引子

促成笔者写这篇文章的理由想来也是有趣，主要是笔者闲聊时和几个老兄弟在私人群里推荐某个手掌大小的蜜罐设备，期间笔者说起了Docker这类ipvlan、macvlan的Linux网络虚拟化技术，一个随身携带的小盒子的单个端口可以模拟N个蜜罐设备和服务，和老兄弟们说起了吸引笔者将其作为网络安全玩具的兴趣，同时一个老兄弟又发散说了蜜罐设备的VLAN Trunk的部署方式，还说起了他做攻击欺骗产品的小秘密。

正是这个蜜罐的网络部署方式，一下子激发了笔者的强烈兴趣，回忆起了过去的种种，突然让笔者意识到了现代企业网络安全架构，笔者从来没有记录和解读过网络安全架构，于是有了想法记录这篇短文。

起源

其实BeyondCorp网络安全架构的起源是一个APT的起源故事，APT这个概念最早的起源来自于2009年针对Google的Operation Aurora（极光行动）。

Operation Aurora从现在安全人员的经验去看，不会有太多的秘密，十年前的APT套路和现在所有的套路并没有什么两样。假想一下当时的情况，Google在全世界各地都有分公司，Google最早的企业网络架构也就是传统的VPN，黑客拿下一个分公司，在分公司通过VPN进入了Google总部，然后在Google总部内网摸了个遍，Gmail服务和源代码是其次，关键是摸到了佩奇的笔记本😄

再假想一下，佩奇对于这次被黑事件非常愤怒，发动Google大拿针对VPN这种落后的、不安全的网络办公方式进行改革的项目。这个网络办公改革项目最初的需求并没有太复杂，只是为了解决异地分公司的网络安全不可控的问题，但是Google大拿们做事，不做则已，要做就要改变行业，结果整出了一个网络安全控制粒度更细的方案，也就是不再相信传统网络边界划分，而是把边界划分到每一个办公设备、每一个账号、每一个服务应用上，最后诞生了现在业界倍加推崇的BeyondCorp（零信任安全架构）。

题外打趣一下，想当年朽木同学去腾讯内网摸到了马总的QQ，才促成了腾讯安全部门的起源，这一系列秘辛，估计很多人都忘记了。看来甲方安全兴起的起源都一样，就是领导被黑了，让领导痛了，领导有了安全认知😂

古代

回到技术的话题，笔者聊聊蜜罐的内网部署方式这个话题，如果要把只有一个网口的蜜罐方便的部署到公司办公网会有哪些方式。

首先，肯定是最原始的VLAN Trunk技术，对于网口打上TAG标签，根据网口TAG分配设备去相应的网络。如果这只是一个单服务蜜罐，那这个再容易不过了，针对网口做配置分配到对应的网段，蜜罐设备插到对应的网口即可。

图片来自互联网

但是如果这是一个虚拟机形态的蜜罐，从一个网口虚出了N个蜜罐服务或系统，每个虚拟的蜜罐服务或系统都有一个独立的IP/MAC地址，那最合适的方式还是用MACVLAN技术，基于MAC地址划分VLAN，根据MAC地址将蜜罐虚拟机分配到相应的网段。

参考：https://ipwithease.com/macvlan-vs-ipvlan-understand-the-difference/

这些都是最基础的网络安全知识，笔者只是想描述下安全人员的初始需求，以及安全人员最初始可以控制的网络安全边界向量其实只是网口和网卡。

近代

如果一个企业可以自由通过网口和网卡进行网络边界管控，这只是达成了企业安全基础能力的第一步，我们只是有了OSI 七层下三层的基本安全能力，所以进一步的就会对上四层有安全需求，于是诞生了802.1x协议，这个协议连接了下三层和上四层，让七层的安全边界管控都有了可能。

802.1x使用EAP协议来实现客户端（操作系统、软件）、设备端（网络设备、网口、网卡）和认证服务器（RADIUS）之间进行身份认证交互。客户端与设备端之间使用的是基于以太局域网的EAPOL格式封装EAP报文进行交互。而设备端与认证服务器之间的交互则可以设计出上四层的网络边界管控能力。

在企业用得最多的落地方案就是Windows域与802.1X协议实现的统一认证，这里笔者就不再过多分析802.1X的技术原理了，简单说就是通过一个域账号可以管控设备最基本的网络访问边界，如果再扩展结合一下不同服务，企业的安全边界管控能力也就算是摸到了零信任的门槛了吧。

现代

回到现代，说说BeyondCorp最初的需求，BeyondCorp的核心愿景是超越组织机构上文描叙的这些古代、近代网络安全架构，建立一种安全边界管控能力在OSI 7层全部做完美的现代企业网络安全架构。

首先，参考下图的BeyondCorp技术架构模拟，可以非常清晰地了解这个BeyondCorp的实现需要哪些技术原理和技术组件，细节笔者也不再过多解读，架构图已经很清晰。

参考：https://www.beyondcorp.com/

其次，笔者解读一些BeyondCorp的架构设计原则：

• 无边界设计：不以OSI 7层任何一层的资源作为单一边界，如网络边界，从特定网络的连接不能决定可以访问哪些服务

• 实体上下文感知：对设备、系统、软件和账号等所有可以掌控的实体粒度进行感知分析验证，授予服务相应的访问权限

• 动态访问控制：所有对业务服务的访问都必须经过身份验证、授权和通信加密

最后，笔者解读BeyondCorp分为的6类核心关键组件：

1. 设备清单服务：一个持续收集、处理和发布已知设备状态变化的系统

2. 信任推理器：一种持续分析和注释设备状态，以确定资源最大访问权限的系统

3. 资源清单服务：受系统访问控制的应用程序、服务和基础设施资源管理系统

4. 访问控制引擎：提供实时授权、决策的集中式访问控制策略执行服务

5. 访问策略：可以成功验证授权、资源访问和其他各种信任映射关系的编程管控方式

6. 核心网关：各类网络服务的代理网关，比如SSH、WEB、802.1x 等，可以对所有的应用和服务进行授权操作

未来

笔者从一个蜜罐的网络配置谈到BeyondCorp，仅仅是从一个安全人员的角度对BeyondCorp进行了简单的解读科普，不同经验的人会对BeyondCorp有不同的认识。

对于未来，笔者看到目前云服务已经对BeyondCorp产生了深远影响，企业的混合云网络架构已经对BeyondCorp安全产生了化学作用，这部分就不在这篇短文涉及了。

最后，笔者认为未来企业的混合云网络架构和BeyondCorp网络安全架构的实现是密不可分的，未来这些都是网络安全架构热点中的热点。