仅包括最终用户应访问的资源。
    • 增强员工、承包商、合作伙伴和客户对设备的访问的安全性,无论设备由谁管理。
    • 通过每用户会话管理和多重身份验证扩展安全标准。
  • 对于最终用户:
    • 让所有最终用户能够在任何地方实现高效工作,同时又不会危及安全性。
    • 根据情境授予适当级别的工作应用访问权限。
    • 根据精细的访问权限政策开放对个人所有的设备的访问权限。
    • 顺畅访问内部应用,不会因网络划分而被限流。

常见使用场景

由于最终用户越来越频繁地在办公室以外的地点办公,并且会使用许多不同类型的设备,企业希望拥有可以扩展到所有用户、设备和应用的通用安全模型:

  • 允许非员工不通过 VPN 访问部署在 Google Cloud 或其他云服务平台上的单个 Web 应用。
  • 允许非员工在满足最低安全要求的前提下从个人设备或移动设备访问数据。
  • 防止员工将敏感数据复制并粘贴到电子邮件中,或将数据保存到个人存储空间(例如 Google 云端硬盘)。
  • 仅允许企业管理的设备访问某些关键系统。
  • 为企业数据提供 DLP 保护。
  • 基于用户位置的网关访问权限。
  • 保护混合部署中混合使用 Google Cloud、其他云服务平台或本地资源的应用。

常见信号

BeyondCorp Enterprise 提供企业在进行政策决策时可以参考的常见信号,包括:

  • 用户或群组信息
  • 位置(IP 或地理地区)
  • 设备
    • 企业管理的设备
    • 个人所有的设备
    • 移动设备
  • 来自 BeyondCorp Alliance 合作伙伴的第三方设备信号。
    • Check Point
    • CrowdStrike
    • Lookout
    • Tanium
    • VMware
  • 风险评分

如何获取 BeyondCorp Enterprise

填写此表单以获取关于如何升级到 BeyondCorp Enterprise 的详细信息。

BeyondCorp Enterprise 与 Google Cloud 的比较

除基本保护措施外,BeyondCorp Enterprise 还提供企业安全功能,专注于通过身份验证和授权(Google Cloud 的基准功能)来保护应用。通过最终用户保护和丰富的访问权限政策保护,BeyondCorp Enterprise 将这些保护措施扩展到在任意位置运行的应用和数据。

下表显示了 Google Cloud 客户可用的基准功能与 BeyondCorp Enterprise 提供的基准功能之间的区别:
应用和资源访问权限 GCP 基准 BeyondCorp Enterprise Essentials BeyondCorp Enterprise
对 Google Cloud Platform 上的 Web 应用的访问权限控制  
对 GCP 上虚拟机的 SSH、RDP 和 TCP 端口进行访问权限控制  
对 Google Cloud Platform API 的访问权限控制  
对 Google Cloud 控制台的访问权限控制  
对 GCP 内部负载均衡中的 Web 应用的访问权限控制    
对客户本地的 Web 应用进行访问权限控制    
对粗客户端 / 客户端-服务器应用的访问权限控制    
对 AWS 和 Azure 上 Web 应用的访问权限控制    
对基于 SAML 的应用进行访问权限控制(登录时间)  
对 Google Workspace 管理控制台的访问权限控制  
访问权限政策和高级设置 GCP 基准 BeyondCorp Enterprise Essentials BeyondCorp Enterprise
使用用户的访问权限级别
使用 IP 地址和地理位置的访问权限级别
使用时间和日期限制的访问权限级别  
使用登录凭据强度的访问权限级别  
使用企业证书的访问权限级别  
使用设备安全状况的访问权限级别  
使用 Chrome 安全状况的访问权限级别  
使用第三方合作伙伴信号的访问权限级别  
使用高级表达式语言的访问权限级别  
HTTP OPTIONS 中的同源政策配置 不适用
自定义身份验证网域和 403 页面   不适用
用户、威胁和数据保护 GCP 基准 BeyondCorp Enterprise Essentials BeyondCorp Enterprise
提供数据泄露防护功能,可搭配预定义或自定义检测器 (Chrome)  
利用高级沙盒技术保护恶意软件 (Chrome)  
钓鱼式攻击和恶意网址防护功能 (Chrome)  
威胁和数据保护提醒及报告 (Chrome)  

后续步骤