云已成趋势，IPv6也来了，谷歌的BeyondCorp不远了吧

谷歌近些年一直在提BeyondCorp，也就是大家经常说的“破墙”，业界呼声也很高，认为是一种新型的有效的解决方案。

先简单介绍下我理解的BeyondCorp，之前大家对网络都是区分内外网的，一般认为内网是安全的，外网则存在各种威胁和攻击，所以大多只在内外网间放个防火墙，以防御外网的威胁，这种经验主义认知错误，导致对处于内网被渗透的主机无法进行及时有效监控与处置，经常是重要数据被泄露、安全事件发生后才及时察觉，因此对内网主机、服务器的监控越来越重要，目前对内网主机监控的产品与工具主要是态势感知、EDR、数据安全等。BeyondCorp的目的不是做这种查缺补漏的事情，既然已经认为内网不安全了，那干嘛还区分内网和外网呢，把现在的墙打破，内外网的主机和行为都进行监控不得了，如下图所示，本来放在内外网间的墙，退回到了需要重点保护的服务器上，谷歌的破墙并不是把墙打破，而是由长城变成了城墙，由大围墙变成了小院墙，同时BeyondCorp还涉及很多安全技术，包括身份认证、设备认证、加密等等。

云已经成了一种趋势，尤其是公有云。许多创业公司，初始阶段无法承受高昂的硬件、网络、机房成本，会将一些业务放在公有云上，启动成本较低。放在公有云上，尤其有开放的IP和端口，也就意味着能够被任何人访问，这个时候放个传统的墙好像真的不太管用。最安全的方式，就是BeyondCorp，对所有接入的设备进行身份认证，对所有的账号进行行为监控，确保不被非法使用。

除了云，IPv6已经被联通等运营商提上日程，最快2018年我们就可能用上IPv6，到时每台设备，电脑、手机、ipad、摄像头、冰箱、台灯等都会被分配一个公网的IPv6，也就意味着，如果没有合理的访问控制策略，任何人都具有访问任何设备的可能（家庭防火墙应该也会火起来吧），BeyondCorp很适合这种场景下对重要业务服务器的防护。（写到这，忽然发现，BeyondCorp是保护了重要的服务器，但是舍弃了对个人PC、BYOD设备的保护，这块我再看过BeyondCorp的资料再告诉大家，目前只记得如果有设备出现问题，是不允许这个设备访问的。）

总体来说，我建议有能力且有需求自建安全体系的单位，早点考虑参考BeyondCorp。