2024谷歌BeyondCorp论文合集.docx

《2024谷歌BeyondCorp论文合集.docx》由会员分享，可在线阅读，更多相关《2024谷歌BeyondCorp论文合集.docx（75页珍藏版）》请在三一办公上搜索。

1、谷歌BeyondCorp系列论文合集2024【第一篇】BeyondCorp:一种新的企业安全方案【第一篇】BeyondCorp:一种新的企业安全方案如今，几乎所有企业都会采用防火墙来建立安全边界，然而，这种安全模型存在问题：一旦边界被突破，攻击者可以畅通无阻地访问企业的特权内部网络。另一方面，随着企业大规模地采用移动互联网和云计算技术，边界防护变得越来越难。谷歌采用了不同的网络安全方法，逐步摆脱对特权内网的依赖，越来越多地将企业应用程序从内网迁移至公网。从IT基础设施诞生以来，企业一向使用边界防御措施来保护对内部资源的访问。边界安全模型通常被比作中世纪的城堡：有着厚厚的城墙，被护城河环绕，仅有

2、一个守卫森严的入口和出口，任何墙外的东西都被认为是危险的，任何墙内的东西都认为是安全可信的，这也就意味着任何能通过吊桥的人都能获得城堡内的资源。当所有员工都只在企业办公大楼中工作时，边界安全模型确实很有效；然而，随着移动办公的出现、办公使用的设备种类激增、云计算服务的使用越来越广泛、新的攻击向量也随之增加，如上因素逐渐导致传统安全手段形同虚设。边界安全模型所依赖的关键假设不再成立：边界不再由企业的物理位置决定，边界之内也不再是个人设备和企业应用运行的安全地带。大部分企业假设内部网络是安全的环境并且企业应用可以放心暴露在内网，但谷歌的经验证明了这种观念是错误的。应该假设企业内网与公网一样充满危险

3、，并基于这种假设构建企业应用。谷歌BeyondCorP的目标是摒弃对企业特权网络（内网）的依赖并开创一种全新安全访问模式，在这种全新的无特权内网访问模式下，访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络，所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制，所有谷歌员工不再需要通过传统的VPN连接进入内网，而是允许从任何网络成功发起访问，除了可能存在的网络延迟差异外，对企业资源的本地和远程访问在用户体验上基本一致。BeyondCorp的关键组件Bey

4、ondCorp由许多相互协作的组件组成，以确保只有通过严格认证的设备和用户才能被授权访问所需的企业应用，各组件描述如下（见图1）0图IBeyondeOrP的组件和访问流安全识别设备设备清单数据库BeyondCorp使用了“受控设备”的概念由企业采购并管理可控的设备。只有受控设备才能访问企业应用。围绕着设备清单数据库的设备跟踪和采购流程管理是这个模型的基础之一。在设备的全生命周期中，谷歌会追踪设备发生的变化，这些信息会被监控、分析，并提供给BeyondCorp的其他组件进行分析和使用。因为谷歌有多个清单数据库，所以需要使用一个元清单数据库对来自多个数据源的设备信息合并和规一化，并将信息提供给Be

5、yondCorp的下游组件。通过元清单数据库，我们就掌握了所有需要访问企业应用的设备信息。【第一篇】BeyondCorp:一种新的企业安全方案设备标识所有受控设备都需要一个唯一标识，此标识同时可作为设备清单数据库中对应记录的索引值。实现方法之一是为每台设备签发特定的设备证书。只有在设备清单数据库中存在且信息正确的设备才能获得证书。证书存储在硬件或软件形态的可信平台模块(TrUStedPlatformModule,TPM)或可靠的系统证书库之中。设备认证过程需要验证证书存储区的有效性，只有被认为足够安全的设备才可以被归类为受控设备。当进行证书定期轮换时，这些安全检查也会被执行。一旦安装完毕，证书

