Google переносит корпоративные приложения в облако с возможностью доступа извне



    Крупные корпорации, вроде Google, Amazon, Facebook, уже давно работают с облачной инфраструктурой. Правда, по большей части, эти компании создают «облака» для клиентов, для внешних потребителей. Но корпорация Google решила полностью перенести в облако собственные корпоративные приложения. На данный момент в облачную инфраструктуру перенесено уже более 90% корпоративных приложений.

    При этом корпорация пересмотрела саму концепцию корпоративной сети, уйдя от модели ограничения такой сети определенными границами (по большей части, виртуальными), открыв ее для работы извне, и одновременно усилив меры защиты изнутри. Такая концепция получила название BeyondCorp, и ее главное положение — корпоративный интранет так же опасен, как интернет, поэтому необходимо применять значительные меры предосторожности.

    Как это работает?




    Ограничения доступа выставляются не только для отдельных пользователей, но и для отдельных устройств.

    При этом, при наличии определенного уровня доступа, сотрудник получает возможность подключиться к корпоративной сети из любого места, включая офис, дом или кафе (вдруг попалась срочная работа, или возникла идея). Для ограничения уровня доступа используются разные методы аутентификации, авторизации и шифрования. Стоит отметить, что в такой модели защита корпоративной сети при входе в нее из офиса ничуть не менее сильна, чем защита при подключении к той же сети из кафе. В том числе, используется надежный метод шифрования канала связи. Причем в офисе используется тот же метод шифрования, что и для подключения к сети извне.

    «Модель, где интрасеть ограничена стенами здания (или отдельно взятого офиса) отлично работает, когда все сотрудники находятся в здании в рабочее время. Тем не менее, сейчас большое количество сотрудников используют различные типы устройств на работе, работают с различными облачными сервисами, поэтому появились новые типы атак на сети предприятий», считают один из руководителей проекта BeyondCorp Рори Вард (Rory Ward) и журналист Бетси Бейер. Свое видение работы корпоративной сети и современных угроз для такой сети они изложили в документе, опубликованном в декабре.

    Интересен еще один момент: сотрудник компании не сможет зайти в интрасеть со своего домашнего ноутбука, на котором этот сотрудник смотрит «клубничку» и играет в Candy Crash. Для входа можно использовать только устройство, выданное компанией, и которое компания контролирует. Каждый заход в сеть фиксируется, и сохраняется в базе данных. База данных постоянно анализируется — не только с целью обнаружить какие-то отклонения от нормы, но и для включения подобной БД в процессы управления эффективностью работы сотрудников. База данных обновляется при подключении нового сотрудника, смене должности сотрудника или его увольнении. При этом уровень доступа для всех пользователей меняются, при необходимости. К примеру, сотрудника повысили в должности — он получил более высокий уровень доступа. Уволился человек — его отключают от внутренней сети, в этом случае возможность «забыть» удалить аккаунт экс-сотрудника исключена (во всяком случае, так говорят в Google).

    Что дальше?




    Кроме Google, схожую модель начинают использовать и такие компании, как Coca-Cola, Verizon и Mazda. Модель безопасности постепенно изменяется, теперь ключевым фактором является пользователь, для доступа которого к ресурсам сети используется дифференцированный доступ. Когда Google предпринимает какие-то шаги, за корпорацией следуют многие. И перевод корпоративных сервисов и приложений в облако, с изменением модели безопасности корпоративной сети может стать началом процесса массовых изменений модели хранения и работы с данными для средних и мелких компаний.

    В настоящее время модель, которую стала использовать компания Google, значительно отличается от модели, используемой большинством корпораций. Множество крупных и средних предприятий очень сильно зависят от корпоративных программных и аппаратных решений, предотвращающих несанкционированный доступ к информационным ресурсам компаний. Рынок корпоративного ПО, используемого в такой модели, постоянно растет. Аналитики ожидают, что к 2019 году объем рынка составит $8,14 млрд вместо $6,14 млрд в 2014 году.
    King Servers
    0.00
    Хостинг-провайдер «King Servers»
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 5

      0
      Какой раз уже читаю Ваши статьи и почти нигде не указаны источники. Откуда вся эта информация?

      Уволился человек — его отключают от внутренней сети, в этом случае возможность «забыть» удалить аккаунт экс-сотрудника исключена (во всяком случае, так говорят в Google)

      Лично я как-то сомневаюсь что это делается так быстро, особенно в больших корпорациях.
        +1
        Если в компании централизованная система работы с пользователями (AD, ldap), то это делается за минуту.
        Если уходит админ, дольше, да.
          0
          По собственному опыту смены работы могу сказать что из-за ошибки секретарей аккаунт не был деактивирован более полугода — они просто «забыли» что я ушел из департамента. Все началось, когда я обнаружил что имею доступ к старым документам и т.д. и т.п., а чтоб затребовать новый доступ надо идти к старым секретаршам, т.к. они не передали мои документы в новый департамент. Когда я начал писать им, вместо передачи документов, они быстро спохватились и заблокировали мой блэкберри, компьютер и т.д. Ушел еще день на разбирательства и выяснения кто заблокировал и какого он это сделал.
          Знаю коллег, которые ушли из компании, но еще пару месяцев имели доступ к некоторым ресурсам из вне. Сами писали, мол не порядок.
            0
            Да, но по идее закрывать в AD должны не секретари, а IT отдел.
            При увольнении, когда IT руководитель подписывает обходной лист.
            Хотя при переходе из одного департамента в другой — да, тут верю насчет «забыли».
        +1
        Можно посмотреть на это с другой точки зрения.
        Раньше заботились только о защите снаружи, а защиту изнутри часто реализовывали, спустя рукава.
        Отказ от идеи «есть изнутри и есть снаружи» в пользу «считаем, что везде снаружи», повысит безопасность.

        Only users with full accounts can post comments. Log in, please.