// 实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
MITRE ATT&CK 是基于真实世界观察的全球可访问的对手战术、技术和过程(TTP)知识库。本技能涵盖系统性地将威胁行为者行为映射到 ATT&CK 框架、使用 ATT&CK Navigator 构建技术覆盖热力图、识别检测差距,以及生成将观察到的 IOC 关联到 Enterprise、Mobile 和 ICS 矩阵中特定对手技术的可执行情报报告。
| name | implementing-beyondcorp-zero-trust-access-model |
| description | 实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。 |
| domain | cybersecurity |
| subdomain | zero-trust-architecture |
| tags | ["beyondcorp","zero-trust","zero-trust-architecture","google-cloud","iap","identity-aware-proxy","ztna","access-context-manager","vpn-replacement","remote-access-security","device-trust"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
不适用于需要原始网络级访问的应用(如 IAP 不支持的基于 UDP 的协议)、面向消费者的公开应用,或组织缺乏具有 MFA 能力的身份提供商的场景。
定义代表信任级别的访问级别,基于设备和用户属性。
# 启用所需 API
gcloud services enable iap.googleapis.com
gcloud services enable accesscontextmanager.googleapis.com
gcloud services enable beyondcorp.googleapis.com
# 创建访问策略(组织级别)
gcloud access-context-manager policies create \
--organization=ORG_ID \
--title="BeyondCorp Enterprise Policy"
# 为企业托管设备创建基本访问级别
cat > corporate-device-level.yaml << 'EOF'
- devicePolicy:
allowedEncryptionStatuses:
- ENCRYPTED
osConstraints:
- osType: DESKTOP_CHROME_OS
minimumVersion: "13816.0.0"
- osType: DESKTOP_WINDOWS
minimumVersion: "10.0.19045"
- osType: DESKTOP_MAC
minimumVersion: "13.0.0"
requireScreenlock: true
requireAdminApproval: true
regions:
- US
- GB
- DE
EOF
gcloud access-context-manager levels create corporate-managed \
--policy=POLICY_ID \
--title="Corporate Managed Device" \
--basic-level-spec=corporate-device-level.yaml
# 使用 CEL 表达式创建自定义访问级别
gcloud access-context-manager levels create high-trust \
--policy=POLICY_ID \
--title="High Trust Level" \
--custom-level-spec=high-trust-cel.yaml
验证检查点:运行 gcloud access-context-manager levels list --policy=POLICY_ID 确认访问级别已正确创建。如创建失败,检查组织 ID 和策略权限(需要 accesscontextmanager.policies.create 权限)。
回滚:使用 gcloud access-context-manager levels delete LEVEL_NAME --policy=POLICY_ID 删除错误配置的访问级别。
在后端服务上启用 IAP,在授予访问前强制执行身份验证。
# 创建 OAuth 同意屏幕
gcloud iap oauth-brands create \
--application_title="Corporate Applications" \
--support_email=security@company.com
# 为 IAP 创建 OAuth 客户端
gcloud iap oauth-clients create BRAND_NAME \
--display_name="BeyondCorp IAP Client"
# 在后端服务上启用 IAP(GCE/GKE 在 HTTPS 负载均衡器后方)
gcloud compute backend-services update internal-app-backend \
--iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
--global
# 在 App Engine 上启用 IAP
gcloud iap web enable \
--resource-type=app-engine \
--oauth2-client-id=CLIENT_ID \
--oauth2-client-secret=CLIENT_SECRET
# 在 Cloud Run 服务上启用 IAP
gcloud run services add-iam-policy-binding internal-api \
--member="serviceAccount:service-PROJECT_NUM@gcp-sa-iap.iam.gserviceaccount.com" \
