安全事故

几乎所有网络安全事故的调查都指出，黑客在完成攻击之前，甚至之后，曾长期潜伏在企业内网，利用内部系统漏洞和管理缺陷逐步获得高级权限

另一方面，内部人员的误操作和恶意破坏（Insider Threat，内部人威胁）一直是企业安全的巨大挑战，长期以来都没有好的解决方案。也就是说，认为企业内网是可信区域的传统看法是站不住脚的。

 

 https://www.freebuf.com/column/172215.html

Forrester分析师John Kindervag提出了“零信任模型”（Zero Trust Model）

BeyondCorp构建了中心化的认证、授权和访问控制系统，从而真正彻底改变了企业的安全体系。

 

访问控制是企业信息安全的核心，而BeyondCorp对用户、设备和目标资源进行了统一管理，并采用集中的认证和授权机制，有效地控制着对所有目标资源的访问。通过实时更新用户、设备和资源信息，动态调整访问控制规则，BeyondCorp能够帮助企业实现及时、准确和全面的控制，从而建起真正有效的信息安全架构。

1）验证并保护所有来源，2）限制并严格执行访问控制，以及3）检查并记录所有网络流量的日志。

 

如隔离网关等，并逐渐获得了广泛的认可，且推动了微隔离（microsegmentation）和软件定义边界（Software Defined Perimeter，SDP）等相关技术的发展和应用。提出“零信任模型”的Forrester分析师John Kindervag在2017年加入了Palo Alto Networks，而相应的，以Palo Alto Networks为代表的安全厂商和VMware为代表的虚拟化/云基础技术提供商都已经推出了相关产品。

 

BeyondCorp和基于“零信任模型”的网络有一个明确的结合点，即BeyondCorp的“访问代理”与“零信任模型”中的“隔离网关”（segmentation gateway，SG）。尽管Google的BeyondCorp项目只重点实现了对HTTP和SSH等应用协议的支持，而Palo Alto Networks和VMware的“零信任模型”目前关注的还主要是普通防火墙工作的网络层，但不管是功能还是作用，二者都是高度一致的。随着下一代防火墙这些年的推广，以及Web应用特别是SaaS的广泛使用，对应用和网络的管理的边界早已模糊。如果我们再进一步考虑对云服务的使用和管理，特别是CASB（Cloud Access Security Broker，云访问安全代理），将看到BeyondCorp与“零信任模型”的共同理念下，未来企业安全的全新架构和应用。