Google更新零信任解决方案BeyondCorp Enterprise，简化自定义存取政策配置

Google更新零信任解决方案BeyondCorp Enterprise，加入3项新功能，让用户可以对其终端使用者，以更安全简单的方式控制应用程序存取。第1个是对GCP API透过VPC服务控制，提供基用凭证的存取控制，官方提到，不少用户使用不记名的证书存取云端控制台和API，但是当这些证书意外泄漏时，就可能被攻击者用来进行非法存取。

而基于凭证的存取控制，是除了证书之外，还要加上经过验证的装置凭证，才能够进行存取，因此能够防止凭证被盗或是意外泄漏的风险。现在Google对8种类型的VPC服务控制资源，提供客户端凭证原生支援，包括GCE、GKE、Cloud KMS、BigQuery和Logging等，之后Google还会继续增加更多支援的服务。

BeyondCorp Enterprise也开始正式提供本地端连接器，供用户可以连接到本地资源，借由部署连接器，就能够使用身份感知代理（Identity-Aware Proxy，IAP），保护Google云端之外的HTTP或HTTPS本地应用程序，在本地端应用程序发出请求时，IAP会对用户进行身份验证和授权，并将请求路由到连接器。

另外，Google也在BeyondCorp Enterprise背后的零信任政策引擎Access Context Manager（ACM），添加更多的零信任存取条件，利用这些新属性，管理员就能够用更多元的方式制定高精细度的存取控制政策，这3组新属性分别是时间和日期、证书强度以及Chrome浏览器。

时间和日期属性能够限制终端使用者存取资源的时间和日期，可用于例如轮班工人和临时员工的存取控制。由于配置双因素验证是防止安全漏洞的重要方法，借由将证书强度当作存取控制政策中的条件，企业就能依据硬件安全金钥的使用，或是其他形式的多因素验证，来实施存取控制，BeyondCorp Enterprise现在支援通知推送、SMS认证码、2SV软件和硬件金钥、一次性密码和任何形式的MFA等验证方法。

对于Chrome浏览器用户，管理员可以设定零信任政策，来确保用户浏览器环境启用了威胁和资料保护功能，ACM自定义存取等级的新条件包括管理状态、最小版本、即时URL检查启用状态、档案上传下载分析启用状态和安全事件回报启用状态等。