6、将用于企业服务的所有通信。虽然证书能够唯一地标识设备，但仅凭证书不能获取访问权限，证书只是用来获取设备的相关信息。安全识别用户用户和群组数据库BeyondCorp还跟踪和管理用户数据库和用户群组数据库中的所有用户。用户/群组数据库系统与谷歌的HR流程紧密集成，管理着所有用户的岗位分类、用户名和群组成员关系，当员工入职、转岗、或离职时，数据库就会相应更新。HR系统将需要访问企业的用户的所有相关信息都提供给BeyondCorpo单点登录系统外化的单点登录(SSo)系统是一个集中的用户身份认证门户，它对请求访问企业资源的用户进行双因子认证。使用用户数据库和群组数据库对用户进行合法性验证后，SSO系统

7、会生成短时令牌(short-livedtokens),用来作为对特定资源授权流程的一部分。消除基于网络的信任部署无特权网络为了不再区分内部和远程网络访问，BeyondCorp定义并部署了一个与外网非常相似的无特权网络，虽然其仍然处于一个内网的地址空间。无特权网络只能连接互联网、有限的基础设施服务(如，DNS.DHCP和NTP),以及诸如Puppet之类的配置管理系统。谷歌办公大楼内部的所有客户端设备默认都分配到这个网【第一篇】BeyondCorp:一种新的企业安全方案络中，这个无特权网络和谷歌网络的其他部分之间由严格管理的ACL（访问控制列表）进行控制。有线和无线网络接入的8（21x认证对于有

8、线和无线接入，谷歌使用基于802.Ix认证的RADIUS服务器将设备分配到一个适当的网络，实现动态的、而不是静态的VLAN分配。这种方法意味着不再依赖交换机/端口的静态配置，而是使用RADIUS服务器来通知交换机,将认证后的设备分配到对应的的VLANo受控设备使用设备证书完成802.Ix握手，并分配到无特权网络，无法识别的设备和非受控设备将被分配到补救网络或访客网络中。将应用和工作流外化面向公共互联网的访问代理谷歌的所有企业应用都通过一个面向公共互联网的访问代理开放给外部和内部客户。通过访问代理，客户端和应用之间的流量被强制加密。一经配置，访问代理对所有应用都进行保护，并提供大量通用特性，如全

9、局可达性、负载平衡、访问控制检查、应用健康检查和拒绝服务防护。在访问控制检查（详述见后文）完成之后，访问代理会将请求转发给后端应用。公共的DNS记录谷歌的所有企业应用均对外提供服务，并且在公共DNS中注册，使用CNAME将企业应用指向面向公共互联网的访问代理。实现基于设备清单的访问控制对设备和用户的信任推断每个用户和/或设备的访问级别可能随时改变。通过查询多个数据源，能够动态推断出分配给设备或用户的信任等级，这一信任等级是后续访问控制引擎（详述见后文）进行授权判定的关键参考信息。例如，一个未安装操作系统最新补丁的设备，其信任等级可能会被降低；某一类特定设备，比如特定型号的手机或者平板电脑，可能

10、会被分配特定的信任等【第一篇】BeyondCorp:一种新的企业安全方案级；一个从新位置访问应用的用户可能会被分配与以往不同的信任等级。信任等级可以通过静态规则和启发式方法来综合确定。访问控制引擎访问代理中的访问控制引擎，基于每个访问请求，为企业应用提供服务级的细粒度授权。授权判定基于用户、用户所属的群组、设备证书以及设备清单数据库中的设备属性进行综合计算。如果有必要，访问控制引擎也可以执行基于位置的访问控制。另外，授权判定也往往参考用户和设备的信任等级，例如，可以限制只有全职工程师、且使用工程设备才可以登录谷歌的缺陷跟踪系统；限制只有财务部门的全职和兼职员工使用受控的非工程设备才可以访问财务