--role="roles/run.invoker" \
--region=us-central1
验证检查点:运行 gcloud iap web get-iam-policy --resource-type=backend-services --service=internal-app-backend 确认 IAP 已启用。通过浏览器访问应用 URL,应出现 Google 登录页面。
回滚:使用 gcloud compute backend-services update internal-app-backend --no-iap --global 禁用 IAP 恢复原始访问方式。
将 IAP 访问与具有访问级别要求的特定组绑定。
# 授予工程团队访问权限,要求企业设备
gcloud iap web add-iam-policy-binding \
--resource-type=backend-services \
--service=internal-app-backend \
--member="group:engineering@company.com" \
--role="roles/iap.httpsResourceAccessor" \
--condition="expression=accessPolicies/POLICY_ID/accessLevels/corporate-managed,title=Require Corporate Device"
# 授予承包商访问权限,要求高信任级别
gcloud iap web add-iam-policy-binding \
--resource-type=backend-services \
--service=internal-app-backend \
--member="group:contractors@company.com" \
--role="roles/iap.httpsResourceAccessor" \
--condition="expression=accessPolicies/POLICY_ID/accessLevels/high-trust,title=Require High Trust"
# 配置重新认证设置(会话时长)
gcloud iap settings set --project=PROJECT_ID \
--resource-type=compute \
--service=internal-app-backend \
--reauth-method=LOGIN \
--max-session-duration=3600s
验证检查点:使用测试用户访问受保护应用,验证符合访问级别的用户可访问,不符合的用户被拒绝。检查 gcloud logging read 'resource.type="iap_tunnel"' --limit=5 确认访问决策日志正常。
回滚:使用 gcloud iap web remove-iam-policy-binding 移除错误的 IAM 条件绑定。注意:先在非生产环境测试条件表达式。
推出 Chrome Enterprise Endpoint Verification(端点验证)以收集设备态势数据。
# 通过 Chrome 策略部署端点验证(托管浏览器)
# 在 Google 管理控制台 > 设备 > Chrome > 应用和扩展程序中
# 强制安装:Endpoint Verification 扩展 ID:callobklhcbilhphinckomhgkigmfocg
# 通过 Admin SDK 验证设备清单
gcloud endpoint-verification list-endpoints \
--filter="deviceType=CHROME_BROWSER" \
--format="table(deviceId, osVersion, isCompliant, encryptionStatus)"
# 为第三方 EDR 信号创建设备信任连接器
gcloud beyondcorp app connections create crowdstrike-connector \
--project=PROJECT_ID \
--location=global \
--application-endpoint=host=crowdstrike-api.internal:443,port=443 \
--type=TCP_PROXY_TUNNEL \
--connectors=projects/PROJECT_ID/locations/us-central1/connectors/connector-1
# 列出已注册设备及其合规状态
gcloud alpha devices list --format="table(name,deviceType,complianceState)"
验证检查点:运行 gcloud alpha devices list --format="table(name,deviceType,complianceState)" --limit=10 确认设备已注册并报告合规状态。预留 1-2 周设备注册引导期再强制执行设备态势要求。
为 Chrome Enterprise 用户启用 URL 过滤、恶意软件扫描和 DLP。
# 在 Google 管理控制台 > 安全 > Chrome Enterprise Premium 中配置威胁防护规则
# 为本地应用创建 BeyondCorp Enterprise 连接器
gcloud beyondcorp app connectors create onprem-connector \
--project=PROJECT_ID \
--location=us-central1 \
--display-name="On-Premises App Connector"
gcloud beyondcorp app connections create hr-portal \
--project=PROJECT_ID \
--location=us-central1 \
--application-endpoint=host=hr.internal.company.com,port=443 \
--type=TCP_PROXY_TUNNEL \
