Det vedertagna sättet att tänka på it-säkerhet är att bygga ett skydd för ett företags interna nätverk. Man försöker hålla inkräktare ute med brandväggar, virtuella privata nätverk (vpn) och andra tekniska lösningar. Sedan finns ytterligare ett lager med säkerhetslösningar för de enskilda enheterna, som pc och smartmobiler.

Men redan 2014 presenterade Google en ny säkerhetsmodell med namnet Beyondcorp. Som namnet antyder handlar det om att se längre än till det egna företaget vad gäller it-säkerhet. Man ska närmare bestämt ha hela internet i åtanke.

En grundtanke med Beyondcorp är att fokusera på enskilda enheter och användare. Man ska inte ha olika grader av säkerheter för enheter beroende på om de är anslutna till interna nätverk eller inte. Ett sätt att se på saken är att man utgår ifrån att alla enheter alltid är anslutna till internet och behöver mesta möjliga skydd. Man kan aldrig lita på någon enhet eller användare.

Rent konkret skulle det kunna betyda att man inte har olika typer av åtkomst till en applikation beroende på hur man är ansluten: å ena sidan inloggad på det företagsinterna nätverket eller via ett vpn, eller å andra sidan ansluten direkt via internet.

Som det är nu kanske det finns det en relativt svag autentiseringslösning för interna användare och ingen åtkomst alls till en applikation för användare som är anslutna via internet. Ett alternativ vore att alltid ha samma starka autentisering, oberoende av hur användare är anslutna.

Läs också: Här är problemen som inte ens den klurigaste utvecklare klarar att lösa

Det här gäller naturligtvis alla enheter, även servrar och periferiutrustning som skrivare.

De här tankarna har fått genomslag på Google, som på många sätt är ett företag som alla andra. Man har byggt upp en skyddsmur runt sitt företag, men den muren har drabbats av hål i takt med att anställda blivit allt mer mobila. Anställda runt om i världen har klagat över att de är tvungna att ansluta sig via ett långsamt vpn, som dessutom är opålitligt, skriver IDG News.

Och även Google migrerar it-drift till molnet.

Men Google skiljer sig också från de flesta andra företag på vissa sätt. Ett exempel är att de högsta cheferna gav klartecken till att göra om säkerhetsinfrastrukturen, utan att göra några detaljerade analyser eller affärsplaner först.

Den grundläggande tanken var enkel:

– Murar fungerar inte. Vårt mål var att tona ner användningen av brandväggar och andra perimeterskydd och i stället satsa på en modell som innebär noll förtroende, säger Heather Adkins, säkerhetsansvarig på Google.

Det här innebär att alla enheter, oberoende av om de finns inne på huvudkontoret eller på ett kafé på stan, till en början anses vara opålitliga.

Projektet genomfördes i flera steg. Först inventerade man alla användare och vad de jobbar med. Sedan gjorde man en inventering av alla enheter och följde dem under deras livslängd. Data som behövdes för att sammanställa regler för behörigheter hämtades från 20 olika datakällor.

Därefter byggde man en egen behörighetsmotor som kontrollerar alla nätverksåtkomster från alla användare och enheter i hela världen.

Det här inledande arbetet tog nästan tre år att genomföra. Nu var det dags för den svåra biten, nämligen att migrera användarna från det gamla nätverket, till det nya ”noll förtroende”-nätverket, utan att förstöra några it-lösningar eller hindra anställda från att sköta sina jobb.

– Det tog ytterligare två år, säger Rory Ward, ansvarig för teknisk tillförlighet för Googles sajter.

Den nya lösningen installerades på 200 kontor runt om i världen, men innan den togs i bruk loggade man nätverkstrafiken. Sedan användes den informationen som underlag för tester av den nya lösningen.

Läs också: Skräpposten är på frammarsch igen – 3 000 spammejl i sekunden förra året

Under tiden som användare migrerades skapades en ”gigantisk databas” med information om it-lösningar som inte fungerade i det nya nätverket. Sedan betades problemen av, ett i taget. I dag använder man den nya säkerhetslösningen.

Det är inte bara Google som har anammat de här tankarna, utan även flera företag som har lanserat säkerhetsprodukter.

Ett exempel är amerikanska Duo Security som har lanserat en lösning för tvåstegs autentisering baserad på noll förtroende. Ett annat är nystartade Scaleft som har en behörighetslösning.

Duo Securitys produkt som heter Duo Beyond hanterar behörighet för ett företags alla webbapplikationer, oberoende av om driften sköts internt eller på en molntjänst. Detta sköts utan att klientprogram behöver installeras på användarnas enheter, vilket krävs för Scaleftprodukten Dynamic Access Management.

Även Cisco Systems hänger på, med Umbrella som man kallar för ”branschens första säkra internetgateway i molnet”.