11、系统。访问控制引擎还可以为应用的不同功能指定不同的访问权限和策略，例如，在缺陷跟踪系统中，与更新和搜索功能相比，查看某一条记录可能不需要那么严格的访问控制策略。访问控制引擎的消息管道通过消息管道向访问控制引擎源源不断地推送信息，这个管道动态地提取对访问控制决策有用的信息，包括证书白名单、设备和用户的信任等级，以及设备和用户清单库的详细信息。一个端到端示例应用本例中，我们假设一个应用将被BeyondCorp化”，这个应用用于工程师审核、注释、更新源代码，并且经审核者批准后可以提交代码。进一步假设权限设定为：允许全职和兼职工程师从任何受控设备上对这一应用GrbeMup印拿m进行i方问。配置面向互联

12、网的访问代理的所有者为这一服务配置访问代理。配置指定了应用后端的网络位置和每个后端可承受的最大流量。的域名在公共DNS中注册，其CNAME指向访问代理。例如：【第一篇】BeyondCorp:一种新的企业安全方案$;DiG9.8.1-P1;(1serverfound);globaloptions:+cmd;Gotanswer:;-HEADER访问控制引擎(ACCeSSControlEngine)访问策略(AccessPOliCy)、网关(Gateways)和资源(Resources),如图1所示，BeyondCorp所使用的各术语定义如下：访问需求被划分为不同的信任等级(TrUStTiers),

13、不同的等级代表着不同的敏感度，等级越高，敏感度越高。资源(ReSoUrCeS)代表所有访问控制机制将覆盖的应用、服务和基础设施。包括在线知识库、财务数据库、链路层访问、实验室网络等等，需要为每个资源都分配一个访问所需的最小信任等级。信任引擎(TnIStInferer)是一个持续分析和标注设备状态的系统。该系统可设置设备可访问资源的最大信任等级，并为设备分配对应的VLAN,这些数据都会记录在设备清单服务中。任何设备状态的更新，或者信任引擎无法接收到设备的状态更新消息，都会触发对其信任等级的重新评估。访问策略(ACCeSSPoIiCy)是描述授权判定必须满足的一系列规则，包含对资源、信任等级和其他

14、影响授权判定的因子的程序式表示。访问控制引擎(ACCeSSControlEIIgine)是一种集中式策略判定点，它为每个访问网关提供授权决策服务。授权过程一般基于访问策略、信任引擎的输出结果、请求的目标资源和实时的身份凭证信息，并返回成功/失败的二元判定结果。设备清单服务(DeViCeInventorySerViCe)是BeyondCorp系统的中心，它不断收集、处理和发布所有在列设备状态的变更。网关(Gateways)是访问资源的唯一通道，如SSH服务器、Web代理或支持802.1x认证的网络等。网关负责对授权决策进行强制执行，例如强制最低信任等级或分配VLANo图1: BeyOndCOrP

15、系统的关键组件BeyondCorp的组件通过使用下列组件，BeyOndCOrP将各类己有系统组件、新系统组件进行集成，以便实现灵活而细粒度的信任判定。设备(Device)和主机(HoSt)要实现基于清单的访问控制，基本前提就是要建立清单库。基于环境和安全策略，团队需要先针对设备和主机的定义达成一致。设备(device)是物理或虚拟“计算机”，而主机(host)是指某特定时间点上设备状态的快照。例如，设备可能是一台笔记本电脑或一部手机，而主机则是运行在该设备上的操作系统和软件的详细信息。设备清单服务包含设备信息、运行于设备上的主机信息、以及对二者的信任评估。在下面的章节中，根据不同的访问策略配置

16、，“设备”既可能指代物理设备也可能指代主机。建立基础清单库后，其余组件就可以按需部署，以提供安全性更高、覆盖率更广、颗粒度更细、延迟性更低、灵活性更佳的基于清单的访问控制服务。基于信任等级的访问信任度可以划分为若干信任等级，并由信任引擎为每个设备分配信任等级，另外，需要为每个资源都事先分配一个访问所需的最低信任等级，简称访问信任等级。设备被分配的信任等级必须大于等于资源的访问信任等级才可访问该资源。简单举一个婚庆餐饮公司的例子：送货员只需要查询婚礼的地址，这种访问请求所需的信任等级较低，事实上，他们也并不需要访问更敏感的服务，比如账单系统，这类系统一般会分配一个较高的访问信任等级。分配访问信任

