谷歌零信任远程访问产品正式商用，离“消灭VPN”还有多远?

经过近十年的内部实践，BeyondCorp终于正式对外开放使用。

4月21日，谷歌云官方博客发布消息称，为帮助疫情期间企业远程工作，正式推出BeyondCorp远程访问产品，基于谷歌内部已使用近十年的零信任方法，企业员工可以不使用传统VPN，在任何地方、几乎任何设备访问企业内部Web应用正常工作(ps：这也是美军当前的网络建设目标之一)。

BeyondCorp的工作原理为：企业正式员工、合同员工、合作伙伴使用浏览器，通过(谷歌的)代理&受保护流量和基于认证&上网环境的访问控制策略管理，成功访问企业托管在公有云或私有云上的内部应用。

传统VPN有诸多弊端。一是使用成本过高，用户使用起来很复杂，特别是以前没有用过的用户;二是增加了安全风险，企业一般默认VPN访问进来的用户都是可信任的，VPN变成攻击者的突破入口。

谷歌BeyondCorp不只是VPN的替代品，它还能帮助企业确保只有授权过的用户才能在风险可控的上网环境中访问到对应的信息。BeyondCorp提供认证、上网环境、规则引擎、访问控制等功能，企业可设置针对性的访问策略。

比如，人力资源招聘的合同员工在家使用个人笔记本电脑，可以且只能访问Web文档管理系统(需使用最新操作系统、使用安全密钥认证);考勤应用可以在任何设备、任何地方供兼职员工使用。

BeyondCorp是一个托管在谷歌云上的SaaS服务，谷歌目前提供私有应用&其它云应用部署、谷歌云部署两种使用用例，即使私有应用部署，代理和管理后台也都在谷歌云上。

文章来源：安全内参