前情提要

Day 4 架構元件——Unprivileged network 篇我們有提到 802.1X 身份驗證，那時我們瞭解到，Google 使用 RADIUS 伺服器來根據 802.1X 驗證將設備分配到適當的網絡。Google 使用動態而非靜態的 VLAN 分配，這意味著不需依賴於 switch/port 的靜態配置，而是使用 RADIUS 伺服器通知 switch 對經過認證的設備分配適當的 VLAN。 受管設備在進行 802.1X 握手時會提供其設備證書，驗證後即被分配到非特權網絡。而在企業網絡上無法識別和未受管的設備 (unrecognized and unmanaged devices) 則會被分配到客戶網絡 (Guest Network)。

Day4 小結：所有設備都必須通過 802.1X 身份驗證流程才能被加入到非特權網路中。而 RADIUS 伺服器即是負責動態分配 VLAN 的組件。

今天我們繼上篇繼續討論 Google 如何遷移到 BeyondCorp，重點關注 Google 在部署 802.1X 身份驗證和 RADIUS 伺服器的過程經歷了什麼。

本篇內容來自於論文：Migrating to BeyondCorp: "Maintaining Productivity while Improving Security"

第一步：部署 802.1X 驗證的網路

在 BeyondCorp 的第一階段中，我們在每台用戶設備上安裝了設備證書 (certificates)，並將所有網絡訪問授權轉換為 802.1X。

這個看似簡單的步驟意味著要進行幾項新的開發：

• 一個證書管理機構 (Certificate Authority)
• 負責在受管設備上頒發證書的工具（針對不同 OS 類型）
• 在 switch 上啟用 802.1X，並與 RADIUS 服務集成

我們同時進行了所有這些開發工作。

什麼是 802.1X?

用來控制訪問權限的通訊協定。

802.1X 是一種基於 port 的存取通訊協定，根據維基百科，他的全稱是「基於埠的網路接入控制」。802.1X 協定可以控制用戶的網絡訪問權限，防止身份不明或未經授權的用戶傳輸和接收數據。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取，在存取點上就會開啟一個允許通訊的 port。如果授權不成功，就不會提供 port，而通訊就會受到阻擋。

802.1X 驗證被廣泛應用在信息安全要求嚴格的網絡中。但 802.1X 認證要求客戶端必須安裝 802.1X 客戶端軟件。

802.1X 協議是通過控制接入端口，實現用戶級的接入控制。在 802.1X 協議中，物理接入端口被劃分為「受控端口」和「非受控端口」這兩個邏輯端口，用於實現業務與認證的分離。非受控端口主要用於傳遞 EAPOL 協議，始終處於雙向連通狀態，保證客戶端始終能夠發出或接收認證報文；而受控端口用於傳遞業務報文，因此在授權狀態下處於雙向連通狀態，在非授權狀態下不從客戶端接收任何報文。

換言之，基於 802.1X 協議的認證，其最終目的就是確定用戶的接入端口是否可用。如果認證成功，那麽就打開端口，允許客戶端的所有報文通過；如果認證不成功，就保持端口的關閉狀態，只允許 EAPOL 協議通過。

802.1X 的運作機制

802.1X 驗證系統為典型的 Client/Server 結構，包括三個組件：客戶端、接入設備和認證服務器。

圖 1. 802.1X 驗證系統中的架構元件（source: 華爲 IP 知識百科)

• 客戶端通常是用戶終端設備。客戶端必須支持局域網上的可擴展認證協議（Extensible Authentication Protocol over LANs，EAPoL），並且安裝 802.1X 客戶端軟件，從而使用戶能夠通過啟動客戶端軟件發起 802.1X 認證。
• 接入設備通常是支持 802.1X 協議的網絡設備，例如 switch。它為客戶端提供接入局域網的端口，該端口可以是物理端口，也可以是邏輯端口。
• 認證服務器用於實現對用戶進行認證和授權，通常為 RADIUS 服務器。

Read more about 802.1X: 華爲 IP 知識百科

安全團隊設計了一個新的證書管理機構 (Certificate Authority)，並提供 API，以便不同作業系統平台的管理團隊能夠在其平台上獲取並安裝不同的證書。針對每個平台團隊，我們建立了大規模發佈和維護憑證的流程，獨立部署了軟體、工具和監控系統，用來執行和監視證書在每個設備上的部署。

同樣地，重新配置 switch 讓他接受來自 RADIUS 伺服器分配的 VLAN 也同時進行 （還記得嗎？ Day4 有說到新架構的 VLAN 分配不需依賴於 switch/port 的靜態配置，而是使用 RADIUS 伺服器，通知 switch 對經過認證的設備分配適當的 VLAN）——我們啟用了並後來要求使用 802.1X 和 RADIUS 提供的 VLAN 分配。我們透過自動化腳本對 switch 的升級進行審核，用自動化的方式識別尚未配置新 VLAN 的 switch。

我們使用 802.1X 技術，這樣我們可以將分配 VLAN 的任務從網路層轉移到一個名為 VLAN 策略伺服器 (VLAN policy server) 的地方。由於我們希望減少新的 RADIUS 伺服器可能引起的故障，最初的分配策略非常簡單，只是將新的 VLAN 分配策略與現有的 VLAN 分配策略進行對比（其中包括複雜的黑名單和白名單）。我們首先以一種審計模式部署了 VLAN policy server，將新的分配與舊的分配進行對比。當差異變得足夠少時，我們採用了新的 VLAN 分配策略。從那時候開始，我們可以使用高級軟件和數據驅動策略，近乎實時地管理 VLAN 的分配。通過使用這個簡單的初始策略，我們實現了在網路中啟用動態 VLAN 分配，同時最終狀態（以及過渡）策略還在開發中。

寫到這裡，現在的感想就是。。。好想出門看月亮，感受大自然。

段落大綱

請 ChatGPT 好朋友幫忙總結一下本文的話，大綱如下：

在 Google 的 BeyondCorp 架構中，他們通過部署 802.1X 身份驗證和 RADIUS 伺服器來實現設備訪問的授權和管理。這個過程包括安裝設備證書、建立證書管理機構、為不同操作系統平台提供證書，以及在網絡設備上啟用 802.1X，並與 RADIUS 服務集成。（802.1X 是一種用於控制網絡訪問權限的通信協議，要求客戶端安裝 802.1X 客戶端軟件。RADIUS 服務器用於認證和授權用戶。）

Google 還重新配置了 switch，使其能夠接受來自 RADIUS 服務器的動態 VLAN 分配，而不再依賴靜態配置。Google 使用自動化腳本對 switch 進行升級，並通過 VLAN 策略服務器來管理 VLAN 的分配。初始的分配策略是簡單的，然後逐漸過渡到更高級的策略，以實現動態 VLAN 分配。這一過程使 Google 能夠實現更靈活的網絡訪問控制，同時確保安全性。

非常感謝 GPT 好朋友。

我們明天繼續學下去！明天見~~