17、等级有几个优点：降低了高安全要求的设备相关的运维成本（主要是与技术支持和生产力相关的成本），同时也提高了设备的可用性。如果允许设备访问更多高敏感数据，则需要更频繁地检测以确保设备使用者确实“在场”，因此越是信任某个设备，其身份凭证有效期应该越短。因此，按照潜在访问需求所需的最低信任等级来要求/限定设备所需的信任等级，就意味着设备使用者在访问过程中受到干扰的程度会降到最小。比如，为了维持较高的信任等级，就需要设备在几个工作日内必须完成操作系统最新升级包的安装；而对于信任等级需求较低的设备，安装升级包的时间窗口就可以稍微宽松些。再举一个例子，一台由公司集中管理的笔记本电脑，由于在一段时间内没有连接

18、到网络，因此没有更新到最新状态。如果操作系统缺少几个-7；其信任等级可能被降为中等，仅允许访问部分业务应用，而被拒绝访问需要更高信任等级的业务应用。但如果它缺少派勺；或者防病毒软件报告该设备已感染病毒，那就只允许它连接补救服务。在最极端的情况下，一台明确的遗失或被盗设备会被拒绝访问所有企业资源。除了分配信任等级，信任引擎还通过标注设备可访问的VLAN来进行网络分段。网络分段允许我们基于设备状态来限制对诸如实验室和测试环境的特定网络的访问权限。当一个设备变得不可信时，可以将它分配到隔离网络，在设备恢复信任之前仅提供有限的资源访问权限。设备清单服务设备清单服务(如图2所示)是一个不断更新的数据管道

19、，能够从广泛的数据来源中导入数据。系统管理数据源可能包括活动目录(ACtiVeDireetOry)、Puppet和Simian,其他设备代理、配置管理系统和企业资产管理系统也会向该管道导入数据。外部(OUt-Of-band)数据源包括漏洞扫描系统、证书颁发机构和诸如ARP映射表等网络基础设施单元。每个数据源都可以发送设备相关的完整数据或增量数据。1.IIhk(-资产曾建目录身MBAM三BeyOndCorP设备清单服务自实施初期，已经从超过15个数据源中吸收了数十亿的增量数据，速度约300万条/天，总量超过80TB。保留历史数据非常重要，因为这样才能更好地了解特定设备的端到端生命周期、跟踪和分析

20、总体趋势、执行安全审计和调查取证。数据类型数据有两种主要的类型：观察数据和预设数据。观察数据由程序产生，包括以下项目： 最近一次在设备上执行安全扫描的时间,及扫描结果 活动目录的最后同步策略和时间戳 操作系统版本和补丁等级 已安装的软件预设数据通过IT运维手动维护，包括以下内容： 为设备分配的所有者 允许访问该设备的用户和组 分配的DNS和DHCP 对特定VLAN的显式访问权限在数据不足或客户端平台不可定制的情况下，就需要明确分配（比如打印机就属于这种情况）。与观察数据所表现的易变性相比，预设数据通常是静态的。通常需要分析许多来自不同来源的数据，用以识别潜在的数据冲突，而不要盲目地相信单个或少

21、量系统的数据真实性。数据处理数据格式的转换与统一为了使设备清单服务保持最新状态，涉及几个处理阶段。首先，所有数据必须转换成一种通用数据格式。一些数据源，比如内部自研系统或开源解决方案，可以通过系统改造，在提交数据时主动发布给清单服务。而其他来源，特别是那些第三方数据源，可能无法扩展或改造，难以支持主动的变更发布，这种情况需要通过定期轮询来获得更新。数据关联当输入数据格式统一后，就进入数据关联阶段。在这个阶段，所有来自不同数据源的数据都被聚合、关联到某一设备，当确定两条记录描述的是同一设备时，就将它们合并为单条记录。数据关联过程看似简单，但在工程实践中却相当复杂，因为许多数据源之间并不具备数据关

