Google新推出多种身份验证与存取控制功能，助企业部署零信任安全架构

Google宣布了多种新方法，帮助企业部署零信任架构BeyondCorp模型，从为Cloud Identity-Aware Proxy（Cloud IAP）加入情境感知，到推出Active Directory（AD）托管服务等，都是要让企业不需要VPN，或是为应用程序加入身份认证管理，就能存取传统LDAP应用程序以及虚拟机器。

随着互联网应用程序和基础架构的类型增加，传统基于网络的保护资料存取方法越来越不敷使用，Google在2011年开始使用BeyondCorp安全模型来保护内部资源，在2017年释出了Cloud IAP，现在则将情境感知存取功能，正式加入Cloud IAP和VPC服务，让企业保护网页应用程序、虚拟机器和GCP API，这个功能目前在Cloud Identity还在Beta阶段，但企业可以先尝试使用，来保护G Suite应用程序存取。Google提到，情境感知存取可以定义使用者身份与存取应用程序的精细度等，让企业能够给予使用者简单的方法，但又能安全地存取应用程序或是基础设施资源。

在Cloud IAP、Cloud IAM与VPC Service Controls上，使用情境管理存取保护GCP工作负载不需要额外收费，而在G Suite上的情境感知存取功能，包括Gmail、云端硬盘、文件、日历以及Cloud Keep等功能，企业只要使用Cloud Identity Premium、G Suite Enterprise还有教育版G Suite Enterprise，就能开始使用Beta版。

另外，现在Android手机还能内建安全金钥，让使用者可以使用手机的双因素验证（Two-Factor Authentication，2FA）登入Google的服务。Google认为基于FIDO标准的安全金钥，是目前市场上最能抵抗钓鱼的双因素验证方法，因此鼓励使用者使用内建在Android手机中的安全金钥进行认证登入。

这个安全金钥使用标准公钥加密的协定，与传统的双因素验证像是SMS或是代码相比，可以提供更强健的网络钓鱼和账户接管保护，Google提到，去年员工开始使用安全金钥以来，就没有再发生过账户遭到接管。目前该项功能处于测试阶段，Android 7.0+装置内建安全金钥，这项服务不另外收费，使用者可以直接将现有手机，使用在工作以及个人账户的双因素验证上，以蓝牙在Chrome OS、macOS或Windows 10上登入Chrome浏览器。

Google也宣布单一登入（Single Sign-On，SSO）功能开始支援密码储存管理（Password Vaulting）、增强型终端使用者入口以及整合的人力资源管理系统（HRMS），以简化应用程序存取。使用者可以透过密码管理应用程序，一键存取各种应用程序，而Cloud Identity拥有庞大的SSO应用程序目录，让企业能以单一系统管理所有应用程序的存取权限。

即将上线的密码储存管理功能会有一个仪表板（下图），让使用者可以查看所有能够使用SSO登入的应用程序，而仪表板将会取代原本的Apps User Hub，以提供更完善的使用者体验。在人力资源管理上，当员工进入、离开企业或是改变角色，则其存取权限势必做出改变，Google与主要的HRIS/HRMS供应商合作，让员工讯息可以在人力资源系统和云端身份间同步。

去年Google针对客户和合作伙伴推出的Cloud Identity测试版（CICP），让企业为其应用程序添加Google身份以及存取管理功能，现在这个功能成为正式版，并且重新命名为Identity Platform。Identity Platform提供可自定义的身份验证服务，能用来管理使用者注册和登入的使用者界面流程，并支援多种身份验证方法，也提供客户端和服务器端SDK，还整合Google的智慧与威胁讯号，以侦测受到入侵的使用者账户。

最后，Google还发布了支援微软Active Directory（AD）的Managed Service，这是一个高可用性，经过强化的云端服务，可以帮助企业管理在云端使用AD的工作负载。Google提到，即便企业早已经可以在GCP上部署AD环境，但需要自己进行管理把关安全性，但Managed Service为一个托管服务，由Google负责维护。