FAQ
什麼是 BeyondCorp?該如何實踐?
BeyondCorp 希望實現的目標是使用者即便利用不被信任的網路,也能不透過 VPN 存取內部資源。藉由驗證每筆存取和統一的驗證方式實踐零信任的概念,讓「情境」(如:IP、地點、使用者身份和裝置等)取代單純限制網段的方式,強化員工遠端使用雲端運算服務的安全性。
Cloud IAP 是 BeyondCorp 框架下的一個實作,從最初連線到網站時的身分驗證,到進一步確認使用者的情境,例如從哪一個 IP 連線、位處哪個地區以及手機有沒有設密碼等,最後再放行到應用程式。如想進一步了解實作步驟,可參考《[DDoS大作戰] BeyondCorp 實作 – 設定 Cloud IAP 完全封鎖外部異常流量》一文。
傳統利用 VPN 連線與跳板機提高雲端運算安全性的做法有什麼缺點?可如何優化?
雖然使用 VPN 連線與跳板機可創造加密的資料傳輸環境,並增加資源的保護深度,但兩種方式都需額外花時間設置,且維護管理上較困難,被攻破後危險性也更高,所以儘管防護效果佳,但仍有其不便性及安全疑慮。
想同時解決開放外部 IP 的隱憂和管理麻煩,Cloud Ace 建議可改使用 Cloud IAP 的 TCP-Forwarding 功能。藉由 HTTPS 加密連線和 IAM 權限判讀,使用者能不透過外部 IP,用更短的時間建立安全的遠端連線。詳細的設置內容可參考《比 VPN 連線、跳板機更方便!利用 Cloud IAP 快速建立遠端安全連線》一文。
除了 SSH key 外,有其他更好管理且安全的 VM 連線方法嗎?
有,如您是使用 Linux 作業系統,可考慮透過 OS Login 服務,將 SSH 登入控管層級從單一 key 的管理提升至 IAM 的角色權限控管,保障安全性的同時也減輕管理者的負擔。想深入了解 OS Login 功能和操作,可參考《比 SSH 連線 GCE 更好管理!輕鬆以 OS Login 掌握用戶資訊》一文。