22、联所必须的重叠的“标识符”。LI图3数据处理管道例如，资产管理系统可能存储资产ID和设备序列号，而磁盘加密托管系统存储硬盘序列号，证书颁发机构存储证书指纹，ARP数据库存储MAC地址。这些数据不具备一个重叠的“标识符”，难以确定来自这些独立系统中的增量是否描述的是同一个设备，只有在清单报告代理同时报告几个或全部这些标识信息之后,这些多源的、没有交集的记录才可能合并为单条记录。如果再考虑到设备的全生命周期，相关的信息及其关联过程将更加一团糟，因为硬盘、网卡、机箱和主板都有可能被替换，甚至会在设备之间交换。另外，如果还考虑人为的数据录入错误，情况会更加复杂。信任评估一组输入记录一旦完成关联合并，就

23、会触发引擎进行重新评估。为了分配信任等级，评估分析过程引用多种字段并聚合产生最终结果。信任引擎目前从不同的数据源引用了数十个字段，包括针对特定平台的和平台无关的；随着系统的不断演化，还有数百万个额外字段可供分析。例如，为了获得较高信任等级，可能需要一个设备满足以下所有（或更多）需求： 加密 成功执行所有的管理和配置客户端程序（agents） 安装最新的操作系统安全补丁 从所有输入源中获得的数据状态一致这种信任等级预计算减少了必须被推送到网关的数据量，以及在为访问请求做授权判定时所需的计算量。这一步也确保所有的执行网关都使用了一致的数据集合。在这个阶段，我们甚至可以对非活跃设备修改信任等级。比如

24、在以前，我们会预先拒绝所有可能受到Stagefright漏洞影响的设备的访问权限，即便它们还没发起实质性的访问请求。预计算同样为我们提供了一个实验框架，在此框架中可以对变更进行预验证，以及在不影响整个公司的情况下，对策略或信任引擎进行小幅度的局部调整和验证。当然，预计算也有它的局限性，还不能完全依赖它。比如，访问策略可能要求进行实时的双因子认证，或者限制来自某已知恶意网段的访问请求。策略或设备状态变更与网关真正执行这个变更之间的延迟并不是什么大问题，因为更新延迟通常在1秒以内。事实上更本质的问题是，并不是所有的信息在预计算阶段都能够获取。特殊处理信任引擎对于设备信任等级的分配有最终决定权。信任

25、评估还需要考虑设备清单服务中已存在的特殊处理。通过特殊处理，允许对通用访问策略进行覆盖和重写。特殊处理主要为了降低策略变更或新策略的生效延迟。比如，由于安全扫描设备可能尚未升级，检测不出某种冬日攻击，但可以通过特殊处理立即阻止某台可能遭受零日攻击的设备；同样，可以采用特殊处理，允许将某台不可信设备连接到实验室网络。物联网设备安装和维护设备证书可能并不可行，同样可以通过特殊处理，直接为其分配适合的信任等级以确保正常访问。部署首次上线BeyondCorp上线的第一阶段包含一部分网关和初步的元清单服务，这些服务仅由少数几个数据源构成，主要是一些预设数据。最初实现的访问策略模拟了谷歌已有的基于IP的边

26、界安全模型，并将这个策略集应用到不可信设备上，为来自特权网络的设备保留不变的访问权限。这种策略能够确保在系统完善之前，能安全地部署系统的一些组件，而不会影响用户的平滑使用。与此同时，BeyondCorp团队也在设计、开发并持续迭代一个规模更大、延迟更低的元清单解决方案。这个设备清单服务从超过15个数据源收集数据，根据正在主动生成数据的设备数量，每秒钟可能有30至100个不等的数据变更。设备清单服务主要提供的是企业设备的信任资格标注和强制授权。随着元清单解决方案的成熟，可以获得更多的设备信息，能够逐步地依靠信任等级分配，逐步替代基于IP的策略。在验证了低信任等级设备的工作流后，对更高信任等级的访