--connectors=projects/PROJECT_ID/locations/us-central1/connectors/onprem-connector
# 启用安全调查工具进行访问异常检测
gcloud logging read '
resource.type="iap_tunnel"
jsonPayload.decision="DENY"
timestamp >= "2026-02-22T00:00:00Z"
' --project=PROJECT_ID --format=json --limit=100
验证检查点:运行 gcloud beyondcorp app connections list --project=PROJECT_ID --location=us-central1 验证连接器状态为 ACTIVE。通过内部网络测试本地应用是否可通过 IAP 隧道访问。
回滚:使用 gcloud beyondcorp app connections delete CONNECTION_NAME --project=PROJECT_ID --location=us-central1 删除错误配置的连接。本地应用将恢复为直接内网访问。
为零信任策略执行设置全面的日志记录和告警。
# 为 IAP 访问决策创建日志接收器
gcloud logging sinks create iap-access-audit \
--destination=bigquery.googleapis.com/projects/PROJECT_ID/datasets/beyondcorp_audit \
--log-filter='resource.type="iap_tunnel" OR resource.type="gce_backend_service"'
# 通过 BigQuery 查询访问模式分析
bq query --use_legacy_sql=false '
SELECT
protopayload_auditlog.authenticationInfo.principalEmail AS user,
resource.labels.backend_service_name AS application,
JSON_EXTRACT_SCALAR(protopayload_auditlog.requestMetadata.callerSuppliedUserAgent, "$") AS device,
protopayload_auditlog.status.code AS decision_code,
COUNT(*) AS request_count
FROM `PROJECT_ID.beyondcorp_audit.cloudaudit_googleapis_com_data_access`
WHERE timestamp > TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 24 HOUR)
GROUP BY user, application, device, decision_code
ORDER BY request_count DESC
LIMIT 50
'
# 为重复访问拒绝创建告警策略
gcloud alpha monitoring policies create \
--display-name="BeyondCorp Repeated Access Denials" \
--condition-display-name="High denial rate" \
--condition-filter='resource.type="iap_tunnel" AND jsonPayload.decision="DENY"' \
--condition-threshold-value=10 \
--condition-threshold-duration=300s \
--notification-channels=projects/PROJECT_ID/notificationChannels/CHANNEL_ID
场景背景:一家拥有 3000 名员工的科技公司使用 Cisco AnyConnect VPN 访问内部应用。VPN 引入了延迟、造成单点故障,并在认证后授予过多网络访问权限。
方法:
常见陷阱:某些遗留应用可能不支持 HTTPS 代理,需要 TCP 隧道模式。设备注册需要时间;在强制执行设备态势要求前需规划 2 周的引导期。必须创建并测试具有绕过访问级别能力的紧急访问账户,以应对身份提供商中断情况。
BeyondCorp 零信任实施报告
==================================================
组织:TechCorp Inc.
实施日期:2026-02-23
迁移阶段:第 2 阶段(共 3 阶段)
访问架构:
身份提供商:Google Workspace
访问代理:Google Cloud IAP
设备管理:Chrome Enterprise + 端点验证
威胁防护:Chrome Enterprise Premium
本地连接器:BeyondCorp Enterprise Connector(3 个实例)
访问级别覆盖:
访问级别:corporate-managed
已注册设备: 2,847 / 3,000(94.9%)
合规设备: 2,712 / 2,847(95.3%)
访问级别:high-trust
已注册设备: 312 / 350(89.1%)
合规设备: 298 / 312(95.5%)
应用迁移:
GCP HTTPS 应用(IAP 保护): 32 / 35(91.4%)
本地应用(通过连接器): 12 / 15(80.0%)
SaaS 应用(通过 SAML/OIDC): 8 / 8(100%)
总迁移数: 52 / 58(89.7%)
安全指标(过去 30 天):
总访问请求数: 1,247,832
IAP 策略拒绝: 3,412(0.27%)
访问级别拒绝: 1,208(0.10%)
触发重新认证: 45,219
异常访问模式: 12(已调查)
VPN 相关事件(迁移前): 8 次/月
BeyondCorp 事件(迁移后):1 次/月
VPN 下线状态:
剩余并行运行时间: 14 天
仍使用 VPN 的用户:148(5%)
计划下线日期: 2026-03-15