27、问进行细粒度限制，并逐步迈向最终目标：随着时间的推移，有序扩大设备和企业资源的信任等级分配范围，并基于信任等级进行访问控制。考虑到前文提到的从不同来源关联数据的复杂性，BeyondCOrP采用x.509证书作为固定的设备标识符。x.509证书提供了两个核心功能： 如果证书发生变化，即使所有其他标识符都保持相同，设备也被标记为不同设备。 如果证书安装在不同的设备上，关联逻辑会发现证书冲突以及与辅助标识不匹配，随即做出反馈，降低设备信任等级。证书并未降低数据关联的必要性，其本身也不足以获得访问权限。但它确实能提供一个基于密码学的GUlD,访问网关还可将其用于流量加密，并持续、唯一地标识设备。移动设

28、备谷歌一直力图使移动设备成为主流平台，移动设备必须能够完成与其他平台相同的任务，因此也需要相同的访问等级。与其他平台相比，在移动平台上部署信任等级访问模型更容易。移动设备的特点是没有太多传统遗留通信协议和访问方法，因为几乎所有通信都是基于HTTP的。安卓设备使用加密的安全通信，允许在设备清单中识别设备。值得一提的是，由于API也位于与访问控制引擎集成的访问代理之后，因此原生应用程序与通过Web浏览器访问的资源都能通过相同的授权机制进行保护。遗留（LeeaeY）平台和第三方平台为了支持遗留平台和第三方平台，我们需要采用比移动设备更广泛的访问方法。为此任意TCP和UDP流量，我们通过SSH隧道和客

29、户端SSL/TLS代理技术提供的隧道通信。而网关只允许符合访问控制引擎中策略的隧道业务通过。RADIUS3是一个特例：它与设备清单服务集成，但它从信任引擎接收的是VLAN的分配结果，而不是信任等级的分配。在网络连接时，RADIUS使用802.Ix认证的证书来作为设备标识符，通过信任引擎分配的结果，动态设置VLANo避免干扰用户在部署BeyondCorp的过程中，面临的最大挑战之一是如何在不干扰用户的情况下完成如此大规模的任务。为了制定策略，需要先确认现有的工作流。从现有的工作流中，可以确定： 哪些工作流，可以与无特权网络兼容 哪些工作流允许进行超出预设的访问或哪些工作流允许用户绕过已经存在的限

30、制为了确认工作流，我们采用双管齐下的模式。一方面，开发了一个模拟管道，它可以检查IP级元数据，将流量划分到服务，并在模拟环境中应用了我们预期的网络安全策略；另一方面，将安全策略转换为每个平台本地防火墙配置语言。在企业网络上，这种手段可以很好的记录流量元数据，这些流量是访问谷歌企业服务所必须的，稍有差池，迁移到无特权网络后，这些服务很可能无法访问。在此过程中，我们还有一些令人惊讶的意外发现，比如那些早就应该下线的服务，却不明就里的仍在运行。收集了这些数据之后，通过与服务所有者合作，将他们的服务迁移到支持BeyondCorp的网关。有些服务很容易迁移，但还有些服务则比较困难，需要一些特殊处理机制。

31、不过，这种情况都明确指定了责任人，确保服务所有者能在限定期限内消除例外。随着越来越多的服务进行了更新和改造，越来越多的用户在不执行任何例外处理的情况下也可以正常工作很长一段时间，此时，就可以将用户的设备分配到一个无特权的VLANo通过这种方法进行过渡，用户使用不兼容BeyondCorp的应用不会感到不太方便；迁移压力基本都在服务提供者和应用程序开发人员身上，这可以促使他们正确地配置相关服务。特殊处理增加了BeyondCorp生态系统的复杂性，随着时间的推移，为什么我的访问被拒绝了？”这个问题的答案已经不那么明了。基于清单数据和实时请求数据，需要非常明确地判断特定请求在特定时间点失败或成功的原因

32、。回答上述问题的第一步是与终端用户建立沟通（警告其潜在的问题，以及如何进行自我修复或联系支持），并培训IT运维人员。此外，还开发了一种服务，它可以分析信任引擎的决策树和影响设备信任等级分配的事件的时间顺序，从而提出补救措施。有些问题用户可以自己解决，不需要权限更高的支持人员。拥有额外访问路径的用户通常能够自我修复，例如，如果用户认为他的笔记本电脑信任评估不当,但手里还有一只信任等级足够的手机，我们可以将诊断请求转发给这个手机进行评估。挑战和经验教训数据质量及相关性资产管理的数据质量问题可能导致设备无意中失去对企业资源的访问权限。拼写错误、标识错误和信息丢失都是常见问题。此类问题可能由于采购团队

33、收到资产并将其添加至系统时的人为失误，也可能是由于制造商工作流程的失误导致。数据质量问题也经常发生在设备维修过程中，主要原因在于替换设备的零部件或在设备之间交换某个部件。这些问题可能会破坏设备记录，除非人工检查这些设备，否则很难修复这些记录上的差错。例如，单条设备记录可能实际上包括两个不同设备的数据，要自动修复和分离数据甚至需要调整设备硬件的资产标签甚至主板序列号。这时最有效的解决方案是通过本地工作流程改进并增加自动输入验证，以便在输入时发现并减少人为错误。复式记账法有一定帮助但是并不能发现所有错误。做出准确的信任评估需要设备清单库提供高精度的数据，所以这又迫使人们不得不重新关注设备清单库中的

34、数据质量。这种数据的精确性要求是前所未见的，也带来了前所未有的价值。比如，我们能精确地知道终端信息，安装最新补丁的情况，进而提高整个系统安装最新补丁的百分比。稀疏数据集如前所述，上游数据源未必有重叠的设备标识符。以下列举一些潜在的场景：新设备可能有资产标签，但没有主机名；在设备生命周期的不同阶段，硬盘序列号可能与不同的主板序列号相关联，又或者MAC地址可能会发生冲突。一组简单的启发式算法可以将大部分增量与数据源某个子集相关联，但为了将精度提高到接近100%,需要一组非常复杂的启发式算法来处理看似无穷无尽的边缘情况。一小部分数据不匹配的设备，可能会使数百甚至数千名员工无法使用他们工作中的必需应用

35、。为了减少这种情况的发生，监控并验证各种综合数据可能的情况，精细设计和验证信任评估路径，最终确保符合预期的信任等级评估结果。管道延迟由于设备清单服务从几个不同的数据源中获取数据，所以每个源可能都需要一个特定的实施方案。自研系统或基于开源系统的数据源很容易扩展，以便异步地向我们现有管道发布增量。对于其他来数据源必须定期轮询，这需要在轮询频率和由此产生的服务器负载之间取得平衡。尽管将变更信息传递到网关通常不到一秒，但是对于轮询的场景，一些变更可能需要几分钟才能获悉。此外，串行处理本身也会增加时延。因此，需要采用流式处理。沟通对安全基础设施的根本性改变可能会对整个公司的生产力产生负面影响。与用户沟通改变的潜在影响、会出现的问题和可能的补救措施十分重要，但是很难找到过度沟通和沟通不足之间的平衡点。沟通不足会让用户感到惊讶和困惑，造成补救措施效果差，IT支持人员的工作也会超负荷。过度沟通也有问题：不愿改变的用户会倾向于高估变化带来的影响并企图寻求不必要的豁免。过于频繁的【第二篇】谷歌BeyondCorp:从设计到部署沟通也